Как разрешить traceroute c помощью iptables

Недавно, выяснил, что для работы таких утилит как traceroute и tracepath, недостаточно разрешенного ipmp.

Т.е. в ситуации когда вы сидите за линуксовым шлюзом, на котором все “ненужные” адреса, порты и протоколы закрыты, разрешения натить icmp от пользователя в инет не достаточно, что бы работали трассировщики.

Оказывается, что для трассировки используется не только icmp, но и UDP. Т.е. что бы разрешить пользователям трассировать маршрут, нужно сделать что-то вроде

iptables -A FORWARD -i eth0 -p udp -m udp --dport 33434:33523 -j ACCEPT

Т.е. для трассировки требуется пропускать UDP пакеты на порты с 33434 по 33523.

 

 

Перекомпиляция системы под свое железо

Не многие знают, что не одну только генту можно пересобрать из исходников =)) Debian тоже позволяет совершить над собой такое извращение, причём с оптимизацией. Под оптимизацией я имею в виду то, что по умолчанию весь Дебьян собран под i386 архитектуру, что не есть хорошо в то время, когда НЛО бороздит просторы нашей планеты =)

Попробуем…

И раз: sudo apt-get install apt-build
Во время установки у программа спросит желаемый уровень оптимизации и архитектуру процессора. Для экстремалов можно выбрать уровень оптимизации равным “-03” и архитектуру pentium4 (именно он именуется как i686)
Читать

Linux-бэкдор скрывается в легитимном сетевом трафике

Компания Symantec в результате разбора атаки на одного из крупных хостинг-провайдеров выявила новый вид бэкдора для GNU/Linux, cообщает opennet.ru.

Бэкдор выполнен в форме разделяемой библиотеки, перехватывающей ряд стандартных вызовов, таких как read, EVP_CipherInit, fork и ioctl. Библиотека связывается с работающими на системе сетевыми процессами, такими как sshd, берёт на себя обработку указанных вызовов и получает контроль над трафиком поражённых серверных приложений. При работе бэкдор не сохраняет файлов, не создаёт сокетов и не инициирует сетевые соединения, прикрываясь в своей активности поражённым серверным процессом, что затрудняет его обнаружение. Управляющие команды передаются в составе штатного сетевого трафика, через интеграцию подставных блоков. Бэкдор отслеживает появление в нормальном, не вызывающем подозрение, трафике маску “:!;.”, при обнаружении которой декодирует следующий за ней блок данных. Данные зашифрованы с использованием шифра Blowfish и следуют в формате Base64. Через закодированные блоки, примешанные в обычный трафик, могут передаваться управляющие команды для выполнения произвольной shell-команды или отправки в ответ накопленных бэкдором данных. Основной функцией бэкдора является перехват и накопление конфиденциальных данных, таких как пароли, ключи шифрования и email-адреса. В частности, поддерживается перехват паролей и SSH-ключей пользователей, подсоединяющихся к поражённой системе. Читать

Для чего нужны Zeroconf и Avahi.

Я, как старый линуксоид, когда впервые установил Ubuntu и увидел незнакомое слово avahi, конечно же сразу посмотрел в google. Потыкался в несколько ссылок, увидел другие непонятные слова, типа zeroconf, multicast dns, bonjour. Сразу понял, что это какая то мутная технология от Apple и нафиг мне ненужная.

Однако, с ростом локальной сети внутри моей квартиры, подумал, что неплохо бы было полюбопытствовать, как можно приспособить zeroconf, чтобы облегчить себе жизнь.

Давайте разберемся с терминологией:

  1. Zeroconf — это протокол, разработанный Apple и призванный решать следующие проблемы:
    • выбор сетевого адреса для устройства;
    • нахождение компьютеров по имени;
    • обнаружение сервисов, например принтеров.
  2. Avahi — открытая и свободная реализация протокола zeroconf.
  3. Bonjour — open-source реализация протокола zeroconf от Apple.

Читать

История создания электронной почты

Электронная почта как средство коммуникации возникла не в 1971 г., как об этом нередко можно прочитать в популярных изданиях, а несколько раньше. По одной из версий, это произошло летом 1965 г., когда Ноэль Моррис и Том ван Влек написали в Массачусетском технологическом институте (MIT) программу MAIL для операционной системы Compatible Time-Sharing System (CTSS), установленной на компьютере IBM 7090/7094. Идея включения MAIL в CTSS была закреплена в документе Programming Staff Note 49 (декабрь 1964 – январь 1965 г.). Сама команда MAIL, встроенная в операционную систему, позволяла пользователям CTSS передавать друг другу текстовые сообщения в рамках одного компьютера. Она имела формат:

MAIL <код проблемы> <код программиста>

(пример: MAIL M1416 2962), Читать

JSP и include

В jsp есть два вида include.
Первый – <jsp:include page=”uri”/>
Второй – <%@include file=”uri”%>

В книгах и в документации много разного понаписано по этому поводу, чаще всего пишут, что тегом подключается статическая страница, а директивой – страница с jsp. Но это фигня.

Вот самое лучшее объяснение, которое я нашел:

Перед выполнением, jsp страницы компилируются контейнером. После компиляции директивы вида:

<@include file="reuse.html">

при дезассемблировании, получим:

out.write("<html>\r\n");
out.write("    <head>\r\n");
out.write("        <title>reusable</title>\r\n");
out.write("        <meta http-equiv=\"Content-Type\" content=\"text/html; charset=UTF-8\">\r\n");
out.write("    </head>\r\n");
out.write("    <body>\r\n");
out.write("        <img src=\"candle.gif\" height=\"100\" width=\"50\"/> <br />\r\n");
out.write("        <p><b>As the candle burns,so do I</b></p>\r\n");
out.write("    </body>\r\n");
out.write("</html>\r\n");

Читать

Коротко и ясно о Linux и SSD

Недавно, хороший человек подарил мне SSD. Неделю он пролежал у меня на столе, т.к. времени перенастраивать систему под его использование не было. Когда же время появилось, прочитав вот этот пост habrahabr.ru/post/129551/, и перелопатив немало форумов, узнал много нового.

Ниже предлагаю компиляцию всего усвоенного в одном тексте.

Итак, сперва теория:

1. ССД диск имеет ограниченное количество циклов перезаписи. Т.е. в один и тот же блок диска, в среднем, можно записать информацию 3000-5000 раз (на дорогие модели дисков можно и больше).

2. Что бы выравнивать износ диска, нужно как можно реже писать в одно и то же место, т.е. сперва использовать незанятые блоки диска, и только когда они кончатся, писать поверх.

3. В незанятый блок, ССД диск пишет намного быстрее чем в занятый.

4. Диск не «знает», о том, какие блоки заняты, т.к. эта информация сохраняется в файловой системе, и при удалении файла, фактически диску об этом не сообщается. Но когда файловая система решит повторно использовать блок, который уже когда то использовался, он может быть еще не очищен от информации которая там была, т.к. диск не знал, что его можно освобождать. И запись в такой блок займет много времени.

5. В отличие от HDD, в ячейку флеш-памяти NAND нельзя перезаписать новые данные поверх старых, не очистив ее перед этим. Ячейки памяти SSD сгруппированы в страницы (обычно по 4 Кбайт каждая), страницы сгруппированы в блоки (64-128 страниц). Данные можно вписать на чистую страницу, но стирать можно только блоки целиком. Запись на SSD-носитель выполняется очень быстро до тех пор, пока существуют чистые страницы, но значительно замедляется, если необходимо очищать предварительно записанные страницы. Чтобы вернуть в обращение ячейки блока, содержащего смесь актуальных данных и мусора (невалидных данных), контроллер копирует нужное (валидные данные) на пустую страницу нового блока, а затем стирает весь исходный блок. После этого ячейки блока будут готовы принять новые данные.
Читать

Происхождение названий некоторых команд Unix

Знание истории происхождения вещей и их названий, будь то простой карандаш, автомобиль или команда операционной системы, делает их повседневное использование намного интереснее. В этой заметке я постарался разобраться в причинах странного, казалось бы, наименования некоторых программ, используемых в операционной системе Unix и её родственниках: *BSD, Solaris, HP-UX, Linux и т.д.

Перепечатка моей статьи, написанной, в свою очередь, по мотивам страницы What does {some strange unix command name} stand for?

awk

Aho, Weinberger, Kerninghan
Первые буквы фамилий разработчиков языка, сотрудников Центра Компьютерных Исследований Bell Labs: Альфред Ахо (руководитель исследований в этом центре с 1963 по 1991 и с 1997 по 2002 годы, сейчас — профессор Колумбийского университета в Нью-Йорке), Питер Вейнбергер (в 1985 году его стилизованный портрет стал своеобразным мемом исследовательского центра Bell Labs) и Брайан Керниган (известен прежде всего как соавтор одной из первых книг про язык C)
Читать

У инжинеров CISCO определенно есть чувство юмора.

Обратил внимание, что при настройке ip sla, на ios 15.1, максимальное значение таймаута ожидания icmp пакета… бля ни за что не догадался бы!!!  – 7 дней!!!

 

Вот в конце 90х, все озадачвались проблемой y2k. Фильмы катастрофы выпускали пачками, и все такое, а инжинеры cisco готовят оборудование к работе на расстояниях, сравнимых с масштабами солнечной системы.

 

Для справки, сигнал с марса до земли, в зависимости об положения планет, будет идти от 4, до 20 минут.

Рекурсивные папки FAT32

Ниже приведены два интересных и в тоже время простых опыта с Fat’ом и WinHex’ом.
Сам материал, возможно, не имеет большого практического значения, интересен сам подход,
познания скрытых возможностей системы путём бесшабашного экспериментирования с ней. Собственно, я полагаю,
именно такие вот детские опыты и разжигают у людей интерес к более глубокому изучению работы системы.

Нестандартные имена

Итак, мы имеем флешку, размером 8Гб:
image Читать