Уточнение
От: bobi_bo <bradev __@__ bitex__dot__com>
На: 12-02-2006@10:32 GMT+2
Оценка: 1/НеутраленМодула присъства и във Федора 3 но името му е изцяло с малки букви
Същото важи и за Федора 4
[Отговори на този коментар]
Грешно уточнени
От: Пламен Недков
На: 12-02-2006@11:34 GMT+2
Оценка: 1/НеутраленТова са два различни модула!
[Отговори на този коментар]
Кернел съпорт
От: CyberBoy <cyb3rboy (a) gmail[ точка ]com>
На: 12-02-2006@11:41 GMT+2
Оценка: 1/НеутраленЕдна малка забележка:
За всички операции ви трябва ядро >2.6.0 . Тъй като при Слек 10.2 дифолт ядрото е 2.4 свалете (не използвайте това от вторият диск) ядро и го компилирайте със задължителните ТТЛ таргет и ТТЛ матч съпорт. Това важи за всички дистрибуции, при които мангъл-а не работи.
Поздрави.
[Отговори на този коментар]
Към: Уточнение
От: Beco <vlk __@__ lcpe __точка__ uni-sofia __точка__ bg>
На: 12-02-2006@11:43 GMT+2
Оценка: 1/Неутрален Не е така. Нека обясня защо. Във Fedora Core 3 и Fedora Core 4 е наличен модула ipt_ttl.ko. Този модул не управлява стойността на параметъра TTL в пакета, а осигурява възможност на netfilter да проверява стойността му с цел прилагане на различни правила. Например искаш да спреш всички пакети с TTL по-голям от 64 (прмерно). Тогава трябва да използваш именно него. Ето и опцииите:
TTL match v1.2.11 options:
--ttl-eq value Match time to live value
--ttl-lt value Match TTL < value --ttl-gt value Match TTL > value
Извикването е:
iptables -t table_name -A CHAIN -m ttl --ttl-xy
Ролята на ipt_TTL.ko е много по-различна. Целта на този модул е да управлява стойността на параметъра TTL в пакета.
Ето опциите:
TTL target v1.3.0 options
--ttl-set value Set TTL to <value 0-255>
--ttl-dec value Decrement TTL by <value 1-255>
--ttl-inc value Increment TTL by <value 1-255>
Извикването е не като модул, а като политика:
iptables -t mangle -A CHAIN .... -j TTL ...
Редактиран на: 12-02-2006@11:45
[Отговори на този коментар]
Към: Кернел съпорт
От: Beco <vlk (a) lcpe__dot__uni-sofia__dot__bg>
На: 12-02-2006@12:13 GMT+2
Оценка: 1/Неутрален Това, което си написал, че е нужно да се разполага с ядро 2.6 е НАПЪЛНО НЕВЯРНО!!! Факт по факт.
1. /etc/sysctl.conf е наличен за запазване на стойности на параметрите и в ядра 2.4. Пакетът procps (sysctl е инструмент от състава на именно този пакет) работи и за ядра 2.4. Всички параметри на ядрото, които съм упоменал тук, са налични и в ядра 2.4.
2. Модулът ipt_TTL е компилируем за ядра 2.4. При това той оригинално е направен за ядра 2.4 и после е пренесен върху ядра 2.6. За справка - patch-o-matic-ng < 2005xxxx
3. Таблицата mangle се компилира безпроблемно за ядра 2.4. Който не вярва, нека опита сам.
Не пишете без да сте сигурни в това, което пишете.
Редактиран на: 12-02-2006@12:18
[Отговори на този коментар]
Въпрос...
От: voyager
На: 12-02-2006@17:51 GMT+2
Оценка: 1/Неутраленiptables -t mangle -A POSTROUTING -o ppp0 -j TTL --ttl-inc 1
Това няма ли да засегне и всичкия трафик, генериран от NAT box за интернет?
[Отговори на този коментар]
внимавайте все пак
От: Сашо
На: 12-02-2006@20:22 GMT+2
Оценка: 1/Неутрален Ако в договора с провайдъра Ви има клауза, която Ви задължава да използвате само едно устройство, то поне формално използването на някакъв трик си е нарушение на договора.
Съществуват множество методи, чрез които да се установи вклчването на повече от един компютър "на един акаунт", дори и да са приложени описаните мерки.
Съвета ми към всеки който НЯМА подобна клауза в договора си е да вдигне телефона и да се оплаче на фирмата доставчик че "интернета не работи". Не е необходимо да се борим със тези, на които плащаме! Това са хора, които искат да задържат клиентите си, повярвайте ми!
Най-забавното е че тъй като от страна на доставчика "рязането" се осъществява чрез DROP на пакети, предизвикан нарочно, това може да се окажестви като "Умишлена промяна или унищожаване на данни ... преминаващи през мрежа", което от своя страна се наказва със ЗАТВОР до 4 години. Много бих се зарадвал ако някой пусне една жалба в прокуратурата срещу поредния самозабравил се администратор-господар, който миси че има право да "реже" клиентите, които му плащат заплатата.
[Отговори на този коментар]
Благодаря Весо
От: deki <deki< at >rilasoft__dot__com>
На: 12-02-2006@20:24 GMT+2
Оценка: 1/НеутраленМрежовата свързаност е нещо, което ако работи на физическо ниво е трудно да се спре на логическо :) Може би трябва да се измисли протокол, който не е стандартен. Например на-баба-протокола.
Но, въпреки перфектните обяснения, трябва да се направи нещо да се автоматизира процеса, за да не се плашат малките от тези неща, които си написал. Ще кажат "Весо ще ни настроиш ли домашният линукс?". После ще се питат "а ако батко Весо ни хакне, той ни има паролите" :) Не можеш да отречеш, че си го написал като зъл хакер ;) Гласувах с макс. точки. А ако предлагаш аз да го напиша: НЕ.... Стига слава ;)
[Отговори на този коментар]
скрипт
От: empty <scary __@__ abv< dot >bg>
На: 12-02-2006@21:03 GMT+2
Оценка: 1/НеутраленАз съм на хоумлан и използвам следния скрипт за шерване на нет-а:
# MY FIREWALL / NETFILTER CONF
# MASQUERADEING and TTL prefuck*** XAXAXA
#!/bin/sh
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t mangle -A PREROUTING -j TTL --ttl-inc 128
echo "1" > /proc/sys/net/ipv4/ip_forward
[Отговори на този коментар]
Фолксваген
От: golf
На: 12-02-2006@22:27 GMT+2
Оценка: 1/НеутраленБлагодаря за положения труд.
Статията е много добра.
Дано порочните практики на някои доставчици и мега олигофренските им условия в договорите изчезнат. Ако не изчезнат - нямат място на пазара.
(много ми хареса лафа " и шофьори на автомобили с емблематичната марка VW Golf. " - недей така да не се обидят колегите и те кола карат ;-)
[Отговори на този коментар]
Помощ за Coyote Linux
От: Gogoww <gogo03__at__mail __точка__ bg>
На: 13-02-2006@5:31 GMT+2
Оценка: 1/НеутраленЗдравейте,
Опитвам се да пусна интернет на 2 компютъра в къщи, но не мога, нито през Linux, нито през Windows. Предполагам че доставчика ми прави същите номера, дето и Homelan прави.
Искам да ползвам Coyote Linux като софтуерен рутер-тръгва от дискета само. Някой може ли да ми каже дали с него става, защото предполагам е с по-старо ядро, напр. 2.4.х, а и защото Coyote Linux не се разработва повече от създателя си.
Интернет достъп имам през PPPoE протокол, и използвам switch за достъп до другите 2 компютъра.
Ако можете драснете няколко реда и ми кажете става ли, не става ли, и ако става малко HELP моля.
Приятен ден !
[Отговори на този коментар]
Към: Помощ за Coyote Linux
От: Severel
На: 11-03-2006@11:06 GMT+2
Оценка: 1/Неутраленаз намерих това:
http://www.zelow.no/floppyfw/
аз пробвах това (и тръгна всичко точно):
http://www.zelow.no/floppyfw/download/D...
тази версия специално не зная дали може да се използва pppoe, но има други като се разровиш,от който се поддържа.
А, първоначално истеглих current версията и при нея нямаше поддръжка на ipt_TTL - разгледай :
http://www.zelow.no/floppyfw/download/D...
Поздрави.
[Отговори на този коментар]
Debian i patch-o-matic
От: if <if__at__pazardjik__dot__com>
На: 13-02-2006@6:08 GMT+2
Оценка: 1/НеутраленЗа тези, които искат да приложат patch-o-matic(-ng) на 2.4.x при Debian, бих посаветвал да ползват по-стари версии на patch-o-matic защото са възможни грешки при компилирането на kernel/module.Също iptables версията, която компилирате е препоръчително да отговаря на съответната за дистрибуция на Debian(Примерно за stable в момента - 1.2.11)
При 2.6.x няма никакви проблеми тъй като модула си върви с ядрото.
Успех и приятен ден.
[Отговори на този коментар]
Към: Въпрос...
От: Beco <vlk (a) lcpe__dot__uni-sofia__dot__bg>
На: 13-02-2006@8:13 GMT+2
Оценка: 1/НеутраленУместен въпрос. Отговорът е "да". Просто щеше статията да стане доста претрупана (тя май и сега е такава), ако беше обяснено, че в този ред
# iptables -t mangle -A POSTROUTING -o ppp0 -j TTL --ttl-inc 1
задължително трябва да се посочи и източника на пакет. Примерно, ако домашната мрежа е 192.168.10.0/24, то правилото ще трябва да се пренапише като:
# iptables -t mangle -A POSTROUTING -s 192.168.10.0/24 -o ppp0 -j TTL --ttl-inc 1
Чудя се още дали да променя това в статията или не...
[Отговори на този коментар]
Благодаря за статията
От: Krasimir Ivanov
На: 13-02-2006@8:18 GMT+2
Оценка: 1/Неутрален"Не можеш да отречеш, че си го написал като зъл хакер ;)" И в това няма нищо лощо следкато върши работа. Според мен повече статии трябва да се пишат в този стил. Хем е кратко и ясно хем има тънък хумор хем се показва кой кой е и на какво е способен. :) Гласувам с 5 точки за статията. Лошото в случая е че при стабилния Дебиан ядрото е 2.6.8-2-686 и там ipt_TTL го няма :( и вариантите за които се сещам са два: прекомпилация на ядро - не добра идея противоречаща на идеите на дебиан; преминаване към ядро 2.6.11 от тестинг Дебиан. Което пак не е много добре понеже поне при мен това ядро не се държи стабилно. :( Дано моя доставчик не вземе да се прави на хитър.
[Отговори на този коментар]
Към: Въпрос... (променено)
От: Beco <vlk (a) lcpe__dot__uni-sofia__dot__bg>
На: 13-02-2006@8:20 GMT+2
Оценка: 1/НеутраленПроменено е. Дано съм го променил ясно и кратко.
[Отговори на този коментар]
Към въпрос за Coyote Linux
От: Hapkoc
На: 13-02-2006@9:30 GMT+2
Оценка: 1/НеутраленДоста време ползвах тази дистрибуция. Стандартно в нея няма модула за управление на TTL. Принципно би могъл да си компилираш модула сам, но работата не е тривиална и документацията по въпроса е оскъдна.
Coyote Linux наистина вече не се разработва официално, но има наследник - http://www.brazilfw.com.br/forum/portal... Виж на този сайт, може там да са включили поддръжка за този модул.
[Отговори на този коментар]
Браво!
От: РТР
На: 13-02-2006@12:19 GMT+2
Оценка: 1/НеутраленПовече такива статии бих искал да чета тук, и като съдържание, и като стил!
[Отговори на този коментар]
за ubuntu 5.10
От: ubuntu
На: 13-02-2006@16:33 GMT+2
Оценка: 1/НеутраленБраво! Поздрави за автора! Много добра статия! Имам само един въпрос: за Ubuntu 5.10, кой точно модул трябва да се компилира (kernel 2.6.12-9), тъй като ipt_TTL.ko, не е компилиран по-подразбиране. Като разглеждам .config файла има CONFIG_IP_NF_MATCH_TTL=m само, че на мен ми се струва, че това отговаря за ipt_ttl.ko?
Някой да помогне?
[Отговори на този коментар]
Към: за ubuntu 5.10
От: Beco <vlk __@__ lcpe< dot >uni-sofia< dot >bg>
На: 13-02-2006@18:12 GMT+2
Оценка: 1/НеутраленТова е описание за Fedora Core 3 и Red Hat Enterprise Linux 4:
http://hardtrance.blogspot.com/2005/04/...
Опитай да го нагодиш към Ubuntu. Би трябвало да стане.
[Отговори на този коментар]
Уточнение запис на правилата
От: naka
На: 13-02-2006@18:12 GMT+2
Оценка: 1/НеутраленЗа RedHat /Fedora вместо
iptables-save > /etc/sysconfig/iptables
може да се използва по-краткото
service iptables save
{start|stop|restart|condrestart|status|panic|save}
[Отговори на този коментар]
Едно малко допълнение
От: Пламен Минков <plamen_minkov __@__ mail[ точка ]bg>
На: 14-02-2006@1:11 GMT+2
Оценка: 1/НеутраленПредлагам малко усложнение на правилата за обработка на ТТЛ-а, а именно:
# Обработване на ТТЛ-а
#
# Проблемът TTL=1
#
iptables -t mangle -A PREROUTING -i ${OUTSIDE_DEVICE} -j TTL --ttl-inc 1
iptables -t mangle -A INPUT -i ${OUTSIDE_DEVICE} -j TTL --ttl-dec 1
#
# Уеднаквяване на ТТЛ-а на изходящите пакети
#
iptables -t mangle -A POSTROUTING -o ${OUTSIDE_DEVICE} -j TTL --ttl-set ${TTL}
iptables -t mangle -A OUTPUT -o ${OUTSIDE_DEVICE} -j TTL --ttl-set ${TTL}
Първият ред го има и в статията, но той увеличава ттл-а на всички пакети, а ако на машината-рутер има стартирани локални интернет приложения, то те ще получат пакети с ттл=2, за разлика от тези зад НАТ-а. Второто правило оправя този проблем (всъщност - би трябвало, но при мен (Дебиан Сарж) вместо да намалява, се увеличава (от 2 на 3, вместо от 2 на 1)?!? за това вместо ttl-dec използвам ttl-set). Правила 3 и 4 задават еднакъв ттл за всички пакети (от локала и от рутера). Който иска може да замени променливите със съответните константи, но скрипта постепенно ще нараства (например правила за файъруол) и пренастройването му ще става все по-трудно, така че едно задаване на стойности на променливитие в началото е по-добрия вариант. Всъщност, ако интернета ви не е по етернет (ЛАН) то трябва да се намали mtu-то на всички мрежарки в локала на подходяща (за типа на връзката) стойност (за PPPoE - 1492), защото в противен случай пинг и треис, ще има навсякъде, но много сайтове няма да се отварят или да се разреши фрагментирането, но тогава изискванията към машината на рутера скачат яко. Това е от мен. Дно да съм бил полезен.
[Отговори на този коментар]
Kъм: Едно малко допълнение
От: Beco <vlk__at__lcpe__dot__uni-sofia__dot__bg>
На: 14-02-2006@8:26 GMT+2
Оценка: 1/Неутрален1. Изпълнението на тези два реда:
iptables -t mangle -A PREROUTING -i ${OUTSIDE_DEVICE} -j TTL --ttl-inc 1
iptables -t mangle -A INPUT -i ${OUTSIDE_DEVICE} -j TTL --ttl-dec 1
Ще доведе до следната ситуация във Fedora Core 4 (за която дистрибуция е писано ръководството) - показвам съдържанието на таблицата:
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
-A INPUT -i eth2 -j TTL --ttl-dec 1
-A PREROUTING -i eth2 -j TTL --ttl-inc 1
COMMIT
Чрез iptables-1.3.0, във Fedora Core 4 правилата винаги се прибавят първи. Значи стойността на TTL параметъра на идващите към нас пакети е нула. И изведнъж ние още с първия ред намаляваме стойността на параметъра с единица и тя ще стане -1, което е невъзможно.
При Red Hat Enterprise Linux се използва по-стара версия на iptables, а именно iptables-1.2.11. Там изпълнението на тези два реда:
iptables -t mangle -A PREROUTING -i ${OUTSIDE_DEVICE} -j TTL --ttl-inc 1
iptables -t mangle -A INPUT -i ${OUTSIDE_DEVICE} -j TTL --ttl-dec 1
води до друг ред на построянване на таблицата mangle:
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
-A PREROUTING -i eth2 -j TTL --ttl-inc 1
-A INPUT -i eth2 -j TTL --ttl-dec 1
COMMIT
Приемам, че редовете, които си написал, касаят реда на задаването им, който се използва в iptables 1.12 (последните ще бъдат последни, а не в библейския стил, както е в iptables 1.3 - последните ще бъдат първи).
Дори и така, този ред, указващ правило във веригата INPUT е напълно безмислен. Безмислен е защото тази верига касае пакетите, които са предназначени за доставка локални за маршрутизатора приложения, а не за пакетите, които подлежат на маршрутизация. За тях няма проблеми стойността на параметъра TTL да бъде всякаква възможна, дори и нула. Това е така, защото локалните приложения не се интересуват от възможността за реализиране на "nexthop" спрямо получаваните от тях пакети и така изобщо не се съобразяват със стойността на параметъра TTL. В този ред на мисли, е напълно безмислено да се хаби процесорно време, за да се пренаписва стойността на параметъра TTL за пакетите, които са предназначени за локалните за маршрутизатора приложения.
Да, сега много хора ще кажат нещо от рода на: но нали ако само инкрементираме стойността на параметъра TTL ние правим това и за локалните за маршрутизатора пакети. Това не е ли пак натоварване на системата? Отговорът е, не и това е минималното натоварване, което няма как да се избегне. Причината за това е, че селекцията на пакетите по направление (да се провери дали пакетите са локални или подлежат на маршрутизация), също отнема процесорно време. И ако трафикът към локални приложения на маршрутизатора по обем е по-малък от този към вътрешните станции (т.е. маршрутизируемия трафик), то подобна селекция не дава почти никакъв спад в натоварването.
Що се касае до втория набор редове:
#
# Уеднаквяване на ТТЛ-а на изходящите пакети
#
iptables -t mangle -A POSTROUTING -o ${OUTSIDE_DEVICE} -j TTL --ttl-set ${TTL}
iptables -t mangle -A OUTPUT -o ${OUTSIDE_DEVICE} -j TTL --ttl-set ${TTL}
мисля, че този дето ги е писал е чел доста набързо статията ми и без никакво внимание. В точка 6 е описано именно това доста подробно.
Не съм съгласен за това, което е написано за PPP и проблема с MTU и проходимостта през интерфейси с по-малъка стойност на MTU. Причината е, че се подава коректна стойност на MSS при договорка. Освен ако някой игнорира тази договорка (примерно доставчика) или в мрежата на клиента има още един маршрутизатор, който не се съобразява с това. Т.е, ако някой реализира описаното в статията и не забранява MSS договорката, няма да има проблеми. Това беше едно от първите неща, които тествах за включване в мрежата на Хоумлан. Изчислената стойност на MSS е 1412 байта при MTU на PPP интерфейса 1492 байта, при наличие на PPPoE протоколна свързаност.
[Отговори на този коментар]
Голям смях
От: Bisser Todorov <bisser (a) itsol[ точка ]biz>
На: 14-02-2006@14:15 GMT+2
Оценка: 1/НеутраленМного се забавлявах с каруцарския хумор на Весо и начина по който говори за себе си като царя на НАТа ;)
Весо - не та знам от де ти идват на акъла подобни простотии:
Това е правилният начин за подаване на стойности на параметри на ядрото. Всякакви други порнографии в стил "echo 1 > /proc/sys/net/ipv4/ip_forward" набити по системни скриптове, говорят за яка IRC школовка и мега затъпяване, водещо до направата на ТНТМ решения от тип "работи само при мен".
Щом смяташ Ръсти Ръсел (Rusty Russell) за мега тъп, аз просто нямам думи. За справка виж официалната документация
http://www.netfilter.org/documentation/...
Още нещо:
Разбира се, такъв филтър може да работи само, ако насреща си имат "ловци на пички" в IRC и шофьори на автомобили с емблематичната марка VW Golf.
Ти самолет ли караш? Много голяма част от сисадмините които познавам са карали, а някой и още карат Голф и не виждам връзката между това какво караш и колко разбираш от мрежи/НАТ.
Статията като цяло има и полезни и интересни неща, но в крайна сметка е ужасно дълга. В коментарите има кратко скриптче за нуждите които разглеждаш ти и то е от 7 реда:
#!/bin/sh
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t mangle -A PREROUTING -j TTL --ttl-inc 128
echo "1" > /proc/sys/net/ipv4/ip_forward
Това е, ясно и кратко, без словоизлеяниа в стил великия Весо който надхитрява IRC тъпчовците каращи Голф.
[Отговори на този коментар]
Към: Голям смях
От: Beco <vlk (a) lcpe __точка__ uni-sofia __точка__ bg>
На: 14-02-2006@14:43 GMT+2
Оценка: 1/НеутраленКратък отговор:
Изключително се радвам, че си се подразнил и бих продължил да те дразня за удоволствие.
Аз много се изкефих като видях пощенския ти адрес към кой пощенски домейн принадлежи.
Разбирам, че ти липсва техническо виждане по темата, но не мисля да споря с човек, който е регистрирал домейн itsol.biz, има web страница, представляваща първи стъпки в XHTML.
За повече смях:
http://www.itsol.biz/
Прекарай я през валидатора да си видиш неграмотността. За другите тук, направо директна връзка:
http://validator.w3.org/check?uri=http%...
След подобен смях, се отказвам да те уча на системна администрация и кое къде се пише и как. Трябва още доста да четеш.
Кефи ме следната мега неграмотщина в домейна ти (срещу 5 лева ще ти кажа как се прави):
;; ANSWER SECTION:
ITSOL.BIZ. 3600 IN MX 10 66.178.230.67.ITSOL.BIZ.
ITSOL.BIZ. 3600 IN MX 10 ITSOL.BIZ.
И следващият път като идваш да се правиш на много точен и оригинален, погедни си трагедията. Ако нямаш къде - купи си огледало.
Редактиран на: 14-02-2006@14:47
[Отговори на този коментар]
Голям смях II
От: Bisser Todorov <bisser (a) itsol __точка__ biz>
На: 14-02-2006@15:54 GMT+2
Оценка: 1/НеутраленПич, да си видял някъде да се хваля със страницата си? Да съм написал някъде, че разбирам от HTML? Какво общо ияма систамната администрация със УЕБ дизаина и програмирането? Ако искаш да ти дам достъп до "страницата ми" да я оправиш?
Говорихме за твойта неграмотност и неподготвеност, ако се опитваш да отклониш вниманието - моля.
За твоя информация този домейн съм го регнал преди 2 години когато имах някъкви идеи, но в последствие се отказах и съм оставил само пощата за такива като теб. Дори бях забравил, че има УЕБ страница качена.
[Отговори на този коментар]
А за Уиндоус ХП?
От: smelkomar
На: 14-02-2006@20:23 GMT+2
Оценка: 1/НеутраленНякакви идеи как да се променя ТТЛ под Уиндоус? Не намерих ни една програма за това :(
[Отговори на този коментар]
За Уиндоус ХП :), не ме бийте
От: deki <deki__at__rilasoft__dot__com>
На: 14-02-2006@21:46 GMT+2
Оценка: 1/Неутрален Въпреки, че не съм търсачка, но в заглавието на статията не се отрича промяна на ТТЛ под Уиндоус, та ето тук Майкрософт са написали как се настройват параметрите: TCP/IP and NBT configuration parameters for Windows XP: http://support.microsoft.com/default.as...
Редактиран на: 14-02-2006@21:47
[Отговори на този коментар]
Към: Голям смях II
От: Beco <vlk__at__lcpe< dot >uni-sofia< dot >bg>
На: 14-02-2006@22:40 GMT+2
Оценка: 1/НеутраленХайде сега след виното да си поговорим малко с теб за грамотност. Ще се подразниш много от написаното по-долу. Но на такъв турбо селяк като теб няма как да не разваля кефа. Ти имаш сигурно само IRC грамотност:) Друга за сега няма индикации да притежаваш, а и е изключено да придобиеш... А идва птичи грип...
1. По времето, когато излезе първото издание на HOWTO документа за netfilter на Ръсти Ръсел, тези неща с ехото си бяха в реда на нещата. Procps още не бе толкова популярен в Linux средите, имаше го, но се приемаше за BSD атавизъм и много дистрибуции не го ползваха с пълния инструментариум. Самия Ръсел е програмист, който е отговорен за поддръжката на netfilter в ядрата, а не системен администратор. В този случай няма проблеми такъв капацитет да работи с ехота, защото няма да сбози системата. Което не се отнася за големи бели птици като теб, на които като малки са им викали пиленца, а после животните пораснали и т.н.
2. Такива мега глупаци и IRC геори (хареса ми как си се подразнил от това, което съм написал за тях - ясно си точно такъв, а и това ми беше целта - да дразня) като теб, не са наясно с един основен елемент и той се нарича "добра практика на системната администрация". Ще попитам IBM България дали разрешават да публикувам всички мои записки от лекции, които съм изнасял за тях в рамките на курса за системна администрация на Red Hat Enterprise Linux и ще ми е приятно да ги публикувам тук. Доста от хората, на които съм чел този курс и които влизат и тук и могат да потвърдят това, са останали много доволни от този курс. Например не знам дали Ромео Нинов или Димитър Василев все още преглеждат този сайт от неделечна Чехия, но бих се радвал, ако все още го правят и споделят дали получените знания са им помогнали. Всъщност аз няма да публикувам материалите заради теб - ти си за помощно училище, а ще го направя за тези, които желаят да се научат и евентуално да покрият курса за взимане на сертификат RHCE, и да намерят свястна работа на Запад.
В практиката за добра системна администрация се иска централизирано упралвние на стойностите на параметрите на ядрото. За целта след доста години практика и поучаване от грешките, хората са направили системата за управление на стойностите на параметрите на ядрото, която има за основно хранилище файла /etc/sysctl.conf. Всички модерни Linux и BSD дистрибуции включват по подразбиране това хранилище. Това, че заблатения ти мозък няма понятие от такава система за управление на стойности на параметри, няма никакво значение за останалите. Всеки добър системен администратор я познава и знае как да работи с нея. При зареждане на системата стойностите на параметрите от файла /etc/sysctl.conf се подават към ядрото далеч преди да се стартират услугите. Чрез различни копия на /etc/sysctl.conf (под други имена) може да се прави профилност на системата (профили с параметри), които намират приложение при клъстериране. Тук обаче влизаме в област, която според мен ти е много тъмна. Разбира се, никой не може да спре върлите откриватели да откриват топлата вода всеки ден и всеки час. Откривателството е една много интересна материя, в която пернатите са много.
Сега да се спрем на легандарните ехота, които всички толкова много обичат. За целта ще дам пример. Сървърна система на известна българска фирма за парични преводи. Управлявана от администратор, който при всяко едно "echo" набивано на какви да е места по системата е изпадал в телешки възторг. Понеже е бил невероятно умен човек, решава за да впечатли някаква, на която като малка са й викали агънце (но после взела, че пораснала), и да скочи на един купон от първия етаж в розите пред блока. Счупва си двата карака (а е трябвало главата) и няма кой да обслужва близо месец сървъра. Фирмата вика срещу заплащане консултантска фирма и консултантите (хора с многогодишен опит) са изправят пред една черна кутия, която ечи от ехота и не могат да установят от къде да спрат например забраната за обслужване на заявки по протокола ICMP (консултантите идват без помощта на автомобил с емблематичната марка VW Golf II или III). Причината е, че този дето е трябвало да си счупи главата, а не краката, е набил някакво "echo" в скрипт, който се вика от друг и се иницира от /etc/rc.d/rc.local, в който има над 300 реда хаос. Единият от консултантите изпива три бири "Шуменско" за успокоение след като вижда, че демона named вместо от специално наличния init скрипт в /etc/rc.d/init.d, се пуска с едноредов запис в /etc/rc.d/rc.local. След близо час работа, консултантите успяват да разгадаят до някъде безумните пориви на мисълта на гипсирания администратор, който дори отказва да им даде съдействие по телефона, гордо заявявайки, че те са "леймъри". Трябват им още няколко часа да разгадаят от къде са променени други параметри, защото системата за резервирани копия не може да сработи. Пълно веселие и излагане на данни за над 130 000 потребителя на риск от загубване.
Друг пример. Сървърска система на компания се управлява от трима администратори, всеки от които има собствена гледна точка за това коя услуга от къде трябва да се пуска или спира. Само единият е в час и работи с дефинираните init скриптове на услугите, а другите по стар народен обичай забиват услуги в /etc/rc.d/rc.local, докато придобие вид на ребус, който може да се разгаде след многодневна главоблъсканица, защото всеки, който е срал вътре е имал свой стил на сране. Разбира се, времето за отстраняване на проблем в подобна система започнало да расте от 30 минути на часове именно заради феноменални по своята същност настройки. Накрая се оказало по-лесно да се преинсталира и конфигурира системата отново, отколкото да се търси проблема в /etc/rc.d/rc.local.
Оказва се, че над 70% от администраторите не познават системата за конфигуриране на стойности на параметри на ядрото и профилирането им, преоткриват ежедневно топлата вода и сътворяват хаос в системите си, който накрая пречи за диагностициране на проблеми и смяната на стойности на параметри. Като има кажеш, че са овце, те ти казват "абе ти си неграмотен" или "а имаш ли виртуален хост в IRC от типа vsichki.pichki.sa.v.gorna.net, че да те признаем за тарикат".
3. Интересен ми е моментс с този така споменаван от теб скрипт. Първо той е напълен. Второ, в почти всички модерни дистрибуции (гарантирано върху Fedora Core, Red Hat EL, Mandriva и Debian) има нарочни конфигурации за зареждане на правила от страна на iptables. Признак на мега юзерщина е да правиш отделен скрипт за нещо, което може да се реализира със стандартни за дистрибуцията похвати и така лесно да се спира, пуска и анализира. Усложнаването на административната работа най-накрая си отмъщава с трудно разгадеми проблеми и е признак за това, че този дето први такива конфигурационни вакханалии става за тракторист, но не и за системен администратор. Ако пък за това, че му кажеш, че е неграмотен, той обвини теб в неграмотност, значи направо му се подарява ключодържател с емблема VW Golf и му се връчва мотика и лопата с цел полагане на обществено полезен труд.
4. Статията, която съм написал е доста подробна и нещата са обяснени последователно. Факт е, че има висока оценка и е факт, че само ти я обяви за неграмотна. Разбирам, че си засегнат IRC герой, разбирам, че ти куцат много неща и че те дразня много (което супер много ме кефи), но не мога да разбера, защо толкова държиш всички да видят какъв аграр си? Да говориш за това, че някой бил неграмотен за това, че е изложил материала по всички канони на системната администрация, е признак на селящина, каквато не се среща и по улиците на Дупница и гарите на Перник.
Хайде да ни покажеш твои грамотно направени проекти, конфигурации и статии, че да видим най-накрая на какво се вика грамотност. Само да не са мега просташки изпълнения като MX записа дето си го набутал в домейна, че за такива грозни гледки се иска обещетение.
Редактиран на: 14-02-2006@22:46
[Отговори на този коментар]
Допълнение към бисера на Бисер
От: steve
На: 15-02-2006@4:05 GMT+2
Оценка: 1/НеутраленВесо има прекрасен стил на писане и обяснение! Неговите статии и изобщо цялата документация която е писал и ви е поднасял на готово и безплатно са много подредени, последователни и най-вече придружени с много примери. Нека всеки си даде сметка какво коства на човек да напише документация на нещо и то в такъв стил. Изисква време и труд. В България има много специалисти които си вършат работата перфектно и имат много добра техническа грамотност. Хайде сега задайте си въпроса, колко от тях пишат такава документация и я предоставят на хората. Отговора е много малко, затова ценете тези хора, ценете им труда и се учете.
Що се отнася до спора който възникна с echo. Нека си представим следната ситуация. Тъй като /proc е виртуална файлова система която се монтира. При Linux дистрибуциите това е по подразбиране, като за целта има едно редче в /etc/fstab
proc /proc proc defaults 0 0
И така тук идва хубавият момент, ако тази виртуална файлова система не я монтираме какви ехота ще дъним. Потребителите на BSD системите са на ясно, че там дори по подразбиране не се монтира и хората са свикнали винаги да използват sysctl Да не говорим, че ровенето из /proc директорията предизвиква главоболия и сърбеж. Много е по лесно да се видят параметрите на ядрото чрез sysctl -a. И ако имаме нужда да пипнем нещо да го направим чрез чрез инструмента sysctl. А какво по хубаво от това всички параметри които искаме да коригираме да ни бъдат в един файл наречен sysctl.conf подредени по ред който ни е удобен. Какви ти ехота, какви ти пет лева, то бива бива ама и толкова не бива. За съжаление употребата на това екане го пише в много документации и много често, често хората го слагат в тъй нареченият велик файл rc.local или другаде където им падне из системните скриптове. .Лошото е, че се среща и в доста системни скриптове на много дистрибуции.
Нека погледнем inetd. Той цели същото нещо – централизираност. И така нататък и така нататък. Това е което исках да добавя по това, всичко друго Весо го е казал много перфектно и правилно.
Сега искам да се върна на израза който споменах по-горе „Важното е да работи“. Да кажем имам кола с която си джиткам из магистрала Тракия (второкласен немски път по техните стандарти) със 130 km/h. Колата работи, върви и само от това ми пука. Преди това обаче е била на калпав майстор който чукал и тропал със секирата и не е нарправил нещата като хората. Той е бил на горепосоченият принцип. В един момент поради немарливостта на този човек ми изхвърчи някое колело. Друг пример. Слагат ме на операционната маса. Хирурга е несъсредоточен и немърлив. Операцията минава, след някой друга седмица всичко се инфектира и до там. Едва ли някой от нас иска да му се случат нито едно от двете неща.
Сега да свържем лирическото отклонение по-горе. Много е важно човек като прави нещо да го прави както трябва и както е прието, правилно и естетично. Добрият стил на администрация е най-точният показател за професионализъм. Добрият дизайн, подредба, систематизиране и документиране на една система, е ключа към по малко изненади, по-бързо решаване на проблемите и икономия на време, което са казали, че е пари и наистина е така. Съвременните дистрибуции си имат място къде и какво да се задава. Например всяка една дистрибуция си има място от където се пуска ip forwarding. И Весо е напълно прав, че само тракторист може да пусне това от rc.local
И накрая една препоръка. Нека който има време да си инсталира OpеnBSD система и поразгледа малко. Вижте /etc/rc.conf, погледнете как е конфигуриран apache i named по подразбиране. Използването на необятният за някой хора chroot е задължителен. Добрият дизайн е всичко!
[Отговори на този коментар]
хахахахаха
От: Bisser Todorov <bisser __@__ itsol __точка__ biz>
На: 15-02-2006@7:53 GMT+2
Оценка: 1/НеутраленВесо, не знам кой се е подразнил ама просто като чета как пишеш обиди и наричаш със разни имена и епитети хора които не познаваш ми се струва че ти си подразнения :)
Живей си с комплексите пич, не ми пречиш, а и мисля повече да не пиша тук, че нямам никакво време за губене. Самата статия е абсурдна и поради факта, че е насочена към момент нарушаващ точки в договор с ISP (като не ви харесват съответния доставчик, защо не го смените просто) Още в първия коментар ти казах, че има и интересни неща, но ти се хвана да обиждаш и едва ли си ги забелязал.
Може би си прав за себе си, незнам. Може и да съм бяла птица, може и птичи грип да имам - това си е мой проблем. Може и да съм имал някога IRC, но това е било доста преди ти да научиш какво е vmlinuz. Пиис бабо пиис
[Отговори на този коментар]
Благодаря на автора
От: Jolly Roger <zaeka77__at__mail __точка__ bg>
На: 15-02-2006@8:21 GMT+2
Оценка: 1/НеутраленВесо и стив са напълно прави, но винаги ще се намери някой недоволен, който не си е мръднал задника. Хубавото и полезното винаги се оплюва. Така е най-лесно.
Весо, благодаря ти за отличната статия, от която освен да науча нещо, успях и да се развеселя.
Ще се радвам да публикуваш и други статии и съвети. Има какво да се научи от тях.
Успех :)
Стоянов
[Отговори на този коментар]
към Голям смях II
От: Bozhan Bozhkov <bozho __@__ issp__dot__bas__dot__bg>
На: 15-02-2006@10:24 GMT+2
Оценка: 1/НеутраленБраво!
Това се казва подход - като не знаеш
нещо, да обвиниш тези, които знаят в
"неграмотност и неподготвеност"! Току виж
си успял да убедиж някой още
по-неподготвен, че ти си прав.
А г-н Колев е написал един куп статии,
които са изключително ценни и кадърно
написани и биха били от полза на всеки, но
предполагам хора като Вас са над тия
неща :-D
[Отговори на този коментар]
Голям смях 3
От: Георги Георгиев <assenov_g< at >abv< dot >bg>
На: 15-02-2006@11:19 GMT+2
Оценка: 1/НеутраленВесо, не мисля че с оплюване на някой, който е казал нещо вярно за нещата, написани в статията ти, ти самия ставаш по-прав.
Освен това линукс затова е линукс, за да може всеки да си направи настройките както му харесва - това му е основното предимство и не мисля че някой, бил той и гуру в програмирането, е редно да пише в сериозни (за каквато претендира да е твоята) статии, квалификации по адрес на хората, които са избрали друг начин за настройка на системите си.
Както сам виждаш от коментарите, начина за запис на правилата на iptables, който си дал има няколко разновидности и хората, които ги предложиха са не по-малко компетентни, така че имай уважение и към чуждото мнение.
ПП.: Ти БМВ ли караш? Ако да, те разбирам защо така мислиш за голфовете :) .
[Отговори на този коментар]
Смях и порой от глупости
От: Beco <vlk (a) lcpe< dot >uni-sofia< dot >bg>
На: 15-02-2006@12:14 GMT+2
Оценка: 1/НеутраленВсяко едно нещо може да се направи по много начини, но винаги има само ограничен брой оптимални начини. И това всеки, който се е занимавал с управление на системи знае кои са тези начини. Хайде да отворим форума тук и да видим какви феноменални глупости се пишат и най-вече тези глупости следват именно от тази позиция на самоделщина и дебилщина дето властват тук. Пълна аматьорщина и заблуда са мнения, че в Линукс всеки може да направи каквото си иска конфигурация и за това бил Линукс. Това не е вярно и може да бъде казано само от някой пълен лаик. Повечето хора разбират свободата да направиш нещо в Линукс за свобода да направиш кочина в системата си като пикаеш на всякакви приети за стандартни начини за настройки в дистрибуцията. Смешно малко хора познават системите си. Научават 5-6 тарикатски трика и ходят да се правят на ментори като онзи дебил по-горе. Аз дадох достатъчно примери защо не бива да се правят кочини, но се вижда, че някои хора мислят повече за това каква марка кола карам, отколкото да вникнат в насписаното.
Абе от къде такава склонност да правите самоделки и да не се учите от опита на хората? Какво е това диво първобитно желание да откривате топлата вода по три пъти на ден? Какво е това творчество по сътворяване на кочини? Какъв е този мързел да отворите и да четете примерно документацията на IBM по темата или на Red Hat или на който и да е друг сериозен системен интегратор, и от това да добиете опит и да трупате знания по управление на системи? Компютърните игри, масите с пиене и ядене и простеенето пред телевизора могат и да почакат, нали?
Просто ви тегля една яка майна. Като искате да правите кочини - правете ги. Пишете реки от глупости във форумите, простейте колкото щете засягайте се от каквото си искате. Аз си имам време, което ценя и не мога да го посвещавам повече на мега дебилни идиоти, на които им е кеф да си показват кретернията. Статии ли, споделяне не знания ли? Като знаете как да го правите - правете си го сами. Помощ ли? Отделяне на време за да покажеш на някого как се прави нещо ли? Айде стига!!!
[Отговори на този коментар]
хмм
От: Bozhan Bozhkov <bozho (a) issp__dot__bas__dot__bg>
На: 15-02-2006@12:35 GMT+2
Оценка: 1/Неутраленто повечето хора не са виновни, защото
дистрибуциите стандартно си вървят с набор
howtos, които за съжаление са много стари.
До скоро линукс беше много добре
документирана ОС, но напоследък изостава в
това отношение.
Но за домашен потребител е нормално, да кара
само с тези документи, които идват с
дистрибуцията му, но ако човек работи нещо,
свързано с мрежова админстрация определено
не е добре да се задоволява само с тях.
[Отговори на този коментар]
Към: Смях и порой от глупости
От: Георги Георгиев <assenov_g (a) abv[ точка ]bg>
На: 15-02-2006@12:53 GMT+2
Оценка: 1/НеутраленНе споря с теб за позицията ти защо в отговорни системи не може всеки да си прави каквото поиска.
За това си абсолютно прав.
Самата статия също е съдържателна и научих нови неща (не съм професионален сисадмин).
Исках просто да кажа, че такива квалификации не са особено на място в сериозна статия.
Ти самия надали си се родил с клавиатура в ръката и надали винаги си правил нещата правилно. Най-вероятно тези неща, които знаеш си научил от някого. Ако той те е наричал дебил, това не е причина да наричаш хората, които знаят по-малко от тебе дебили - все пак и ние искаме да се научим и определено вникнахме в смисъла на текста.
Просто не приемам идеята, че Ръсти Ръсел е дебил, най-малкото защото и той като теб е решил да сподели някакви знания с нас, били те по твоите критерии неадекватни.
Дълго време това ръководство беше основната документция за iptables и много хора са използвали нещата дадени там, за да си настройват системите. Съгласен съм, че има и по-правилни начини, но много хора не са ги използвали по една или друга причина, но това съвсем не ги прави дебили, а просто знаещи по-малко неща за линукс от теб.
Така че ако си беше спестил обидните квалификации дискусията можеше да протече доста по-съдържателно, не мислиш ли?
[Отговори на този коментар]
За Уиндоус ХП :), не ме бийте
От: Владо
На: 15-02-2006@13:40 GMT+2
Оценка: 1/НеутраленКъм deki:
Тази връзка, която си дал е свързана с параметъра DefaultTTL за изходящ трафик (default Time To Live (TTL) value that is set in the header of outgoing IP packets), който по подразбиране е 128. Предполагам въпроса, който е зададен по горе се отнася за входящия трафик или "как да се увеличи TTL на входящите пакети при winxp". Само, че тази тема въобще не е за тук!
<code>
DefaultTTL
Key: Tcpip\Parameters
Value Type: REG_DWORD - Number of
seconds/hops
Valid Range: 1-255
Default: 128 for Windows XP
Description: This parameter specifies the default Time To Live (TTL) value that is set in the header of outgoing IP packets. The TTL determines the maximum time that an IP packet can live in the network without reaching its destination. It is effectively a limit on the number of routers an IP packet can pass through before it is discarded.
</code>
[Отговори на този коментар]
За Владо
От: deki <deki __@__ rilasoft< dot >com>
На: 15-02-2006@14:12 GMT+2
Оценка: 1/Неутрален Става въпрос за изходящите пакети Владо. Прочети статията, по точно търси "че всички изходящи от тях пакети да имат един и същи параметър TTL" :) Аз чета внимателно все пак :) Затова съм дал линка за изходящите пакети. Идеята е като се формира пакета, да сложи ТиТиЕл 129 или 65, да може да излезе през рутера четен примерно с 128 или 64 ТиТиЕл и да заблуди доставчика, че не е втора машина. Входящите ТиТиЕли не ни вълнуват :) нали пакета е при нас (на машинката с ХП) :) освен разбира се ако не сме рутери и няма да го дропим ако е нула ;)
Редактиран на: 15-02-2006@14:16
[Отговори на този коментар]
Не знам
От: Pauli <pauli __@__ mail__dot__bg>
На: 15-02-2006@15:50 GMT+2
Оценка: 1/Неутрален Уважение за познанията и желанието статията да помогне на някого (надявам се това наистина е целта и мотивацията ѝ). Обаче комбинацията от остър ум и злоба и дребнавостта, причинена от тази злоба и безпричинна ярост е разрушителна. Озлоблението и презрението към всички, които не са толкова интелигентни или с опит, само заради това е всъщност горделивост и високомерие според мен, а те водят до пъклени резултати. Винаги.
Весо, благодаря ти за полезните неща, четени от мен години наред, наистина го мисля и казвам, но си тръгнал по разрушителен за теб път, гордостта те заслепява и те кара да говориш зли и истински дребнави неща, присъщи само на най-низки хора. Което не може да се оправдае с нищо, колкото и добър специалист да е човек!
Редактиран на: 15-02-2006@15:53
[Отговори на този коментар]
Към: Не знам
От: Beco <vlk __@__ lcpe< dot >uni-sofia< dot >bg>
На: 15-02-2006@17:06 GMT+2
Оценка: 1/НеутраленНито е злоба, нито е гордост, нито е дребанавост.
По минимум пет пъти на ден се сблъсквам с какви ли не ужаси и най-вече с нежеланието на хората на учат. До гуша ми е дошло да гледам следната картинка "обясняваш, че нещо не правилно и показваш как се прави, отсреща кимат с глава в знак на съгласие" и след десет минути виждаш същите грешки. Отново махаш с ръка и пак започваш от начало. И така докато не се умориш и побъркаш.
Запитвал ли си се колко време отнема на един човек да оправи каша забъркана от друг? Замислял ли си се, че по някога с дни трябва да разгадаваш неясни схеми, наистина ужасно написани конфигурации и такива заблатени системи, че да забравяш дори да се храниш? Замислял ли си се как всеки у нас обича да прави всичко на принципа "аз съм майстор и майстори не ми трябват". След това се вика истинския майстор за да влезе в ролята на чистач. Това именно поведение се пренася и в интернет средите. Всеки се опитва без знания да прави нещо. Лошото не е това, че се опитва, лошото е, че дори да не успее, той не търси нови знания. Не иска да ги получи дори безплатно, камо ли платено.
Аз например не разбирам от хиляди неща. Но съм успял да възпитам у себе си начина да намира хората, които разбират от тях и да ги попитам или направо да им гласувам доверието да ги направят. Така се работи във всеки добър проект - има човек за всяко нещо и този човек наистина знае как да направи това нещо, учи постоянно как да го направи по-добре и т.н. Аз например не съм изобщо корифей в Zope, но имам до себе си Здравко Здравков и Калоян Доганов и когато аз не знам нещо, няма да се излагам от гордост да го правя сам и да правя ТНТМ решения, а ще попитам някого от тях как става, след като разбира се, не съм успял да намеря отговора в документацията. И ако някой от тях ми каже "Весо, не прави това така", той ми казва защо да не го правя и аз го възприемам, а не му казвам, че е неграмотен.
Нежеланието обаче да се научи нещо, да се правят винаги самоделки, които да възпитават хората в самоделщина и пълна юзерщина, е ужасно пагубно за цялото интернет общество (не за Интернет Обществото на Вени Марковски - това е вид адвокатски кръжок). Причината е, че то кара хората постоянно да хабят сили в откриването на топлата вода. Така вместо да се развиват, те губят и време, и сили в неща, които по принцип са вече направени, тествани, изпитвани и уточнявани.
Повечето хора злобеят срещу написаното, само защото са гузни от нежеланието си да научат как се правят нещата.
Квалификациите по мой ядрес ги подминавам с усмивка. Аз обикновено не правя нищо по въпроса за т.нар. "имидж". Все ми е едно кой какво мисли за мен. Единственото, което е важно за мен е в нужния момент да намеря екип от хора, с които да мога да направя нещо вярно, устойчиво и правилно. Всичко друго като квалификациите какъв съм, са морални поучения без капка техническа стойност в тях.
Редактиран на: 15-02-2006@17:12
[Отговори на този коментар]
?
От: ПРОБА <proba< at >abv__dot__bg>
На: 15-02-2006@21:40 GMT+2
Оценка: 1/НеутраленЗащо точно Дупница и Перник използва за сравнение - не разбрах??? Нещо против тях ли имаш. Това определено ми развали впечатленията от теб! ОК всички разбрахме че си много навътре със системната администрация...оценявам го и аз и предполагам че са много малко хората като теб в цяла България, свалям шапка на хора като теб, но стила ти на комуникация с хората ми говори само че имаш прекомерно голямо самочувствие и обичаш да го удряш на тарикатлък... Статията е префектна определено ми отвори очите за много неща !!! Благодарности!
[Отговори на този коментар]
-
От: Pauli <pauli< at >mail[ точка ]bg>
На: 16-02-2006@7:51 GMT+2
Оценка: 1/НеутраленОк, Весо, съгласен съм с това, което казваш, много хора са лениви в начина си на учене или не желаят да променят нищо от придобитите си лоши навици. Мисля си, че желанието да ги мотивираш да учат повече по никакъв начин не се подпомага от това да наречеш „дебил“ или „хипер-олигофрен“, просто човек реагира на обида (дори и по правилен повод) винаги като я подминава, не размишлява защо и как и дали има истина в нея, а просто гледа как да отвърне. Твоята и моята реакция също не прави изключение предполагам. Как ще промениш човека към по-добро, подтиквайки го да изяви най-лошата си страна?
ОК, мазали и бърсали и ти трябва да го оправяш, има два варианта - това става или на приятелски начала, като след втория или третия намазан идентично случай просто казваш „оправяй се сам, вече два пъти ти помагам, а ползата за теб е нулева“, човекът вика неволята и натам ясно. Другият вариант е, ако услугата е платена и срещу справедливо за теб въмездяване за усилията ти оправяш нечията каша. Ако не желаеш, не го правиш за такава сума пари и отказваш предложението. И в двата случая постъпваш правилно, и в двата нещата са справедливи и честни. Несправедливото ще бъде, ако човек започне да квалифицира работата на човека, която той е довършвал, било е платено, за да я коригира и не смятам за правилно да се ядосва и да обижда некомпетентния.
И си мисля още нещо, предполагам, че и ти като мен си перфекционист в нещата, които правиш и се притесняваш нещо казано или направено от теб да не е компетентно или да я явна грешка и така да се изложи. Говоря за технически неща. Защо не приложиш и същото по отношение на оценката на хората? Можеш ли от 2 изречения от някого да разбереш, че той е хипер-идиот, че влиза в ИРЦ, че е от Перник (макар това да не е обидно :) и т.н и даваш квалификацията „завършен олигофрен“? Ако си сбъркал в преценката, това звучи също толкова изхвърлено, както някой да изцепи, че echo 1 > /proc/neshtosi е гениално решение. Осъждаш хората, че говорят без да са запознати и компетентни да го кажат, а ти самият правиш същото, просто в друго отношение :)
Поздрави и продължавай с добрата работа, полезна е за мен и цялата Линукс общност, за което още веднъж ти благодаря :)
[Отговори на този коментар]
Къде ходела ТЪПОТИЯТА...
От: wishmaker <wishmaker __@__ mail __точка__ bg>
На: 16-02-2006@9:27 GMT+2
Оценка: 1/НеутраленАбе хора, не мога да ви разбера защо винаги се стремите да издребняавате в коментарите си, само защото някой е използвал сравнение "Дупница-Перник" или защото е казал нещо си против WV? И К'ВО ОТ Т'ВА?!
Така ли не разбрахте, че тези неща са само подправките на цялата статия?! Това което правите са тотални, ама абсолютни глупости. Както виждате статията е написана в доста смилаем вид, за което помагат гореспоменатите сравнения. Да не би да предпочитате да четете скучните и сухи технически ръководства (за справка погледни netfilter HOWTO)?! Както виждате, човекът се е потрудил и отдели от времето си, за да напише това за ВАС, БЕЗПЛАТНО! А вие не го одобрявате... е, добре - тогава питайте Жельо - кварталния хакер как се прави. Дали ще изпълните ръководството или не си е ваша работа, като сте толкова нахакани - направете си го по официалното ръководство на netfilter! Защо не се съсредоточите в по-важни неща, а хабите времето си да хабите енергията си в създаване на ГЛУПАВИ конфликти?!
Айде със здраве!
И най-накрая, БЛАГОДАРЯ, да това ръководство много ми помогна, ползвам друг доставчик и друга дистрибуция, но е НАПЪЛНО актуално. Благодаря ти, Весо!
[Отговори на този коментар]
от linux-bg.org (модератори)
От: the_real_maniac <the __точка__ real __точка__ maniac< at >gmail __точка__ com>
На: 16-02-2006@11:24 GMT+2
Оценка: 1/НеутраленИмате желание за дискусия -> ОК !
Само не нарушавайте добрият тон, защото това не е място за "каруцари".
Това е.
[Отговори на този коментар]
много простотия
От: mrvalko <mrvalko__at__abv __точка__ bg>
На: 16-02-2006@15:06 GMT+2
Оценка: 1/Неутрален Да оставим техническите описания. По тях никой не спори. Но, за една статия по технически въпрос, да се употребяват изрази като
................................................
яка IRC школовка и мега затъпяване
ако насреща си имат "ловци на пички" в IRC
мега олигофрени
шофьори на автомобили с емблематичната марка VW Golf
Изключително се радвам, че си се подразнил
Кефи ме следната мега неграмотщина в домейна ти
мега глупаци и IRC геори
това ми беше целта - да дразня
свой стил на сране
направо му се подарява ключодържател с емблема VW Golf и
му се връчва мотика и лопата
че те дразня много (което супер много ме кефи)
онзи дебил по-горе
................................................
и да се твърди, че е написана "по всички канони на системната администрация", е безобразие. Такива изрази в публичното пространство не се употребяват. От културните хора. Истинската цел е казана направо " ... това ми беше целта - да дразня ... ", защото "...че те дразня много (което супер много ме кефи) ..."
На някои това им харесва и смятат, че "Весо има прекрасен стил на писане и обяснение". Ами въпрос на вкус, "казал Шаро и се облизал под опашката". Моят е друг.
Или пък, че се издребнява за тези неща. "Тези неща са само подправките на цялата статия?". Все едно да ти плюят в манджата и да ти кажат, че това е подправка. За нечии вкус може и да е вярно. Даже се благодари. Това, че е безплатно, не е достатъчно да се приема такава помия. "И К'ВО ОТ Т'ВА?!" - ами това работи само за теб. Аз не приемам такава гадост. Но и това е въпрос на вкус.
Редактиран на: 16-02-2006@15:07
[Отговори на този коментар]
коментар
От: Licho <licho__at__bitex__dot__bg>
На: 16-02-2006@16:18 GMT+2
Оценка: 1/Неутраленвсеки си има право на мнение. но тук нали е място за хората да дойдат и някой да им помогне за проблемите които имат. не всеки чете документациите на великите системни интегратори(а българските са друга тема). малко стана тук ето вижте ме аз съм велик така го правя това е правилното вие сте тъпи гледайте си работата "майната ви".
щом си написал статия трябва да си готов да поемеш всички критики било добри било лоши, решил си да помогнеш нещо на хората да им покажеш прави го иначе не се занимавай.
а и тук пише Линукс за Българи, а Българи са всички, администратори потребители, леймъри, каращи москвич, трабант, форд, фиат и други знайни и незнайни марки. постепенно хората от разни други форуми ще идват тук и ще задават въпроси от сорта "как да щракна с мишката" и други който наистина са тъпи и за критика справка голяма част от постовете в един известен портал, който стана платен скоро.
браво наистина за статията, добре е написана и обяснена. успех занапред :)
[Отговори на този коментар]
за дървените глави
От: Румен Петров <help< at >roumenpetrov__dot__info>
На: 16-02-2006@17:01 GMT+2
Оценка: 1/НеутраленНа мен тази статия не ми звучи да е за да се научи някой на нещо си. Тази статия не е и "тънък намек" за някои интернет доставчици и за безсмислиците, които са направили.
Тя си е чисто и просто "ДЕБЕЛО НАТВЪРДВАНЕ" за сътворилите безсмислици ...
[Отговори на този коментар]
РМА
От: mdaaa
На: 16-02-2006@20:07 GMT+2
Оценка: 1/НеутраленМдааа ами законаза ИСП-татата мога така да ти го срутя ако ме съдиш че споделям и-нета както и не си сънувал а си ме осъдил а сам ти взел парите.
[Отговори на този коментар]
:)) много простотия
От: Beco <vlk (a) lcpe< dot >uni-sofia< dot >bg>
На: 16-02-2006@22:44 GMT+2
Оценка: 1/Неутрален О, mrvalko, дарлинг:) И ти накрая прописа. Нямаше как да се мине без теб, слънце на дните ми и луна на нощите ми:)) Почакай само да свърши карантината покрай птичия грип и в твоя чест ще пусна ята кокошки-носачки на свбода:) Да увеличим интелекта в природата, след като тук толкова сме го намалили (да не споменавам какви феноменални технически глупости са писали някои латентни люде).
Дарлинг:).. радвам се, че си се познал в много от споменатите от мен категории люде и не до там люде. Бая си се ядосал, чак си объркал кое къде се намира. Слънце, повечето неща дето си ги писал са в коментарите, бе мило:) не са в статията.
Нещо генерално бъркаш, дарлинг:) Аз не съм политик или суетна леличка, че да искам да се харесам на всеки, пък на теб изобщо не искам да ти харесвам:) Като статията ти се струва помия, не я чети, бе мило. Подминаваш я и спестяваш ядове:) Но не.. като всяка консервативна домакния клеймяща порното, ти обичаш да гледаш в порно пресата и да се възмущаваш, че имало там голи какички и батковци:) Даже си чело и коментарите... милото то. Това до някъде показва, че те са те засегнали и това е една радостна вест:)
Ако не разбрахме кой е умен, то поне простите лесно ги уловихме (дето има една приказка "такъв си шаран, че и с бастун мога да те хвана").
А ако реша да проявявам култура в стил "масова", ще пиша сказки по преживяно на опашки за хляб във вестник "Лична драма" или в литературни списания миличко, а не тук:)
Редактиран на: 16-02-2006@23:11
[Отговори на този коментар]
:) най съм съгласен с Голфовете
От: Nuclear man <nuclear_man< at >ABV __точка__ bg>
На: 17-02-2006@8:33 GMT+2
Оценка: 1/НеутраленЗдрасти Весо!
Свалям ти шапка за статията. Но най-си прав за Голфовете. Аз съм абсолютно убеден, че тук в БГ Голф3 карат само комплексари.
П.П. Ти нали знаеш след влизането на БГ в Евросъюза коя ще е най-бързата кола :~
- Голф3 с Пернишка регистрация... Модната - с плюшено покривало за таблото, да не го пече слънцето и клатеща се ръчица със среден пръст естествено - на задното стъкло. Може и надпис от рода на "Господ ме пази" или "Тате ми я купи" или "Аз съм скакауец" и т.н.
[Отговори на този коментар]
Въпрос...
От: never_mind <fill[ точка ]thecurse__at__gmail[ точка ]com>
На: 20-02-2006@11:05 GMT+2
Оценка: 1/НеутраленЗащо като направя последната "хитрост" с игнорването на арп пакети, нета на вътрешната машина спира??? в лога се изписва това: 13:04:00.281154 IP 192.168.0.1 > 192.168.0.2: icmp 70: 192.168.0.1 udp port domain unreachable
[Отговори на този коментар]
Към: Въпрос
От: Beco <vlk__at__lcpe< dot >uni-sofia< dot >bg>
На: 20-02-2006@16:54 GMT+2
Оценка: 1/НеутраленПредполагам, че при теб има някаква особеност. Ако не е критично, спри тази опция, щом сприра услугата ти.
Ако пък искаш да разберем от къде идва проблема, ще се наложи да опишеш конфигурацията си доста подробно.
Поздрави
[Отговори на този коментар]
Оправих се
От: nevermind <fill__dot__thecurse__at__gmail__dot__com>
На: 21-02-2006@9:39 GMT+2
Оценка: 1/НеутраленВсъщност проблема бил другаде.Явно в момента, когато си настройвах системата, доставчика ми се е бъзикал с нета, и когато спря, реших че е от моята интервенция, но след известно време взе че тръгна... нещо копаят пред блока :) 10х за отговора, наистина много добра статия...
[Отговори на този коментар]
Няколко въпросчета?
От: gat3way <mrangelov< at >globul< dot >bg>
На: 21-02-2006@15:35 GMT+2
Оценка: 1/НеутраленСтатията е добра, но аз като типичен български читател и драскач на коментари, ще направя следните забележки:
Защо си мислиш че лошите доставчици ще режат това което излиза от теб по TTL (при положение че има операционни системи с defaultTTL=32 - такива са MacOS <=9, Windows 95 да речем)?
Не мислиш ли че е по-лесно на последния хоп преди крайния юзър да сложат едно правило дето сет-ва TTL-a на 1?
Тогава ето тези правила в случая няма да сработят:
iptables -t mangle -A POSTROUTING -s 192.168.10.0/24 -o ppp0 -j TTL --ttl-inc 1
iptables -t mangle -A POSTROUTING -s 192.168.10.0/24 -o ppp0 -j TTL --ttl-set 64
по разбираеми причини.
Ако беше провайдър какво би избрал: да режеш пакети с лоши TTL-и идващи от клиента (и съответните проблеми със съпорта при странни операционни системи) или просто да сет-ваш TTL=1 на всички пакети отиващи към клиента? Мисля, че вторият вариант е по-добър (при първия пестиш малко повече трафик верно).
Второ: мислил ли си по въпроса какво ще се случи с един traceroute, пуснат от клиента зад НАТ-а? Пробвай :)
Трето: разните манипулации с TTL-и могат при разни редки частни случаи съвсем спокойно да доведат до красиви routing loops, мога да разиграя един такъв сценарий :)
Четвърто: определено не съм съгласен с каруцарските определения там и сега ще ти кажа защо.
1) и двата варианта по твоята логика са тип "при мене работи, при тебе не". Никой не е гарантирал, че ядрото ти е компилирано с подръжка на IP forwarding :)
2) Няма гаранция че някой друг инитскрипт няма да омаже нещата описани там (/etc/init.d/networking в Debian примерно - ако ползвам твоите изразни средства си личи редхат-ската "школовка" :) )
3) Ако ще се издребнява, само ще добавя че /sbin/sysctl е динамично свързан с libproc, т.e вариантът с echo е малко по-надежден, защото зависи от по-малко библиотеки, дето може да се омажат (освен което би трябвало да работи малко по-бързо).
Това кой как мажел скриптовете и кой не слагал коментари и кой си трошил краката е леко...крайно мисля...
П.П ядрото сравнително лесно се пач-ва да не променя въобще TTL-a на пакетите които форуард-ва - с минимални корекции в един .c и един .h файл от kernel source tree (на моя 2.6.11 като си играх да си пиша такъв пач беше точно това - 4-5 реда код в 2 файла). Ако искаш ще го кача някъде и ще ти пратя URL да разгледаш.
Айде успехи :)
[Отговори на този коментар]
Към: Няколко въпросчета?
От: Beco <vlk< at >lcpe< dot >uni-sofia< dot >bg>
На: 21-02-2006@20:14 GMT+2
Оценка: 1/Неутрален1. В действията на много локални доставчици няма логика и въпроси като
"Защо си мислиш че лошите доставчици ще режат това което излиза от теб по TTL (при положение че има операционни системи с defaultTTL=32 - такива са MacOS <=9, Windows 95 да речем)?"
следва да се зададат на творците на подобни филтри, а не на мен. Не знам с какви доставчици си се сблъсквал, но имам чувството, че до сега си живял само в чужбина и не си имал честта да опознаеш феномена "български LAN доставчик". Много от тях (успокоително е, че не всичките), в желанието си да се изгаврят с клиента са направили филтър, при който всеки пакет, чиято стойност на параметъра TTL е нечетна при постъпването във "forward" машината на шлюза (гледано в посока от клиента към Интернет) се подлага на политика DROP. Забележи, че това ще се случи с всеки пакет, който бъде подложен на NAT (и разбира се зад клиентския маршрутизатор не се реализира "nexthop") и отговаря на условието за нечетна стойност на TTL. А въпросът защо се прави това, адресирай до съответния доставчик. Аз приличам ли ти на психиатър или гадател?
2. В голяма грешка си с това:
"Не мислиш ли че е по-лесно на последния хоп преди крайния юзър да сложат едно правило дето сет-ва TTL-a на 1?
Тогава ето тези правила в случая няма да сработят:
iptables -t mangle -A POSTROUTING -s 192.168.10.0/24 -o ppp0 -j TTL --ttl-inc 1
iptables -t mangle -A POSTROUTING -s 192.168.10.0/24 -o ppp0 -j TTL --ttl-set 64
по разбираеми причини."
Това е напълно невярно като твърдение, особено отнесено към тези изходящи правила. Нещо си се объркал доста според мен или си чел без да осмисляш.
Но както и да е. Ето и коментар. Доставчиците задават TTL=0 на пакетите, които излизат директно към клиента от последния (в посока към клиента) маршрутизатор. Ако стойността на TTL беше зададена като 1, то пакетът ще премине през клиентския маршрутизатор и няма проблеми да стигне до станция зад него, защото пакет с TTL=0 (какъвто ще стане след преминаване на пакета през ядрото на клиентския маршрутизатор) не може да се транзитира, но може да има "link" предаване (и да достигне до станциите в домашната мрежа на клиента, непосредствено намиращи се в един етернет сегмент с маршрутизатора).
Цитираните от теб (написани от мен) правила отчитат смяна на стоиността на TTL за излизащите от клиентския маршрутизатор пакети, а не на тези, които идват от доставчика. Първото правило указва, че не трябва да се вади 1-ца от TTL стойността на пакетите на станциите излизащи към интернет, а последното указва пакетите от станциите да се третират така, все едно излизат от локалния TCP стек на Linux машината.
3. Ще се изненадаш много, ако ти кажа, че знам както ще се случи с traceroute и без да опитвам. Трябва да ти кажа, че това е вече въпрос заяден просто поради заяждане.
Ще се получи следният ефект, ако се използва
iptables -t mangle -A POSTROUTING -s 192.168.10.0/24 -o ppp0 -j TTL --ttl-inc 1
При показване на пътя на пакетите към целта, просто няма да се появи ред, който да съдържа адреса и името на хоста на първия маршрутизатор на доставчика след клиоента. Причината е, че при traceroute клиентът ще излъчи UDP заявка (ако се ползва BSD тип traceroute, при което се изпраща UDP заявка на висок порт) с TTL=1 и и в момента, в който TTL стане равен на нула, ще трябва да генерира "ICMP Time Exceeded" (защото при преминаването на през ядрото на клиентския маршрутизатор стойността на TTL на пакета на клиента ще стане нула и няма да има възможност за реализация на следващ "nexthop" върху първия маршрутизатор на доставчика след клиента). Да, но доколкото стойността на TTL параметъра се увеличава с единица, то съобщение "ICMP Time Exceeded", ще се появи едва върху втория след клиента маршрутизатор на доставчика (защото върху маршрутизатора на клиента TTL на изпратения от клиента пакет ще се прибави единица и вместо нула, стойността на TTL ще стане 1 и така ще се реализира "nexthop" върху първия маршрутизатора на доставчика, а "ICMP Time Exceeded" ще се генерира чак върху втория маршрутизатор на доставчика).
Още по-интересен ще е ефекта при traceroute от клиентската станция, ако е приложено правилото
iptables -t mangle -A POSTROUTING -s 192.168.10.0/24 -o ppp0 -j TTL --ttl-set 64
Тогава направо ще се получи следното. При генерирания път ще бъде видян клиентския маршрутизатор и (при съвременните "дължини" на пътища в Интернет) и направо ще се стигне до целта на изпълнението на traceroute. Ето пример. Искаме да изпълним:
$ traceroute 172.16.0.1
където 172.16.0.1 можете да замените с адрес извън доставчика. Ако имаме приложено правилото:
iptables -t mangle -A POSTROUTING -s 192.168.10.0/24 -o ppp0 -j TTL --ttl-set 64
и IP адреса на клиентския маршрутизатор е 10.10.10.1, то резултатът ще е:
$ traceroute 172.16.0.1
1 10.10.10.1 (10.10.10.1) 0.059 ms 0.056 ms 0.063 ms
2 172.16.0.1 (172.16.0.1) 3.791 ms ! 2.012 ms ! 6.496 ms !
5. Дори мега невнимателен читател би прочел, че основно нещата са предназначени за дистрибуции от тип "RedHat/Fedora". Това може да не ти харесва, но пък за мен е без значение че не ти харесва. Написано е ясно и кратко.
6. Ако някой тръгне да си омазва libproc, си е лично негов проблем. Това изобщо не може да бъде оправдание за да не се правят нещата със sysctl освен разбира се, да бъде оправдана нечия мърлявщина. Ами ако искаш направо да почнем да вграждаме във всяко клиентско приложение DNS клиент, защото някой пък може да си е омазал libresolv (и със сигурност ще е по-бързо, ако си пограем да му вградим и lightweight resolver). Рядко човек може да прочете такива несмислени мисли. Разбира се, че има системи от тип "кенеф", но моята статия не в тяхна услуга.
7. Това с бързината е мега смайващо и направо грубо. Явно гоним милисекунди при старта на системата? Или изпълняваме sysctl за всеки пакет. Хайде стига изсилвания. Тези параметри се четат или при зареждане на системата, или при зареждане на услугата. И има нещо, за което как пък един от пишещите тук не се сети. Инструментът sysclt прави и проверка на стойността, която ще се въвежда в сила. Така пази от безмислия от типа на "echo "irc_i_pichki" > /proc/niakade si" и предупреждава. Ето пример:
# echo irc_i_pichki >/proc/sys/net/ipv4/ip_forward
#
(има мълчаливо отхвърляне на стойността, но няма индикация за грешка)
# sysctl -w net.ipv4.ip_forward=irc_i_pichki
error: unknown error 22 setting key 'net.ipv4.ip_forward'
В кой случай грешката е по-лесно анализируема?
8. Това с кръпката за TTL към ядрото ... честно казано ме разби. Ако направим някой ден съревнование по най-усложнена процедура за менажиране на TTL параметрите, ще спечелиш първото място. Хайде сега да си представим как всеки прилага кръпката и ведро рекомпилира ядро (примерно на 200 MHz Pentium MMX) и на следващия ден я има, я няма готово ядро. След 1 седмица излиза нова версия на ядрото, която поправя проблеми в старото и за да може потребителя да има сигурна система, ще се наложи да сваля изходен код, да прилага кръпка и пак да компилира. Тази работа е несериозна. В една Linux дистрибуция има достатъчно инструменти за да бъде реализирано това нещо и обикновено нещата се правят по най-безопасния и утвърден начин. За откривателите на топлата вода и ТНТМ деятели, има винаги поле за изява обаче.
Изобщо пълна мъка цари. Мъка, обърквация и непреодолим порив за самоделство. Навсякъде сме заобиколени от ТНТМ. Загубите от некадърна системна администрация са със сигурност огромни. Но никой не иска да си вземе бележка, никой не иска да се поучи. Дори безплатно и свободно да се споделя опит се почва "ама що така", "ама що не е иначе", "ама що това не е жълто, не мига и не казва пиу", "ама аз пък искам да го направя както ми е кеф". и т.н. деградации на тема "системна администрация". Всеки е капацитет, всеки прави супер системи.. и накрая един екип от няколко души ходи да оправя вакханалии в системите. Пълно безумие!!!
И накрая... за какво си писал този коментар? Защото ти е било скучно? Защото просто не ти е харесало написаното от мен? Без значение е как и какво определяш в моите писания като каруцарско, защото твоето мнение не значи нищо за мен. Не си е струвало байтовете дето си изписал по този повод.
Аз няма да ти пожелавам успехи, защото при теб те не са пожелание, а необходимост, която няма смъсъл да бъде споменавана - тя е по подразбиране.
Редактиран на: 21-02-2006@20:15
[Отговори на този коментар]
ех...
От: gat3way <mrangelov (a) globul __точка__ bg>
На: 23-02-2006@9:45 GMT+2
Оценка: 1/НеутраленНе знам за Хоумлан, не съм клиент на ямбулските IRC хахори (оттам ли тая злоба към IRC потребителите?)
Мисля че е заблуда това с рязането на нечетни ТТЛ-и...идеята е интересна, но е трудно приложима и под линукс (iptables) и в cisco IOS (ip access-list blabla ttl blabla). Няма как да укажеш *нечетна* стойност, друг е въпроса, че можеш да сложиш правила за всички нечетни стойности, от 1 до 255 (понеже ТТЛ стойността е един байт)
тези правила:
iptables -t mangle -A POSTROUTING -s 192.168.10.0/24 -o ppp0 -j TTL --ttl-inc 1
iptables -t mangle -A POSTROUTING -s 192.168.10.0/24 -o ppp0 -j TTL --ttl-set 64
няма да работят, защото променят ТТЛ на пакетите, идващи от вътрешната мрежа, а не на тези дето идват от външния интерфейс.
Linux никога няма да препрати пакет с TTL=1, защото това означава че препратеният пакет има ТТЛ=0. Според TCP/IP спецификациите, (из|пре)пращането на пакети с ТТЛ=0 е *INVALID*, много tcp/ip стекове не приемат пакети с такива стойности на time-to-live, пакети със ТТЛ стойност=1 не се рутират, прочети си документацията която идва с ядрото, предполагам някъде там ще пише, ако не - гугъл или там някой документ, свързан с TCP/IP протокола.
По повод каруцарските определения, аз лично визирах твоето отношение към IRC юзърчетата и карането на Голф-ове...които не мисля да коментирам повече, защото вече не ми е смешно.
А, и за последно ще те цитирам:
"Изобщо пълна мъка цари. Мъка, обърквация и непреодолим порив за самоделство. Навсякъде сме заобиколени от ТНТМ. Загубите от некадърна системна администрация са със сигурност огромни. Но никой не иска да си вземе бележка, никой не иска да се поучи. Дори безплатно и свободно да се споделя опит се почва "ама що така", "ама що не е иначе", "ама що това не е жълто, не мига и не казва пиу", "ама аз пък искам да го направя както ми е кеф". и т.н. деградации на тема "системна администрация". Всеки е капацитет, всеки прави супер системи.. и накрая един екип от няколко души ходи да оправя вакханалии в системите. Пълно безумие!!! "
Вероятно е така, ама все пак не виждам каква връзка има това със статията. Пич, мисля, че имаш много проблеми със егото. Не си сам, такива като тебе има доволно много. Моето мнение за такива като вас е че сте неуки организатори, чието предназначение е вършенето на голям обем манипулации с paperwork, това, което вие гордо наричате "ИТ мениджърстване", каквото и да означава това... Не се обиждай, но с такова отношение, с такава нетолерантност към критики, просто не се различаваш от тези, които твърдиш, че те критикуват от завист или там щото си нямали работа.
Не, не искам да се заяждам...ама просто като видя някаква грозна его-изцепка не мога да се сдържа.
И между другото, паразитни думички като "мега", "хипер", "гига" са често срещани в речника на омразните от теб IRC-потребители и ТНТМ-деятели. Няма да създадеш нужното грандоманско впечатление с такива изразни средства, кхъкхъъъ...
Аз пък пак ще ти пожелая успех, защото съм оптимист по отношение на еволюцията на всеки един индивид от нашето кво беше там... *войнство* :)
Пардон, прощавай за IRC-like ASCII грозотиите :-? :-) :-) :-)
[Отговори на този коментар]
ех мъко, мъко!!!
От: Beco <vlk (a) lcpe< dot >uni-sofia< dot >bg>
На: 23-02-2006@12:03 GMT+2
Оценка: 1/НеутраленНе ми пука за мнението ти относно мен. За това няма да отговарям на простотии за егота и т.н. IRC похвати, които са ти доста близки. Като не ти изнася това дето пиша, се изнасяй. Статията не е написана за теб (за дебили не пиша). А да, връщаме и парите дето си ги дал за да прочетеш статията. И едно уточнение: твоето мнение за мен е с цената и приложението на тоалетна хартия. Пиши за него, но не очаквай да взема отношение по него. И аз държа да кажа, че ти тъпанар, но както виждаш не го пиша.
Имам много против обаче, да се тиражират технически неверни неща и именно за това пиша. Това, че ти липсват елементарни познания по мрежи е очевидно, но искам да се изкефя и ще поясня това за да видят останалите какви технически инвалиди пишат тук (поне компенсират липса на технически познания с морални поучения, но винаги така се получава с подобни хора - това е известно като стил на общуване "Вени Марковски").
"тези правила:
iptables -t mangle -A POSTROUTING -s 192.168.10.0/24 -o ppp0 -j TTL --ttl-inc 1
iptables -t mangle -A POSTROUTING -s 192.168.10.0/24 -o ppp0 -j TTL --ttl-set 64
няма да работят, защото променят ТТЛ на пакетите, идващи от вътрешната мрежа, а не на тези дето идват от външния интерфейс."
Ти чел ли си внимателно какво съм писал и изобщо схванал ли си смисъла на правилата? Или бъркането с пръст в носа е разфокусирало образа и е затруднило четенето? Тези правила горе, са написани за да маскират извършването на "nexthop" при преноса на пакета от станциите, които се намират зад клиентския маршрутизатор.
Какво става със стойността на TTL на пакет, който излезе от TCP стека на клиентска станция, която е зад NAT (т.е. от компютър в домашната мрежа на потребителя). Приемаме, че това е машина с операционна система MS Windows NT/2000/XP. Пакетът, който тази машина излъчва, ще има стойност на параметъра TTL равен на 128. С тази стойност той влиза в ядрото на Linux маршрутизатора на клиента. След излизането от него, стойността на параметъра TTL на пакета ще е 127. Ако правилото
iptables -t mangle -A POSTROUTING -s 192.168.10.0/24 -o ppp0 -j TTL --ttl-inc 1
не е в сила, то наистина пакетът ще пристигне при маршрутизатора на доставчика (първия след маршрутизатора на клиента по пътя към Интернет) с TTL=127 и така доставчикът може да има основания да го приема като преминал през "nexthop" в мрежата на клиента, което е индикация за NAT. Разбира се, след това той решава как да го третира. Ако правилото
iptables -t mangle -A POSTROUTING -s 192.168.10.0/24 -o ppp0 -j TTL --ttl-inc 1
е в сила върху клиентския маршрутизатор (който извършва и NAT), то ще увеличи стойността на параметъра TTL за изходящите от TCP стека пакети с единица. Ако се върнем на случая с MS Windows NT/2000/XP базираната станция, тя е излъчила пакет с TTL=128, но той е минал през клиентския маршрутизатор и при излизане от стека TTL на пакета е вече 127. Но след като горното правило се приложи, той отново става 128. Причина е инструкцията "--ttl-inc 1", което преведено на простоцарски език значи "увеличи стойността на TTL с единица". Веригата POSTROUTING привидно (макар и логически само правило) стои все едно след TCP стека по посока излъчването на пакета и за това променя стойността на TTL, на пакет, излязъл от стека.
Второто правило:
iptables -t mangle -A POSTROUTING -s 192.168.10.0/24 -o ppp0 -j TTL --ttl-set 64
както и игрещите в Южния парк дечица знаят, поставя фиксирана стойност на параметъра TTL на излизащите пакети със стойност 64, за да може наблюдаващия от вън доставчик да остане с впечатлението, че излизащите от клиентският маршрутизатор пакети касаят машни с една и съща операционна система. Това правило не се ползва заедно с първото (което съдържа --ttl-inc 1), а отделно, т.е. ползва се или едното или другото, но не и двете заедно. Това е толкоз просто и логично, бе казал един голям български поет.
Явно нещо си объркал яко посоката на пакетите:)
Взимаш си сега три компютъра и симулираш схемата "станция на клиент --> маршрутизатор на клиент --> маршрутизатор на доставчик", опитваш написаната в статията от мен схема с правила и като видиш какво става със стойността на TTL, която ще дойде до "маршрутизатор на доставчик" взимаш машината и си я набиваш в главата.
Сега за прословутото TTL=1 и TTL=0. Отново не четеш какво се пише!!! Пояснявам за последен път преди да поставя диагноза "малоумие" и да определя обясненията като безполезни (т.е. да спра да пиша). Аз и преди го писах. Този случай касае пакетите, които идват от Интернет към клиента и мрежата, а не изходяшите от клиента към Интернет пакети (те няма как да са с TTL=0 или TTL=1).
Ако пакет, предназначен за клиента, излезе от маршрутизатора на доставчика към машината на клиента (за която доставчика не знае, че е маршрутизатор и извършва NAT), с TTL=1, ето какво ще се случи с този пакет (приемаме, че този пакет е пакет в рамките на иницирана от клиента сесия и тя е подложена на контракция в паметта на маршрутизатора). Преминавайки през ядрото на клиентския маршрутизатор ще се провери дали този пакет е принадлежащ на локална за машината сесия или е принадлежащ на сесия, която е подложена на NAT. От таблицата с контракциите ще се вземе адреса на машината, чиято сесия е подложена на NAT. Ако наистина пакетът принадлежи на сесия, която е подложена на NAT, той трябва да бъде доставен нелокално и стойността на TTL ще трябва да се намали с единица и ще стане нула (TTL=0). Оттук нататък има два начина на действие. Ако машината, до която трябва да бъде доставен пакета с TTL=0 е директно свързана с маршрутизатора на клиента (link), т.е. и двете са в един физически и логически сегмент, то пакетът ще бъде доставен на машината въпреки, че TTL=0. Причината е, че при link доставка параметърът TTL е без значение, защото няма извършване на "nexthop". Ето пример за доставка на пакет с TTL=0. За невярващите, има опитни постановки и да тестват.
Между другото Хоумлан правят именно тази "хитрост". Указват на последния маршрутизатор
преди клиента, да поставя стойност TTL=0 на изходящите към клиента пакети и така пакетите се получават при клиентската машина (която е маршрутизатор, но доставчика не знае за това) именно с такава стойност на TTL. Това не е проблем, ако те обслужват локални за машината сесии (пак пояснявам - няма "nexthop"). Но е проблем, ако има NAT и пакетът трябва да се достави навътре в клиентската мрежа. Няма как да се осъществи "nexthop" за този пакет. Именно за това идва на дневен ред правилото:
iptabesl -A PREROUTING -i ppp0 -j TTL --ttl-inc 1
В него веригата PREROUTING логически стои преди TCP стека и увеличава с единица TTL параметъра на пакетите, които идват от доставчика. Така те влизат в стека на клиентския маршрутизатор с TTL=1 и могат да се доставят до клиентската стнация зад NAT.
и накрая.. боба с наденички или без го предпочиташ?
[Отговори на този коментар]
мъка верно...
От: gat3way <mrangelov (a) globul__dot__bg>
На: 23-02-2006@13:58 GMT+2
Оценка: 1/НеутраленИз ip_forward.c, kernel 2.4:
....
int ip_forward(struct sk_buff *skb)
{
struct net_device *dev2;/* Output device */
struct iphdr *iph;/* Our header */
struct rtable *rt;/* Route we use */
struct ip_options * opt= &(IPCB(skb)->opt);
unsigned short mtu;
if (IPCB(skb)->opt.router_alert && ip_call_ra_chain(skb))
return 0;
if (skb->pkt_type != PACKET_HOST)
goto drop;
/*
*According to the RFC, we must first decrease the TTL field. If
*that reaches zero, we must reply an ICMP control message telling
*that the packet's lifetime expired.
*/
iph = skb->nh.iph;
rt = (struct rtable*)skb->dst;
if (iph->ttl <= 1)
goto too_many_hops;
// Позволявам си коментар - НАПРАВИ РАЗЛИКА МЕЖДУ '<' И '<=' !!!
.....
too_many_hops:
/* Tell the sender its packet died... */
icmp_send(skb, ICMP_TIME_EXCEEDED, ICMP_EXC_TTL, 0);
drop:
kfree_skb(skb);
return -1;
}
Разбира се, въобще няма да вникнеш в този сорс по-горе. Естествено че няма, след като не е документиран в html, pdf и TeX вариант, не е измислен някъв parser, дето го превръща от С в *разбираем_за_малоумници_език* и не си питал поне 1-2 *познати_експерти* какво представлява (бре, че има ли такива дето разбират повече от теб?!?)
За ония 2 правила НЯКОЛКО пъти ти казах че няма да сработят когато пакетите ти идват с ТТЛ=1 (не 0, като си на хоумлан хвани си поиграй малко с tcpdump дае*а), а не когато ти ги режат по измислени там принципи (под 64 или "*нечетна_стойност*"), хвани прочети кво ти пиша.
Цитирам:
"Именно за това идва на дневен ред правилото:
iptabesl -A PREROUTING -i ppp0 -j TTL --ttl-inc 1
В него веригата PREROUTING логически стои преди TCP стека и увеличава с единица TTL параметъра на пакетите, които идват от доставчика. Така те влизат в стека на клиентския маршрутизатор с TTL=1 и могат да се доставят до клиентската стнация зад NAT."
А, да, тази поправка беше необходима.
Апропо, нищо не стои никъде логически. TTL стойността няма нищо общо с TCP протокола, не е зле да си припомниш слоевете от ОСИ модела и съответните протоколи. По отношение на това кое къде стои логически в ядрото, то нещата са прекалено сложни, повярвай ми. Ако имаш предвид някой сокет дето слухти на същата машина, абсолютно всичко що си си наблъскал в iptables стои *логически_преди* него. На kernelspace ниво имаш (грубо казано) следната последователност от картинката:
http://ebtables.sourceforge.net/br_fw_i...
като освен това има и един куп неспоменати неща като LSM security hooks, TSO, etc глупости.
Да, сега си направиих един тест дали TCP/IP стека на моя линукс (2.6.15) обработва пакети с ТТЛ=0, да, обработва ги. И пак ти казвам че е *ПОРОЧНА_ПРАКТИКА* такива неща да минават и това че машините били в един broadcast domain не е оправдание да допускаш такива неща - пак ти казвам според RFC-тата, това не бива да се случва.
Само МОЛЯ ТЕ не спори за неща за които не си запознат. Администрирай си там, смятай си щетите за бизнеса от хвърковато и неприлежно администриране и НЕДЕЙ да спориш за неща, които не знаеш. Както виждаш аз не споря за добрите администраторски практики там...
[Отговори на този коментар]
Към: мъка верно...
От: 3aek_baek <bsapundjiev (a) gmail[ точка ]com>
На: 23-02-2006@22:36 GMT+2
Оценка: 1/Неутрален/*
* According to the RFC, we must first decrease the TTL field. If
* that reaches zero, we must reply an ICMP control message telling
* that the packet's lifetime expired.
*/
if (skb->nh.iph->ttl <= 1)
goto too_many_hops;
if (!xfrm4_route_forward(skb))
goto drop;
Кернел 2.6.16-rc4 далеч по-същото. Интересен казус!
[Отговори на този коментар]
Към: Голям смях II
От: Влади <rusanov__at__openintegra[ точка ]com>
На: 23-02-2006@14:31 GMT+2
Оценка: 1/НеутраленВесо благодаря за статията!
За всички които твърдят че начина на Весо не е най-удачния мога да кажа само че всеки има право да няма вкус. Аз не съм много добре запознат с администрирането, но начина по който Весо е описал нещата го разбрах много лесно и успях да заобиколя ТТЛ филтъра който моят доставчик беше ми сложил и сега нямам проблем.
И много поздрави на дебилите от Перник!!!
[Отговори на този коментар]
sysctl -p za Ubuntu 5.10
От: TEKIL4O
На: 24-02-2006@17:58 GMT+2
Оценка: 1/Неутраленкаква е алтернативат за това дистро т.к. не ми изпълнява тази цмд:( пробвах с
su sysctl -p и ми излиза Unknown Id: sysctl
или
su -sysctl -p и излиза No Shell
Съжелявам но и понятие си нямам, така че ако може хелп :)
Благодаря
[Отговори на този коментар]
Към: sysctl -p za Ubuntu 5.10
От: Hapkoc <sasoiliev __@__ mamul[ точка ]org>
На: 24-02-2006@23:18 GMT+2
Оценка: 1/НеутраленВ unix-подобните системи съществува системата man. Полезно е когато не знаем как работи дадена команда да използваме тази система, например:
$ man su
Оттам можем да установим, че командата su приема като параметри най-различни опции и аргументи, като една от опциите е -c или в по-дългия си вариант --command=<command>.
Оттук можем да заключим, че ако искаме да изпълним дадена команда чрез su, би следвало да изпълним нещо от рода на:
$ su -c <command>
В случая би свършило работа следното:
$ su -c "sysctl -p" -
Това прави следното - пуска командата "sysctl -p" с права на потребителя root, като изпълнява командата след прочитането на инициализационните скриптове на root (параметъра '-').
'su sysctl -p' указва на su, че искаме да преминем към потребителя sysctl, какъвто няма в системата (Unknown Id: sysctl).
Друг е въпроса, че в документацията на Ubuntu е описано, че задачи като горната са предвидени да се вършат чрез sudo и че там по подразбиране потребителя root е неактивен. Това би изглеждало така:
$ sudo sysctl -p
При sudo паролата, която трябва да се въведе не е на root потребителя, а на потребителя от когото се стартира sudo. За да се изпълни командата трябва в /etc/sudoers да са дадени съответните права на този потребител. В Ubuntu потребителя, който се създава при инсталацията има такива права.
Както и да е, добре е да се чете документацията.
[Отговори на този коментар]
TTL=0, как да го променя
От: Lubo
На: 3-03-2006@18:03 GMT+2
Оценка: 1/НеутраленЗдравейте,
искам да си разделя интернета и мисля да го направя с една микродистрибуция Coyote Linux. Само че проблема е, че доставчика ми така е направил че пакетите които получавам от gateway'a са с ТТЛ=0 и като включа рутер те не могат да преминат и няма нет. Искам да попитам има ли начин да се настрои така че да преминават тези пакети с ТТЛ=0 и как точно. Благодаря .
[Отговори на този коментар]
iptables: No chain/target/match ?
От: Linux Novak
На: 9-04-2006@10:59 GMT+2
Оценка: 1/НеутраленZdraweite,
Sledwaiki opisanata statiq se opitwam da razdelq net-a. Kogato obache izpalnqwam komandata
iptable -t mangle -A PREROUTING -i ppp0 -j TTL --ttl-inc 1
poluchawam
iptables: No chain/target/match by that name.
Polzwam Ubuntu s qdro 2.6.12 swalih posledna wersiq na iptables 1.3.1.
kato napisha
#modprobe ipt_ttl
nqma saobshtenie za greshka.
Molq pomognete mi.
[Отговори на този коментар]
Към: iptables: No chain/target/match ?
От: Венцислав
На: 17-04-2006@0:59 GMT+2
Оценка: 1/Неутраленmodprobe ipt_ttl
е различно от
modprobe ipt_TTL
както вече бе споменато.
Трябва да компилираш модула ipt_TTL.
[Отговори на този коментар]
Squid single interface ipt_TTL opensuse
От: Albatros <f[ точка ]disclosure __@__ gmail[ точка ]com>
На: 25-01-2007@20:55 GMT+2
Оценка: 1/НеутраленПърво бих искал искрено на поблагодаря авторите на тази статия. Много се зарадвах когато е прочетох.
Преди няколко дена един мой приятел ми се обади и ме помоли на помогна с конфигурацията на squid инсталиран на opensuse 10.1. Целта беше за се инсталира прокси към вътрешните ресурси на мрежата. Роднините му, който са на постоянно местожителство в България използват ограничено количество на програми а именно: Skype, Thunderbird, Firefox, Openoffice. На това PC има само една мрежова карта eth0. Ethernet е връзката към ISP. Squid работи само към някой вътрешни сайтове. Първо си помислих за „Interception Caching Proxy”. защото „Ethereal/Wireshak“ показваше че процеса на „authentifiation“ е неуспешен, което е много често срещано при „Interception Caching Proxy”(„Ethereal/Wireshark“ има една прекрасна опция „Follow tcp stream“). След като получих и исходния файл от Tcpdump -vvv / Tcpdump -A видях че провайдера в определен момент инициализира TTL 1. След прочетената статия, приложих тези правила към моя iptables script и в следствие TTL се увеличи до 128, но това не реши проблема. Предполагам че решението лежи в Squid конфигурацията. Ще бъда много благодарен ако някой опише решение на подобен проблем
[Отговори на този коментар]
Голямо благодаря за Дискусията
От: gydi
На: 7-03-2007@9:39 GMT+2
Оценка: 1/НеутраленГолямо благодаря за Дискусията от един Window-ски юсер.
Отдавна се мъча да преборя доставчика си но понеже съм незнаещ и дълго време рових из нета докато не попаднах тука и много неща ми се изясниха.
Мисля че моя доставчик проверява изходящия пакет от мен дали имам рутер (защото рутера намалява ТТЛ) а не ми праща орязан ТТЛ защото има списък от клиенти които са платили да имат много компютри зад рутера и по списък им позволява нета. Ако е обратното вероятно нямаше да може да разрешава на едни а да забранява на други.
За XP може би да помогне
start->run -> WMIC nicconfig call defaultTTL 129
[Отговори на този коментар]
Към: Голямо благодаря за Дискусията
От: gydi
На: 8-03-2007@8:03 GMT+2
Оценка: 1/НеутраленИма грешка в предния пост
За XP може би да помогне
start->run -> WMIC nicconfig call setdefaultTTL 129
[Отговори на този коментар]
Към: Голямо благодаря за Дискусията
От: hellfire <hellfire7 __@__ gmail__dot__com>
На: 18-07-2007@23:46 GMT+2
Оценка: 1/НеутраленБлагодаря за статията, помогна ми.
[Отговори на този коментар]
Към: Голямо благодаря за Дискусията
От: t0sh
На: 10-10-2007@23:12 GMT+2
Оценка: 1/Неутрален:)
(не съм чел коментарите освен този)
за уиндоус: моят доставчик доста вероятно праща DNS пакетите с ттл=1 обратно, което е доста хитър и ефикасен филтър, и не се занимава с огромното количество tcp пакети. Та промяна само на изходящите няма да помогне.
към автора: добра тема която и начинаещ би разбрал и съвсем на място с абсолютно всички коментари :D :D :D
[Отговори на този коментар]
олигофрените край немат
От: emo <emo82 __@__ abv[ точка ]bg>
На: 12-09-2007@15:16 GMT+2
Оценка: 1/НеутраленЗначи за малоумниците които четат темата само за да намерят нещо което могат да обсъдят а т.е. "голф 2" , "Перник и Дупница" смятам че е по добре да не се знимават с системна администрация ами с нещо по разбираемо за тях а по точно - лети джанти, ремуси, фолио за стъкла, сини лампи, и така натичаната от тях "тубабас".
Явно всички онези редчета с тирета наклоненичертички, точици и тем подобни не ги интересуват особено:)
Статията е перфектна! Единственото което дразни са малоумните коментари от търсачите на лети джанти и т.н. по адрес на човека който е споделил знанията си безплатно. Тъй като безспорно немат какво да кажат за странните редчета с неразбираемите знаци.
БЛАГОДАРНОСТИ!!!
[Отговори на този коментар]
Проблем с tomato v1.10
От: Angel <angelterror __@__ abv__dot__bg>
На: 23-10-2007@9:11 GMT+2
Оценка: 1/НеутраленИмам следния много гаден проблем с WRT54GL.
След като го купих му сложих DD-WRT firmware,
но вразката ми беше някак си ограничена до 500К/сек и попрочетох тук-там предложенията на другите и реших да сложа ТОМАТО v1.10. След като успешно приклучи смяната се появи следния неприятен проблем немога да вляза на 192.168.1.1 по никакав начин, защото незнам password и username. Незнам как са сменени и какви са защото стандартните (admin/admin) неработят.
Моля, ако някой знае как да сменя паролата или начин за решаване на проблема да помогне.
10х.
[Отговори на този коментар]
благодаря на автора за статията :)
От: valentin
На: 11-04-2008@6:29 GMT+2
Оценка: 1/НеутраленБлагодаря за хубавата и добре систематизирана статия. Заобикаля защитата на ISP-то ми, която поставиха от известно време с TTL=1. NAT-a също се конфигурира много лесно без да се налага да ползвам вградения в Mandriva 2008 internet connection sharing. За съжаление се наложи да си махна рутера, но РС-то ми с 2 Lan карти се справя чудесно.
[Отговори на този коментар]
Вечнозелена статия
От: Simeon <simaka __@__ gmail__dot__com>
На: 8-07-2023@9:21 GMT+2
Оценка: 1/НеутраленНа все 2-3 години се сещам да дойда и да препрочета
тази статия. Винаги ме забавлява и разсмива. А скоро
ще стане ма 20г. Коментарите също са добри. 😁
Връщам се заради язвителния хумор на автора, който
много ми допада. Но като 20г. по-възрастен оценявам
положеното от него време и усилия да я напише.
[Отговори на този коментар]