Всем доброго времени суток!

Подскажите, как на NAT-сервере узнать, сколько подключений в данный момент установлено с каждого IP-клиента?

В гугле не нашёл.

Ситуация, такая: есть сетка, компов на 200, территориально раскиданная на 4 км^2, ну, может, чуть поменьше. И в сетке есть узкие места. Так, что если пользователь включает торрент на много потоков, то вся сетка начинает тормозить (свитчи-то не циски, столько открытых соединений поддерживать).

Народ, вцелом, вменяемый, все готовы ограничить свои торренты одним-двумя потоком, но отследить это не могут, а что скорость на IP всё равно ограничена, так это не объяснить. Так вот есть задача находить «хулигана» с большим количеством соединений, звонить, объяснять или просто обрывать соединения с блокировкой пользователя, если это оставленный в закрытом доме комп. Сейчас отслеживаю с помощью iptraf, но прикидывать количество соединений приходится на глазок. По объёму трафика не определишь — скорость на IP ограничена по-разному.

Блокировать количество соединений не предлагать — при 6 потоках не грузятся некоторые сложные сайты, а при 15 два «хулигана» уже практически вешают сеть. Так что всё равно ловить. И биться за компьютерную грамотность.

Hi, ALL! Доброго времени суток!

Предыстория тут.

Вчера попался мне монитор, который держит разрешение 1920x1200. Так вот, проблема в том, что мой ноутбук никак не хочет нормально с ним работать. При выставлении «правильного» разрешения, качественная картинка на мониторе появляется на долю секунды раз в 2 секунды. Думаю, это косяк драйверов интела. Приходится выставлять разрешение 1440х900, что весьма неудобно в использовании со вторым монитором: http://oi59.tinypic.com/14xkwo6.jpg

Под офтопиком этот монитор на этом ноуте вообще не заработал. Каталист из репозиториев говорит, что у меня нет поддерживаемых устройств.

Технически: Calculate (Gentoo) Linux.

# lspci | grep VGA
00:02.0 VGA compatible controller: Intel Corporation 2nd Generation Core Processor Family Integrated Graphics Controller (rev 09)
01:00.0 VGA compatible controller: Advanced Micro Devices, Inc. [AMD/ATI] Whistler [Radeon HD 6630M/6650M/6750M/7670M/7690M] (rev ff)
# uname -a
Linux che 3.14.22-calculate #1 SMP PREEMPT Thu Oct 16 09:23:15 UTC 2014 x86_64 Intel(R) Core(TM) i5-2430M CPU @ 2.40GHz GenuineIntel GNU/Linux
$ echo $DRI_PRIME
1
$ glxinfo | grep -i render
direct rendering: Yes
    GLX_MESA_multithread_makecurrent, GLX_MESA_query_renderer, 
OpenGL renderer string: Gallium 0.4 on AMD TURKS
    GL_MESA_texture_signed_rgba, GL_NV_conditional_render, GL_NV_depth_clamp, 
    GL_NV_blend_square, GL_NV_conditional_render, GL_NV_depth_clamp,

Что ещё можно попробовать сделать?

Буду благодарен за любые советы, кроме «сменить ноут».

Hi ALL!

По школьным делам подключаю ноут к разным проекторам, а дома к нему подключены 2 монитора (HDMI+VGA). И при каждом перемещении приходится вручную указывать какой монитор главный, а какой справа-слева-или-сверху.

Нет ли какой X-овой утилитки, позволяющей управлять этим хозяйством из командной строки? Чтоб записать каждую конфигурацию в скрипт и приходя просто кликать по нужному скрипту.

У меня подобным образом клавиатура с тачпадом настроены — при смене/создании нового профиля никакой возни с ГУИ. Вот и с мониторами хочется также.

Доброго времени суток!

Понадобилось сделать мультизагрузочную флешку, в том числе с антивирусником. Начитавшись руководств про drub4dos, я решил сделать тоже самое родным линуксовым grub'ом. И тут обнаружилось, что в нём остутствует команда «map» и, следовательно, нельзя загрузить произвольный образ.

А целью этого процесса, собственно, была загрузка drweb cureit с iso-образа, т.к. отдавать многогиговую флешку под это 200мб недоразумение очень не хочется.

Подскажите, как можно выйти из ситуации.

----------
То, что cureit — на линуксе я знаю. Но в процессе работы он жаждет подключить /dev/sr0, а там ничего нет и подсунуть ему isoшку вместо привода я пока не смог.
----------

Всем доброго времени суток!

Есть у меня на работе интерактивная доска Smart board SB480. И производитель даже написал для неё драйвера под Linux, но вот беда, не торопится их обновлять. Т.е. есть драйвера под ядро 2.6.31...

Подскажите правильный gentoo-way как установить старое ядро или с каким ещё драйвером может работать это чудо техники.

Заранее благодарен за помощь!

Hi, ALL!

Вроде как не про Линукс, так что решил написать в толкс.

Кто знает, реально ли протянуть самому оптоволокно? А то есть 3 сегмента локалки, с расстоянием между ними почти в километр. Сейчас они связаны радиомостами, но качество связи не особенно хорошее, на фоне остальной сети. Ищу варианты, в гугле не нашёл.

Кто знает — подскажите!

Всем доброго времени суток!

В процессе наладки локальной сети на почти 200 машин, из которых пока только 40 подключены к интернету по 10Мб каналу, мне пришлось столкнуться с жуткими тормозами и абсолютно не честным разделением канала между клиентами. Любой включенный торрент наглухо убивал сетку. Два-четыре видеоролика в фулхд тормозили работу сетки почти до нуля.
Сегодня я, кажется, решил эту проблему и хочу поделиться.

Во-первых, огромная благодарность автору этой статьи: http://www.opennet.ru/base/net/adsl_shaper.txt.html
Статья старая, но вполне рабочая.
Буквальное её применение было для меня неудобно, потому что у меня в 5 раз больше сетка и, вдобавок, фильтрация по mac-адресам.

Собственно, вот результат: http://pastebin.com/zE5iKYf9

Мои добавления видны в строке 78, где происходит чтение списков в формате ip,mac и, далее, расстановка приоритетов для подсетей. Сделано немного топорно, но работает.

P.S. Надеюсь, кому-нибудь пригодится. К тому же, мне самому, в случае чего, здесь будет легче найти это решение, чем на опеннете :)
P.P.S. про htb.init знаю. Хотелось добиться полного понимания управления трафиком.

Доброго времени суток!

Нужно в iptables промаркировать входящий через NAT трафик, для последующего использования в tc.

Пытаюсь сделать так:

# Set default policies for the INPUT, FORWARD and OUTPUT chains
$IPTABLES -P FORWARD DROP
# FORWARD chain
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
$IPTABLES -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -p ALL -i $LAN_IFACE -m set --match-set whitelist src,src -j fw_allow
$IPTABLES -A FORWARD -p ALL -m set --match-set whitelist dst -j  MARK --set-mark 10

0     0 MARK       all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set whitelist dst MARK set 0xa

Сет whitelist содержит пару ip,mac.

К слову, пытался так же сделать с цепочкой OUTPUT. Тоже никакого эффекта.

Всем доброго времени суток!

Долгое время я пользовался на шлюзе настройками iptables, при которых внутренняя сеть — доверенная. Вот конфиг: http://pastebin.com/D79jJEFM

Однако, это не очень удобно, особенно потому, что количество устройств за шлюзом выросло уже примерно до двухсот. Поэтому я переписал его так: http://pastebin.com/Mivrd8fv

Честно говоря, я ещё ни разу не писал сам так много правил iptables. Как-то страшно запускать и проверять на работающем серваке. Особенно, учитывая, что мне до него полкилометра идти, если ошибусь, и мне отключит SSH-доступ :)

Просьба к гуру магии iptables посмотреть на предмет очевидных ошибок и посоветовать где и что можно улучшить.

Заранее благодарен за помощь!

Hi All!

Сегодня обнаружил на сервере (шлюз с контролем доступа) чужой процесс sfewfesfs. Нашёл файл, отправил на анализ — оказалось руткит.

Есть два вопроса:
1. Как он попал на сервер-шлюз с динамическим IP и без открытых портов? Внутрь сети открытые порты есть.
2. Какие есть программы для обнаружения подобного вторжения? Как не печально, кажется, мне нужен антивирус...

P.S. чуть не забыл: Slackware Linux 3.2.13

Всем доброго времени суток!

Довольно давно мучаюсь с такой проблемой: на одном небольшом сервере постоянно нехватает inode:

# df -i     
Файловая система Iнодов IИспользовано IСвободно IИспользовано% Cмонтировано в
/dev/root          1,2M          1,2M         1           100% /
/dev/sda2          1,2M           57K      1,2M             5% /home
/dev/sdb1          1,2M          199K      994K            17% /usr
tmpfs               60K             1       60K             1% /dev/shm
# df
Файловая система Размер Использовано  Дост Использовано% Cмонтировано в
/dev/root           19G         5,6G   13G           30% /
/dev/sda2           19G          18G  893M           96% /home
/dev/sdb1           19G         5,4G   13G           31% /usr
tmpfs              239M            0  239M            0% /dev/shm

Как определить где создаются файлы и/или какой процесс их создаёт?

find / -type f -mmin 10 уже пробовал. Её выполнение занимает больше времени, чем исчезновение свободного места на диске.

Система: Slackware-current x86
В системе полно самописных скриптов, но отключить их все проблематично.

Такое ощущение, что из-за начальной нехватки места какой-то процесс циклится на создании временных файлов.

Всем доброго времени суток!

Помогите запустить ulogd. При запуска пишет:

# ulogd -v
Thu Jan  2 23:25:12 2014 <5> ulogd.c:843 building new pluginstance stack: 'ulog1:ULOG,ip2bin:IP2BIN,mysql1:MYSQL'
Thu Jan  2 23:25:12 2014 <5> ../../util/db.c:151 (re)configuring
Thu Jan  2 23:25:12 2014 <7> ulogd.c:750 cannot find key `ip.protocol' in stack
Thu Jan  2 23:25:12 2014 <8> ulogd.c:1429 not even a single working plugin stack
Fatal error

[global]

logfile="/var/log/ulogd.log"

plugin="/usr/lib/ulogd/ulogd_inppkt_NFLOG.so"
plugin="/usr/lib/ulogd/ulogd_inppkt_ULOG.so"
plugin="/usr/lib/ulogd/ulogd_filter_IFINDEX.so"
plugin="/usr/lib/ulogd/ulogd_filter_IP2STR.so"
plugin="/usr/lib/ulogd/ulogd_filter_IP2BIN.so"
plugin="/usr/lib/ulogd/ulogd_filter_PRINTPKT.so"
plugin="/usr/lib/ulogd/ulogd_filter_HWHDR.so"
plugin="/usr/lib/ulogd/ulogd_filter_PRINTFLOW.so"
plugin="/usr/lib/ulogd/ulogd_output_LOGEMU.so"
plugin="/usr/lib/ulogd/ulogd_output_SYSLOG.so"
plugin="/usr/lib/ulogd/ulogd_output_XML.so"
plugin="/usr/lib/ulogd/ulogd_output_GPRINT.so"
plugin="/usr/lib/ulogd/ulogd_output_MYSQL.so"
plugin="/usr/lib/ulogd/ulogd_raw2packet_BASE.so"
plugin="/usr/lib/ulogd/ulogd_inpflow_NFACCT.so"
plugin="/usr/lib/ulogd/ulogd_output_GRAPHITE.so"

stack=ulog1:ULOG,ip2bin:IP2BIN,mysql1:MYSQL

[ulog1]
nlgroup=1

[mysql1]
db="ulog"
host="localhost"
user="uloguser"
table="ulog"
pass="pass"
procedure="INSERT_PACKET_FULL"

Доброго времени суток!

Собственно, нужно побороть сабж.

Очень нужно считать трафик, до этого считал darkstat'ом, но получалось неудобно. Из всего, что нашёл, по описанию, ulogd как раз то, что надо. Собрал всё, что надо, а он сегфолтиться.

Что можно сделать? Куда копать?

Всем доброго времени суток!

У меня в ноутбуке 2 видеокарты:

00:02.0 VGA compatible controller: Intel Corporation 2nd Generation Core Processor Family Integrated Graphics Controller (rev 09) (prog-if 00 [VGA controller])
        Subsystem: Lenovo Device 3976
        Flags: bus master, fast devsel, latency 0, IRQ 50
        Memory at e0000000 (64-bit, non-prefetchable) [size=4M]
        Memory at d0000000 (64-bit, prefetchable) [size=256M]
        I/O ports at 4000 [size=64]
        Expansion ROM at <unassigned> [disabled]
        Capabilities: [90] MSI: Enable+ Count=1/1 Maskable- 64bit-
        Capabilities: [d0] Power Management version 2
        Capabilities: [a4] PCI Advanced Features
        Kernel driver in use: i915
        Kernel modules: i915

01:00.0 VGA compatible controller: AMD/ATI [Advanced Micro Devices, Inc.] Whistler [Radeon HD 6600M/6700M/7600M Series] (rev ff) (prog-if ff)
        !!! Unknown header type 7f
        Kernel driver in use: radeon
        Kernel modules: radeon, fglrx

Хочется подключить два монитора, и получить 3 работающих монитора: 2 внешних, и один — самого ноутбука. Но интеловский драйвер не тянет 3 монитора — только два. Хочу распределить их на разные видеокарты. Кто пробовал — это возможно?

Довольно долго я пользовался только интеловской видеокартой, потому забыл все тонкости установки разных атишных дров и прошу помощи.

1. Можно ли использовать с моим железом опенсорсный драйвер? Пробовал запустить ati и radeon, оба не завелись, может, какой firmware не хватает?

2. Как заставить работать коммерческий драйвер? Все, вплоть до 13.4 не устанавливаются, а 13.11beta6 после перезагрузки сегфолтиться.

Дистр: Slackware 14.0 пару дней назад обновлённая из current.

Заранее благодарю за помощь!

Доброго времени суток!

Имеется большая сетка в которой больше 200 устройств.
В таких условиях стало неудобно держать сетку одноранговой.
Тем более, что есть две четко различающихся группы устройств.

Возникла идей разбить сетку на подсети 192.168.1.1/24 и 192.168.2.1/24.
IP адреса выдаются DHCP сервером. Мне известны mac-адреса всех устройств. Сейчас сервер выдаёт адреса из 192.168.1.1.
А при попытке прописать в dhcpd.conf выдачу адреса из 192.168.2.1 указанное устройство не получает адреса.

Пробовал назначить интерфейсу сервера адреса из обоих подсетей.
Пробовал поменять маску интерфейса на 255.255.0.0.
Не помогает.

Подскажите, плз!

Доброго времени суток!

Застопорился на такой банальной проблеме, как работа сканера от пользователя. От рута работает.

# sane-find-scanner -q
found USB scanner (vendor=0x0bda [Generic], product=0x0139 [USB2.0-CRW]) at libusb:003:003
found USB scanner (vendor=0x04a9 [Canon], product=0x2220 [CanoScan]) at libusb:004:014
# scanimage -L
device `plustek:libusb:004:014' is a Canon CanoScan LiDE25 flatbed scanner
# ll /dev/bus/usb/004/014
crw-rw-r-- 1 root lp 189, 397 апр  7 11:46 /dev/bus/usb/004/014
root@sl64:/etc/udev/rules.d#    
$ id
uid=1000(sergey) gid=100(users) группы=100(users),7(lp),10(wheel),11(floppy),17(audio),18(video),19(cdrom),50(ftp),83(plugdev),84(power),86(netdev)
$ scanimage -L

No scanners were identified. If you were expecting something different,
check that the scanner is plugged in, turned on and detected by the
sane-find-scanner tool (if appropriate). Please read the documentation
which came with this software (README, FAQ, manpages).

В добавок, правило UDEV

$ cat /etc/udev/rules.d/35-sane.rules 
ACTION=="add", SUBSYSTEM=="usb", ATTRS{idProduct}=="2220", MODE="664", GROUP="users"

Помогите понять, где я не прав.

Доброго времени суток!

Есть две камеры, видео с которых вещается в сеть. На одной из них картинка очень тёмная, плохо видно даже при хорошем освещении. В QT V4L test Utility если выставить корректировку гаммы на максимум, то картинка становится нормальной.

В гугле нашёл, что для ffmpeg можно использовать фильтры:

ffmpeg -loglevel 0 -s 800x640 -f video4linux2 -i /dev/video1 -r 10 -vf frei0r=brightness:0.2,frei0r=contrast0r:0.3frei0r=gamma:5 http://localhost:8090/feed1.ffm

Но как бы я не менял значения фильтров, картинка не меняется.

Что неправильно?

Заранее благодарен за помощь!

Доброго времени суток!

Очень мало опыта работы в ffmpeg. В гугле ответа не нашёл.

Дело вот в чём: ffserver транслирует в сеть с двух веб-камер два видеопотока. Одна камера работает нормально, а на второй видео идёт примерно в 2 раза медленнее — через 10 минут я вижу уже 5 минут как прошедшие события. А мне нужно с нормальной скоростью. Качество не очень важно.

Конфиг: http://pastebin.com/pA1eErjt
Скрипт запуска: http://pastebin.com/052yPN73

Тозмозит камера /dev/video1.

Заранее благодарен за помощь!

Доброго времени суток!

Имеется небольшая (устройств 50) сетка с плохим подключением к интернету. Устройства могут подключаться как через WiFi, так и через кабель. Из-за плохого подключения, невысокой технической грамотности пользователей и большого числа гостей (я даже не помню, кому из них я разрешал подключаться, т.к. он, может, год назад приезжал) с мобильниками с вайфаем приходится фильтровать доступ к инету на сервере. Сейчас фильтруется по IP с помощью IPSET. Но иногда хулиганы меняют IP и подставляют себе IP выключенных компов.

Пытаюсь ввести фильтрацию по MAC.

...
## Create new ip sets
$IPSET -N whitelist macipmap --network $LAN_IP_RANGE
$IPSET -N ipwhite iphash
## Set ip sets
# Whitelist
$IPSET -A whitelist 192.168.1.150,94:39:e5:66:90:df      
#$IPSET -A ipwhite 192.168.1.150        
$IPSET -A ipwhite 192.168.1.151    
...
$IPTABLES -t nat -A PREROUTING  -i $LAN_IFACE ! -d 192.168.1.44 -m set --match-set whitelist src -p tcp -m multiport --dport 80,2080,2082,8080 -j REDIRECT --to-port 3129
$IPTABLES -t nat -A PREROUTING  -i $LAN_IFACE ! -d 192.168.1.44 -m set --match-set ipwhite src -p tcp -m multiport --dport 80,2080,2082,8080 -j REDIRECT --to-port 3129
...
# POSTROUTING chain
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_IP_RANGE -j SNAT --to-source $STATIC_IP
...
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -p ALL -i $LAN_IFACE -m set --match-set whitelist src -j ACCEPT
$IPTABLES -A FORWARD -p ALL -i $LAN_IFACE -m set --match-set ipwhite src -j ACCEPT
$IPTABLES -A FORWARD -p ALL -i $LAN_IFACE -m set ! --match-set whitelist src -j LOG --log-level notice --log-prefix "IPT not WHITELIST request: "
$IPTABLES -A FORWARD -i $INET_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m limit --limit 1/hour --limit-burst 5 -j LOG --log-level notice --log-prefix "IPT FORWARD packet died: "

Jan 19 11:32:43 gw44 kernel: [166733.253113] IPT not WHITELIST request: IN=eth1 OUT=eth0 MAC=00:11:25:95:33:3f:94:39:e5:66:90:df:08:00 SRC=192.168.1.150 DST=213.180.204.3 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=29121 SEQ=27

Что за странный мак и как с этим бороться? Пробовал подставлять мак из логов в качества параметра IPSET, тогда ругается ещё IPSET.

Заранее благодарен за помощь!

P.S. Знаю, что mac тоже можно подменить. Но настолько грамотного пользователя я и так найду, их еденицы. Однако, если есть более подходящее решение, буду рад совету.

Доброго времени суток!

Не могу понять ситуацию.
Есть одноранговая сеть, физически состоящая из 2х частей, одна соединена с другой через вайфай мост (НЕ шлюз). В первой части сети стоит компьютер с доступом к интернету. Он настроен как шлюз и нормально работает для той части сети, которая подключена по проводам. Та часть сети, которая работает через вайфай не может работать с интернетом. Хотя шлюз виден, пингуется и http сервер на нём доступен всей сети.

Проверял переходя с ноутбуком из одной части в другую.

Одна тонкость: вайфай мост подставляет свой MAC при передаче пакетов.

На шлюзе никаких упоминаний о пакетах отправленных в интернет из второй части сети нет ни в dmesg, ни в /var/log/messages (куда пишет iptables) нет. Фильтрации по MAC на шлюзе тоже нет.

Подскажите, plz, куда копать.