Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - Ħαℓ₸℮ℵ ␏⫢ ⦚

Stran: 1 ... 4 5 [6] 7 8 ... 23
76
Sítě / Re:Účinkuje rp_filter i na příchozí pakety?
« kdy: 17. 05. 2023, 21:46:58 »
Ten odstavec o rp filtru s hodnotou 1 jsem zmotal. i když to s původním dotazem nesovisí.
Oprava.
Žádné přerušení ssh(router sám) , to jelo. Dál, Ale utlo se veškerý spojení z internetu portforwardované(zDNATové z veřejného kkonce tunelu ; ovšem nikoli zSNATované kvůli zachování IP) do vnitřní sítě.
Kód: [Vybrat]
martian source 192.168.1.39 from 48
.24.166.r, on dev tun2


Uplně přesně tomu nerozumím, protože inet provoz může přicházet z wlan0 ale i tun8

přestože routovaí tabulku mám
Kód: [Vybrat]
ip r s t tunelic
default via 10.22.8.2 dev tun2
10.22.8.0/24 via 10.22.8.2 dev tun2
192.168.1.0/24 via 192.168.1.250 dev eth0
ip r s
default via 192.5.1.11 dev wlan0
192.5.1.11 dev wlan0
192.168.1.0/24 dev eth0


77
Jináč už jsem si to ověřil ten rp_filtr nepropustí neproforwarduje pakety dál, když ip  je v blackhole. (neověřil jsem to pro INPUT)

, byl to trochu pain, jelikož jsem za NATem, kam ani česká pošta nedoručí paket, takže jsem si musel wan1 vyrobit z tunelu. Na něm jsem měl rp filtr 0 a nastavení na 1 mi utlo komunikaci ještě bez blackholováním (zkoušel  jsem pracnější  variantu Forward - kdy vzdálený konec DNAToval ne na samotný router, ale na stroj v síti uvnitř) což koresponduje s variantou strict rp filter,. (Teď už sivysvětlení nepamatuju, věděl jsem to když jsem to ladil a náhle mi zamrzlo ssh(přes tunel) jakmile jsem dal rp_filtr 1)


Díky forward jsem viděl na routeru zda paket potenciálně projde vstupním i výstupním rozhranim.

S rp_filtrem off(0) byly forwardovany SYN pakety, zařízení v síti poslalo SYN+ACK(o blackhole nix neví), ale ty logicky  přes router neodešly přes blackhole.

ale musel jsem dát rp filter 2..


Což můj setup nerozbilo. Pak jsem mohl dát blackhole a viděl, že ani příchozí pakety nejsou forwardovány. Tudíž ani zařízení v interní síti ani nemělo na co odpovídat.




Taky mimojiné jsem jsem nemohl dávat ip r add blackhole do defaultní routovací tabulky ale to té patřící pro tunel.



Což mě přivádí k otázce, jak rp_filtr funguje v přítomnosti víc routovacích tabulek.... Resp paket se routuje podle právě jedné routovací tabulky?


Ještě , že jsem si zkopíroval text příspěvku a po přihlášení zkontroloval, že formulář se změnil na Nové téma...  >:(

78
Fakticky x.y.z.ž nemůže za nějakým rozhraním, když je blackhole
Kód: [Vybrat]
pp@id:~ $ sudo ip r add 3.3.8.8 dev wan0
pp@id:~ $ sudo ip r add blackhole 3.3.8.8
RTNETLINK answers: File exists
pp@id:~ $ sudo ip r add blackhole 3.3.0.0
pp@id:~ $ sudo ip r add 3.3.0.0 dev wan0   
Totéž
RTNETLINK answers: File exists
(citace je vytržená z kontextu, patří tam i ta poznámka o  blackhole záznamu)

Jináč jde o globální internetovou adresu za norm.okolností  , jejíž flow by šlo přes wan0. Doufám, že už si rozumíme.


2.(podružný detail off topic)
 v čem je to podstatné, chová se to jako routa. Kváká to jako routa...

79
Sítě / Re:Účinkuje rp_filter i na příchozí pakety?
« kdy: 17. 05. 2023, 19:08:17 »
 Možný byl dotaz špatně pochopen a určitě tomu nepomohlo odstranění blackhole z nadpisu.  blackhole a rp_filter byly nedílné podmínky.
 Chtěl jsem to napsat sáhodlouze, ale nakonec jsem sklouzl k zvýraznění "i" příchozích. Logicky - odchozích se to týká - to přímo je smysl routovací tabulky. Ta odpovídá na kam?.

Ale dobré bylo upozornění na rozlišení paketů originujících a forwardovaných(nebo jinak router v koncový člen). (i když to já v dotazu hážu do jednoho pytle)...

→→→

Čili můj dotaz, za předpokladu zapnutého rp_filtru (v případě že jde o router) a  záznamu v routovací tabulky blackhole x.y.z.ž:

Přijde-li na rp-filtrované rozhraní (pro ilustraci wan0) paket s danou zdrojovou adresou(xyzž=zdroj), je  zahozen? A liší se to nějak, když cíl paketu je přímo lokální a nebo v jiné síti(byl by forwardován, například z rp-WAN do LAN).

Tedy uplatní se kontrola rp_filtru, že src paketu, který přišel z wan0 , vychází na blackhole a to je velký  špatný protože to nesouhlasí 
 

dotaz  kde jen zaměním cílovou a zdrojovou adresu (xyzž=cíl) za cílovou považuju za bez předmětný- to přeci je podstata ip route blackhole, že pokud cíl paketu je  v blackhole, je zahozen


expert note: nevím jestli je podstatné, že blackhole technicky vzato je TYPE záznamu a ne VIA routovacího záznamu (ip route add help: ROUTE - NODE_SPEC atd)

a poznámku "dává smysl u UDP" beru zpět, dává to i smysl u TCP(příchozí spojení z WAN), ale u UDP je to viditelnější na pochopení

80
Sítě / Účinkuje rp_filter i na příchozí pakety?
« kdy: 17. 05. 2023, 13:44:25 »
Pokud si dám přes sudo ip route add blackhole x.y.z.ž,  budou při zapnutém rp_filter blokovány i příchozí pakety? (dává smysl u UDP)

81
Je mi ctí, že mohu první poradit průkopníkovi slepých kuliček. Pro získání informací o "krachu" na newyourské burze  příště pouštěj program z terminálu - uvidíš v něm debug dump v reálném čase, třeba že gnome se nepodařilo vykreslit nějakou dekoraci okna atd...

jak to udělat - přes htop se dívej, který proces (s jakými argumenty se spustí) a pak to jen předej do toho terminálu. (Což ale není 100% jistota, třeba se to spuští přes wrapper nebo triple thick fork, zrovna u snapu bych nějak sázel, že tam bude nějaká argumentová litanie)Ono to občas mívá i barevný textov výstup.


s těmihle gadgety, snapflaty, flaky nemám zkušenosti , ale ta hláška (jestli si to /shared/ nezkrátil) mi evokuje jako kdybys chtěl celý flatpak prostředí smazat.


PS: nejede náhodou snap /flat v kontejneru   ;D ???

82
Dnes jsem zaznamenal asi druhý jiný projev zvláštního omezení linuxu, který  bych chtěl nějak vysvětlil. Určině to není jen vlasnost  exfat. Kde bych se tomto fundovaně dočetl víc a podrobně?

Kód: [Vybrat]
encfs -f ~/lower /mnt/exfatfs
Heslo pro EncFS:
fusermount: mounting over filesystem type 0x2011bab0 is forbidden

encfs -f ~/lower /mnt/ext4flashkatreba
Heslo pro EncFS:
#provedeno

Bohužel první projev chyby už si nevspomenu co to bylo. Ale byla to jiná chybová hláška (asi ne tak přímá)

Jde o principiálníchybu exfat, chybu implementace (s exfat to bylo turbulentníposle 3 roky) nebo je to někde blacklistováno? A proč to nejde. Co musí být za podmínky splněné aby to šlo.

A taková uplně mimo systém otázka: lze mountnout do míst, kde žádný fs neexistuje? Blíží se tomu "/" ?

83
Přesné znění toustu:
An error occured while opening file
(I v příloze)

Proč se kurva otvírá když už otevřen byl a četl jsem si v něm?!

84
Nechápu na jednu věc na mem smartphonu s androidem 11, Otevřel jsem si    vzdálený pdf dokument  z NAS normálně z aplikace Soubory, tudíž v hlavní nabíce Soubory jsem dal cifs documents provider- server - umistění -  klikl na soubor.


Budiž se otevřela aplikace "com.gsnathan.pdfviwer aka "Pdfviewer plus" s dokujementem . Ikonka síťového trafficu na tick ukázala nízké kilobyty. Za mě dobrý!!!


O několik hodin později jsem se na dokument chtěl podívat, vyvolal sem aplikaci, ihned se ukázalo záhlaví programu,který kurva neumí fullscreen takže v landscape modu  je už tak super-širokoúhlý displej ještě nudlovitější kvůli horní liště s názvem souboru a dolní liště s tlačítky Otevřít Sdílet Kopírovat Tisknout, které hádám použije  člověk 0.000001 krát na jedno otevření dokumentu, tudíž jsem z toho nabyl dojem, že aplikace nebyla sestřelena androidím postrachem androidu zvaným zabiják aplikací. Myslím, že ho lineageos ani nemá. jen málokdy se i stalo že by aplikace zmizela(ale má to víc stupňů, někdy zůstane v gaelerii aktivit a někdy ne, hádám v první případě crashne, v druhém ji něco zavře a zabiják androida o to ví)



Z  jakého důvodu se o bleskovém zobrazení aplikace zobrazil notifikační toust (zakulacený obdéleníček v dolní části displeje) s textem něco jako File inaccessible???? a bílou plochou místo dokumentu

Z způsobu animace bylo vidět, že se aplikace pdf restorla (animace zvětšení ze středu obrazovky) místo otevřela nově (zárověň vyjíždí jakoby zespoda)

Wifi jsem měl samozřejmě  pak vypnuté, očekával jsem, že soubor soubor logiky musel být v paměťovém prostoru aplikace načten.

85
Vidím několik chyb...
Pokud tomu nerozumí, měl nechat přetažení dat na servisu.

Aha, tak tím se vysvětlují přemrštěné ceny jablečných zařízení, když standardem je, že ovce kvůli zkopírování dat chodí do servisu, přece ty lopaty iGeniusové neubudou zapojovat Lightningy a mačkat "cp /mnt/iphone6 /mnt/iphone7" zdarma.

86
Server / Je takýto výkon VPS OK?
« kdy: 18. 04. 2023, 15:22:33 »
Zdravím jsem rozpačitý z nového VPS. Když se k němu přihlásím po dlouhé době, spuštění prvního příkazu (journalctl, ip, lscpu) trvá tak 2 až 5 sekund, pak už normální opakovně (do nějaké doby - nevím 10 minut až hodina.) Disky tam jsou prý SATA a vlastně mi tam nebeží nic, co by dělalo diskové IO (v podstatě jen síťové služby bez zápisu na disku)

Ale dělá to jen někdy, vždy to není

Je to nejnižší tarif s nějakém omezením cpu na 1GHz, jednojádro. Hledali byste problém v pomalém disku nebo pomalém CPU? Skoro mám pocit, jako kdyby se tam rozjížděl zaparkovaný disk  ;D při každém loginu

Model name:                      Intel(R) Xeon(R) CPU E5-1650 v3 @ 3.50GHz
Stepping:                        2
CPU MHz:                         3586
CPU max MHz:                     3800,0000
CPU min MHz:                     1200,0000
BogoMIPS:                        6999.85

87
Server / Optimalizace TCP-in-TCP v SSH
« kdy: 13. 04. 2023, 11:09:10 »
O problému TCP-in TCP vím, ale je možné nějak čátečně tento problém odbourat nějakou optimalizací parametrů TCP? (Na spodní vrstvě - tedy na straně ssh-sshd ). Ani ne přes system-wide nastavení, to by ovlivnilo celý systém. Je mi divné, že ssh toto ještě pořád nějak neumí, pokud si pamatuju. Přejít na tunelování přes UDP je samozřejmě řešení. Nějaké speciální parametry pro ssh, jako sack, retransmit, fast open, nodelay... Jde vůbec nějak TCP "downgradovat" co nejblíž k UDP, i s vědomím, že chci rovnák  a ohejbák?


A když už jsem u toho,  jsou u `ssh -R` a u `ssh -w`  identické problémy s propustností resp. problémy s propadem rychlosti ? Obojí běhá po ssh, ale první je jen forwarding  jednotlivých TCP spojení, druhé je tunelování celé sítě. Takže tam teoreticky může být rozdíl, protože je to nějak jinak pospojované.
Tedy pomůžu si, když  změním jedno za druhé?



A třetí, hodně zvídavý dotaz, dá se nějak modelovat / odhadnout pokles rychlosti, když mám danou propustnost  a latenci linky tunelu (od ssh k sshd) a propustnost a latenci protistrany (anyone k konci tunelu)
Ani nevim, jesli tohle se dá nějak(dokonce univerzálně ) spočítat, musí to záležet na flagách a parametrech protistrany, což je široké spektrum OS, stacků, v jakém směru jde traffic, výkyvy v rychlosti odesílající strany..

Nějaký ,aspoň řádový odhad existuje nebo jde o nemožnou věc?
Dám příklad, z 24Mbps pokles na 4Mbps. Ale jen v jednom směru. Latence tunelu 100ms, latence protistrany 9ms, rychlost 999Mbps. Jiný koncový bod, pokles na 12Mbps

88
Hoří ! Baterka má 31°C a vybíjí se ampérem, jádro je zatížené na 100%:

Kód: [Vybrat]
~ $ su -c ps -e |grep ntsprov
u0_a190       24618    677       0      0 do_exit             0 Z [cumentsprovider]

Htop: hlásí v sloupci S hodnotu Z

Příkaz:su -c  kill -9 24618 neprovede nic

Všiml jsem si toho až o hodině když telefon měl najednou o 50% míň baterky


Zkusil jsem i klasicky vynutit ukonceni u "informace o aplikaci" (jak spravce souborů i onen "cifs provider")

Kopíroval jsem z lokalniho uloziste mobilu 300MB soubor ze sravce přes sdilet na cifs provider,poprvé se přeneslo 200MB pakse to nějak zpomalilo a nakonec zastavilo, tak jsem dal cancel

Zkusil zkopírovat podruhé - to se povedlo (60s  Na 5GHz)

Mám android 11, 8jádrový big.little

PS: proč ps. Htop ukazují cumentsprovider místo com.wa2c.documentsprovider?(jen u toho jednoho procesu; thread má plný název ale i jiné p/tid)

89
Zdravim,
 nekde  tu na foru z mnoha (mnohostrankovych) diskuzi o mailovem serveru ci zpracovani  e-mailu jedna , kde se resilo ze by bylo  vhodne  specifikovat (odesilajicimu)povolenou velikost zpravy az po prikazu rcpt to  from právě.

Myslim, ze to psal(prvotni zminku, pak se otom diskutovalo) někdo z praxe: Mcfly , Rda, ,...ale.i možná Filip jirsák.


On totiž je SIZE definován v helo už. Někde zmínilže by to otřeboval až je znamy RCPTfrom +to. Taky je otázka, jak se odesilajici server zchova kdyz prijme radek SIZE podruhe


(Ona jde zprava zamitnout vzdycky ale to je az po odeslani dlouheho bloku DATA. Mozna je tam i nejaka specialita u chunking,bdat)

Nešlo o celou diskuzi od zacatku  na tema poradi SIZE v smtp komunikaci, vobjevilo se až  prubehu (od 4.stranky)

(Jedna se o 250-SIZE 1234...890)

90
Bazar / Re:Prodám ODROID H3, nový, příslušenství
« kdy: 04. 04. 2023, 14:15:22 »
Já tedy viděl na webu max64GB

Max 32GB per slot

Stran: 1 ... 4 5 [6] 7 8 ... 23