Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - HanzHanz

Stran: [1] 2 3 4
1
Desktop / Re:Firefox "sežere" celou paměť / Manjaro
« kdy: 01. 02. 2022, 20:42:45 »
Mohu potvrdit, zátěž paměti je skutečně nízká. Teď aktuálně asi po 2 týdny nonstop spouštěném prohlížeči má celých 100MB , kdy mám asi 60 tabů v 4 oknech na 4GB RAM kompu (90% commit).
Je možné že v chrome je to jinak než ve ff. taky může záležet na nějakém middleware-rozraní mezi extension a browserem, marshallingu, gc... než na "samotnym extension".

Nevím, jak autor k tomu došel a jaká má říšla.


Já mám jisté podezření na requestAnimationFrame.


Nijak detailně jsem to už nezkoumal, pouze jsem uBlock vypnul pro EP doménu. Když je záložka Eurosport Player pouze načtená, ale nepřehrává se video, paměť to nežere.

2
Desktop / Re:Firefox "sežere" celou paměť / Manjaro
« kdy: 26. 01. 2022, 13:33:16 »
Ahoj, netušíte někdo proč na plně aktualizovaném desktopu s 32GB RAM Firefox s otevřenou jednou záložkou (Eurosport Player) při přehrávání videa postupně vyžere celou paměť až do vytuhnutí systému? Dá se tomu nějak předejít?

Těžko to profilovat když neznáme přesnou URL a i kdybychom znali, Eursport Live nemám předplacený. Ale spíš než stránku alokující paměť bych z toho v tomto případě podezříval nějaké špatně napsané rozšíření. Eurosport Player se podle profileru minimálně bez přehrávání videa chová k paměti celkem korektně.


Ahoj Martine, díky za tip, ano paměť vyžíral uBlock Origin... Vyřešeno, děkuji!

3
Desktop / Firefox „sežere“ celou paměť / Manjaro
« kdy: 26. 01. 2022, 11:17:20 »
Ahoj, netušíte někdo proč na plně aktualizovaném desktopu s 32GB RAM Firefox s otevřenou jednou záložkou (Eurosport Player) při přehrávání videa postupně vyžere celou paměť až do vytuhnutí systému? Dá se tomu nějak předejít?

4
Windows a jiné systémy / Re:Apple M1 - unzip = kernel panic
« kdy: 22. 10. 2021, 20:27:56 »
Tak mi to nedalo a taky jsem vyzkoušel... MBA M1, 30GB zip, rozbaleno bez problému.

5
Hardware / Re:Balíčky z Aliexpresu
« kdy: 05. 10. 2021, 21:15:10 »
Kolik % věcí je skladem v EU? Já tipuju tak 2-5% a to jsem ještě hodně optimista....Malý levný věci nejsou skladem v EU snad nikdy...

Snad rouzumíš psanému slovu... Já neříkám, že je to skladem v EU, jen že to prodejce dokáže dostat do země EU a zásilka je z této země odeslána. Mých cca 50 posledních zásilek proběhlo zcela v pořádku a ano, dodací lhůta je klidně stejně dlouhá jako z Číny, tedy 30 - 60 dní.

6
Hardware / Re:Balíčky z Aliexpresu
« kdy: 04. 10. 2021, 20:39:45 »
Stačí si vybrat prodejce s odesláním zásilky z některého EU státu a je po problému se clem i DPH. Číňan je vynalézavý :-)

7
Nabízím zakázku / Programátor C++/Python
« kdy: 12. 07. 2021, 10:10:05 »
Hledám programátora pro dlouhodobější spolupráci. Může být i student. Vývoj a postupné rozšiřování malé desktopové aplikace client/server pro Windows, později i MacOS. Výborné finanční ohodnocení. Případné zájemce prosím o poslání SZ s kontaktem.

8
Jendo ještě jednou díky, už jsem na to přišel. I ve virt-manageru je možnost vytvoření "uživatelské relace", s výběrem sítě "uživatelské síťování" a pak se to chová přesně jak jsi mi poradil.

Vyřešeno. Díky!

9
Jen ve výše uvedeném řádku musím nechat uživatele "user", když ho změním na nově vytvořeného "fw" tak mi to hodí chybu - Invalid parameter "fw".
wtf, to není jméno uživatele, to je typ síťového rozhraní…

OK já nikdy takto VM nespouštěl a popletlo mě to vytvoření novýho uživatele (jsem vytvořil novýho uživatele OS :-))

A netušíš proč to nejde blokovat pro uživatele "nobody": iptables -A OUTPUT -m owner --uid-owner 65534 -d 192.168.0.240 -j REJECT

10
Pro: Jenda

Ještě jeden dotaz. Když spustím VM z virt-manageru, tak je VM spuštěna pod uživatelem "nobody", který má user id 65534.

Proč nefunguje toto: iptables -A OUTPUT -m owner --uid-owner 65534 -d 192.168.0.240 -j REJECT

11
Takže mám vytvořit jiného uživatele a pod ním spustit VM a pak přidat ta pravidla?
Ano.

A pravidla přidat na KVM host ok?
Ano, kde jinde bys je taky chtěl přidávat? Ve VM být nemohou, když není důvěryhodná.


Jendo jsi borec funguje to!

qemu-system-x86_64 -enable-kvm -net user,hostfwd=tcp::10022-:22 -net nic -drive file=debian.img,index=0,media=disk,cache=unsafe -m 2048

Jen ve výše uvedeném řádku musím nechat uživatele "user", když ho změním na nově vytvořeného "fw" tak mi to hodí chybu - Invalid parameter "fw".

Nevíš jestli by se dala tímto způsobem VM spouštět automaticky přes virt-manager nebo virsh?

Každopádně moc děkuji!

12
Ale mně to funguje. Když pustím jako user s UID 1000 VM tímto příkazem:
Kód: [Vybrat]
qemu-system-x86_64 -enable-kvm -net user,hostfwd=tcp::10022-:22 -net nic -drive file=debian.img,index=0,media=disk,cache=unsafe -m 2048a následně udělám
Kód: [Vybrat]
iptables -A OUTPUT -m owner --uid-owner 1000 -d 192.168.11.0/24 -j REJECT
iptables -I OUTPUT -m owner --uid-owner 1000 -d 192.168.11.1/32 -j ACCEPT
tak se dostanu na net, ale nemůžu se připojit na jiné počítače v síti. Blbý je že nefunguje ping (https://wiki.qemu.org/Documentation/Networking), zkoušel jsem to pomocí wgetu. A je tam návod jak ping rozchodit (nezkoušel jsem).

Takže mám vytvořit jiného uživatele a pod ním spustit VM a pak přidat ta pravidla? A pravidla přidat na KVM host ok? Děkuji.

13
Tak se teda pleteš. Tímto zablokuješ KVM host/server, ale VMs komunikují se sítí nadále a naprosto v pohodě...
Si myslím že tohle nejde protože na bridgi se používají ebtables, ne? (předpokládám že používáš bridge. Pokud používáš natovanou síť v userspace, tak bych spustil virtuál pod jiným uživatelem a omezení mu nastavil pomocí iptables match UID. Můžeš používat natovanou síť? Asi jo, ne, když je LAN stejně za NATem, tak to už ničemu neublíží. Ale nezkoušel jsem to, je možné, že user network jde „někudy jinudy“ a tohle fungovat nebude. Je to jenom nástřel.)

Ahoj Jendo, děkuji za odpověď.

Ano, jak jsem psal výše: Když na VM přidám pravidlo: iptables -A OUTPUT -d  192.168.0.200 -j DROP zablokuju tím přístup VM na 192.168.0.200. Ale potřebovat bych tohle pravidlo udělat na KVM HOSTu, abych to nemusel na každý VM definovat zvlášť.

Takže, jo, dokážu zablokovat provoz přímo na VM (ať už konkrétní adresu nebo celou síť 192.168.0.0/24), ale nedokážu toho samého dosáhnout na KVM host, abych to nemusel pro každou VM definovat zvlášť. A je jedno jestli VM jede v řežimu NAT nebo bridge (macvtap).

14
Doplnění pro: Radek Zajíc

KVM host (server) běží na Manjaru

VMs jsou Linux Mint 20.1, W7 a W10

15
Jak velky problem je proste vymenit router za neco schopneho provozu s VLAN?
Jak je pripojeny PC? Kabelem nebo pres WiFi?
Ty virtualni stroje vyuzivaji pripojeni k lokalni siti v rezimu NAT nebo bridge?

Jakz-takz bezpecna varianta je:
- zmenit konfiguraci virtualniho stroje, aby pouzival rezim bridge (virtualni stroj musi dostat IP adresu primo z lokalni sité tedy asi 192.168.0.x)
- povolit na hostitelskem stroji (ne ve virtualu) netfilteru, aby na bridge filtroval pravidla (hledejte googlem "bridge-nf-call-iptables=1", je to sysctl nastaveni)
- pridat na spravne misto ve firewallu pravidla, aby virtualni stroj mohl pristupovat jen na gateway; pokud je gateway 192.168.0.1 a adresa stroje 192.168.0.128, pak to bude neco jako
iptables -A INPUT -s 192.168.0.128 -j DROP
iptables -A FORWARD -s 192.168.0.128 -d 192.168.0.1 -j ACCEPT
iptables -A FORWARD -s 192.168.0.128 -d 192.168.0.0/24 -j DROP
iptables -A FORWARD -s 192.168.0.128 -d 0.0.0.0/0 -j ACCEPT

Konkretni realizace samozrejme zalezi na tom, jak se nastavuje firewall, jestli se treba nepouzivaji nftables, jaka distribuce se pouziva, atp.
Dal to taky neblokuje IPv6, takze scany po IPv6 porad budou mozne.


Tak mi to bohužel komunikuje nadále. VM používá bridge Macvtap s přiřazením názvu fyzické síťovky hosta (enp8s0). VM dostane od routeru adresu 192.168.0.14. Povolil jsem tedy sysctl net.bridge.bridge-nf-call-iptables=1 a napsal pravidla v pořadí jak jsi uvedl (samozřejmě s adresou 192.168.0.14). Je to divný, nevím proč to nejde.

Stran: [1] 2 3 4