Зіштовхнувся з однією проблемою при використанні iptables разом з ipset, а саме, коли перечитуєш правила, отримуєш помилку:
ipset v7.10: Set cannot be destroyed: it is in use by a kernel component
ipset v7.10: Set cannot be created: set with the same name already exists
Експерементальним шляхом було визначено, що після онулення правил неможливо одразу (мабуть, ще висять у памʼяті) видалити записи у ipset, треба зачекати. Тобто, потрібна от така констукція:
Прочитав у розсилці по FreeBSD, що виявляється, є відмінність, як саме вмикати forward’інг і правильно це робити (саме у FreeBSD) через
gateway_enable="YES"
у /etc/rc.conf. Чому? Пояснення залишу цитатою, без перекладу:
Розглянемо ситуацію, коли сервер asterisk’a знаходиться за NAT’ом і треба зареєструватися у SIP провайдера. В 99% випадів, проблем немає, але інколи, нічого не виходить. Більш детальний аналіз показує, що пакети SIP чомусь не NAT’яться. Чому? Відповідь трохи незвична, якщо ви працювали з іншими unix like системами. Деякі протоколи (FTP, SIP, …) використовують 2 сесії для успішної передачі даних: сигнальна (встановлення зʼєднання) і передачі даних. У інших ОС (файерволах) вам потрібно самостійно опікуватися цими проблемами, які додаткові порти відкрити або як переналаштувати зʼєднання (наприклад, перейти з active на passive режим в FTP). В Linux для цього придумали механізм conntrack (connection tracker), який “зазирає” всередину зʼєднання і дозволяє створити відповідне динамічне правило (насправді це правило треба створити окремо, але там ми не вказуємо конкретні порти, просто вказуємо, що це відноситься до, наприклад, SIP і пакети автоматично будуть проходити). Чи це добре? І так і ні. Чому добре – зрозуміло. Чому ні? Тому що, інколи виникають проблеми, про які сказано на початку статті.
Що можуть означати ці коди в логах squid’a? Якщо вони у вас почали зʼявлятися після того, як все працювало, то в 99% ваш proxy сервер втратив вихід в інтернет. Перевірте просто через curl, чи відкриваються сайти, чи ні.
Причини можуть бути різні: від заблоковано у файерволі до втрат в мережі.
PS. Завжди перевіряйте, чи збігається у вас локальний час на proxy з вашим сервером авторизації (AD, Kerberos,…)
Останнім часом clamav почав дуже довго (інколи пару хвилин) оновлювати свої бази (поки не зʼясував, чому саме) і в ці моменти відповідно, clamav socket недоступний для exim’y. Як результат, в paniclog отримуємо запис
2022-10-13 12:02:46.101 [679872] 1oiu73-002qrg-V8 malware acl condition: clamd /run/clamav/clamd.ctl : unable to connect to UNIX socket (/run/clamav/clamd.ctl): Connection refused
і, якщо не почистити вручну paniclog, то кожен день будемо отримувати такі сповіщення:
Нещодавно дізнався про configuration registry у cisco router’ах (у свічів такого параметру немає). Якщо коротко, то це означає, як і з якими параметрами буде завантажено Cisco IOS. Щось на зразок grub boot options у Linux/Solaris.
Неправильно виставлений configuration registry може призводити до того, що поточний налаштування не зберігаються, навіть якщо ви виконуєте wr mem або copy run start. Згідно з документацією якщо він має значення 0x2142, то він ігнорує всі зміни, бо там чітко вказано:
Ignores the contents of Non-Volatile RAM (NVRAM) (ignores configuration)
TestDisk is powerful free data recovery software! It was primarily designed to help recover lost partitions and/or make non-booting disks bootable again when these symptoms are caused by faulty software: certain types of viruses or human error (such as accidentally deleting a Partition Table). Partition table recovery using TestDisk is really easy.
GNU ddrescue is a data recovery tool. It copies data from one file or block device (hard disc, cdrom, etc) to another, trying to rescue the good parts first in case of read errors.
Like dd, dd_rescue does copy data from one file or block device to another. You can specify file positions (called seek and Skip in dd).
BCC is a toolkit for creating efficient kernel tracing and manipulation programs, and includes several useful tools and examples. It makes use of extended BPF (Berkeley Packet Filters), formally known as eBPF, a new feature that was first added to Linux 3.15. Much of what BCC uses requires Linux 4.1 and above.
bpftrace is a high-level tracing language for Linux enhanced Berkeley Packet Filter (eBPF) available in recent Linux kernels (4.x)
bpftop provides a dynamic real-time view of running eBPF programs. It displays the average runtime, events per second, and estimated total CPU % for each program. It also provides graphical views of these statistics over time. This tool minimizes overhead by enabling performance statistics only while it is active.
Дана стаття є вільним перекладом цієї .
Якщо вас якимось чином не влаштовує стандартний стек TCP, то, починаючи з 13.0, можна використовувати свій власний. В даній статті ми розглянемо RACK-TLP TCP стек. Основна суть якого, в передачі timestamps, і при втраті пакету за рахунок цього швидше відновлюється передача даних. Тобто, даний стек буде біль ефективним в мережах з частими обривами звʼязку. У стабільних мережах, його немає сенсу застосовувати.
1) Install Linux (Debian)
2) Install grub-iso
3) upload liveCD mfsBSD.iso
4) set network settings via kFreeBSD.mfsbsd.ifconfig in /boot/grub/grub.cfg
menuentry "$file1" {
set isofile=/boot/images/$file1
loopback loop (hd0,1)\$isofile
kfreebsd (loop)/boot/kernel/kernel.gz -v
kfreebsd_module (loop)/boot/kernel/ahci.ko
kfreebsd_module (loop)/mfsroot.gz type=mfs_root
set kFreeBSD.vfs.root.mountfrom="ufs:/dev/md0"
set kFreeBSD.mfsbsd.hostname="$hostname"
set kFreeBSD.mfsbsd.mac_interfaces="ext1"
set kFreeBSD.mfsbsd.ifconfig_ext1_mac="${iface_mac}"
set kFreeBSD.mfsbsd.ifconfig_ext1="inet $ip/${ip_mask_short}"
set kFreeBSD.mfsbsd.defaultrouter="${ip_default}"
set kFreeBSD.mfsbsd.nameservers="8.8.8.8 1.1.1.1"
set kFreeBSD.mfsbsd.ifconfig_lo0="DHCP"
...
}
5) Reboot
Даний мануал не мій, знайшов в мережі інтернет.
