Към момента доказано работещо харуерно ускорение  в SoC чипа реализирано чрез Packet Processing Engine (PPE). 

Най вероято,може да се очаква 2.5Gbit чист рутинг при нулево натоварване на ядрата на процесора. Приложими към малки мрежи,по големи офиси, или там където се налага тунелиране/криптирани трафици. 

Флашнах едно старо D-link рутерче със OpenWRT, понеже имат много добра софтуерна поддръжка на протоколи и прложения и реших да ползвам Wireguard ( за пръв път) клиент на отдалечената локация. Инсталират се kmod-wireguard,wireguard-tools, и luci-proto-wireguard, за управление през уеб интерфейс. Ключовете се генерират и вземат от сървъра,въвеждат се  в съотетените им полета,указва се Endpoint  адреса на пиъра и порта за връзката  ( Persistent Keep Alive = 25  за връзка през НАТ).

Така изглежда конфиг файла на WRT клиента:

config interface 'wg'
	option proto 'wireguard'
	option private_key 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX'
	list addresses '10.10.0.3/24' #адреса на WG клиента

config wireguard_wg
	option endpoint_host 'IP адреса сървъра'
	option endpoint_port '51820'
	option persistent_keepalive '25'
	option public_key 'YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY'
	list allowed_ips '0.0.0.0/0'

От моята страна за връзка стой един Дебиан на който инсталирах Wireguard сървъра. Там се създават/описват  и ключовете за клиентите. Така  изглежда конфига  на WG интерфейса.

root@pve:/etc/wireguard# cat wg0.conf
[Interface]
Address = 10.10.0.1/24                  # адреса на WG сървъра
SaveConfig = true
ListenPort = 51820                      # port за връзка
PrivateKey = XXXXXXXXXXXXXXXXXXXXXXXX   #  Server private key

[Peer]
PublicKey = YYYYYYYYYYYYYYYYYYYYYYYY    # Wireguard client public key
AllowedIPs = 10.10.0.3/24               # адреса на WG клиента

Със комадата wg show се вижда статуса на тунела :

root@pve:/etc/wireguard# wg show
interface: wg0
  public key: ААААААААААААААААААААААААА
  private key: (hidden)
  listening port: 51820

peer: BBBBBBBBBBBBBBBBBBBBBBBBBBB
  endpoint: 78.108.245.138:41771
  allowed ips: 10.10.0.0/24
  latest handshake: 1 minute, 35 seconds ago
  transfer: 411.18 MiB received, 16.92 MiB sent


root@OpenWrt:/etc/config# wg show
interface: wg
  public key: CCCCCCCCCCCCCCCCCCCCCCCCCCC
  private key: (hidden)
  listening port: 41771

peer: DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD
  endpoint: 151.237.71.222:51820
  allowed ips: 0.0.0.0/0
  latest handshake: 33 seconds ago
  transfer: 16.94 MiB received, 412.09 MiB sent
  persistent keepalive: every 25 seconds

До тук добре,вече има изграден тунел и видимост.

root@pve:/etc/wireguard# ping 10.10.0.3
PING 10.10.0.3 (10.10.0.3) 56(84) bytes of data.
64 bytes from 10.10.0.3: icmp_seq=1 ttl=64 time=21.7 ms
64 bytes from 10.10.0.3: icmp_seq=2 ttl=64 time=19.5 ms
64 bytes from 10.10.0.3: icmp_seq=3 ttl=64 time=19.9 ms



root@OpenWrt:/etc/config# ping 10.10.0.1
PING 10.10.0.1 (10.10.0.1): 56 data bytes
64 bytes from 10.10.0.1: seq=0 ttl=64 time=19.331 ms
64 bytes from 10.10.0.1: seq=1 ttl=64 time=17.144 ms
64 bytes from 10.10.0.1: seq=2 ttl=64 time=20.880 ms

Не ми се занимаваше да добавям мрежи, рутирам и т.н реших да си пусна L2 етернет през WG тунела за да достъпвам устройствата локално когатo ми се наложи.  В случая ползвах gretap, има си го в  линукс ядрата както и пакети за WRT .

Настройките от страна на WRT  могат да се сетват и през панела ( след инсталациа на luci-proto-gre).

config interface 'eogre'
	option proto 'gretap'
	option peeraddr '10.10.0.1'
	option ipaddr '10.10.0.3'
	option network 'lan'

От страната на дебиана си ги вдигнах на ръка без да ги добавям засега в конфизите и си добавих интертфейса във локания бридж.

ip link add grelan type gretap  local 10.10.0.1 remote 10.10.0.3
ip link set grelan up
ip link set grelan mtu 1500

brctl addif vmbr0 grelan

Понеже в отдалечената локация всичко в локалната мрежа е настроено на  DHCP ,се наложи да спра  DHCP сървъра на OpenWRT рутерчето и за момента всичко там си взема адреси от  Дебиана  и излиза през моята мрежа, докато си свърша задачките там.

Пуснах няколко теста за скорост,няма лаг или особен товар ,но не мога да преценя колко реално товари тунела ,устройствата са слаби за някакви по сериозни трафици.

Виваком взеха да се очовечават,предлагат 1 статичен IPv4/IPV6 по избор срещу 2 лева на месец.Активира се лесно и се настройва елементарно през страницатa на  mobix.vivacom.bg. Там им линк със шотове за настройки на различните модеми или който не му се занимава да звъни на оператора. От менюто на модемчето може да се отварят портове по избор,но при положение че ще имам собствен рутер там напрво си направих един DMZ   към 192.168.1.2 ( който ще ползвам на WAN порта на  ER-X-то). На този модем (huawei b310s-22) не видях опция за бридж,но може би по новите им имат и тогава  ще е  направо СУПЕР   .

EdgeOS на ER-X-то работи стабилно въпеки,че много бавно се развиват,но за сметка на това от CLI  се настройва бързо а и съм свикнал със конзолния сетъп. EdgeOS предлага 3 варианта (към момента) за Layer 2 тунелиране, EoGRE, Layer 2 OpenVPN и L2tpv3 ( който изобщо даже и не са документирали,въпреи че е скрита лимонка :). В случая използвах EoGRE-то, който е стандартизиран и се ползва на  различни устройства ( MT си имат тяхна имплентация на това - EoIP, но са го направили несъвместим за съжление).

От моя край на локацията стой един proxmox,който търкаля виртуалки за собственни нужди.Това отдолу си е чист линукс (дебиан) и си НАТ-вам локалната мрежа директно на него,адресите си ги раздавам през dhcp.

На линукса EoGRE тунела се вдига с 2 команди ,няма нужда от рутинги  и други зайгравки,трява да е разрешен GRE протокола единственно, ако има защитна стена.

Тунела върви леко,но ако някой  реши да го ползва  за IPTV/multicast искам да ви предупредя, че няма да ви върви телевизията ( не върви мултикаста през тунела).  Има други варианти за L2 тунел,ако някой се интересува мога да го опиша в друга тема.

Настройките от страна на  EdgeRouter-а

ubnt@EdgeRouter-X-5-Port:~$ show configuration commands  | grep eth0
set interfaces ethernet eth0 address 192.168.1.2/24
set interfaces ethernet eth0 description Internet
set interfaces ethernet eth0 duplex auto
set interfaces ethernet eth0 firewall in name WAN_IN
set interfaces ethernet eth0 firewall local name WAN_LOCAL
set interfaces ethernet eth0 speed auto
set service nat rule 5010 outbound-interface eth0


ubnt@EdgeRouter-X-5-Port:~$ show configuration commands  | grep tun0
set interfaces tunnel tun0 bridge-group bridge br0
set interfaces tunnel tun0 description EoGRE-L2
set interfaces tunnel tun0 encapsulation gre-bridge
set interfaces tunnel tun0 local-ip 192.168.1.2 # локалния адрес от страна на Mobix
set interfaces tunnel tun0 multicast disable
set interfaces tunnel tun0 remote-ip 151.237.71.222 # адреса на отдалечената локация
set interfaces tunnel tun0 ttl 255


ubnt@EdgeRouter-X-5-Port:~$ show configuration commands  | grep br0
set interfaces bridge br0 address 172.17.150.2/27
set interfaces bridge br0 aging 300
set interfaces bridge br0 bridged-conntrack disable
set interfaces bridge br0 hello-time 2
set interfaces bridge br0 max-age 20
set interfaces bridge br0 priority 32768
set interfaces bridge br0 promiscuous disable
set interfaces bridge br0 stp false
set interfaces ethernet eth4 bridge-group bridge br0 
set interfaces tunnel tun0 bridge-group bridge br0


ubnt@EdgeRouter-X-5-Port:~$ show configuration commands  | grep masq
set service dhcp-server use-dnsmasq disable
set service nat rule 5010 description 'masquerade for WAN'
set service nat rule 5010 type masquerade

Настройките от страна на Debian-a

ip link add grelan type gretap  local <локалния адрес> remote <отдалечения адрес>
ip link set grelan up
iptables -I INPUT -p gre -s <отдалеченият адрес> -j ACCEPT # В случай че има защитна стена
  
След което си добавяме тунела към бриджа със локаните интерфейси
  
 sudo brctl addif vmbr0 grelan
  
root@pve:~/work# brctl show
bridge name	bridge id		STP enabled	interfaces
vmbr0		8000.408d5c644b24	no		eth1
							eth2
							eth3
							eth4
							grelan

Идеята ми е да може тук всеки да по/казва какъв  проблем има  и от какво решение има нужда (като софтуер или хардур) конкретно  за Linux/ *BSD   OS,    било то сървърни системи,рутери или някакви поддържани услуги.

Благодаря предварително ...

От 1 седмица се боря с тоя Rspamd - прави си всичко от филтриране на СПАМ до вкарване на ИП адреси в черен списък на Микротик.

Само не мога да го накарам да препише събджекта - добавя/маха хедъри, но събджекта не закача.

Изчетох де що има написана и ненаписана информация по въпроса и не ще да стане.

Конфигурацията е Rspamd с Exim/Dovecot. Приемам всякакви идеи

 ето ,че пиша отново пак същата история но на нова глава,така да започна на кратко, от известно време съм под атаките на udp флоод отново, този път проблема,че е самата хардуерна защита неможе да улови самия трафик тъй като не е много голям, а в същото време ми препълва всичко и всичко пада

Хоствам цс сървъри и съм все още на челните позиции както за България така Света, но конкуренцията не иска да ме остави (gameservers.bg) в които се съмнявам най-много,защото единствено те останаха на пазара и гледат да откажат стари кучета като мен,но не са познали.

по-голямата част от логовете са така! 

Цитат

Feb 15 21:11:50 cs1 kernel: [535854.098015] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:51 cs1 kernel: [535854.830853] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:51 cs1 kernel: [535854.837002] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:51 cs1 kernel: [535855.111389] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:51 cs1 kernel: [535855.281010] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:52 cs1 kernel: [535855.780614] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:52 cs1 kernel: [535855.869021] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:52 cs1 kernel: [535855.943758] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:52 cs1 kernel: [535855.998747] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:52 cs1 kernel: [535856.216500] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:55 cs1 kernel: [535859.129455] net_ratelimit: 23 callbacks suppressed
Feb 15 21:11:55 cs1 kernel: [535859.129457] nf_conntrack: nf_conntrack: table full, dropping packet
Feb 15 21:11:55 cs1 kernel: [535859.151773] nf_conntrack: nf_conntrack: table full, dropping packet
 

Другото което е,първоначално вдигнах  лимит-а на conntrack_max

net.netfilter.nf_conntrack_max = 524288

графиката ми от трафика ми.

Просто си говорих администратор-а и каза,че такъв трафик на графиките на Radware-а дори не се забелязва на фона на 20ГБ.

Имали ли начин с iptables да филтрирам атаки от този род или каузата е загубена отново, 

Iptables-а  съм отворил единствено портовете които ми трябват всичко останало дропвам,но без успех

от tcpdump логовете са спофнати ип-та различен размер на пакета различни ип-та като ботнет,но с нисък трафик.

Цитат

20:45:45.845603 IP 85.11.145.146.49653 > x.124.x.x.27010: UDP, length 36
20:45:45.847484 IP 109.107.89.97.64271 > 79.124.59.245.27010: UDP, length 36
20:45:45.855418 IP 85.11.145.146.49653 > x.x.5x.x.27010: UDP, length 36
20:45:45.856602 IP 77.85.230.246.56402 > x.124.x.x.27010: UDP, length 36

Не искам да кастря този порт защото ми е нужен, гледах в един руски форум един модул за iptables CS Validation module for iptables. 

Но,все си мисля,че ще има някаква ползва от него,все още не съм получил отговор-а от създателя, Ще съм благодарен на някой ако ми даде някакво времемно решение. 

root@imslu:/lib# cat /etc/debian_version
8.6
root@imslu:/lib# uname -a
Linux imslu 3.16.0-4-amd64 #2 SMP Debian 3.16.36-1+deb8u2 (2016-10-19) x86_64 GNU/Linux

apt-get install linux-headers-`uname -r` iptables-dev git autoconf automake libtool xutils-dev
git clone git://git.code.sf.net/p/xtables-addons/xtables-addons xtables-addons
cd xtables-addons
./autogen.sh
./configure --with-xtlibdir=/lib/xtables
make
make install
depmod -a

root@imslu:/home/mystical/src/xtables-addons# modprobe xt_DNETMAP
modprobe: ERROR: could not insert 'xt_DNETMAP': Exec format error
root@imslu:/home/mystical/src/xtables-addons# insmod /lib/modules/3.16.0-4-amd64/extra/xt_DNETMAP.ko
insmod: ERROR: could not insert module /lib/modules/3.16.0-4-amd64/extra/xt_DNETMAP.ko: Invalid module format

root@imslu:/lib# apt install xtables-addons-dkms
...
...
...
xt_TARPIT.ko:
Running module version sanity check.
 - Original module
   - No original module exists within this kernel
 - Installation
   - Installing to /lib/modules/3.16.0-4-amd64/updates/dkms/

depmod....

DKMS: install completed.
Processing triggers for libc-bin (2.19-18+deb8u6) ...
root@imslu:/lib# modprobe xt_DNETMAP
modprobe: ERROR: could not insert 'xt_DNETMAP': Exec format error
root@imslu:/lib# insmod /lib/modules/3.16.0-4-amd64/updates/dkms/xt_DNETMAP.ko
insmod: ERROR: could not insert module /lib/modules/3.16.0-4-amd64/updates/dkms/xt_DNETMAP.ko: Invalid module format

Писах на debian разработчиците и за пореден път се убедих, че е загуба на време.

Целта на упражнението е да тествам xt_DNETMAP модула. Другия подобен интересен модул е RAWNAT https://github.com/alexey001/xtables-addons/, но вече не е в xtables-addons.

Преди малко пробвах на друга машина и всичко тръгна без проблеми. Интересно, имам само IMQ пач и почти не съм променял конфигурацията на ядрото.

Реших да си инсталирам linux, но след инсталацията разбрах, че съм си изтрила моята ОС, което даже не знам как е станало... като се има напредвид, че имам нужните параметри за да ми потръгне linux и инсталацията си вървеше чудесно, нямаше никакви проблеми, а и имам представа как се инсталира тази ОС. Някой има ли идея от какво може да се е получило така, защото аз нямам никаква представа?

От скоро минах само на ubuntu 14.04 и вече имам проблеми

Пускам филм на линукса , влача го в екрана на тв-то и звук имам само от говорителите на компа.

Опитах командите от този адрес но оправия няма : http://askubuntu.com/questions/472258/hdmi-is-not-displayed-in-the-sound-settings-on-ubuntu-14-04-lts

При мен няма HDMI настройки за звук.

Иска си някаква парола която не я знаят и в теленор.....

13:30 им звънях и още чакам обаждане от тях.

На win xp с тоя модем грижи няма , и парола не иска

Ако се е сблъсквал някой с такъв проблем и знае решение ще съм благодарен

   Инсталирах rsyslog, за да логвам информацията от един линк. Имам две устройства, които трябва да следя- Rocket M5 и след него Rocket M2, свързани са един с друг с пач сабел. И двата са в рутер мод с включен нат, a вторият е с dhcp сървър.   В тази схема и двете устройства изпращат от едно и също ip и съответно пишат в един лог файл. Какъв е начина да накарам syslog server-a да пише информацията в два различни файла за всяко устройство по отделно?  Разбрах, че това се прави с темплейтите, но не мога да го измисля. Ето това е съдържанието на rsyslog.conf: 

#  /etc/rsyslog.conf    Configuration file for rsyslog.
#
#                       For more information see
#                       /usr/share/doc/rsyslog-doc/html/rsyslog_conf.html
#
#  Default logging rules can be found in /etc/rsyslog.d/50-default.conf


#################
#### MODULES ####
#################

$ModLoad imuxsock # provides support for local system logging
$ModLoad imklog   # provides kernel logging support
#$ModLoad immark  # provides --MARK-- message capability

# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

# provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514

# Enable non-kernel facility klog messages
$KLogPermitNonKernelFacility on

###########################
#### GLOBAL DIRECTIVES ####
###########################

#
# Use traditional timestamp format.
# To enable high precision timestamps, comment out the following line.
#
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

# Filter duplicated messages
$RepeatedMsgReduction on

#
# Set the default permissions for all log files.
#
$FileOwner syslog
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022
$PrivDropToUser syslog
$PrivDropToGroup syslog

#
# Where to place spool and state files
#
$WorkDirectory /var/spool/rsyslog

#
# Include all config files in /etc/rsyslog.d/
#
$IncludeConfig /etc/rsyslog.d/*.conf

######################
        RULES
######################
mail.info       /var/log/mail.info
mail.warn       /var/log/mail.warn
mail.err        /var/log/mail.err
daemon.*        /var/log/daemon.log

# This one is the template to generate the log filename dynamically, depending on the client's IP address.
$template FILENAME,"/var/log/%hostname%/%HOSTNAME%.log"

# Log all messages to the dynamically formed file. Now each clients log (192.168.1.2, 192.168.1.3,etc...), will be under a separate directory which is formed by the template FILENAME.
*.* ?FILENAME

 Благодаря Ви предварително за отделеното време.

или по подробни стъпки за екстрактването на фирмуера от драйвер

че с тези "пропертари" лицензи няма подкарване

vi /etc/ssh/sshd_config

Което в момента трябва да изглежда по този начин

Това което трябва да направим е да сменим порта примерно на 31337

Port 31337

Рестартираме ssh services

/etc/init.d/ssh restart

Втората стъпка е да инсталираме нужните пакети, които са нужни за правилната функционалност на Kippo и да създадем потребител kippo

apt-get install python-dev openssl python-openssl python-pyasn1 python-twisted git

useradd -d /home/kippo -s /bin/bash -m kippo -g sudo

В третата стъпка е нужно да инсталираме пакета autobind който ни помага с това да позволим на системата да биндне non-root програми и да зададем порта на който ще слуша HoneyPot

apt-get install authbind

touch /etc/authbind/byport/22

chown kippo /etc/authbind/byport/22

chmod 777 /etc/authbind/byport/22

Следващата четвърта стъпка която трябва да изпълним е да свалим Kippo аз лично предпочитам да го сваля от github

su kippo

cd

git clone https://github.com/desaster/kippo

mv kippo.cfg.dist kippo.cfg

Следва да редактираме конфиг файла на Kippo

vi kippo.cfg

Нужно е да променим само порта на който да слуша услугата, трябва да изглежда по този начин

# Port to listen for incoming SSH connections. # # (default: 2222)

ssh_port = 22

Последната стъпка е да редакираме стартиращия файл

vi start.sh<br>

Като трябва да заменим реда

twistd -y kippo.tac -l log/kippo.log --pidfile kippo.pid

с този ред който казва на kippo че ще ползва autbind

authbind --deep twistd -y kippo.tac -l log/kippo.log --pidfile kippo.pid

Стартираме services-а

./start.sh

Вече имате инсталиран Kippo HoneyPot сега всеки “хакер” който прави опити да достигне до вас чрез SSH стартиран на 22 порт ще стига до вашия HoneyPot и ще може да гледате всичко което всеки е правил тъй като всичко се записва в логовете на HoneyPot който се намират в директорията на kippo. Стандартният потребител и парола на Kippo на порт 22 са: username:root password:123456 по този начин няма да има bruteforce който да ви пропусне и да не отбележи че си е усигорил достъп до нашата система.

Източник

Цък

Ако още не сте разбрали е открита дупка в glibc. Повече подробности тук и тук. CentOS вече пуснаха ъпдейти. Съветвам ви колкото се може по-бързо да направите ъпдейти на сървърите си. Особено тези, които ползват EXIM.

Идвате на този адрес и сваляте програмата.

http://www.sbopkg.org/downloads.php

Влизате в директорията където се е свалил файла през конзолата като root.

Инсталирате го с тази команда:

installpkg sbopkg-version-noarch-1_cng.tgz

Пишете sbopkg в конзолата и влизате в програмата.

Първо даваш Sync, за синхронизация на пакетите.

После отивате на Browse, -> multimedia и намираш flash-player-plugin и цъкаш OK.

Давате Build, на следващият въпрос отговаряте че си съгласен (направо да се инсталира) и имате работещ Flash.

Същото е за други програми, пример: phpmyadmin

Също така можете да отидете на Search пишете phpmyadmin цъкате на него давате инсталация и готово

ще го ползвам на PROLIANT DL360 G5 с debian 7.6

http://hicomm.bg/hronika/linus-torvalds-nedovolen-ot-linux-jadroto.html

Джеймс Ботъмли от компанията Novell цитира вътрешно изследване на Intel, според което производителността на Linux пада с два процента с всеки нов релийз. Така общото понижение на производителността за последните десет релийза е достигнало 12 процента.

Какво мислите за темповете с които се развива линукс?

На скоро реших да сваля ядрото от git  хранилището, за да го разгледам и бях потресен, до момента е писан около 1.5 Gb код, текущ код около 500Mb. Как изобщо се поддържа това нещо? Кой нормален човек се ангажира с подобно нещо? Трябва ли всички програми да са там?

Също четох, че малко куца стандартизацията и не се предвижда обратна съвместимост (в новата верися на ядрото, твоята програма може и да не работи).

До скоро се чудех защо дистрибуции като RedHat все още са на версия 2.6.30.

Потресен съм и от факта, че нови дистрибуции базирани на ядрото линукс, никнат като гъби след дъжд. Не мога да си обесня как някой може, да се нагърби с подобна задача. При положение, че има доста стари проекти със солиден брой разработчици, а ти тепърва трябва да откриваш топлата вода. Още по-лошо е, когато инсталират Ubuntu правят промени, записват новата болест на iso и го кръщават с ново име.

Голяма част от разработчиците, които работят по ядрото май са наети от колемите корпорации, за да се поддържа техния хардуер от линукс. Тези разработчици едва ли, ще ги интересуват нови решиния за оптимизиране производителността на ядрото, предполагам че е по-добре обратното. Понеже клиента ще се нуждае от по-нов и по-добър хардуер и ще се завърти колелото на икономиката.

Ако продължат нещата по подобен начин, не виждам добро бъдеще за линукс.

нещо подобно на ъптаим но за трафик от период време?