LINUX.ORG.RU

Избранные сообщения vel

cross тулчейн

Форум — General

Собираю buildroot. У меня в системе установлен arm-none-eabi-gcc, которым я собирал ядро и загрузчик. buildroot же мне предлагает или собирать весь тулчейн с нуля, или же брать внешний тулчейн, в который уже входит libc и прочее.

А нельзя как-нибудь в рамках buildroot взять компилятор и линковщик из arm-none-eabi, и чтобы билдрут ими собрал libc и прочее? Неохота долго компилировать gcc

 

cvs-255 ()

rsync - исключить из синхронизации каталог со специальным файлом

Форум — Admin
dir1
└── dir2
    └── .nosync

Как элегантно синхронизировать dir1, но пропустить все подкаталоги, содержащие файл .nosync?

 

aquadon ()

Squid в режиме HTTPS Forwarder

Форум — Admin

День добрый!

Давно стоит Сквид в режиме форвардера и все работает но тут появилась задача коннектиться к нему по HTTPS из локалки. При этом использовать самоподписанный сертификат с установкой на машины клиентов. Взял официальное вики https://wiki.squid-cache.org/ConfigExamples и начал настраивать.

Прекрасно работает следующее правило:
https_port 8.8.8.8:64000 tls-cert=/etc/letsencrypt/.../fullchain.pem tls-key=/etc/letsencrypt/.../privkey.pem

А вот это не работает c ошибкой PROXY_CERTIFICATE_INVALID:
https_port 10.10.10.10:64002 tls-cert=/etc/squid/squidCA.pem

В первом случае как вы понимаете letsencrypt а во втором самоподписанный сертификат для работы по IP. Сертификат делал через openssl req -new -newkey rsa:2048 -sha256 -days 365 -nodes -x509 -extensions v3_ca -keyout myCA.pem -out myCA.pem потом перекинул в .der и установил как корневой на клиенте. В сертификате на всякий случай ЗАПОЛНЕНЫ ВСЕ ПОЛЯ, в т.ч. DN.

Все то же самое но как прозрачный прокси через intercept ssl-bump прекрасно работает, так же все работает если поднимать http_port вместо https_port с теми же настройками но я хочу шифровать как уже говорил и до прокси тоже.

Полный конфиг: https://pastebin.com/Bfwb1a2K Squid 4.6 собранный с SSL на Debian 11.

Что я делаю не так?

 , ,

FourtyTwo ()

Шоткат для ssh туннелей

Форум — Admin

Может есть какая то утилита, что бы поменьше boilerplate кода писать при создании ssh туннелей и автоматизации этого процесса?

 , ,

pon4ik ()

Распределение трафика в одном классе htb

Форум — Admin

Исходные данные: есть ограниченная полоса, для управления трафиком пользователей используется шейпер, созданный с помощью tc, дисциплина htb. Полоса делится на несколько классов с разными приоритетами. Для помещения трафика в каждый класс используется фильтрация по IP пользователя. В каждый класс помещается несколько пользователей. Распределение между классами замечательно работает.

Проблема: ожидается что в пределах одного класса полоса будет делиться между пользователями примерно равномерно. Т.е. классу в данный момент доступно, допустим, 12 мб/с, в нем три пользователя. Один пользователь может занять все 12, если работают двое - каждому достанется по 6, если трое - каждому по 4. По факту так не получается. Выделяемая полоса зависит от количества сессий. Один пользователь может запустить какой-нибудь торрент и съест практически всю полосу, выделенную классу, а двум другим, которые хотят, например, почитать почту, не остается почти ничего.

Пример создания класса:

#/sbin/tc class add dev eth0 parent 1:2 classid 1:20 htb rate 8000Kbit ceil 12000Kbit prio 1

# /sbin/tc qdisc add dev eth0 parent 1:20 handle 20 sfq perturb 10

# /sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 100 u32 match ip dst 172.16.0.1/32 classid 1:20

# /sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 100 u32 match ip dst 172.16.0.2/32 classid 1:20

# /sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 100 u32 match ip dst 172.16.0.3/32 classid 1:20

Нужно, чтобы когда работают все трое (172.16.0.1, .2, .3) каждому доставалось примерно по 4 Мбит. А не так, чтобы 1 запустил 100 сессий и съел всё, а 2 и 3 запустили по одной сессии и ничего не получают. Предположительно здесь можно применить flow hash в filter, но пока не понимаю как. Мануалы читал, но в голове сумбур.

Отягчающие обстоятельства: По условиям эксплуатации сети приоритизация допустима только по IP пользователей, устраивать приоритизацию по типам сервисов (почта, серфинг, торрент и т.п.) - не предлагать. Создавать отдельный класс для каждого пользователя - выход, но плохой (наоборот, хочется от этого уйти по ряду причин).

 , , ,

mik73 ()

tc shaper & vlan = багофича?

Форум — Admin

1) Вешаем шейпер на какой-нибудь сетевой интерфейс (ethX,bondX)

2) создаем в нем vlan-ы

3) обнаруживаем, что трафик идущий в vlan-ы шейпится!

С одной стороны трафик vlan-а никаким местом не относится к «родительскому» интерфейсу .

С другой стороны - халявный шейпер на несколько подсетей без потусторонних сил типа imq/ifb

А в варианте с native-vlan ограничение трафика становится более интересной задачей.

 , ,

vel ()

nDPI как замена l7filter [продолжение]

Форум — Admin

Продолжение длинной истории

Оригинальный рецепт для тех кто умеет самостоятельно прикладывать патчи и собирать ядра/софт.

Отдельно и более подробно для Ubuntu и CentOS от as_lan

На большом потоке ( ~300мбит/с ) cо всеми протоколами используется примерно 50-60% одного ядра Intel(R) Xeon(R) CPU E31230@3.20GHz. Если поток больше или процессор слабее, то включаем RPS или используем сетевые карты с multi-queue и irq-affinity. У меня оно тестируется на трафике до 400Мбит/~100к conntrack/~90kpps для x86 и x86_64.

В понятиях netfilter оно умеет проверять пакеты на принадлежность к протоколам (match) и ставить на пакеты метки/классы (target) по аналогии с MARK & CLASSIFY. Есть поддержка NET_NS и IPv6.

Требуется много памяти. На каждое соединение расходуется примерно ~850+280*0.7 байт. Этот объем варьируется в зависимости от 32/64 бита, с/без IPv6.

Исходники теперь есть на https://github.com/vel21ripn/nDPI/tree/netfilter

От основной ветки на github/ntop/nDPI/1.7-stable отличается меньшим потреблением памяти и «улучшением» определения bittorrent.

из-за значительных изменений пока не ясно, можно ли будет включить в оригинальный проект.

 , ,

vel ()