В продолжении темы о ядерной подсистеме графов Netgraph FreeBSD Netgraph на примере Ethernet тоннеля попробуем посчитать трафик используя протокол Сisco netflow.

В прошлом обзоре мы познакомились с модулями ng_bridge, ng_ether и ng_ksocket и построили на их базе Ethernet тоннель через интернет, а сегодня я расскажу как, используя дополнительные модули netgraph, посчитать трафик, проходящий по этому тоннелю.

Всем привет.

Думаю многим системным администраторам, работающим с FreeBSD, известно о существовании ядерной подсистемы Netgraph. Но не многие знают/понимают как это работает, и что из этого можно построить.

Расскажу что это такое, а также разберу на простом примере сборку Ethernet моста через интернет.

Не секрет, что многие, до сих пор, прописывают тэги во всяких cp1251 и KOI-8R — после чего их не понимают ни телефоны, ни плееры (некоторые) и с проигрывателями под linux бывает много проблем.
Больше всего неприятно, то что при загрузке новой музыки, ты не можешь быть уверен в какой кодировке идут тэги и вот добавив в свой проигрыватель ты обнаруживаешь нечитаемые символы вместо названия трека, исполнителя и альбома. А ведь оно еще и на last.fm скроблится в таком виде.

Можно использовать EasyTag и прочие редакторы тэгов.
Но чаще всего, мне надо только поправить кодировку, а тэги прописаны верно.

До этого, я всегда пользовался простым shell скриптом, но решил немного облегчить задачу.

Недавно, ползая по аппстору, я наткнулся на программу оплачивалок Киви. Только успел обрадоваться, как оказалось, что программа сделана ужасно. Странно, что такая большая компания позволила себе выпустить такую чушь. Вот я и перерисовал их интерфейс :)

Дисклаймер: все нижесказанное — мои личные мысли, не ставящие целью дискредитировать упомянутые системы и их производителей.

Коротенько о себе: я занимаюсь сетевой безопасностью. 8 лет. Специализируюсь на cisco (CCIE Security).

Я сам настороженно отношусь к обоим системам (Торрент, Скайп). Но все никак не мог сформулировать, что же мне так не нравится. И вот сейчас я попробую по возможности объективно рассказать, что же меня тревожит.

Но для начала я напомню уважаемым хабрачитателям, что такое ботнет, с чем его едят и почему он так опасен.

Ботнет — объединение разрозенных компьютеров, находящихся под одним вредоносным управлением. Ботнеты делятся на активные и пассивные. Компьютеры в активном ботнете знают, что ими удаленно управляют. В пассивном — нет.

Как же компьютеры попадают в ботнет? Как правило, для этого используются трояны (устанавливаешь на компьютер одно, а параллельно тебе ставится незаказанное), рассылаемые с почтой, черви (самораспространяющийся по сети вредоносный код), программы на самозапускающихся флешках и т.д. Главная задача — установить на компьютер программу, которая будет «стучаться» (пытаться соединиться) изнутри межсетевого экрана наружу на хосты управления (call-home). Как только зараженный компьютер достукивается до сервера управления, по установленной сессии им можно поуправлять.

Первые два мероприятия серии были программистские, на этот раз мы решили отойти в сторону от программного кода и попробовать снять кино. Эксперимент удался. Собрались 140 человек из Москвы, Воронежа и Петербурга.

Обратил сегодня внимание на график раздачи в utorrent:


А именно, на разницу между величиной overhead в начале графика и близко к концу.
Работаю в саппорте провайдера, решил поделиться прекрасным с админами.

Выяснилось: на оборудовании провайдера в середине дня был частично зарезан udp-трафик (та его часть, которую можно связать с uTP).
Причина — в неэффективном использовании канала по uTP-протоколу — очень велико число пакетов маленького размера.

Детали тут (тема на форуме, связанном с интернет-провайдингом).

Итог: релиз uTorrent с поддержкой uTP привел к обратному эффекту: увеличилась нагрузка на маршрутизаторы, снизилась эффективность использования канала.
После блокировки uTP «полезная» скорость выросла.

Предыстория:

Перед Новым годом ко мне в руки попался плеер от IconBit — HD40NMT, мне он очень понравился — не шумит, маленький и всеядный. Так сказать необходимая вещь в доме, его очень удобно использовать в замен плеера — xb0x360/ps3(сгорела). Скажу сразу, в качестве источника аудио/видео контента выступает домашний медиасервер, собранный на стареньком атлоне под линуксом, с самбой, торрентом и UPNP сервером.
40NMT я покупал в подарок, а пока собрался купить себе, на рынке появился: HDS41L.
Мне в нем понравилось то что, внешне он такой же как 40NMT, но в него самого еще можно запихнуть ноутбучный-HDD, что дает:

1. Дополнительное место;
2. Возможность установки доп. приложений например торрент клиент(в 40NMT для этого нужен внешний диск).

История:

Купил я себе это чудо, подключил, воткнул в него диск на 40GB (остался от PS3), настроил — супер все работает, все показывает.

Включил ребенку мультики «Ну Погоди!» — на четвертой серии замечаю, что картинка сыпется (как спутниковая/цифровая), я следующую, следующую серии — все то же, мотаю на первую — картинка сыпется, хотя до этого шла нормально!
Попробовал запустить тяжеловесный MKV — смотреть не возможно.

Следственными органами Следственного комитета при прокуратуре Российской Федерации по городу Москве расследуется уголовное дело, возбужденное по признакам преступления, предусмотренного ч. 2 ст.146 УК РФ (незаконное использование объектов авторского права, совершенное в крупном размере).

По данным следствия, 26 января 2010 года житель города Москвы за денежное вознаграждение в размере 1,5 тысячи рублей записал на жесткий диск ЭВМ контрафактную программу «Autodesk AutoCAD» русская версия, авторские права на которую принадлежат компании Autodesk, стоимостью более 106 тысяч рублей.

Ежедневно наблюдая груду старого и уже никому не нужного железа, решил соорудить из запчастей NAS (ну, а что еще?). Корпус было решено делать самому, ибо:
1) хотелось чего-то необычного 
2) хотелось поработать руками 
3) и это интересно в конце-концов!
Сначала выбор пал на старый Cel433 и какую-то вообще безымянную мат. плату, которую впоследствии заменил на фирменную штеудовскую, и Cel433 на Cel600 — хотя производительности первого вполне хватало.

Недавно, в ноябре, на gzt.ru (вот здесь) была статья о том, что президент провел видеоконференцию с министром внутренних дел и главой ситуационного центра МЧС (писал небезызвестный Максим Кононенко ака Mr Parker). Материал сопровождался фотографией президента с необычным гаджетом. Кстати, источник фотографии — Associated Press). Тогда блогосфера живо обсудила эту фотографию, а мы нашли оригинал — тот самый чемоданчик, вокруг которого возникло столько дискуссий.

Мне довелось вживую пощупать этот, так, сказать, нетбук :). Назвать это полноценным обзором не могу — домой поиграться эту штуковину не дали, но хэндсон получился полноценным.



Итак, что такое TANDBERG Tactical MXP?

Компактная переносная система мобильной и мультимедийной видеосвязи для использования в наиболее удаленных точках и экстремальных условиях…

Вступление

Недавно мне потребовалось перенести несколько сайтов различных клиентов на нормальный выделенный сервер (не виртуальный). Я давно выбирал, где лучше арендовать сервер и выбором стала немецкая компания Hetzner Online и ее тарифный план DS 3000 (AMD Athlon 64 X2 4200+/2Gb DDR/2x160Gb HDD — как выяснилось потом — на сервере оказалось два винчестера по 320Гб).

Но мне не хотелось всех размещать на одном сервере. Поэтому было решено сделать виртуальные машины на базе технологии XEN (к тому же в придачу к серверу на ТП DS 3000 Hetzner Online бесплатно выдает 6 IP-адресов, которые очень удобно будут смотреться для отдельных проектов). В Сети можно найти много информации по теме настройки и самого XEN'а на Debian'e и настройки роутинга на нем, поднятии виртуалок на LVM (lvm дает большее быстродействие, чем виртуалки на базе image-файлов), даже в вики самой фирмы была информация об этом (но на немецком — Google Translate нам в помощь). Но. Было одно «Но». Она вся была разрозненная и кусками. Я нигде не смог найти толкового пошагового руководства для настройки «от» и «до».

Поэтому, всем кому интересна эта тема,

Я уже привык, что на мою почту, которой уже около семи лет, приходит куча спама, причем самого разного: от дальних родственников из дальних стран, завещающих мне миллионы денег, до банальных предложений увеличения всего и вся и незамедлительного применения этого на практике. Я отношусь к спаму даже немного с позитивом: открываешь почту, а там много писем, и сидишь вскрываешь как лотерейные билетики – что по делу, а что выкинуть.

Но пару недель назад стали одно за другим сыпаться письма от недовольной «администрации Mail.ru», что якобы мой почтовый аккаунт рассылает спам и я нехороший человек. Первое письмо даже немного удивило, настолько оно было похоже по стилю и формату на сообщения от настоящей администрации. Само собой письма были фиктивные, а ссылки, по которым предлагалось перейти были липовыми и вели на сайты для кражи паролей.

Трансляция сетевых адресов (Network Address Translation, NAT) — это подмена какого-либо адреса или порта в пакете. Она, как правило, требуется на границе между сетью компании и провайдером Интернет. Однако, это далеко не единственная задача. Рассмотрим несколько типичных задач и способы решения при помощи межсетевого экрана ASA.

Для начала определимся с терминами. Как вы уже знаете, на ASA при помощи сравнения уровней безопасности интерфейса-источника и интерфейса-назначения легко определяется направление «наружу» и «внутрь» межсетевого экрана (ситуацию с одинаковыми уровнями безопасности рассмотрим отдельно).
Обычно разделяют внутреннюю (inside) и внешнюю (outside) трансляции. Внутренняя трансляция подменяет адрес источника при выходе «наружу» межсетевого экрана, а внешняя трансляция подменяет адрес источника при проходе «внутрь» МЭ.

Про сборку ядра, кажется, не писал только ленивый. Мануалов о том, как правильно скомпилировать ядро и собрать его в установочный пакет, в интернете навалом.
Не так давно статья про сборку ядра для Debian based систем пробегала и на Хабре. И все в принципе отлично, если учесть, что
ядро требуется собирать не так часто.
Тем, кому по воле случая требуется регулярно заниматься сборкой ядра, может надоесть этот весьма длительный процесс компиляции и сборки пакета и захочется некоторой автоматизации.
Я не против консоли, bash скриптов, но иногда нет смысла изобретать велосипед, когда за Вас уже все сделали хоть и на питоне.
И так, представляю Вашему вниманию набор python скриптов Kernel Check, позволяющих сделать свежий debian package ядра, включая необходимые патчи, всего за пару кликов.

Недавно переехали в новый район? Не хотите, что бы ваш ребенок заблудился в городе? Хотите что бы такси доставляло вас по адресу не зависимо от того, сколько выпьете? Тогда новая старая Nokia для Вас! =)

Работая долгое время области банковского ПО, а в частности по всяким электронным платежам, вместе с коллегами я составил мини-ЧАВО на тему банковских пластиковых карт. Многие вопросы очевидны, а некоторые могут быть весьма туманными. В России бизнес пластиковых карт набирает обороты, что приятно, и лучше быть подкованным по «матчасти».

Итак, 10 распространенных заблуждений.

GnuPG (GNU Privacy Guard ) — открытая реализация PGP, совместимая со стандартами OpenPGP ( RFC 2440 ). GnuPG позволяет шифровать, расшифровывать, подписывать и верифицировать электронные сообщения при помощи пар ключей ( RSA по-умолчанию ). Наиболее частое применение GnuPG — в шифровании электронной почты и проверки подписи файлов, выложенных для скачивания. Но есть возможность использовать и в других протоколах: например, PSI (Jabber-клиент) поддерживает GnuPG и позволяет поточно шифровать переговоры.

Рассмотрим установку и первичную настройку GnuPG для трёх ОС: Windows, Mac OS X и Linux.
Подразумевается, что читатель имеет достаточные знания для того, чтобы выполнить несколько команд в консоли ОС (CMD/Terminal/xterm соответственно).

Тут речь идти будет не просто про компиляцию ядра Linux, а про компиляцию ядра и его сборку в deb-пакет. Потом этим deb'ом можно будет поделиться с знакомыми, похвастаться перед любимой девушкой/парнем или просто, при необходимости, использовать повторно.