Добрый день.

Есть идея запустить браузер в отдельном VRF, чтобы он шел на вышестоящий роутер где тоже есть VRF и интерфейсы в данном VRF идут через VPN.

Ну тоесть я хочу чтобы у меня в системе было запущено два браузера, один работал как обычно а второй имел по сути дефолт роут в VPN.

Столкнулся с тем что

flame@linux-pc:~$ ip vrf exec vrf32 google-chrome
Failed to load BPF prog: 'Operation not permitted'

Пошел гуглить про bpf и capabilities, нашел тему Запуск процесса в VRF без привилегий root

Из нее понял что вроде бы как достаточно только cap_bpf. Но это не помогло, выдал еще несколько.

сделал вот так:

root@linux-pc:~# getcap /opt/google/chrome/google-chrome
/opt/google/chrome/google-chrome cap_net_raw,cap_sys_admin,cap_bpf=ep
root@linux-pc:~# getcap /opt/google/chrome/chrome
/opt/google/chrome/chrome cap_net_raw,cap_sys_admin,cap_bpf=ep

Установил kernel.unprivileged_bpf_disabled в 0 (по дефолту было 2)

flame@linux-pc:~$ sysctl kernel.unprivileged_bpf_disabled
kernel.unprivileged_bpf_disabled = 0

всё равно получаю ту же ошибку:

flame@linux-pc:~$ ip vrf exec vrf32 google-chrome
Failed to load BPF prog: 'Operation not permitted'

выдал те же capabilites для ping:

root@linux-pc:~# getcap /usr/bin/ping
/usr/bin/ping cap_net_raw,cap_sys_admin,cap_bpf=ep

flame@linux-pc:~$ ip vrf exec vrf32 ping 10.32.32.1
Failed to load BPF prog: 'Operation not permitted'

Из под рута пинг работает:

root@linux-pc:~# ip vrf exec vrf32 ping 10.32.32.1
PING 10.32.32.1 (10.32.32.1) 56(84) bytes of data.
64 bytes from 10.32.32.1: icmp_seq=1 ttl=64 time=0.470 ms
64 bytes from 10.32.32.1: icmp_seq=2 ttl=64 time=0.448 ms
^C
--- 10.32.32.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1015ms
rtt min/avg/max/mdev = 0.448/0.459/0.470/0.011 ms
root@linux-pc:~# ip vrf exec vrf32 ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=117 time=273 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=117 time=131 ms
^C
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 131.457/202.363/273.270/70.906 ms

вобщем понимаю что чего то не хватает но не понимаю чего :)

как можно реализовать такое?

И еще вопрос насколько опасно это может быть, если выдавать браузеру такие capabilities?

ОС Debian stable

root@linux-pc:~# cat /etc/os-release 
PRETTY_NAME="Debian GNU/Linux 12 (bookworm)"
NAME="Debian GNU/Linux"
VERSION_ID="12"
VERSION="12 (bookworm)"

root@linux-pc:~# uname -a
Linux linux-pc 6.1.0-28-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.119-1 (2024-11-22) x86_64 GNU/Linux

16.11.2021 UPDATE: после обновления стабильной ветки до версии 96.0.4664.45-1 проблема ушла

Добрый день. Обновился на последнюю версию стабильного хрома, столкнулся с такой проблемой что при развороте окна на полный экран (не f11 а когда по заголовку два раза щелкаешь) оно вылазит за границы монитора, где то на величину скроллбара. Два монитора, оба фулл хд.

Как это выглядит - https://imgur.com/a/7b3Nt5a

И еще, когда разворачиваешь видео с ютуба на полный экран, то нижняя панель xfce скрывается, но если навести мышкой и щелкнуть, и там будет какое то окно свернуто то оно откроется.

т.е. грубо говоря как будто панель прозрачная.

Поставил бета версию хрома, там таких проблем не наблюдаю.

Кто то может сталкивался, знает где чего отключить-включить?

версии:

google-chrome –version Google Chrome 95.0.4638.69

google-chrome-beta –version Google Chrome 96.0.4664.45 beta

Debian 11 stable, X11, xfce 4.16

debian testing нвидиа гтх 970

из 7 установленных игр в стиме не запускается только doom eternal.

при запуске вылазит окно с заголовком - Ошибка драйвера видеокарты.

В самом окне написано - неизвестный производитель.

https://imgur.com/AOxDSCn.png

Драйвера конечно же установлены.

Протон пробовал разный, в том числе GE сборки, всегда одна и та же ошибка.

Не пойму куда копать.

Система: opensuse 42.1

Ядро: Linux 4.1.31-30-default

iproute2 версия 4.2-1.1.

сеть настраивается через wicked.

Есть основной инет с реальным ip через vlan (для форума буду использовать 1.1.1.0/25), есть дополнительный соседский инет за роутером. Хочу подключить в свой сервер. Локалки за сервером нет. iptables настроен только для INPUT. Мануалы по настройке гуглил, изучал. Везде пишут примерно следующее:

ip route add $P1_NET dev $IF1 src $IP1 table T1
ip route add default via $P1 table T1

Интерфейсы и адреса:

• eth0 - смотрит в дополнительный инет. сеть 192.168.1.0/24, ip static 192.168.1.100, gw 192.168.1.1
• eth1 - смотрит в основной инет. ip адреса не настроено.
• vlan40@eth1 - собственно влан с настроенным ип. сеть 1.1.1.0/25, ip static 1.1.1.91, gw 1.1.1.126

Таблица main:

flame:~ # ip ro
default via 1.1.1.126 dev vlan40 
1.1.1.0/25 dev vlan40  proto kernel  scope link  src 1.1.1.91 

Добавляю новую таблицу в /etc/iproute2/rt_tables: 100 test

Добавляю маршрут на подсеть в свежесозданную таблицу test:

flame:~ # ip ro add 192.168.1.0/24 dev eth0 src 192.168.1.100 table test
flame:~ # ip ro l t test
192.168.1.0/24 dev eth0  scope link  src 192.168.1.100 

Добавляю дефолтный гейтвей в test и получаю следующее:

flame:~ # ip ro add default via 192.168.1.1 table test
RTNETLINK answers: Network is unreachable

Вопрос, почему? ведь маршрут на подсеть есть в таблице. При том что пинг до шлюза ходит

flame:~ # ping -I eth0 192.168.1.1
PING 192.168.1.1 (192.168.1.1) from 192.168.1.100 eth0: 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=0.526 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=0.248 ms

Но самое интересное то что если добавить маршрут на подсеть 192.168.1.0/24 в таблицу main, то дефолтный прекрасно добавляется в test. Однако даже добавив его туда таким способом и настроив ip rule, всеравно интернет через 192.168.1.1 не работает, tcpdump показывает arp запросы при пинге на интернетовские адреса.

Если Поменять местами маршруты, в main добавить маршруты через 192.168.1.1, а vlan40 добавить в test, картина меняется на противоположную. Через 192.168.1.1 все ходит, а через vlan40 нет.

Что еще пробовал: очищать главную таблицу и создавать две на каждый интерфейс - не работает вообще ничего. Такое ощущение что созданные таблицы вообще не работают.

Единственное что заработало так это если добавить оба дефолтных маршрута с разной метрикой в главную таблицу, тогда пинги ходят, но не все хосты почему то резолвятся через маршрут с большей метрикой, в моем случе был через 192.168.1.1, хотя nslookup нормально отрабатывает.

Может быть какой то глюк в системе?