Lynx

Фото из семейного архива

Вот, нашел раритетные фотки из семейного архива. Это мы с товарищем hvostat_hvostat восемь лет тому назад.

А это мы же сегодня.

P.S. Никогда не отряжайте в одну команду / проект распиздяя и перфекциониста. Особенно, если распиздяю назначена роль принимающего решения лица. Заревом пуканов можно будет обогреть полгорода.

Cat-light

Уточнение

Уточнение к предыдущему посту.

Врач был дальтоник и цвета как всегда перепутал. Меня чё-то конкретно переклинило, и я напутал между технологиями Intel VROC и Optane. Получилась "каша".

Можете почитать вот эту ветку комментариев, где мне указали на ошибку, хоть и в несколько желчной манере.

В любом случае, спасибо всем прокомментировавшим. Обсуждение получилось интересным.

Cat-light

Типа секретное меню в BIOS-е

Не спрашивайте зачем, мне понадобилось установить Debian на ноутбук имени Acer Aspre 7 (N19C5).

А прикол заключается в том, что там унутри есть Intel Optane (это такой типа RAID для NVMe-шных SSD-шек). И по умолчанию "из коробки" он включен. По данной причине на него можно установить только распоследнюю Windows 10 (build 1909 и свежее). Все остальные системы тупо не видят встроенного носителя, т.к. он представляется не как NMVе, а как SATA RAID, коим ни разу на самом деле не является.

Чего я только не пробовал, чтобы вкорячить туда Linux. И распоследние ядра использовать (5.8.5), и всякие "dmraid=true" в параметры старта ядра прописывать, и BIOS обновлять. Ничего не помогает.

Collapse )
Cat-light

Бомжацкие облака

В очередной раз "отстал от жизни".

Хочется на работе сделать облако-ебоблако для KVM-виртуалок. Для себя, не для продажи. Чтобы с живой миграцией, автоконфигурацией гостевой системы (Linux only), удобной админкой, распределенным хранилищем типа Ceph-а, блекджеком и [ну вы поняли]. И разумеется, нахаляву. Потому что работодатель не хочет vendor lock, да и башлять мегабаксы кому-то ни разу не готов.

Какие варианты пришли в голову "навскидку".

Collapse )
Cat-light

IKEv2, IPSec, aes256-gcm, DH-group-20, PRF

Пытаемся строить IPSec-тоннель между Juniper SRX и Cisco ASA. Хотим использовать IKEv2 с шифрованием первой фазы алгоритмом aes256-gcm, обменом ключами по DH-group-20 и аутентификацией по Pre-Shared Key.

В такой постановке задачи именно с такой комбинацией параметров Juniper применяет Pseudo-Random Function (сокращенно PRF) hmac-sha384 и не позволяет её изменять. То есть, она там прибита гвоздями. Причём, нигде в документации вы не найдёте какой именно алгоритм используется в этой самой PRF.

Cisco ASA вполне допускает задание произвольной PRF, хоть SHA1 в конфиге ей назначай. Какую выставишь, такая и будет.

Вот мне теперь стало зело любопытно. Это Juniper такой негодяй, что нагло ограничивает сисадмина в выборе средств. Или это Cisco мурзилка, которая в нарушение каких-нибудь RFC разрешает переназначать то, что по-хорошему меняться не должно. Где бы это посмотреть?

Lynx

Исповедь по-хипстерски

Есть у нас в одном проекте так называемая "клетка": огороженная зона в датацентре с видеокамерами и шлюзами. В "клетке" стоит серверный шкаф. С одной стороны клетки находится дверь для прохода сотрудников, с другой — ролета для вноса-выноса крупногабаритного оборудования. Ролета сделана из перфорированной стали. То есть сквозь неё что-то видно, но плохо.

Клетка эта достаточно тесная, много народа туда физически не помещается. Во время проведения очередных работ с участием большой толпы инженеров я решил выйти наружу, дабы освободить в клетке немного места. Взял стульчик, присел в коридоре возле ролеты. Чтобы если у кого-то возникнут вопросы или сложности, можно было бы легко у меня спросить или позвать.

В это время один из оставшихся внутри инженеров тоже взял стульчик, сел возле той же ролеты с другой стороны и вкрадчивым голосом почти прошептал: "Я согрешил, падре".

Я там сполз на пол от хохота. С чувством юмора парень, да.

Cat-light

Какая-то дичь с маршрутизацией в Linux 5

Традиционная избитая задача.

Есть Linux-маршрутизатор, есть два провайдера (аплинка). Есть локальная сеть, есть N-ное количество машин с "серыми" адресами в DMZ, которые обслуживают внешних клиентов через DNAT. Нужно, чтобы:


  1. Ответ на запрос, пришедший снаружи, отправился обратно через того же самого провайдера (аплинка), что и SYN-пакет.

  2. Соединения, инициируемые изнутри, уходили бы внаружу исходя из каких-то наперёд заданных критериев. Например, "первый линк основной, второй резервный".

Собственно, ничего нового. IProute2+IPTables+nf_conntrack — наше всё. Алгоритм простой. Видим пакет от нового соединения ("-m state --state new"). Пришел снаружи — ставим на соединение метку по номеру провайдера. Пришел изнутри — ставим метку в зависимости от выбранного нами способа распределения соединений по аплинкам. Потом копируем метку с соединения на пакет. И при помощи правил iproute2 уже разруливаем куда надо. Типа того:

При этом в таблице main маршрут для default отсутствует. Во избежание ошибок. Ибо нефиг.

Получается, что сначала обрабатываются все локальные маршруты по таблице main. Затем обрабатываются пакеты с метками в табицах prov1, prov2. Если нет ни записи в main, ни метки, то пакет выбрасывается, так как непонятно куда его маршрутизировать. Все счастливы.

Так вот в 4-м ядре всё это прекрасно работало. В 5-м почему-то уже не работает. Говорят, что там якобы конкретно переделали механизм Reverse Path Filtering, из-за чего появились новые спецэффекты. А может по причине замены iptables на nftables. Но это не точно.

Симптомы следующие (проверил на 5.3-м ядре в Debian несколько раз).

Независимо от того, какую метку я ставлю на пакет для исходящего соединения, система всё равно маршрутизирует его через prov2. Почему — я так и не понял. И почему именно через него — тоже не понял. Единственный способ заставить его уйти через prov1 — это таки дописать в таблицу main маршрут по умолчанию (default) через нужного провайдера. При Лужкове раньше такой фигни не было! И мне это совсем не нравится, потому что ломает всю мою логику работы с аплинками.

В общем, вопрос требует дальнейшего исследования, экспериментов, а возможно и чтения исходников ядра. К сожалению, я всё ещё нахожусь "в центрифуге" и непонятно когда из неё выберусь. И выберусь ли вообще. Так что... моё дело предупредить. Если кто-нибудь располагает информацией по вопросу или может сделать "лабу", готов сотрудничать. Мне тоже нужны ответы, ибо нафиг так жить надо чинить сломанное.