Часть 1 Часть 2 Часть 3 Часть 4 Часть 5 Часть 6 Часть 7 Часть 8 Часть 9
Все файлы можно взять тут.
В данной серии статей мы попробуем поработать с процессором STM32 с помощью GNU утилит, немного познакомимся с ассемблером и отладкой.
Примеры написаны для популярной платы blue pill, построенной на микроконтроллере STM32F103C8T6.
( читать дальше... )
Есть VPS с префиксом /56 (Linode). Есть роутер с OpenWRT.
На сервере установлен Wireguard.
Так же есть провайдер дом.ру, предоставляющий IPv6 через DHCPv6-PD (если не ошибаюсь).
Сделать хочется следующее:
1. Роутер должен получать IPv6 от провайдера (но не должен раздавать его клиентам).
Т.е. на интерфейсе br-lan должен быть один адрес, через который можно будет выходить в сеть по IPv6. Например
25: br-lan: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 12:c3:7b:43:4d:05 brd ff:ff:ff:ff:ff:ff
inet6 2a02:2698:1234:abcd::1/64 scope global dynamic noprefixroute
valid_lft 86342sec preferred_lft 3542sec
wg0 интерфейс.
ip a
root@OpenWrt:~# ip a
8: pppoe-wan: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1492 qdisc fq_codel state UNKNOWN group default qlen 3
link/ppp
inet 176.213.xx.xx peer 10.77.xx.xx/32 scope global pppoe-wan
valid_lft forever preferred_lft forever
inet6 fe80::4013:111f:9xxx:xxxc/10 scope link
valid_lft forever preferred_lft forever
12: br-lan: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 12:c3:7b:xx:xx:x5 brd ff:ff:ff:ff:ff:ff
inet6 2a02:2698:xxxx:xxx9:10c3:7bff:fexx:xxx5/64 scope global deprecated dynamic noprefixroute
valid_lft 76050sec preferred_lft 0sec
inet6 2a01:7e01:xxxx:xxxd:10c3:7bff:fexx:xxx5/64 scope global noprefixroute
valid_lft forever preferred_lft forever
inet6 fe80::10c3:7bff:fe43:4d05/64 scope link
valid_lft forever preferred_lft forever
13: eth0.1@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-lan state UP group default qlen 1000
link/ether 12:c3:7b:43:4d:05 brd ff:ff:ff:ff:ff:ff
2a02:2698:xxxx:xxx9 префикс, выданный провайдером.
2a01:7e01:xxxx:xxxd /64 префикс из /56 префикса с сервера.
/etc/config/network
config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'
config globals 'globals'
option ula_prefix 'fdba:6666:f1d9::/48'
config interface 'lan'
option type 'bridge'
option ifname 'eth0.1'
option proto 'static'
option ipaddr '192.168.1.1'
option netmask '255.255.255.0'
option ip6assign '60'
option ip6prefix '2a01:7e01:xxxx:xxxd::/64'
option ip6ifaceid 'eui64'
config device 'lan_dev'
option name 'eth0.1'
option macaddr '12:c3:7b:xx:xx:x5'
config interface 'wan'
option ifname 'eth0.2'
option proto 'pppoe'
option username 'SECURE'
option password 'SECURE'
option ipv6 'auto'
option keepalive '0'
config device 'wan_dev'
option name 'eth0.2'
option macaddr '10:c3:7b:xx:xx:x4'
config interface 'wan6'
option proto 'dhcpv6'
option reqaddress 'try'
option reqprefix 'auto'
option ifname 'eth0.2'
config switch
option name 'switch0'
option reset '1'
option enable_vlan '1'
config switch_vlan
option device 'switch0'
option vlan '1'
option ports '0 1 2 3 8t'
config switch_vlan
option device 'switch0'
option vlan '2'
option ports '4 8t'
Привет, лор!
Прочитав работу «Techniques and Countermeasures of TCP-IP OS Fingerprinting on Linux Systems» и мануал Block and Slow Nmap with Firewalls, решил, что нужно разработать шаблон iptables для защиты своих vps-ок. Цель – по возможности скрыть пассивные отпечатки OS, а также фильтрация нежелательных подключений. Работа таблиц тестировалась в том числе и на реликтовом 2.6 ядре.
#!/bin/bash
# 1
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
ip6tables -P INPUT DROP
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD ACCEPT
# 2
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -N NMAP
iptables -N SSH
# 3
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
# 4
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT ! -i lo -s 127.0.0.0/8 -j DROP
iptables -A INPUT -m state --state UNTRACKED,INVALID -j DROP
iptables -t nat -A POSTROUTING -s XX.XX.XX.XX/24 -j SNAT --to-source XX.XX.XX.XX --persistent
iptables -A INPUT -i tun+ ! -s XX.XX.XX.XX/32 -p tcp --dport XXXXX -j REJECT --reject-with tcp-reset
iptables -A INPUT -i tun+ -j ACCEPT
# 5
iptables -A INPUT -p udp --dport XXXXX ! --sport 0 -m state --state NEW ! -f -m u32 --u32 "0>>22&0x3C@5&0xFF=0x38 && 0>>22&0x3C@34=0x3F3" -j ACCEPT
# 6
iptables -A INPUT -m recent --update --seconds 604800 --reap --name nmap -j DROP
# 7
iptables -A INPUT -p tcp -m multiport --dports XXXXX,XXXXX -m tcpmss --mss YYYY -m state --state NEW -j SSH
iptables -A SSH -m recent --update --seconds 604800 --reap --name ssh
iptables -A SSH -m recent --set --name ssh
iptables -A SSH -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
iptables -A SSH -j DROP
# 8
iptables -A INPUT -p icmp --icmp-type 8 -m length --length XXXX -m limit --limit 1/second --limit-burst 1 -j ACCEPT
iptables -A INPUT -p icmp -m limit --limit 1/second --limit-burst 1 -j REJECT --reject-with icmp-host-unreachable
# 9
iptables -A INPUT -p tcp --sport 0 -j NMAP
iptables -A INPUT -p udp --sport 0 -j NMAP
iptables -A INPUT -m state --state NEW -f -j NMAP
iptables -A INPUT -p tcp -m osf --genre NMAP -j NMAP
iptables -A INPUT -p udp -m length --length 20:28 -j NMAP
iptables -A INPUT -p tcp ! --tcp-flags ALL SYN -m state --state NEW -j NMAP
iptables -A INPUT -p tcp --tcp-flags SYN SYN -m state ! --state NEW -j NMAP
iptables -A NMAP -m recent --set --name nmap -j DROP
# 10
iptables -t mangle -A OUTPUT -p tcp -j ECN --ecn-tcp-remove
iptables -t mangle -A OUTPUT -p tcp -j DSCP --set-dscp-class XX
iptables -t mangle -A OUTPUT -p tcp --syn -j TCPMSS --set-mss XXXX
iptables -t mangle -A OUTPUT -p tcp -j TTL --ttl-set 128
iptables -t mangle -A OUTPUT -p udp -j TTL --ttl-set 32
iptables -t mangle -A OUTPUT -p icmp -j TTL --ttl-set 128
# 11
# XXXXX service
iptables -A INPUT -p tcp --dport XXXXX -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport XXXXX -m state --state NEW -j ACCEPT
exit 0
#1 Настройка политик по умолчанию. ipv6 обычно отключена, но ip6tables -P INPUT DROP оставляю на случай, если забуду v6 выключить.
#2 Очистка таблиц перед настройкой правил.
#3 Подтверждённые соединения больше не фильтруются. Без RELATED всё замечательно работает.
#4 Внутренний трафик должен приходить только с устройства lo. -j SNAT для vpn. ! -s XX.XX.XX.XX/32 на некоторые порты доступ закрыт в том числе друзьям внутри виртуальной сети. Остальной трафик внутри vpn -i tun+ принимается без фильтраций.
#5 Мне нужен стабильный доступ к vpn даже тогда, когда мой ip-шник занесён в список блокировки (во время тестов такое случается частенько). Есть подключение по vpn – доступ к ssh гарантирован. Так как этот порт не прикрыт чёрным списком, ему назначены дополнительные проверки: первый пакет не должен быть сегментирован, например. Модуль u32 – это нечто! Оооочень доступный мануал от Bill Stearn здесь. Меня напрягало, что OpenVPN отвечает на обе доступные пробы nmap -sV. Благо, первый openvpn udp пакет обладает уникальными для каждой конфигурации признаками в зависимости от сгенерированнного Diffie–Hellman ключа. 0>>22&0x3C@5&0xFF=0x38 матчится байт-маркер OpenVPN, 0>>22&0x3C@34=0x3F3 – бред, чтобы не копировали: здесь правило будет у всех разное, можно только его оставить. Ищется просто с помощью tcpdump, wireshark и т. д. В результате vps-ка больше не отвечает ни на какие пробы запущенной на порту службы.
#6 Чёрный список со сроком жизни каждой записи в одну неделю.
#7 К сожалению, первый пакет tcp соединения (ssh) невозможно фильтровать модулем u32 – пакет обычно пустой, а провайдер режет бит TOS. Поэтому придумал помечать SYN пакеты выставлением --mss (принимает значения до 1460 включительно). Выбрал нестандартное значение и voilà: для обычного сканера порт выглядит всегда закрытым, и не нужно городить «port-knocking» и прочие «f2b». Доступ к ssh разрешён только по сертификату + подключаюсь всегда только с одной машины. Разумеется, у клиента прописано правило -t mangle -A POSTROUTING -d XX.XX.XX.XX -p tcp --syn -m multiport --dports XXXXX,XXXXX -j TCPMSS --set-mss YYYY. Это резервное правило, потому что всегда подключаюсь к ssh по vpn. -m limit --limit 1/minute нужен для замедления атак на случай, если злоумышленник подберёт значение mss. Таблица -m recent --set --name ssh не участвует в блокировках, но мне нужна, чтобы я начал вовремя паниковать (время от времени просматриваю логи блокировок).
#8 icmp отвечает только если матчится --length XXXX. Во всех остальных случаях не drop, а --reject-with icmp-host-unreachable – никого нет дома! На мой взгляд это эффективнее.
#9 Детектор tcp и udp сканеров. Ответ на пакет с запрещённого 0-го порта – пассивный признак OS. Сканирование пустыми udp пакетами – верный признак nmap. Первый пакет tcp соединения должен быть помечен SYN флагом, и только так! Он не должен быть сегментирован. Всё остальное от лукавого!
Меня не интересует блокировка случайных сканеров: каждый день они стучатся тысячами на 22 и т. п. порты. Постучатся разок, да и уходят. А вот nmap-щики отличаются настырностью, как о том свидетельствуют логи. Скан-товарищи появляются нечасто: 1 в день максимум, но таких лучше выявлять и отправлять в ж… на одну неделю.
#10 Затирание пассивных признаков OS. Цепочка -A OUTPUT транзитный трафик не изменяет, только ответы и соединения самого сервера. Бит TOS (он же ECN + DSCP) менять нужно 100%, он в дефолте выдаёт linux. «–set-mss XXXX» выставляю любой, который матчится скриптами nmap (благо исходники на гитхабе можно просмотреть и подобрать подходящее значение). По моему наблюдению удачными значениями являются 1000, 1400 и 1460. «–ttl-set 128» чаще бывает на M$. В итоге nmap после сканирования с пристрастием уверенно рапортует, что 98% на устройстве работает OS M$ 2000 server, а зная операционку, уже понятно какие надо применять эксплойты ;)
#11 Прописаны открытые порты для моих сервисов. Там их куча, оставил образец.
Изучил все расширения iptables. Больше ничего полезного для себя не нашёл. Если есть ещё интересные способы прикрытия файервола на iptables – прошу поделиться опытом. Может быть какие-то неочевидные ошибки допустил – прошу поправить. Буду рад, если мой опыт кому-нибудь пригодится.
От атак «я-у-мамы-кул-хацкеров» такие правила должны защитить. В случае с профессионалами, наверно, это не защита, но таким до моих vps-ок нет никакого дела :)
Периодически (закономерность не смог установить) PostgreSQL 12 запускает некий процесс с названием OKA. Все бы ничего, но он сжирает почти всю память. Нашел в папке PostgreSQL файлы oka и oka.pid, судя по всему, отвечающие за этот процесс.
Что это за процесс и почему он отъедает столько памяти?
Я тут решил узнать как достопочтенные лоровцы заливают бекапы в облако? У меня требования простые: делать инкрементальный шифрованный бэкап куда-нибудь в B2/S3 и т.п. (object storage). Пока что я нашел следующие варианты:
1. borg + rclone
2. rsync + руки
3. duplicty / duplicati / тысячи их
Интересует реальный опыт из первых рук, т.к. например, про п.3. некоторые писали, что оно кривое и работает через раз. А я, как бы, не очень хочу на своих данных проверять насколько хорошо оно работает.
Давно хотел организовать себе домашний офис/homelab и решил задокументировать результат, мало ли кому-нибудь окажется полезным.
В нише над камином расположена основная рабочая(домашняя?) станция, Macbook Pro вставленный в док и UPS. Пучок из нескольких DisplayPort и USB3 проводов проброшен через стену к столу.
В мониторе встроен KVM, и с одной кнопки переключается видео между macbook & PC, а так же перебрасываются все USB устройства расположенные на и под столом.
Почти все что тут есть интегрировано в HomeAssistant, включая оконные сенсоры, свет, камин и standing desk, в основном используя различные DIY устройства на ESP8266 & ESP32. Так же все управляется голосом через Amazon Echo.
Отлично работает Witcher 3 & Metro Exodus через Wine + DXVK.
Для гитары, под столом установлен JAM 96k, - тоже работает прекрасно с Jack/Wine/WineAsio & Amplitube 4.
pywal генерирует цветовую схему для всех CLI приложений и устанавливает цвет Nanoleaf Aurora & Hue через HomeAssistant. Видео
На одной из ножек стола прикреплен HTC Vive linkbox, и остается только подключить VR шлем и наслаждаться ждать когда состояние VR на Linux поднимется выше уровня плинтуса.
Yubikey для 2FA установлен рядом с усилителем, как раз примерно там где удобно его нажимать.
Чтобы не искать каждый раз розетки - по бокам стола разведены провода для питания и USB. Осциллограф и блок питания управляются через USBTMC & Sigrok. Для работы с мелкими деталями я сделал LED плату которая установлена под микрофон который теперь по совместительству - настольная лампа.
CPU: AMD Threadripper 1950X
AIO: Thermaltake Floe Riing 360 TT
Motherboard: ASRock - X399 Taichi
RAM: G.Skill - Trident Z RGB 32 GB (4 x 8 GB) DDR4-3200 Memory
SSD: HP - EX920 1 TB M.2-2280 Solid State Drive x 2
HD: WD Red WD100EFAX 10TB
GPU: EVGA - GeForce GTX 1080 Ti 11 GB SC Black Edition Video Card
CASE: NZXT - H700 ATX Mid Tower Case
PSU: Corsair - 1000 W
Полный альбом тут: https://imgur.com/a/qukjPVl
>>> Просмотр (4032x3024, 3597 Kb)
Ддя начала хотелось бы сверять:
GPG ключи
Установленные пакеты софта (целостность файлов)
Соответствие ключей SSH на всех хостах и клиентах
Чексумму BIOS
Адресов ARP кэша, не должно быть лишних
Списка установленных пакетов, блокировка установки новых пакетов
При dist-upgrade не должны меняться состояния запусков старых и новых сервисов, как это сделать?
Списка запущенных процессов
Списка включенных сервисов
Создавать: Логи SSH для root, которые не мешают работе rsync, scp и т.п. Есть что-нибудь готовое? Наверно лучше бы если было интегрированно с grsecurity и т.п.
Tusky — легковесный Mastodon-клиент для платформы Android, который поддерживает все возможности сети Mastodon, включая фото, видео, списки, «custom emoji» а также имеет интерфейс, разработанный в соответствии с Material design.
Mastodon — федеративная социальная сеть для микроблогинга, написанная на языке Ruby и использующая стандартизированный W3C протокол ActivityPub.
>>> Скачать исходный код релиза и APK-пакет (GitHub)
>>> Установить APK: F-Droid | Google Play | Amazon Appstore
>>> Подробности
Как можно посмотреть текущую статистику (сколько и какие клиенты сейчас подключены, а также можно по переданным данным за ссесию) по openvpn?
Интересует возможность не парсить логи и т.д. т.е. с помошью команды.
А конкретно php сесии.
Как удалить быстро или без сильной нагрузки на диск очень много файлов php сессий?
Быстро - быстрее, чем rm sess_*
Без сильной нагрузки на диск - даже с ionice -c 3 сервера заметно тормозят.
Очень много - от 2 GB (обычно)
Про gc у php знаю, вопрос не о нем, вопрос о том, что делать если уже.
Сабж
Нашел такое решение:
import socket
sock = socket.socket()
sock.bind(('127.0.0.1', 3333))
sock.listen(1)
conn, addr = sock.accept()
print ('connected:', addr)
while True:
data = conn.recv(1024)
if not data:
break
conn.send(data.upper())
conn.close()
День добрый.
такая проблемка - нужно настраивать iptables на удаленном сервере к которому нет физического доступа.
есть ли в iptables\linux какой либо механизм который отменяет последние примененные правила если их не подтвердили\сохранили в течении 1-5 минут?
боюсь убить доступ к серверу к которому можно подключиться только по ssh
В очередной раз наткнувшись на километровый топик с вставками кода решил откопать свой юзерскрипт для скрытия больших кусков кода.
Последняя версия где-то протерялась, потому переписал практически с нуля, на основе той что нашел:
Скопипастте его уже в лоровский скрипт, там 2.5 строчек кода.
// ==UserScript==
// @name LOR spoiler
// @namespace linux.org.ru
// @description Add spoiler functionality
// @include https://linux.org.ru/*
// @include https://www.linux.org.ru/*
// @version 2
// @grant none
// ==/UserScript==
$script.ready('jquery',function(){
console.log('LOR spoiler is ON');
// spoiler
var types = ['cut', 'code', 'pre'];
var blocks = {
cut: $('[id ^= cut]'),
code: $('.code'),
pre: $('pre:not([class])')
};
var total_block_cnt = blocks.cut.length + blocks.code.length + blocks.pre.length;
var line_limit = total_block_cnt > 2 ? 5 : 15;
var spoiler_prefix_on = '>>> ';
var spoiler_prefix_off = '<<< ';
var tpl =
'<span class="sign">'+
'<span>'+ spoiler_prefix_on +'</span>'+
'<a '+
'id="spoiler-hide-{TYPE}_{ID}" '+
'href="javascript:void(0);" '+
'onClick="javascript:var block=$(\'#hide-{TYPE}_{ID}\'); var prefix=this.previousElementSibling;'+
'if (block.css(\'display\')===\'none\') {'+
'block.show(); prefix.innerText=\''+spoiler_prefix_off+'\'; } else {'+
'block.hide(); prefix.innerText=\''+spoiler_prefix_on+'\'; };">'+
'{TYPE}-spoiler'+
'</a>'+
'</span><br/>';
// change content
if (total_block_cnt > 0) {
for (var i = 0; i < types.length; i++) {
var TYPE = types[i];
var ID = 0;
blocks[TYPE].each(function() {
// limit
var no_hl = $(this).find('pre.no-highlight code');
var cur_blk = no_hl.length > 0 ? no_hl : $(this);
if (cur_blk.text().split("\n").length <= line_limit) return;
// add spoiler
var spoiler = tpl.replace(/\{TYPE\}/g, TYPE).replace(/\{ID\}/g, ID);
$(this).attr('id','hide-'+TYPE+'_'+ ID).hide();
$(this).before(spoiler);
ID++;
});
}
}
});
з.ы. выглядит так: http://i.imgur.com/SA0ScAO.png
или так: http://i.imgur.com/SGdal6y.png
Я отношусь с уважением ко всем религиям, но вот историю появления данной религии чё-то пропустил. Какие-то молодые отцы-IT-шники зырили мультики со своими детьми и понеслось? Или там чё-то более фундаментальное и идейное?
Собрал я это чудо (напильник нужен приличный). nDPI-1.4.0 и ndpi-netfilter (https://github.com/ewildgoose/ndpi-netfilter.git) на ядре 3.10.10 + iptables-1.4.19.1
Работает :) Но апетиты у этого монстра приличные. На 1 flow 3760 байт ( к каждому conntack )
# SLAB DETAIL
# <-----------Objects----------><---------Slab Allocation------><---Change-->
kmalloc-96 152728 14318K 153048 14348K 3644 14576K 3644 14576K 65536 0.4
xt_ndpi_flows 147092 540103K 147384 541175K 18423 589536K 18423 589536K 7208960 1.2
xt_ndpi_ids 83990 25590K 85748 26126K 3298 26384K 3298 26384K 0 0.0
За 2.5 часа насобирал ( ~200Мбит/с)
root@ls-gw2:~# iptables -nvxL IA | sort +0.9 -n
0 0 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol DHCP
0 0 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol DirectConnect
0 0 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol eDonkey
0 0 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol IMAP
0 0 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol Openvpn
0 0 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol PPTP
0 0 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol Rsync
0 0 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol SMTP
0 0 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol SNMP
0 0 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol SSL
Chain IA (1 references)
pkts bytes target prot opt in out source destination
56 3220 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol VNC
111 8057 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol FTP
210 20148 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol SSH
985 74812 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol NTP
339 126184 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol SIP
857 257617 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol GRE
1752 277727 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol TeamViewer
13551 2022171 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol DropBox
16482 2153456 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol IPSEC
5672 3282511 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol Tor
5532 3321744 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol POP
3188 3391542 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol HTTP_Connect_SSL_over_HTTP
9309 3430888 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol Jabber
49457 5585001 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol RDP
93674 9171691 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol RTP
5164 9366285 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol Windows_Update
11279 11546740 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol Twitter
25370 32079798 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol FaceBook
771732 274166015 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol Rtcp
6774916 2260874410 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol Skype
3789268 10462438403 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol YouTube
21046184 19627078201 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol Bittorrent
36510517 90141863774 all -- * * 0.0.0.0/0 0.0.0.0/0 protocol HTTP
169038985 240396708676 all -- * * 0.0.0.0/0 0.0.0.0/0 /* total */
загрузка 1 ядра почти под 100%
Tasks: 118 total, 2 running, 116 sleeping, 0 stopped, 0 zombie
Cpu(s): 0.0%us, 0.1%sy, 0.0%ni, 89.5%id, 0.1%wa, 0.3%hi, 10.0%si, 0.0%st
Mem: 4130492k total, 857064k used, 3273428k free, 21296k buffers
Swap: 4194300k total, 0k used, 4194300k free, 60608k cached
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ СOMMAND
3 root 20 0 0 0 0 R 98 0.0 92:46.76 ksoftirqd/0
Правила простые
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
IA all -- 0.0.0.0/0 xxx.xxx.xxx.0/24
OA all -- xxx.xxx.xxx.0/24 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain IA (1 references)
target prot opt source destination
all -- 0.0.0.0/0 0.0.0.0/0 /* total */
all -- 0.0.0.0/0 0.0.0.0/0 protocol HTTP
all -- 0.0.0.0/0 0.0.0.0/0 protocol HTTP_Connect_SSL_over_HTTP
all -- 0.0.0.0/0 0.0.0.0/0 protocol Bittorrent
all -- 0.0.0.0/0 0.0.0.0/0 protocol DirectConnect
all -- 0.0.0.0/0 0.0.0.0/0 protocol eDonkey
all -- 0.0.0.0/0 0.0.0.0/0 protocol DropBox
all -- 0.0.0.0/0 0.0.0.0/0 protocol Rsync
all -- 0.0.0.0/0 0.0.0.0/0 protocol Jabber
all -- 0.0.0.0/0 0.0.0.0/0 protocol Twitter
all -- 0.0.0.0/0 0.0.0.0/0 protocol FaceBook
all -- 0.0.0.0/0 0.0.0.0/0 protocol YouTube
all -- 0.0.0.0/0 0.0.0.0/0 protocol FTP
all -- 0.0.0.0/0 0.0.0.0/0 protocol POP
all -- 0.0.0.0/0 0.0.0.0/0 protocol IMAP
all -- 0.0.0.0/0 0.0.0.0/0 protocol SMTP
all -- 0.0.0.0/0 0.0.0.0/0 protocol SNMP
all -- 0.0.0.0/0 0.0.0.0/0 protocol NTP
all -- 0.0.0.0/0 0.0.0.0/0 protocol DHCP
all -- 0.0.0.0/0 0.0.0.0/0 protocol SSH
all -- 0.0.0.0/0 0.0.0.0/0 protocol GRE
all -- 0.0.0.0/0 0.0.0.0/0 protocol PPTP
all -- 0.0.0.0/0 0.0.0.0/0 protocol Openvpn
all -- 0.0.0.0/0 0.0.0.0/0 protocol SSL
all -- 0.0.0.0/0 0.0.0.0/0 protocol IPSEC
all -- 0.0.0.0/0 0.0.0.0/0 protocol Rtcp
all -- 0.0.0.0/0 0.0.0.0/0 protocol RTP
all -- 0.0.0.0/0 0.0.0.0/0 protocol Skype
all -- 0.0.0.0/0 0.0.0.0/0 protocol SIP
all -- 0.0.0.0/0 0.0.0.0/0 protocol VNC
all -- 0.0.0.0/0 0.0.0.0/0 protocol RDP
all -- 0.0.0.0/0 0.0.0.0/0 protocol TeamViewer
all -- 0.0.0.0/0 0.0.0.0/0 protocol Windows_Update
all -- 0.0.0.0/0 0.0.0.0/0 protocol Tor
Железо: Проц: Intel(R) Xeon(R) CPU E31230 @ 3.20GHz Сетевушка: 82574L
В порт миррорится трафик с внешнего канала.
Продолжение темы Galago UltraPro – первый ноутбук с Haswell на Ubuntu. Сегодня получил девайс на руки и уже успел разобрать до винтика и собрать обратно - добавлял mSATA SSD и добивал оперативную память до 16Gb.
Собственно, первые впечатления:
В общем задавайте вопросы, а я буду отписываться по мере появления новой информации.