Příspěvky

496

Server / Re:DNS v DMZ?

« kdy: 18. 03. 2021, 21:12:17 »

Resolvovat interní zóny může server běžící v DMZ potřebovat z následujících důvodů:
1) pokud potřebujete, aby stroje z DMZ navazovaly spojení do vnitřních sítí (skrz jednotlivě otevřené díry ve firewallu) na cíle udávané doménovým jmenem
2) pokud považujete za žádoucí, aby služby běžící na serveru byly schopné provádět reverzní DNS dotazy ("PTR") na IP adresy klientů z privátních sítí, kteří se připojují na služby běžící v DMZ.

Některý serverový software je by default nastavený, že pokud nefunguje reverzní DNS, tak služba buď hází chyby, odmítá klienty, nebo třeba trvá neúměrně dlouho, než "ťukajícího" klienta přijme apod. Ovšem z hlediska bezpečnostního je možná vhodnější, reverzní překlad v takové službě konfiguračně vypnout (a obejít se bez DNS jmen v logách apod.) než kvůli tomu dovolit DMZ, aby se vyptávala na věci z vnitřní sítě.
Toto na pozadí "least privilege".

Dál je to o detailech... co všechno v té DMZ běží, co je tam napadnutelné, co běží ve vnitřní síti, jestli je taková informace k něčemu užitečná = zvážit jak moc chci být vlastně paranoidní :-)

497

Sítě / Re:Nějaký devboard či box s 1×10GE a aspoň 2×1GE porty?

« kdy: 18. 03. 2021, 14:23:04 »

Škoda že není k dispozici datasheet RTL8125. Pokud byste měli někdo výpis 'ethtool -T' tak se pochlubte.

Jak tak koukám do zdrojáků, realtek phy driver nic neposkytuje a žádný realtek NIC driver neposkytuje nic jiného než ethtool_op_get_ts_info(), takže vrátí SOF_TIMESTAMPING_TX_SOFTWARE | SOF_TIMESTAMPING_RX_SOFTWARE | SOF_TIMESTAMPING_SOFTWARE. Nevím, co umí ten hardware, ale ať umí cokoli, driver to nepodporuje.

Ha. Ona to není celá pravda. Zkusil jsem se mrknout do zdrojáku, co je ke stažení u Realteku a ejhle:

Kód: [Vybrat]

int rtl8125_get_ts_info(struct net_device *netdev,
                        struct ethtool_ts_info *info)
{
        struct rtl8125_private *tp = netdev_priv(netdev);

        /* we always support timestamping disabled */
        info->rx_filters = BIT(HWTSTAMP_FILTER_NONE);

        if (tp->HwSuppPtpVer == 0)
                return ethtool_op_get_ts_info(netdev, info);

        info->so_timestamping =  SOF_TIMESTAMPING_TX_SOFTWARE |
                                 SOF_TIMESTAMPING_RX_SOFTWARE |
                                 SOF_TIMESTAMPING_SOFTWARE |
                                 SOF_TIMESTAMPING_TX_HARDWARE |
                                 SOF_TIMESTAMPING_RX_HARDWARE |
                                 SOF_TIMESTAMPING_RAW_HARDWARE;

        if (tp->ptp_clock)
                info->phc_index = ptp_clock_index(tp->ptp_clock);
        else
                info->phc_index = -1;

        info->tx_types = BIT(HWTSTAMP_TX_OFF) | BIT(HWTSTAMP_TX_ON);

        info->rx_filters = BIT(HWTSTAMP_FILTER_NONE) |
                           BIT(HWTSTAMP_FILTER_PTP_V2_EVENT) |
                           BIT(HWTSTAMP_FILTER_PTP_V2_L4_EVENT) |
                           BIT(HWTSTAMP_FILTER_PTP_V2_SYNC) |
                           BIT(HWTSTAMP_FILTER_PTP_V2_L4_SYNC) |
                           BIT(HWTSTAMP_FILTER_PTP_V2_DELAY_REQ) |
                           BIT(HWTSTAMP_FILTER_PTP_V2_L4_DELAY_REQ);

        return 0;
}

...atd. Dotyčný soubor se jmenuje r8125_ptp.c .

498

Sítě / Re:Nějaký devboard či box s 1×10GE a aspoň 2×1GE porty?

« kdy: 17. 03. 2021, 12:38:27 »

Škoda že není k dispozici datasheet RTL8125. Pokud byste měli někdo výpis 'ethtool -T' tak se pochlubte.

Jak tak koukám do zdrojáků, realtek phy driver nic neposkytuje a žádný realtek NIC driver neposkytuje nic jiného než ethtool_op_get_ts_info(), takže vrátí SOF_TIMESTAMPING_TX_SOFTWARE | SOF_TIMESTAMPING_RX_SOFTWARE | SOF_TIMESTAMPING_SOFTWARE. Nevím, co umí ten hardware, ale ať umí cokoli, driver to nepodporuje.

Odvedl jste práci za mě, děkuji :-)

499

Sítě / Re:Nějaký devboard či box s 1×10GE a aspoň 2×1GE porty?

« kdy: 17. 03. 2021, 11:21:43 »

Když 2.5 GbE tak snad raději Realteka ne?

Když vidím, jak to poslední dobou vypadá s jejich drivery (např. neustálé tanečky kolem toho, kde ASPM náhodou funguje, kde je rozbité a kde úplně rozbité) a jak Realtek "spolupracuje", tak... raději ne.

A hele, RTL8125, další hezký čip, nebo spíš rodinka...

Já bych byl k Realteku ohledně ASPM shovívavý. Tohle zlobí porůznu všem a už hodně dlouho. Pokud v daném případě nepotřebuju ždímat miliwatty spotřeby, což asi nepotřebuju nikdy, a něco mi v systému drhne směrem k periferiím, tak ASPM je první věc kterou vypínám. Bohužel vypnout ASPM v BIOSu na desktop/embedded motherboardech často nejde, k vidění je to spíš na serverových deskách... Ještě že Linux tohle umí vypnout i sám, tuším genericky.

Realteku palec nahoru za hezkou novou hračku a za údajnou podporu IEEE1588 (moje divná libůstka). Hm takže další čip, na který jsem zvědavý, a zatím kolem mě neprošel. Koukám že diskrétní karty tady prodává DeLock: 89531, 89532 (dual port! :-), 89564 . Hmmmmm ! :-) Škoda že není k dispozici datasheet RTL8125. Pokud byste měli někdo výpis 'ethtool -T' tak se pochlubte.

Jo kdyby tak Realtek protlačil funkční IEEE1588 TC šmahem do všech Eth switchů (nejlíp s volbou P2P nebo E2E), to by byla pohoda. Vedle čipsetů jde taky o podporu ve firmwaru. Zatím Marvell a Realtek nemají zřejmě dohromady nic a Broadcom se o něco snaží, ale co jsem viděl tak spíš kulhalo. Kdo má ve switchi PTP, má ho přilepené nějak po svém (FPGA v cestě MII).

500

Server / Re:Přechod z ext4 na ZFS - podstatné snížení rychlosti databázové aplikace

« kdy: 17. 03. 2021, 10:37:12 »

Bejvaly doby, kdy se databázím dával na hraní surový diskový oddíl (nebo disk), tzn. databáze nerada fungovala skrz filesystém :-) Jasně, uznávám, už je nové tisíciletí...

Za druhé, jste si jistý, že SSD je pro databázi přínosem? Zejména v situacích, kdy aplikace do DB především zapisuje, nejlíp spoustu drobných transakcí... Já flashkám nevěřím ani dobrýtro :-)

Ale pravda je, že pokud máte "po změně" nižší průchodnost na disky a zároveň vyšší zátěž CPU, tak to vážně vypadá spíš na vliv filesystému...

501

Sítě / Re:Nějaký devboard či box s 1×10GE a aspoň 2×1GE porty?

« kdy: 16. 03. 2021, 23:55:10 »

Popravdě mě hodně zajímají věci, které na tomto fóru nejsou relevantní: IEEE1588 PTP a potenciálně SyncE.

Pardon, SyncE v kontextu i225 je hloupost. Ale IEEE1588 ten čip podporuje - resp. obsahuje PHC a hardwarové registry pro snímání časových značek.

502

Sítě / Re:Nějaký devboard či box s 1×10GE a aspoň 2×1GE porty?

« kdy: 16. 03. 2021, 18:14:00 »

https://www.alza.cz/qnap-qxg-2g1t-i225-d6276557.htm

cituji:
Síťová karta přenáší data rychlostí až 20000 Mb/s
Přenosová rychlost  20 000 Mb/s

Asi nejaky overclockersky model, nebo Intel aplikuje Turbo a PL2 Tau i do tohoto.. jen to nejak nevyslo

no je to divný, kdyžtak 25 Gbps by v ethernetovém rastru vypadalo realističtěji :-)

Takováhle kartička v sortimentu QNAP je zjevně exot, a je to exot i na poměry alzáče. Z popisu produktů v e-shopech je vidět na první pohled, jestli kartu zakládal někdo disponující šedou kůrou a znalý svého zboží, nebo zelená obluda. Je to o lidech. A o předpokládaném obratu dotyčné skladové karty = jak moc si člověk dá záležet s popisem. Pokud je to víceméně "křoví na e-shop", tak někteří kolegové s oblibou převezmou Ctrl+Cizí/Ctrl+Vlastní původní popis produktu od výrobce, který bývá "marketingový", a tady ho možná někdo navíc pro větší přidanou hodnotu prohnal Google translátorem, načež provedl maximálně lingvistickou korekturu... garbage in, garbage out. Sorry za OT, do tohoto jsem taky fušoval...

503

Sítě / Re:Nějaký devboard či box s 1×10GE a aspoň 2×1GE porty?

« kdy: 16. 03. 2021, 16:13:15 »

Popravdě mě hodně zajímají věci, které na tomto fóru nejsou relevantní: IEEE1588 PTP a potenciálně SyncE. Což mi připomíná, že automotive segment má taky svůj profile PTP, ale v průměru pochybuji, že by zrovna tazatele toto zajímalo...

BTW ještě dva linky. Vím že jsem objevil ameriku s těmi motherboardy (gamesnické železo mě obvykle naprosto nezajímá) - viz první odkaz, diskuse pod deskou B550
https://www.czc.cz/asus-rog-strix-b550-e-gaming-amd-b550/289967/produkt/afmqj1b5bmh2q81duml4sn20he/diskuse
(BTW, respect CZC že necenzurujou)

A tady je dokonce nějaká fotka:
https://www.alza.cz/qnap-qxg-2g1t-i225-d6276557.htm
je mi ale otázkou, jestli tohleto odpovídá intelímu reference designu i225-T1.

Podepsat s Intelem NDA jsem už jednou zkusil, v případě, kde mi o něco doopravdy šlo. Takže už vím, že zkoušet to jenom tak ze štěněcí zvědavosti je ztráta času a marné úsilí. Prostě až to bude vidět u distributorů v ceníku, tak to mohu zkusit koupit a sám lupou na dílně zjistím, kterou to má revizi čipu :-)

504

Sítě / Re:Nějaký devboard či box s 1×10GE a aspoň 2×1GE porty?

« kdy: 16. 03. 2021, 15:48:43 »

A ještě jeden úlovek:
http://www.commell.com.tw/Product/Peripheral/PCI%20Express%20mini%20card/MPX-225.HTM
...jasně, u Taiwanců papír snese hodně (a co teprve PDFko) ale bez ohledu na dostupnost mi ta kartička přijde dost boží :-)

505

Sítě / Re:Nějaký devboard či box s 1×10GE a aspoň 2×1GE porty?

« kdy: 16. 03. 2021, 15:37:34 »

Teda zatím mi není jasné, jestli to jde aktuálně koupit...

Aha, tohle zřejmě čerstvě vyšlo:
https://ark.intel.com/content/www/us/en/ark/products/211808/intel-ethernet-network-adapter-i225-t1.html
Zkusím příležitostně slídit u distributorů - zatím to v ceníkách nevidím.

506

Sítě / Re:Nějaký devboard či box s 1×10GE a aspoň 2×1GE porty?

« kdy: 16. 03. 2021, 15:23:59 »

...v nesouvisející debatě na linuxptp-devel mě Miroslav Lichvář zrovna upozornil na existenci čipu Intel i225 (Foxville). 10/100/1000/2500 Mbps. Teda zatím mi není jasné, jestli to jde aktuálně koupit, nebo je to momentálně spíš vapourawre, každopádně to vypadá jako nástupce i210 a třeba v oblasti PTP by to mohlo umět zase pár vychytávek navíc oproti osvědčené i210. Ve vanilce to má připravený driver igc. Bohužel v1 měla nějaký HW bug, v2 měla vyjít na podzim... a bohužel není k nalezení slušný datasheet.

507

Sítě / Re:Vyplatí se optika?

« kdy: 13. 03. 2021, 13:25:07 »

Ad optika do sklepa: přiznám se, že jsem přesný mechanismus autentikace nezkoumal :-) Za těch 9 let od 2012 si pamatuju, že jsem se z emailové informace dozvěděl asi o dvou docela velkých upgradech aktivních prvků - aniž bych zaznamenal nějaký výpadek svého konzumního brouzdání. Aktuálně jenom komentuji, že teď při home office a home škole brečí ohledně slibů-chybů providerů všichni co mají ADSL, nejmenovanou dominantní kabelovku, něco na bázi LTE nebo WiFi... jedinej, kdo si nikdy nestěžuje, jsou ti s Tetím switchem ve sklepě :-) protože těm to "prostě funguje" a kapacity je stále dost.

508

Sítě / Re:Vyplatí se optika?

« kdy: 13. 03. 2021, 08:07:17 »

Máte pravdu, že optika končí v bytovce ve sklepě, dál je pár desítek metrů po baráku CAT5e. Jestli to dává pro ISP ekonomicky smysl? Nevím, asi to Teta půlce města už bůhví kolik let dotuje, přitom průběžně investuje do infrastruktury a o to celé se pečlivě stará :-) Dost lidí má nejspíš základní službu 50 Mb symetrických za 330 Kč měsíčně (která reálně pocitově nakope záď mnoha asymetrickým DSL a kabelovkám "až 200 Mbps" apod). Teta tu nižší rychlost omezuje rate limitem na switchi = infrastruktura je stavěná na gigabit a ten rate-limit je z hlediska nákladů na port jenom práce navíc :-D Pravda asi je, že v rodinných domcích to s dostupností taková hitparáda nebude. A jsou tu ulice třeba menších bytovek cca 10 partají, ke kterým Teta ani Dozimont kabel nedokopali a nechystají se. K nám se Teta dokopala při docela masivní akci asi v roce 2012, ale pár dalších čtvrtí běželo už dávno předtím. Nezkoumal jsem to, odhaduji minimálně o dalších 10 let dřív. Spíš mám pocit, že začínali už někdy v devadesátkách...

509

Sítě / Re:Nějaký devboard či box s 1×10GE a aspoň 2×1GE porty?

« kdy: 13. 03. 2021, 07:50:24 »

Btw zatím co koukám a čtu, tak těch 2.5/5G je spíš exot než rozšířený standard. Ale připomnělo mi ti, že mi nedávno kolega představil síťovky Mellanox ConnectX, což je celá rodinka za poměrně příjemné ceny... nejnižší model v rodině umí klasických 1/10Gb, ale větší bráškové dávají 1/10/25G, nebo taky 10/25/40/50/100/200 Gbps :-) K tomu zřejmě driver ve vanilce... Konkrétně generace ConnectX-4 umí maximálně 50 Gbps. Transceivery "z rodiny SFP" (= s jakousi vzájemnou kompatibilitou) jdou zřejmě napříč rychlostmi 1/10/25 Gbps : říká se jim SFP / SFP+ / SFP28, mechanicky a pinoutově je to shodné, otázkou je jenom trefit společnou podmnožinu podporovaných rychlostí SERDESu mezi šachtou a transceiverem. Konkrétně ten Mellanox zřejmě není na transceivery nijak mlsný - jednak to o sobě netvrdí, druhak v té 10Gb variantě mi chodily levné čínské SFP+ od Alternetiva. Pravda je, že mi chvíli zlobil náběh linku v určitých situacích, než jsem zjistil, že propojuju MM transceivery SM patchcordem :-D

První 10Gb síťovky, co mi prošly rukama, byly někdy před rokem 2010 ultra-klasické kousky od Myricomu. Teď koukám, že u téhle značky zřejmě vývoj poměrně záhy zamrznul. O pár let později jsem jako reálně dostupnou levnější variantu zahlédl Chelsio. A teď Mellanox... a celou dobu je tu s námi samozřejmě Intel, starý dobrý a bezkonkurenčně nejdražší :-) Docela hezký přehled trhu je zřejmě k vidění v e-shopu německé speciálky Stordis... jo a sorry za OT :-)

510

Sítě / Re:Nějaký devboard či box s 1×10GE a aspoň 2×1GE porty?

« kdy: 13. 03. 2021, 07:24:20 »

Na ty samotne SFP jsem davneji delal editor (hw/sw), takze to lze samozrejme pohackovat kdyz to nekdo potrebuje

Ona se ta "SPD EEPROM" dá nějakým generickým způsobem změnit? Jako že je otevřená pro zápis?

Vetsina bajtu je zapisovatelna (mel jsem tam prikaz i na detekci "bitmapy" co lze/nelze prepsat). Prakticky to je cele "soft" implementace, protoze na jine adrese pak sedi DD (digital diagnostics), ktere poskytuje ruzne metriky o sile signalu, teplotach a pod... a vse je to imho jen jedno mcu.

Aha... :-D Já měl SFP napíchnuté když jsem se hrabal v driveru igb (i210) ve snaze zprovoznit SGMII režim. Což se mi nepovedlo (z různých důvodů, prostě další prozkoumaná slepá ulička) ale s tím SFP jsem si přes i2c povídal. A ani mě nenapadlo, zkusit ho přepsat, právě když jsem viděl, že to zjevně není standardní 24c01, ale jakýsi dynamický hybrid.