Tytułem wstępu, czyli Co na blogu.
Na urodziny (31.10) skończyłem pracę na UAM WMI
Ciężko było. Moja pierwsza praca - ponad 8 lat pracy w jednym miejscu. Do tego wbrew pozorom - na dosyć dobrych warunkach. Pensja co prawda nie oszołamiająca, ale - w porównaniu do faktycznie poświęconego na pracę czasu - całkiem znośna. W sumie to stawka godzinowa wyższa niż zarabiam obecnie. Zwłaszcza gdy się doliczy wszystkie dodatki, 13-ki… oraz weźmie pod uwagę że dyżur na uczelni można było spokojnie poświęcić na robienie czegoś innego - a nawet bez problemów w czasie pracy wyskoczyć gdzieś na miasto (pod warunkiem że jakiś współadmin w tym czasie przejął obowiązki).
Ale znowu - tak jak w pierwszych latach pracy uważam że dużo dla WMI zrobiłem, tak w ostatnim czasie już tylko wegetowałem. Przychodząc i odbębniając dyżury, nie wnosząc praktycznie nic pożytecznego. Do tego - czułem się “staro”. To mimo wszystko praca dobra na start, na rozpoczęcie pracy w branży IT. Obecnie mam ciekawsze zajęcia i zmiana haseł użytkownikom mnie średnio bawi.
Doszedłem też do wniosku że tak jak jako pierwszy “admin” zostałem po studiach na uczelni, tak pora z tym skończyć i jako pierwszy “niestudencki admin” z niej ustąpić robiąc miejsce dla świerzej krwii.
Co więcej - co prawda UAM dawał ogromne możliwości “rozwoju”, to brakowało argumentacji by z nich skorzystać. Poświęcenie 10h na zrobienie czegoś często powodowało dostanie batów za ruszenie czegoś co działa. Więc prościej było nic nie robić i utrzymywać infrastrukturę.
No i w końcu nawet te kilkanaście/kilkadziesiąt godzin w miesiącu które poświęcałem na WMI - uznałem że mogę wykorzystać je lepiej w mojej firemce.
Ogólnie uczucia mam mieszane, ale - chyba raczej to zmiana na plus.
Cóż… Jak patrzę na miniony rok to wychodzą też gorsze rzeczy. Straciłem kontakt z PLD.
Co prawda ciągle używam w kilku miejscach i jeszcze zapewne długo będę używać, to jednak - ilość używanych przeze mnie PLD się zmniejsza. Zarówno procentowo jak i ilościowo. Ilość czasu poświęconego na rozwój również mi spadła - prawie do zera.
Dlaczego? Cóż - brzmi to jak zdrada, ale… Debian to też dobra dystrybucja. Co prawda co rusz to napotykam się na rzeczy które w PLD są zrobione dużo lepiej, w wielu miejscach wychodzą na jaw ogromne braki, ale… ich załatanie lub obejście nie zajmuje zbyt wiele czasu. Boli konieczność tworzenia własnego repozytorium dla poprawek, brak niektórych narzędzi które w PLD miałem od ręki - ale - da się z tym żyć. A sporo rzeczy działa “od kopa”, gdzie w PLD wymagało by usiąść nad konfiguracją. I co prawda efekt w PLD byłby lepszy, to jednak wybieram to co zajmuje mi mniej czasu.
Ciągle uważam że PLD jest najlepszą konstrukcyjnie dystrybycją na rynku. Ale co z tego gdy rozwija ją garstka zapaleńców której kurczy się wolny czas? Branche w stylu Titanium z koleji nie pasują mi zbytnio z względów ideologicznych. Brakuje solidnego wsparcia z zewnątrz - developerów, sponsorów, kogoś kto by wymagał jakości… i za nią płacił.
Ja co prawda co jakiś czas gdzieś jakieś PLD wrzucę, to jednak - nie mam czasu się już nim zajmować. I przy dowolnych schodach wrzucam coś innego - czy to debian, czy też centos.
Ogólnie - na minus. Niestety konieczny.
Rok temu, pierwszego stycznia 2009 założyłem firmę.
No - firma to może trochę za dużo powiedziane. To co robiłem wcześniej po godzinach w ramach umów zleceń - teraz realizuję wystawiając faktury.
Dlaczego? Może to zabrzmi głupio, ale… z lenistwa i uczciwości. Męczyło mnie bieganie na początku roku by od wszystkich zleceniodawców dostać poprawne pity ;).
Nie tylko zresztą.
Dzięki prowadzeniu DG mam ciut więcej możliwości.
Od - wrzucenia potrzebnych w branży IT drobiazgów w “koszty”, dwa - z marszu dostaję lepsze ceny na sprzęt i usługi niż klienci indywidualni. Ot - chociażby koszt rejestracji domen w internecie albo zakupy w hurtowniach sprzętu komputerowego.
Dla większości klientów prościej jest mi też wystawić fakturę niż bawić się w umowę zlecenie/umowę o dzieło.
Jeżeli masz fajny pomysł na projekt/biznes - zapraszam do kontaktu ;)
Jedno czego żałuję, to to, że nie skorzystałem z żadnej możliwości dofinansowania na rozpoczęcie działalności. Niby to niewiele, ale zawsze kilka groszy do wykorzystania więcej.
Ogólnie - zmiana na plus.
Od ponad półtora roku pracuję w dziale utrzymania firmy Datera. Początkowo zajmowało mi to pół etatu, teraz 3/4 (choć czasami niestety sporo więcej).
Praca.. cóż.. ciekawa. Absorbująca. Z okazją do nauczenia się wielu przydatnych rzeczy. I znacznie bardziej praktyczna niż na UAM.
Czym się zajmuje Datera? Rozwojem platform telekomunikacyjnych. Ja z mojej strony pracuję jako administrator, jak również zajmuję się troszkę od strony systemowej rozwojem Carrier-Ex.
Chyba największym naszym wdrożeniem w których maczałem palce jest dziecko Datery - Freeconet - podejrzewam że największa, a z pewnością najbardziej rozwinięta polska platforma VoIP?. Wciąż z ogromnymi perspektywami - czasami mam wrażenie że z jakiś powodów niewykorzystanymi. Może kiedyś napiszę ciut więcej na ten temat…
Innym fajnym wdrożeniem które niedawno wyszło na światło dzienne jest stworzenie platformy telekonferencyjnej Orange.
No i parę drobiazgów o których co nieco słychać, takich jak Otwarta Platforma Cyfrowa (OPC), albo i może kiedyś będzie słychać…
Ogólnie - na plus.
To co najbardziej mi doskwierało w roku 2009 to brak czasu.
I dlatego że przybyło mi więcej obowiązków.
I dlatego że obecne się rozrosły.
Maverick - z małej osiedlówki w której byłem 30-tym klientem na SDI stał się jednym z większych poznańskich ISP.
Moja mała rodzinka też rośnie i zabiera coraz więcej czasu.
Dochodzi do sytuacji gdzie numer Fantastyki czytam po miesiącu od momentu gdy wpadnie do skrzynki. Rozwijanie własnych zainteresowań również muszę sobie regularnie odpuszczać. Od jakiegoś czasu nie zaglądam na IRC, od ponad miesiąca nie zdążyłem nawet skonfigurować slrn-a do czytania niusów.
Czas… kiedyś miałem go tak wiele, teraz każda wolna chwila jest na wagę złota. W ramach optymalizacji zrezygnowałem nawet z pracy na UAM oraz rozwoju PLD. Czy kiedyś będę miał go więcej, bez szkody dla rzeczy które robię obecnie? Chciałbym…
Czasami bywa i tak:
[root@uml ~]# mv /lib/ /lib.xxx [root@uml ~]# ls sh: ls: No such file or directory [root@uml ~]# mv sh: mv: No such file or directory
Co wtedy?
Po pierwsze - nie panikować!
Po drugie:
[root@uml ~]# export LD_LIBRARY_PATH=/lib.xxx [root@uml ~]# /lib.xxx/ld-linux.so.2 /bin/mv /lib.xxx/ /lib [root@uml ~]#
Po trzecie - zawczasu przygotować sobie busybox.static (w pld - poldek -vi busybox-static) - pomoże wykaraskać się z większości sytuacji tego typu - o ile tylko dysk gdzie busybox.static się znajduje nie siądzie ;)
A i jeszcze garść “bezprogramowych” “sztuczek” których można użyć by się czegoś o systemie dowiedzieć, gdy jesteśmy zalogowani - ale nic się nie da uruchomić bo np posypał się system plików lub dysk:
[root@uml ~]# echo /home/* /home/services /home/users
[root@uml ~]# echo `< /proc/loadavg` 0.45 0.37 0.36 2/152 9354
[root@uml ~]# ( while read x; do echo $x; done;) </proc/stat cpu 865219 437665 377039 1528571 17425 13238 12754 0 0 cpu0 865219 437665 377039 1528571 17425 13238 12754 0 0 intr 14051694 8641288 57888 0 4 0 4 0 1 8 1735553 5450 2974206 500787 0 136505 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 ctxt 30231678 btime 1220609750 processes 9448 procs_running 4 procs_blocked 0 [root@uml ~]#
[root@uml ~]# echo b >/proc/sysrq-trigger
[root@uml ~]# cd /proc;for i in [0-9]*; do echo $i `< $i/cmdline`; done;
i takie tam ;)
Może komuś się przyda.
Jest sobie pewna dosyć ciekawa grupa news - cyberbajt.siecibezprzewodowe na serwerze nntp://news.cyberbajt.pl. Serwer z koleji - jest dostępny publicznie “tylko do odczytu”, nastomiast zautoryzowanym użytkownikom pozwala również pisać.
Przez długi czas nie mogłem dojść do tego, w jaki sposób mam się zautoryzować. Standardowe:
nnrpaccess "news.cyberbajt.pl" "login" "hasło"
w .slrnrc nic nie dawało, z uwagi na to że gdy serwer nie wymagał od klienta hasła, to slrn go nie przesyłał…
Rozwiązanie? Proste makro. W .slrnrc dopisujemy:
interpret ".slrn.sl"
a w pliku .slrn.sl:
define startup_hook()
{
!if (strcmp (server_name(), "news.cyberbajt.pl"))
set_integer_variable("force_authentication", 1);
}
Ciut naokoło, ale działa :)
Komentarze - 2008-06-01 wymuszenie logowania w slrn
1 Comment. #Nie wspomnę o braku sms`a i zaproszenia na pępkowe!!!!
– bonder 2008-06-02 17:42 UTC
Może kogoś zainteresuje - używając nowego jajka 2.6.22 na AC wraz z lvm-em można nadziać się na małego locka. Przy niektórych operacjach powiększenia volumenu ew przeniesienia go - zdarza się że zawiśnie wszystko co dotyczy lvm-a.
Rozwiązaniem jest upgrade lvm-a do wersji z HEAD.
Jak?
Najprościej:
- budujemy openais
- budujemy cman z --with libsonly (bo całego cmana nie potrzebujemy)
- budujemy devicemappera bez initrd (bo po co ;))
- budujemy lvm2 bez initrd (j/w).
Potem tylko instalujemy i… jak na razie mimo dosyć intensywnych testów mi nic nie zwisło ;).
W poprzednim odcinku zoptymalizowaliśmy za pomocą ipset naszego firewalla redukując jego długość z kilku tysięcy linijek do zaledwie kilku zachowując niemal identyczną funkcjonalność.
Pojawił się jednak mały problem.
Otóż - w momencie gdy dla każdego komputera mieliśmy jedną regułkę, mogliśmy bez problemów zobaczyć ile ruchu przez daną regułkę przeszło. A więc w efekcie - policzyć ile ruchu dany komputer wygenerował.
W momencie gdy dostęp jest definiowany przez jedną regułkę korzystającą z ipset - takiej możliwości już nie mamy. Co więc zrobić?
Z pomocą przychodzi nam inny ciekawy “cel” iptables - ipt_account.
Jak on działa? Jedną regułką każemy mu zliczać ruch z konkretnej sieci a następnie zliczony ruch (rozbity na konkretne protokoły) odczytujemy z /proca.
Przykład?
Bardzo prosto.
Za pomocą
iptables -A FORWARD -m account --aaddr 192.168.6.0/24 --aname network_192.168.6.0
określamy że ruch który pochodzi z/do sieci 192.168.6.0/24 będzie zbierany w zbiorze network_192.168.6.0
Zbiór ten mamy dostępny w /proc/net/ipt_account/networks_192.168.6.0 i ma on postać(początek):
ip = 192.168.6.0 bytes_src = 106318928294 98465304296 7835386170 17824287 82406967 packets_src = 162146746 142749532 18782946 610212 4056 bytes_dest = 107110457488 98237070940 8790607951 80203646 2574951 packets_dest = 152977168 135470369 16312565 1188750 5484 time = 0 ip = 192.168.6.1 bytes_src = 8641105 8641047 58 0 0 packets_src = 52707 52706 1 0 0 bytes_dest = 43190788 43173047 17517 224 0 packets_dest = 55532 55359 169 4 0 time = 9 ip = 192.168.6.2 bytes_src = 442556651 108222691 334333960 0 0 packets_src = 414722 190281 224441 0 0 bytes_dest = 209246888 191637971 17141429 467488 0 packets_dest = 392712 204296 182523 5893 0 time = 2 ip = 192.168.6.3 bytes_src = 200964 200736 228 0 0 packets_src = 4185 4182 3 0 0 bytes_dest = 3948 0 3948 0 0 packets_dest = 12 0 12 0 0 time = 17458 ip = 192.168.6.4 bytes_src = 54512135 54499658 12477 0 0 packets_src = 260774 260577 197 0 0 bytes_dest = 339592500 339539126 53374 0 0 packets_dest = 352277 352003 274 0 0 time = 74
Dziwić trochę może pozycja pierwsza, czyli 192.168.6.0 - oznacza ona sumaryczny ruch który pojawił się w całej sieci. Dzięki temu nijako przy okazji podczas zbierania statystyk użytkowników dostajemy informacje o sumarycznym ruchu.
Co oznaczają konkretne pozycje?
Należy pamiętać że aby moduł zliczał ruch, musi on przez niego przechodzić, i to w obie strony. Więc wszelkie ACCEPT-y należy wykonać już po zliczeniu go.
Za kilka odcinków postaram się pokazać jak szybko informacje te wrzucić do bazy rrdtoola i jak jeszcze szybciej je pokazać w postaci wykresów :)
Dodam jeszcze że istnieje alternatywny moduł - ipt_ACCOUNT - działajacy na mniej więcej podobnej zasadzie, ale z odrobinkę innym sposobem dostępu do zbieranych danych - przez zewnętrzny program a nie “pliki” w /proc.
Kwestia gustu :)
Wyobraźmy sobie typową sytuację - router na linuksie, do niego podłączonych kilku klientów z konkretnymi adresami ip i konkretnymi macami. Załóżmy dla uproszczenia że chcemy “wpuścić” tylko te adresy, sprawdzić mac.. a całą resztę odrzucić. Kwestie że ktoś może sobie zmienić mac pomijam ;)
Jak wygląda firewall?
iptables -P FORWARD DROP ; aby ustawić domyślną politykę nieprzepuszczania niczego # klient 1 iptables -A FORWARD -i eth0 -s 192.168.0.1 -m mac --mac-source 00:01:02:03:05:06 -j ACCEPT; dla ruchu wychodzącego z kontrolą mac iptables -A FORWARD -o eth -d 192.168.0.1 -j ACCEPT; powrotny akceptujemy bez ograniczeń # klient 2 iptables -A FORWARD -i eth0 -s 192.168.0.2 -m mac --mac-source 07:08:09:0a:0b:0c -j ACCEPT; dla ruchu wychodzącego z kontrolą mac iptables -A FORWARD -o eth0 -d 192.168.0.2 -j ACCEPT; powrotny akceptujemy bez ograniczeń ...
I tak dla każdego kolejnego klienta.
Cel zamierzony - osiągnięty. Ale - jak teraz wygląda sytuacja routera? Każdy pakiet który do niego przyjdzie z obojętnie której strony - musi przejść przez całą tablicę FORWARD aż nie natrafi na pasującą regułkę.. Co statystycznie osiągnie mniej więcej w połowie tablicy. Pal licho gdy tych regułek jest 10 czy 100. Ale gdy ilość regułek zaczyna się liczyć w tysiącach, a ruch w kilkudziesięciu mbitach - obciążenie może ubić serwer.
Co z tym zrobić? Ano.. skrócić firewalla by zmniejszyć ilość potrzebnych kroków dla każdego pakietu.
Jak?
Zauważmy że w/w regułki dla każdego klienta są niemal jednakowe. Różni je tylko mac i adres ip.
Wystarczy więc użyć jednej pary regułek i jakoś zapodać im zestaw ip których mają one dotyczyć.
Do tego celu służy właśnie ipset. Jest to narzędzie pozwalające zarządzać tablicami danych w jądrze linuksa. A następnie całą tablicę użyc w iptables.
modprobe ip_set_macipmap
[root@uc64 ~]# ipset -N wpuszczanimac macipmap --network 192.168.0.0/24 [root@uc64 ~]# ipset -N wpuszczaniip ipmap --network 192.168.0.0/24
[root@uc64 ~]# ipset -A wpuszczanimac 192.168.0.1%00:01:02:03:05:06 [root@uc64 ~]# ipset -A wpuszczanimac 192.168.0.2%07:08:09:0a:0b:0c [root@uc64 ~]# ipset -A wpuszczaniip 192.168.0.1 [root@uc64 ~]# ipset -A wpuszczaniip 192.168.0.2
iptables -A FORWARD -i eth0 -m set --set wpuszczanimac src -j ACCEPT; dla ruchu wychodzącego z kontrolą mac iptables -A FORWARD -o eth0 -m set --set wpuszczaniip dst -j ACCEPT; powrotny akceptujemy bez ograniczeń
I.. cieszymy się z znacznego skrócenia naszego łańcucha, oraz możliwości szybkiego i dynamicznego przeładowania regułek.
[root@uc64 ~]# ipset -W wpuszczaniip wpuszczaniip_nowa [root@uc64 ~]#
[root@uc64 ~]# ipset -N serwery ipmap --network 192.168.0.0/16 [root@uc64 ~]# ipset -A serwery 192.168.0.1 [root@uc64 ~]# ipset -A serwery 192.168.0.2 [root@uc64 ~]# ipset -N porty portmap --from 1 --to 1024 [root@uc64 ~]# ipset -A porty 21 [root@uc64 ~]# ipset -A porty 22 [root@uc64 ~]# ipset -A porty 25 [root@uc64 ~]# ipset -B serwery 192.168.0.2 -b porty
zdefiniujemy zestaw obejmujący ruch dotyczący ip 192.168.0.1 oraz portów 21,22,25 ip 192.168.0.2
Następnie jedną regułką
[root@uc64 ~]# iptables -A FORWARD -m set --set serwery dst,dst -j ACCEPT
przepuścimy ten ruch.
Komentarze - 2008-02-03 Firewall w linuksie - ipset
3 Comments. #– Anonimowy 2008-02-07 19:05 UTC
Hm…
1. nie zawsze dzialaja (statyczny arp oznacza ze pakiety sa kierowane na okreslonego maca bez odpytywania o niego - jak bedzie mial promisc to mu to rybka bo i tak dostanie - gdzies/kiedys sam sie zdziwilem ze to nie dziala ;)
2. statyczny mac powoduje czasami problemy na roznorakich linuksianych brydzach w sieci - bez zapytania/odpowiedzi arp nie naucza sie one po ktorej stronie mostu jest dany mac.
3. na statycznej tablicy arp nie mozesz miec jednego ip z dwoma macami (np sytuacja gdy klient ma 2 laptopy i chce ich zamiennie uzywac na tym samym gniazdku)
– undefine 2008-02-07 19:48 UTC
Ciekawostka - warto zwrócić uwagę, że istnieje wbudowany w moduł limit tablic ipset domyślnie ustawiony na 256. W przypadku gdy na każdą sieć używamy np dwóch tablic (jak w przykładzie) - ogranicza to liczbę sieci do 128. Oczywiście można zwiększyć limit podając do modułu parametr max_sets. Np do pliku /etc/modprobe.conf dopisujemy
options ip_set max_sets=1024
aby zwiększyć dostępną liczbę setów do 1024
– undefine 2008-02-13 08:29 UTC
2 Comments.#fakt trochę żal że nie korzystało się z dofinansowania na rozpoczęcie (na usprawiedliwienie moje ,kiedyś było się trzeba za nim trochę nabiegać (2005/2006 teraz łatwiej), ale nadal można skorzystać choćby z EFS.
– wolvverine 2010-01-13 14:40 UTC
EFS to raczej głównie szkolenia - przy czym - niewiele jest takich które by mnie interesowały. A dofinansowania to już ciężko uzyskać przy działającej firmie, z nienajmniejszym obrotem i małą ilością czasu by pobiegać i wymyśleć jakiś projekt :/
– undefine 2010-01-27 14:19 UTC
2 Dodaj komentarz