Сейчас:

1. Работает хост под управлением ubuntu.
2. Внутри хоста работают два lxc контейнера.
3. Хост принимает запрос, и nginx проксирует его в первый или второй контейнер.
4. Контейнеры работают за натом 10.0.0.1, и имеют адреса 10.0.0.х.
5. Хост имеет один белый ip.

Проблема:
Приложения в контейнерах не видят реального ip посетителя.

Вопрос:
Подскажите пожалуйста. Пните на путь. Как можно исправить, чтобы приложения видели реальный ip посетителей? Спасибо.

KRoN73 RIP

Всё написанное ниже уже неактуально :(

Друзья. Под новогодние праздники (с 29 на 30) случилась ужасная беда со старейшим участником форума - KRoN73.

( Подробности... )

Я никогда не делал подобные обращения, поэтому не знаю, что писать и немного (на самом деле много) растерян.

( Как помочь... )

>>> Оригинальный тред (linux.org.ru)

Мне нужно запускать в скриптах фоновые процессы (& в конце).
Но как их все закрывать по CTRL+C?
trap "kill -9 $(jobs -p) $$" 2 не работает потому что job control в скриптах не работает.
Но если добавить set -m, trap вообще перестаёт срабатывать.
___________________________
UPD:
решение оказалось таким:

set -m
trap "kill -9 \$(jobs -p) $$" 0 2 9 15

trap "kill -9 %1 $$" 2 9 15

Есть шара.

В шаре директория __DELETED, куда собственно перемещаются удаленные файлы и директории с сохранением иерархии путей.

Если клиент самбы удаляет содержимое директории __DELETED, то вместо удаления происходит перемещение удаляемого содержимого в поддиректорию __DELETED с той же иерархией.

Нужно сделать исключение для этой директории __DELETED, но видимо что-то сделано не так.

Пока решил вопрос cron'ом - очистка директории раз в сутки юзером root.

Нужно дать возможность клиенту самбы самому вручную удалять содержимое корзины (директория __DELETED. Как правильно прописать исключение для директории __DELETED?

Вот, что в smb.conf:

vfs object = recycle
recycle:repository = /dataraid/samba/data/__DELETED
recycle:keeptree = yes
recycle:versions = no
recycle:exclude = *.tmp, *.bak, thumb.db
recycle:exclude_dir = /recycle,/tmp,/dataraid/samba/data/__DELETED
#==== Share Definitions ====
[Data]
path = /dataraid/samba/data
valid users = @smbgrp
guest ok = no
writable = yes
browsable = yes

Ядро было написано аспирантом MIT Cody Cutler в рамках исследования «The benefits and costs of writing a POSIX kernel in a high-level language» и доступно на GitHub странице MIT PDOS (Parallel and Distributed Operating Systems group at MIT CSAIL) под лицензией MIT.

Biscuit неплохо документирован и содержит 27 тысяч строк на Go, из которых всего 90 функций содержат небезопасные вызовы («unsafe»), необходимые для задач вроде доступа к регистрам процессора. Есть также небольшой загрузчик, написанный на ассемблере.

( читать дальше... )

>>> Подробности (github.com)

Споры init или systemd можно вести бесконечно, однако я подумал, что systemd стоит изучить. Особенно пока на форуме присутствует эксперт по этой системе инициализации intelfx.
Итак, я поставил Mageia, смотрю... Так, /sbin/init присутствует, правда он является симплинком на /lib/systemd/systemd. А вот /etc/inittab естественно нет, потому что это не init. Ладно, читаю руководства... написано что вместо скриптов теперь тут юниты, присутствующие в целых трех каталогах: /lib/systemd, /etc/systemd и /run/systemd, а вот для вывода списка всех юнитов следует использовать команду:

systemctl list-units --type target --all

Вышла версия 1.0.0 программы для работы с WebSocket-ами из командной строки «websocat». Девиз программы: "netcat, curl и socat для вебсокетов".

( читать дальше... )

>>> Подробности (github.com)

Использую за основу вот этот туториал. https://wiki.gentoo.org/wiki/Sakaki's_EFI_Install_Guide/Configuring_Secure_Boot

Вот всё, что я вызываю, и (почти) всё, что мне пишут.

$ sudo mount -o remount,rw /sys/firmware/efi/efivars
$ openssl req -new -x509 -newkey rsa:2048 -subj "/CN=Alpha PK/" -keyout PK.key -out PK.crt -nodes -sha256 -days 36500
Generating a 2048 bit RSA private key
..................................+++
......................................................+++
writing new private key to 'PK.key'
-----
$ cert-to-efi-sig-list -g "$(uuidgen)" PK.crt PK.esl
$ sign-efi-sig-list -k PK.key -c PK.crt PK PK.esl PK.auth
Timestamp is 2018-6-20 20:29:01
Authentication Payload size 851
Signature of size 1162
Signature at: 40
$ sudo efi-updatevar -f PK.auth PK

$ sudo efi-updatevar -d 0 PK
Can't update variable in User Mode without a key
$ sudo efi-updatevar -d 0 -k PK.key PK
Failed to update PK: Operation not permitted

Ладно первая команда - да, действительно, ключик всё-таки нужен, но вторая-то чего ругается?

Тут есть три варианта: либо кривой биос, либо кривая утилита, либо кривой я. Пока не определился, так что помогите.

Посмотрел на новом месте на штатный ядерный aoe (инициатор) и допиленный местными джедаями ggaoed (таргет), и написал свой, чисто ядерный.

Результат поразил, в первую очередь, прогрессом ядра за последние 10 лет в области сетевого стека и блочной подсистемы. Совершенно не напрягаясь, из 1.6 миллиона IOPS'ов, доступных локально на LVM, размазанном по нескольким NVMe, по 50-гигабитной сети удалось передать 1.55 миллиона. Вот даже картинка с локальным и удалённым запуском fio есть:

https://image-store.slidesharecdn.com/4617ff4c-c52e-4d37-98bf-564e33060a0c-original.png

А по двум таким сетевухам, соответственно, 3 миллиона. Сеть пакеты дропает, кстати, особенно, при загрузке под потолок. 3 миллиона - это с ретрансмитами.

NVMeoF пока мимо, т.к. у них из рабочих транспортов, разве что, инфинибэнд, который вкорячивать через softroce - изврат тот ещё, а over ethernet ещё в разработке, и он, вроде, собирается быть L3, а не L2. Ну и кода раз в 20 меньше получилось.

Под впечатлением купил дешёвых 10-гигабитных сетевушек, буду домашнюю лабу на свой aoe переводить, а то с fiber channel то дети волокно оборвут, то SAN/NAS с 4-гигабитный QLogic'ом само резетится :)

Представлена утилита для создания запроса на квалифицированный сертификат с учетом требований Федерального закона от 6 апреля 2011г. №63-ФЗ «Об электронной подписи», а также «Требований к форме квалифицированного сертификата ключа проверки электронной подписи», утвержденных приказом ФСБ России от 27.12.2011 № 795. Утилита написана на Tcl/Tk. Дистрибутив утилиты доступен здесь:

http://soft.lissi.ru/downloads/cert_request_util/

>>> Утилита генерации запросов на квалифицированный сертификат (habr.com)

..то его желательно запатчить. Там были два как минимум бага - один - с подвисанием эмулируемого SATA контроллера, и второй - с новой дефолтной сетевухой.

http://lists.nongnu.org/archive/html/qemu-devel/2018-05/msg07141.html («Re: [Qemu-devel] [Qemu-block] [PATCH 2/3] ahci: fix PxCI register race»)

http://lists.nongnu.org/archive/html/qemu-devel/2018-05/msg04852.html («Re: [Qemu-devel] [PATCH] e1000e: Do not auto-clear ICR bits which aren't set in EIAC»)

Я вроде как запатчил, теперь какой-нибудь kde neon live dvd работает.

Перемещено leave из talks

0. последние драйвера нвидии (пользователям АМД земля пухом)
1. Ставим ОБЫЧНЫЙ(НЕ СТАГИНГ) wine-3.7
2. Идем сюда https://github.com/doitsujin/dxvk/releases/tag/v0.50
3. качаем dxvk-0.50.tar.gz
4. запускаем (объявив вайн префикс если нужно) x64 или x32 в зависимости от вайна setup_dxvk.sh

ВСЕ РАБОТАЕТ ничего больше делать не нужно

если ФПС СЛИШКОМ НИЗКИЙ:
запускать с
__GL_NextGenCompiler=0

Что еще может быть причной НИЗКОГО ФПСА

Вайн без «эмуляции рабочего стола» и «оконный режим» игры, ФПС будет очень низкий, поставьте «эмуляцию рабочего стола» в настройке Вайн

(дальше специфические проблемы, редко возникают и почти незаметныы)
Ваш ДЕ конфликтует с Вулканом, я встречал это на XFCE(вплоть до зависания иксов) где ФПС до 50% ниже чем OpenGL
(на чистых иксах ФПС в вулкане ниже чем в гноме3)
предполагаю множество проблем в «минималистичных DE» где рендеринг непонятно как сделан
в Gnome3 в вулканом нет никаких проблем

другие программы использующие иксы/vdpau/opengl
запуск «некоторых» шейдеров в OpenGL паралельно Вулкану будет давать стабильный краш вулкана
хром со включенным видео на сайте, одновремено видеоплеер использующий vdpau, вулкан будет рандомно крашиться
после использования NVENC вулкан может либо не стартовать вообще либо ФПС упадет в десятки раз
Thunderbird очень силько конфликтует с вулканом по какойто причине(даже закрытый в трее без окна)
...и прочее, лучше закрыть все перед запуском

Как известно, распространение списков блокировок Роскомнадзора официально запрещено за пределами провайдеров. Но нашлись добрые люди, которые создали проект Zapret-Info и регулярно выкладывают свежие выгрузки реестра заблокированных адресов.

К сожалению, дампы выгрузок выкладываются в неудобном для использования формате (CSV, CP1251, иногда содержит ошибки). Для разбора этого формата была написана библиотека zicsv, позволяющая поточно читать дамп. На основе этой библиотеки разработана утилита командной строки zicsv-tool, с помощтю которой можно:

• конвертировать дамп в гораздо более читабельный JSON;
• выводить определённые типы заблокированных адресов (например только подсети) простым списком;
• и искать адреса в списке заблокированных.

( читать дальше... )

Краткая инструкция по установке и использованию.

>>> Репозиторий на гитхабе (github.com)

Я тут засел за изучение сетей в Linux, и начал читать про ip ifconfig route networkmanager dhcpd dhcpcd iptables firewalld и прочее, и у меня возникло чусвство, будто все это — TUI к чему-то, что работает на уровне ядра.

Будто все это — TUI и GUI, которое передает команды чему-то в ядре, что собственно и рулит пакетами, а не самостоятельные утилиты. В том смысле, что они настраивают как будут ходить пакеты, но не управляют ими сами по себе. Это верное предположение?

Поскольку моя лопата от Sumsung дала дуба, решил я прикупить subj. Уж всем хорош subj и диким размером 6.44" и ценой, но пишут однако люди что отсутствует в нем LTE диапазон B20(800Mhz) в связи с чем LTE ловит не везде (типа в городе бывает где только B20 есть). В фирменном магазине же мне втирают что якобы сие только у subj купленных не у них, а у них волшебные subj с поддержкой LTE диапазона B20(800 Mhz) и на 4 т.р. дороже чем у конкурентов. Обманывают же да? Отговорите плиз от покупки или просвятите если вдруг в фирменных магазинах и правда чуть другое железо или прошивка разлочивающая B20.

GNU/Linux при том что внутри Android.

На VLC можно так сделать RTSP h264 Source для ZoneMinder:

//с usb веб-камеры:
cvlc v4l2:///dev/video0 --sout '#transcode{vcodec=h264,acodec=none}:rtp{sdp=rtsp://:8554/}'

//с камеры андроида через приложение ivideon: 
cvlc http://10.42.0.78:8080/video --sout '#transcode{vcodec=h264,acodec=none}:rtp{sdp=rtsp://:8555/}'

Здравствуйте

имеется веб сервер nginx+php-fpm то есть nginx и фронт и бэк нужно настроить блокировку пользователей из определенной страны (России)

трафик приходит проксируемый, в заголовке X-Forwarded-for лежит реальный ип адрес клиента.

если указать 1 ип то он успешно блокируется

if ($http_x_forwarded_for = «12.123.1.123») { return 403; }

в гугле полно инструкций как сделать это когда nginx работает в режиме прокси, а вот для моего случая не могу найти. или понять как их адаптировать.

подскажите пожалуйста)

Вышла первая версия MediaDeb — проекта по запуску Debian GNU/Linux на телефонах на базе СнК от Mediatek (без chroot, честная прошивка с Debian).

MediaDeb — это мой небольшой хобби-проект для «оживления» старых аппаратов, не получающих более апдейтов от производителя и пылившихся на полках все это время.

( читать дальше... )

>>> Скачать (github.com)

Российская компания «Флант» представила утилиту dapp, предназначенную для реализации и сопровождения процессов непрерывной интеграции и доставки приложений (CI/CD).

Dapp использует и поддерживает возможности таких проектов, как Git, Chef, Docker, Kubernetes и Helm. Среди ключевых возможностей утилиты на данный момент:

• развитая система сборки образов Docker;
• начальная поддержка деплоя для развёртывания инфраструктуры в Kubernetes (с помощью Helm) и запуск контейнеров в этой инфраструктуре;
• поддержка системы управления конфигурациями Chef (в будущем планируется добавить Ansible).

Исходный код dapp написан на Ruby и опубликован на GitHub под свободной лицензией Apache 2.0 (там же доступна подробная документация на русском языке).

>>> Подробности (flant.ru)

Группа энтузиастов ретро-систем опубликовала первый выпуск симулятора мейнфрейма Honeywell DPS-8/M, пригодного для запуска операционной системы Multics, выпускавшейся с 1965 по 1992 год и рассматриваемой как прародитель UNIX. Симулятор доступен как в исходных текстах, так и в виде готовых сборок для Linux, Windows и macOS.

Для запуска в симуляторе предлагается образ операционной системы Multics 12.6f (код Multics в 2007 году был открыт Массачусетским технологическим институтом). Предоставляется возможность работы с Multics через эмулятор терминала. Возможна симуляции ленточных и дисковых накопителей через локальную ФС, но поддерживается и ввод/вывод через симулированные перфокарты.

Симулятор, доки и плюшки: http://multicians.org/simulator.html