Wiki UnArt Slavičín - Příspěvky [cs]

Nastavení HTTP a HTTPs portů na UBNT

2025-07-10T13:01:25Z

Quimi:

# port pro HTTP
HTTP_PORT=9090
# port pro HTTPs
HTTPS_PORT=9091

sed -i 's/httpd.https.port=.*/httpd.https.port='$HTTPS_PORT'/; s/httpd.port=.*/httpd.port='$HTTP_PORT'/' /tmp/system.cfg && cfgmtd -w -p /etc/ && reboot

Nastavení HTTP a HTTPs portů na UBNT

2025-07-10T13:01:00Z

Quimi: založena nová stránka s textem „ # port pro HTTP HTTP_PORT=9090 # port pro HTTPs HTTPS_PORT=9091 sed -i 's/httpd.https.port=.*/httpd.https.port='$HTTPS_PORT'/; s/httpd.port=.*/httpd.port='$HTTP_PORT'/' /tmp/system.cfg cfgmtd -w -p /etc/ && reboot“

UBNT

2025-07-10T12:59:57Z

Quimi:

Návody na UBNT zařízení:

[[Virtuální AP na UBNT]]

[[802.1X na UBNT]]

[[UBNT UniFi]]

[[Sken IP adres na UBNT]]

[[Zjištění IP adresy na UBNT]]

[[Plánovač na UBNT]]

[[Nastavení HTTP a HTTPs portů na UBNT]]

Linux router

2024-03-22T07:59:52Z

Quimi:

apt install -y bash-completion htop mc traceroute nmap tcpdump elinks iftop fping screen conntrack

= log2ram =

https://github.com/azlux/log2ram

= Nastavení CPU =

= IP forwarding =

Přidat do '''/etc/sysctl.conf''' řádky:

net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1

Aktivovat:
sysctl -p /etc/sysctl.conf

= Nastavení síťě =

[[Síť v Debianu]]

= Conntrack =

Povolit moduly v '''/etc/modules''':

nf_conntrack
nf_conntrack_ipv4
nf_conntrack_pptp
nf_nat
nf_nat_ipv4
nf_nat_pptp

Zjištění aktuální hodnoty '''nf_conntrack_max''':

cat /proc/sys/net/netfilter/nf_conntrack_max
65536

Zjištění aktuální hodnoty '''nf_conntrack_buckets''' (hashsize):

cat /proc/sys/net/netfilter/nf_conntrack_buckets
16384

Zjištění velikost hodnoty jednoho záznamu v tabulce conntrack:

cat /proc/slabinfo | awk '{if ($1 == "nf_conntrack") print $4}'
256

Výpočet:

nf_conntrack_max = velikost použitelné RAM v bytech / velikost jednoho záznamu
nf_conntrack_buckets = nf_conntrack_max / 8

Příklad výpočtu pro 8GB RAM a velikost záznamu 256:

nf_conntrack_max = 8 * 1073741824 / 256 = 33554432
nf_conntrack_buckets = 33554432 / 8 = 4194304

Hodnotu nf_conntrack_max zapíšeme do souboru '''/etc/sysctl.conf''':

net.netfilter.nf_conntrack_max = 33554432
net.netfilter.nf_conntrack_helper = 1

Hodnotu nf_conntrack_buckets do souboru '''/etc/modprobe.d/nf_conntrack.conf''':

options nf_conntrack hashsize=4194304

Jednoduché zjištění veřejné IP adresy:

conntrack -L --src-nat --src VNITŘNÍ_IP_ADRESA 2>/dev/null | awk -F "dst=" '{print $3}' | awk '{print $1}' | sort | uniq

Zdroje:

https://wiki.spoje.net/doku.php/howto/network/conntrack

UBNT UniFi

2023-10-23T08:11:23Z

Quimi: /* Nastavení vzdáleného kontroleru */

==== Nastavení vzdáleného kontroleru ====

ssh ubnt@IP_ADRESA_UNIFI
syswrapper.sh restore-default
mca-cli
set-inform http://5.104.16.229:8080/inform

==== Změna hesla na wifi přes SSH ====

HESLO="NoveHesloNaWifi"; sed -i 's/aaa.2.wpa.psk=.*/aaa.2.wpa.psk='$HESLO'/' /tmp/system.cfg
save
reboot

Sken IP adres na UBNT

2023-10-10T06:19:33Z

Quimi: /* Skript vše v jednom */

Přes SSH v konzoli, vždy upravte proměnné:

'''address''' = rozsah lokálních IP adres

'''start''' = číslo počáteční IP adresy

'''end''' = číslo koncové IP adresy

'''port''' = port, na kterém běží webové rozhraní (pouze HTTP)

= ping =

address="192.168.1.";
start=1;
end=254;
for i in `seq $start $end`;
do
up=`ping -c1 -W1 $address$i | grep "1 packets received" | wc -l`;
if [ "$up" -eq 1 ];
then
echo $address$i;
fi;
done

= arping =

address="192.168.1.";
start=1;
end=254;
iface=`ip addr | grep $address | awk '{print $NF}'`;
for i in `seq $start $end`;
do
up=`arping -c1 -w1 -I $iface $address$i | grep "Received 1 replies" | wc -l`;
if [ "$up" -eq 1 ];
then
echo $address$i;
fi;
done

= wget =

address="192.168.1.";
start=1;
end=254;
port=80;
for i in `seq $start $end`;
do
wget -qO- http://$address$i:$port >/dev/null 2>&1 && echo $address$i;
done

= Skript vše v jednom =

#!/bin/bash

# rozsah lokalnich IP adres
address="192.168.1."

# cislo prvni IP adresy
start=1

# cislo posledni IP adresy
end=254

# pocet skenu najednou
count=20

# interval mezi skeny
sleep=5

# porty HTTP ke skenovani
ports="80 8080"

iface=`ip addr | grep $address | awk '{print $NF}'`;

log="/tmp/scan.log"

test_host ()
{
output=""
ping -q -c1 -W1 $1 >/dev/null && output="ping"
arping -q -c1 -w1 -I $iface $1 >/dev/null && output="$output arping"

for port in $ports;
do
wget -qO- http://$1:$port >/dev/null 2>&1 && output="$output port $port "
done

if [ -n "$output" ];
then
echo "$1: $output"
fi
}

greater ()
{
if [ $1 -le $2 ];
then
echo $1
else
echo $2
fi
}

rm "$log"

for i in `seq $start $count $end`;
do
from=$address$i
to=`greater $((i+count)) $end`

echo "$address$i - $address$to"

for j in $(seq $i $to);
do
ip=$address$j

test_host $ip >> "$log" &
done
sleep $sleep
done

cat "$log"

Proxmox

2023-09-12T00:02:00Z

Quimi:

== Oprava GRUBu ==

modprobe efivarfs
mount /dev/mapper/pve-root /mnt
mount -t proc proc /mnt/proc
mount -t sysfs sys /mnt/sys
mount -o bind /dev /mnt/dev
mount -t devpts pts /mnt/dev/pts/
chroot /mnt
# run inside the chroot:
mount /dev/sda2 /boot/efi
mount -t efivarfs efivarfs /sys/firmware/efi/efivars

update-grub
grub-install /dev/sda

== Node maintenance mode ==

ha-manager crm-command node-maintenance enable pve01

Linux router

2023-08-22T02:52:40Z

Quimi:

apt install -y bash-completion htop mc traceroute nmap tcpdump elinks iftop fping screen conntrack

= log2ram =

https://github.com/azlux/log2ram

= IP forwarding =

Přidat do '''/etc/sysctl.conf''' řádky:

net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1

Aktivovat:
sysctl -p /etc/sysctl.conf

= Nastavení síťě =

[[Síť v Debianu]]

= Conntrack =

Povolit moduly v '''/etc/modules''':

nf_conntrack
nf_conntrack_ipv4
nf_conntrack_pptp
nf_nat
nf_nat_ipv4
nf_nat_pptp

Zjištění aktuální hodnoty '''nf_conntrack_max''':

cat /proc/sys/net/netfilter/nf_conntrack_max
65536

Zjištění aktuální hodnoty '''nf_conntrack_buckets''' (hashsize):

cat /proc/sys/net/netfilter/nf_conntrack_buckets
16384

Zjištění velikost hodnoty jednoho záznamu v tabulce conntrack:

cat /proc/slabinfo | awk '{if ($1 == "nf_conntrack") print $4}'
256

Výpočet:

nf_conntrack_max = velikost použitelné RAM v bytech / velikost jednoho záznamu
nf_conntrack_buckets = nf_conntrack_max / 8

Příklad výpočtu pro 8GB RAM a velikost záznamu 256:

nf_conntrack_max = 8 * 1073741824 / 256 = 33554432
nf_conntrack_buckets = 33554432 / 8 = 4194304

Hodnotu nf_conntrack_max zapíšeme do souboru '''/etc/sysctl.conf''':

net.netfilter.nf_conntrack_max = 33554432
net.netfilter.nf_conntrack_helper = 1

Hodnotu nf_conntrack_buckets do souboru '''/etc/modprobe.d/nf_conntrack.conf''':

options nf_conntrack hashsize=4194304

Jednoduché zjištění veřejné IP adresy:

conntrack -L --src-nat --src VNITŘNÍ_IP_ADRESA 2>/dev/null | awk -F "dst=" '{print $3}' | awk '{print $1}' | sort | uniq

Zdroje:

https://wiki.spoje.net/doku.php/howto/network/conntrack

Linux router

2023-07-25T15:43:23Z

Quimi:

apt install -y bash-completion htop mc traceroute nmap tcpdump elinks iperf iperf3 iftop fping screen

= log2ram =

https://github.com/azlux/log2ram

= IP forwarding =

Přidat do '''/etc/sysctl.conf''' řádky:

net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1

Aktivovat:
sysctl -p /etc/sysctl.conf

= Nastavení síťě =

[[Síť v Debianu]]

= DHCP server =

[[Kea|ISC Kea]]

= Conntrack =

Povolit moduly v '''/etc/modules''':

nf_conntrack
nf_conntrack_ipv4
nf_conntrack_pptp
nf_nat
nf_nat_ipv4
nf_nat_pptp

Zjištění aktuální hodnoty '''nf_conntrack_max''':

cat /proc/sys/net/netfilter/nf_conntrack_max
65536

Zjištění aktuální hodnoty '''nf_conntrack_buckets''' (hashsize):

cat /proc/sys/net/netfilter/nf_conntrack_buckets
16384

Zjištění velikost hodnoty jednoho záznamu v tabulce conntrack:

cat /proc/slabinfo | awk '{if ($1 == "nf_conntrack") print $4}'
256

Výpočet:

nf_conntrack_max = velikost použitelné RAM v bytech / velikost jednoho záznamu
nf_conntrack_buckets = nf_conntrack_max / 8

Příklad výpočtu pro 8GB RAM a velikost záznamu 256:

nf_conntrack_max = 8 * 1073741824 / 256 = 33554432
nf_conntrack_buckets = 33554432 / 8 = 4194304

Hodnotu nf_conntrack_max zapíšeme do souboru '''/etc/sysctl.conf''':

net.netfilter.nf_conntrack_max = 33554432
net.netfilter.nf_conntrack_helper = 1

Hodnotu nf_conntrack_buckets do souboru '''/etc/modprobe.d/nf_conntrack.conf''':

options nf_conntrack hashsize=4194304

Jednoduché zjištění veřejné IP adresy:

conntrack -L --src-nat --src VNITŘNÍ_IP_ADRESA 2>/dev/null | awk -F "dst=" '{print $3}' | awk '{print $1}' | sort | uniq

Zdroje:

https://wiki.spoje.net/doku.php/howto/network/conntrack

Zjištění IP adresy na UBNT

2023-06-26T11:37:22Z

Quimi:

V příkazové řádce:

wget -qO- http://checkip.dyndns.org/ | awk '{print $6}' | awk -F "<" '{print $1}'

Výstup vypadá nějak takto:

5.104.19.19

UBNT

2023-05-10T07:29:08Z

Quimi:

Návody na UBNT zařízení:

[[Virtuální AP na UBNT]]

[[802.1X na UBNT]]

[[UBNT UniFi]]

[[Sken IP adres na UBNT]]

[[Zjištění IP adresy na UBNT]]

[[Plánovač na UBNT]]

Zjištění IP adresy na UBNT

2023-05-10T07:28:47Z

Quimi: Založena nová stránka s textem „V příkazové řádce: wget -qO- http://checkip.dyndns.org/ Výstup vypadá nějak takto: <html><head><title>Current IP Check</title></head><body>Cur…“

V příkazové řádce:

wget -qO- http://checkip.dyndns.org/

Výstup vypadá nějak takto:

<html><head><title>Current IP Check</title></head><body>Current IP Address: 5.104.19.19</body></html>

FRR

2023-03-29T11:28:03Z

Quimi:

Instalace:
apt install frr

Zapnutí OSPF:
sed -i 's/ospfd=no/ospfd=yes/g' /etc/frr/daemons
systemctl reload frr.service

FRR

2023-03-29T11:23:27Z

Quimi: Založena nová stránka s textem „Instalace: apt install frr“

Instalace:
apt install frr

Linux router

2023-03-10T03:11:36Z

Quimi: /* Conntrack */

apt install -y bash-completion htop mc traceroute nmap tcpdump elinks iperf iperf3 iftop fping screen

= [[Flashybrid]] =

= IP forwarding =

Přidat do '''/etc/sysctl.conf''' řádky:

net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1

Aktivovat:
sysctl -p /etc/sysctl.conf

= Nastavení síťě =

[[Síť v Debianu]]

= DHCP server =

[[Kea|ISC Kea]]

= Conntrack =

Povolit moduly v '''/etc/modules''':

nf_conntrack
nf_conntrack_ipv4
nf_conntrack_pptp
nf_nat
nf_nat_ipv4
nf_nat_pptp

Zjištění aktuální hodnoty '''nf_conntrack_max''':

cat /proc/sys/net/netfilter/nf_conntrack_max
65536

Zjištění aktuální hodnoty '''nf_conntrack_buckets''' (hashsize):

cat /proc/sys/net/netfilter/nf_conntrack_buckets
16384

Zjištění velikost hodnoty jednoho záznamu v tabulce conntrack:

cat /proc/slabinfo | awk '{if ($1 == "nf_conntrack") print $4}'
256

Výpočet:

nf_conntrack_max = velikost použitelné RAM v bytech / velikost jednoho záznamu
nf_conntrack_buckets = nf_conntrack_max / 8

Příklad výpočtu pro 8GB RAM a velikost záznamu 256:

nf_conntrack_max = 8 * 1073741824 / 256 = 33554432
nf_conntrack_buckets = 33554432 / 8 = 4194304

Hodnotu nf_conntrack_max zapíšeme do souboru '''/etc/sysctl.conf''':

net.netfilter.nf_conntrack_max = 33554432
net.netfilter.nf_conntrack_helper = 1

Hodnotu nf_conntrack_buckets do souboru '''/etc/modprobe.d/nf_conntrack.conf''':

options nf_conntrack hashsize=4194304

Jednoduché zjištění veřejné IP adresy:

conntrack -L --src-nat --src VNITŘNÍ_IP_ADRESA 2>/dev/null | awk -F "dst=" '{print $3}' | awk '{print $1}' | sort | uniq

Zdroje:

https://wiki.spoje.net/doku.php/howto/network/conntrack

Sken IP adres na UBNT

2022-10-06T14:37:32Z

Quimi:

Přes SSH v konzoli, vždy upravte proměnné:

'''address''' = rozsah lokálních IP adres

'''start''' = číslo počáteční IP adresy

'''end''' = číslo koncové IP adresy

'''port''' = port, na kterém běží webové rozhraní (pouze HTTP)

= ping =

address="192.168.1.";
start=1;
end=254;
for i in `seq $start $end`;
do
up=`ping -c1 -W1 $address$i | grep "1 packets received" | wc -l`;
if [ "$up" -eq 1 ];
then
echo $address$i;
fi;
done

= arping =

address="192.168.1.";
start=1;
end=254;
iface=`ip addr | grep $address | awk '{print $NF}'`;
for i in `seq $start $end`;
do
up=`arping -c1 -w1 -I $iface $address$i | grep "Received 1 replies" | wc -l`;
if [ "$up" -eq 1 ];
then
echo $address$i;
fi;
done

= wget =

address="192.168.1.";
start=1;
end=254;
port=80;
for i in `seq $start $end`;
do
wget -qO- http://$address$i:$port >/dev/null 2>&1 && echo $address$i;
done

= Skript vše v jednom =

# rozsah lokalnich IP adres
address="192.168.1."

# cislo prvni IP adresy
start=1

# cislo posledni IP adresy
end=254

# porty HTTP ke skenovani
ports="80 8080"

iface=`ip addr | grep $address | awk '{print $NF}'`;
for i in `seq $start $end`;
do
ip=$address$i

echo -n "$ip: "
ping -q -c1 -W1 $ip >/dev/null && echo -n "ping ";
arping -q -c1 -w1 -I $iface $ip >/dev/null && echo -n "arping ";

for port in $ports;
do
wget -qO- http://$ip:$port >/dev/null 2>&1 && echo -n "port $port ";
done

echo ""
done

Sken IP adres na UBNT

2022-10-06T14:06:06Z

Quimi:

Sken IP adres na UBNT

2022-10-06T14:04:14Z

Quimi:

Přes SSH v konzoli, vždy upravte proměnné:

'''address''' = rozsah lokálních IP adres

'''start''' = číslo počáteční IP adresy

'''end''' = číslo koncové IP adresy

= ping =

address="192.168.1.";
start=1;
end=254;
for i in `seq $start $end`;
do
up=`ping -c1 -W1 $address$i | grep "1 packets received" | wc -l`;
if [ "$up" -eq 1 ];
then
echo $address$i;
fi;
done

= arping =

address="192.168.1.";
start=1;
end=254;
iface=`ip addr | grep $address | awk '{print $NF}'`;
for i in `seq $start $end`;
do
up=`arping -c1 -w1 -I $iface $address$i | grep "Received 1 replies" | wc -l`;
if [ "$up" -eq 1 ];
then
echo $address$i;
fi;
done

= wget =

address="192.168.1.";
port=80;
start=1;
end=254;
for i in `seq $start $end`;
do
wget -qO- http://$address$i:$port >/dev/null 2>&1 && echo $address$i;
done

Sken IP adres na UBNT

2022-10-06T14:03:29Z

Quimi: /* arping */

Přes SSH v konzoli, vždy upravte proměnné:

'''address''' = rozsah lokálních IP adres

'''start''' = číslo počáteční IP adresy

'''end''' = číslo koncové IP adresy

'''iface''' = rozhrani UBNT s lokálním rozsahem (pouze pro arping)

= ping =

address="192.168.1.";
start=1;
end=254;
for i in `seq $start $end`;
do
up=`ping -c1 -W1 $address$i | grep "1 packets received" | wc -l`;
if [ "$up" -eq 1 ];
then
echo $address$i;
fi;
done

= arping =

address="192.168.1.";
start=1;
end=254;
iface=`ip addr | grep $address | awk '{print $NF}'`;
for i in `seq $start $end`;
do
up=`arping -c1 -w1 -I $iface $address$i | grep "Received 1 replies" | wc -l`;
if [ "$up" -eq 1 ];
then
echo $address$i;
fi;
done

= wget =

address="192.168.1.";
port=80;
start=1;
end=254;
for i in `seq $start $end`;
do
wget -qO- http://$address$i:$port >/dev/null 2>&1 && echo $address$i;
done

Sken IP adres na UBNT

2022-10-06T13:56:46Z

Quimi:

Přes SSH v konzoli, vždy upravte proměnné:

'''address''' = rozsah lokálních IP adres

'''start''' = číslo počáteční IP adresy

'''end''' = číslo koncové IP adresy

'''iface''' = rozhrani UBNT s lokálním rozsahem (pouze pro arping)

= ping =

address="192.168.1.";
start=1;
end=254;
for i in `seq $start $end`;
do
up=`ping -c1 -W1 $address$i | grep "1 packets received" | wc -l`;
if [ "$up" -eq 1 ];
then
echo $address$i;
fi;
done

= arping =

address="192.168.1.";
iface="br0";
start=1;
end=254;
for i in `seq $start $end`;
do
up=`arping -c1 -w1 -I $iface $address$i | grep "Received 1 replies" | wc -l`;
if [ "$up" -eq 1 ];
then
echo $address$i;
fi;
done

= wget =

address="192.168.1.";
port=80;
start=1;
end=254;
for i in `seq $start $end`;
do
wget -qO- http://$address$i:$port >/dev/null 2>&1 && echo $address$i;
done

Sken IP adres na UBNT

2022-10-06T13:49:53Z

Quimi:

Přes SSH v konzoli (pokud je rozsah jiný než 192.168.1.0/24, upravte proměnnou address):

= ping =

address="192.168.1.";
for i in `seq 1 254`;
do
up=`ping -c1 -W1 $address$i | grep "1 packets received" | wc -l`;
if [ "$up" -eq 1 ];
then
echo $address$i;
fi;
done

= arping =

address="192.168.1.";
iface="br0";
for i in `seq 1 254`;
do
up=`arping -c1 -w1 -I $iface $address$i | grep "Received 1 replies" | wc -l`;
if [ "$up" -eq 1 ];
then
echo $address$i;
fi;
done

= wget =

address="192.168.1.";
port=80;
start=1;
end=254;
for i in `seq $start $end`;
do
wget -qO- http://$address$i:$port >/dev/null 2>&1 && echo $address$i;
done

Sken IP adres na UBNT

2022-10-06T13:48:59Z

Quimi:

Přes SSH v konzoli (pokud je rozsah jiný než 192.168.1.0/24, upravte proměnnou address):

= ping =

address="192.168.1.";
for i in `seq 1 254`;
do
up=`ping -c1 -W1 $address$i | grep "1 packets received" | wc -l`;
if [ "$up" -eq 1 ];
then
echo $address$i;
fi;
done

= arping =

address="192.168.1.";
iface="br0";
for i in `seq 1 254`;
do
up=`arping -c1 -w1 -I $iface $address$i | grep "Received 1 replies" | wc -l`;
if [ "$up" -eq 1 ];
then
echo $address$i;
fi;
done

= wget =

address="192.168.1.";
port=80;
for i in `seq 1 254`;
do
wget -qO- http://$address$i:$port >/dev/null 2>&1 && echo $address$i;
done

Proxmox

2022-06-17T07:33:23Z

Quimi: Založena nová stránka s textem „== Oprava GRUBu == modprobe efivarfs mount /dev/mapper/pve-root /mnt mount -t proc proc /mnt/proc mount -t sysfs sys /mnt/sys mount -o bind /dev /mnt…“

Plánovač na UBNT

2022-05-20T11:24:55Z

Quimi: Založena nová stránka s textem „Jde pouze v příkazové řádce (nutné dopsat řádky do konfiguráku): # minuta (0-59, nebo * pro každou minutu) minute=* # hodina (0-23, nebo * p…“

Jde pouze v příkazové řádce (nutné dopsat řádky do konfiguráku):

# minuta (0-59, nebo * pro každou minutu)
minute=*
# hodina (0-23, nebo * pro každou hodinu)
hour=*
# den v měsíci (1-31, nebo * pro každý den)
monthday=*
# měsíc (1-12, nebo * pro každý měsíc)
month=*
# den v týdnu (0-59, nebo * pro každou minutu)
weekday=* (1-12, nebo * pro každý den)
# spouštený příkaz
cmd=reboot

cat <<EOT >> /tmp/system.cfg
cron.status=enabled
cron.1.status=enabled
cron.1.user=ubnt
cron.1.job.1.status=enabled
cron.1.job.1.schedule=$minute $hour $monthday $month $weekday
cron.1.job.1.cmd=$cmd
EOT

cfgmtd -f /tmp/system.cfg -w
reboot

UBNT

2022-05-20T11:18:06Z

Quimi:

Návody na UBNT zařízení:

[[Virtuální AP na UBNT]]

[[802.1X na UBNT]]

[[UBNT UniFi]]

[[Sken IP adres na UBNT]]

[[Plánovač na UBNT]]

Síť v Linuxu

2022-04-28T08:46:38Z

Quimi: Založena nová stránka s textem „Přidání VLANu: ip link add link eth1 name eth1.700 type vlan id 700“

Přidání VLANu:

ip link add link eth1 name eth1.700 type vlan id 700

Linux

2022-04-28T08:46:05Z

Quimi: /* Networking */

==Systém==

*[[Hostname]]
*[[Instalace s Compact Flash]]
*[[Instalace Debianu]]
*[[Linux SW RAID]]
*[[LVM]]
*[[Nastavení času a datumu]]
*[[Inteligentní logování]]
*[[Persistent device names|Trvalá jména zařízení]]
*[[Překódování textového souboru]]
*[[Přidání vlastního skriptu po startu systému]]
*[[Testy rychlosti HDD]]
*[[Vzdálená autorizace]]
*[[Zabezpečení]]
*[[Zálohování]]

==SSH==

[[SSH Autentizace]]

[[SSH ochrana před roboty]]

==Linux Kernel==

[[Kernel]]

[[Firewall]]

[[Conntrack]]
==Networking==
*[[ethtool]]
*[[IPv6]]
*[[HTB]]
*[[Atheros]]
*[[Síť v Linuxu]]

==Grafické rozhraní==
* [[Blackbox]]

==Servery==

*[[ProFTPd]]

*[[Exim4]]

*[[Samba]]

==DVB==

===DVB-S===

*[[Instalace SkyStar2]]
*[[opensasc-ng]]
*[[VDR]]

==Monitoring==

*[[Cacti]] - monitorovací webové rozhraní
*[[snmpd]] - snmpd démon

==Virtualizace==
* [[Xen]]
* [[VmWare]]
* [[VirtualBox]]
* [[http://www.5dollarwhitebox.org/wiki/index.php/Howtos_Linux-Vserver_With_LVM_And_Quotas Vserver]]
* [[Wine]]

==VPN==
* [[pptpd]]
* [[OpenVPN]]

==Užitečné poznatky==
*[[Prikazy]]

==IPv6==
*[[Tunelování IPv6 v IPv4]]

==Ostatní==
* [[Vychytávky a postřehy v Kubuntu]]

Nftables

2022-01-19T07:45:25Z

Quimi: /* Server */

= Firewall =

Jednoduchý firewall brány do internetu:

#!/usr/sbin/nft -f

# rozhraní přistupující do internetu
define wan = ens5f0

# rozhrani přístupující do lokální sítě
define lan = ens5f1

# vymažeme původní pravidla
flush ruleset

# tabulka pro filtrování provozu
table inet filter {

# omezení příchozího provozu NA bránu
chain input {
type filter hook input priority 0

ct state established,related counter accept "Povolení navázaných spojení z conntracku"

icmp type echo-request counter accept comment "Povolení pingu na bránu"

tcp dport ssh counter accept comment "Povolení SSH na bránu"

iifname $wan counter drop comment "Zakázání přístupu na bránu z internetu"

counter comment "Povolení přístupu na bránu z lokální sítě"
policy accept
}

# omezení provozu PŘES bránu
chain forward {
type filter hook forward priority 0

ct state established,related counter accept comment "Povolení navázaných spojení z conntracku"

iifname lo counter accept comemnt "Povolení všeho na loopback rozhraní"

oifname $wan counter accept comment "Povolení vše do internetu"

counter comment "Ostatní provoz blokovat"
policy drop
}
}

# tabulka pro NAT
table ip nat {

# mapování NATu ve formátu vnitřní IP : veřejná IP
map snat_map {
type ipv4_addr : ipv4_addr
flags interval

elements = {
10.143.122.200 : 5.104.17.160
}
}

# SNAT
chain postrouting {
type nat hook postrouting priority 0

oifname $wan counter snat ip saddr map @snat_map comment "Vnitřní IP adresy z mapy snat_map sNATujeme za jim přidělené veřejné IP adresy"
oifname $wan counter masquerade comment "Ostatní vnitřní IP adresy zaNATujeme za veřejnou IP adresu brány"
}
}

= Server =

Jednoduchý firewall pro server:

#!/usr/sbin/nft -f

# vymazeme puvodni pravidla
flush ruleset

define UNART4 = {
10.143.126.0/24,
5.104.16.0/21
}

define UNART6 = {
2a05:2100::/29
}

# tabulka pro filtrovani provozu (pro IPv4 i IPv6)
table inet filter {

set unart4 {
type ipv4_addr
flags interval
elements = $UNART4
}

set unart6 {
type ipv6_addr
flags interval
elements = $UNART6
}

# omezení provozu na server
chain input {
type filter hook input priority 0

ct state established,related counter accept

icmp type echo-request counter accept comment "Povolení IPv4 pingu"
icmpv6 type {
destination-unreachable,
echo-reply,
echo-request,
nd-neighbor-solicit,
nd-router-advert,
nd-neighbor-advert,
packet-too-big,
parameter-problem,
time-exceeded
} counter accept comment "Povolení IPv6 pingu"

tcp dport {
ftp,
ssh,
http,
https,
mysql,
tproxy
} counter accept comment "Povolení TCP služeb (FTP, SSH, HTTP, HTTPs a MySQL)"

ip saddr @unart4 udp dport snmp counter accept comment "Povolení SNMP z IPv4 rozsahů UnArtu"
ip6 saddr @unart6 udp dport snmp counter accept comment "Povolení SNMP z IPv6 rozsahů UnArtu"

counter comment "Všechno ostatní zakaž"
policy drop
}

# omezení provozu ze serveru
chain output {
type filter hook output priority 0

counter comment "Všechno povol"
policy accept
}
}

[https://wiki.nftables.org/wiki-nftables/index.php/Main_Page Dokumentace]

[http://moutane.net/RMLL2014/day_1-1620-Eric_Leblond-Netfilter_logging_at_the_nftables_age.pdf Logování provozu]

Nftables

2022-01-19T07:44:28Z

Quimi: /* Server */

Nftables

2022-01-19T07:43:53Z

Quimi:

= Firewall =

Jednoduchý firewall brány do internetu:

#!/usr/sbin/nft -f

# rozhraní přistupující do internetu
define wan = ens5f0

# rozhrani přístupující do lokální sítě
define lan = ens5f1

# vymažeme původní pravidla
flush ruleset

# tabulka pro filtrování provozu
table inet filter {

# omezení příchozího provozu NA bránu
chain input {
type filter hook input priority 0

ct state established,related counter accept "Povolení navázaných spojení z conntracku"

icmp type echo-request counter accept comment "Povolení pingu na bránu"

tcp dport ssh counter accept comment "Povolení SSH na bránu"

iifname $wan counter drop comment "Zakázání přístupu na bránu z internetu"

counter comment "Povolení přístupu na bránu z lokální sítě"
policy accept
}

# omezení provozu PŘES bránu
chain forward {
type filter hook forward priority 0

ct state established,related counter accept comment "Povolení navázaných spojení z conntracku"

iifname lo counter accept comemnt "Povolení všeho na loopback rozhraní"

oifname $wan counter accept comment "Povolení vše do internetu"

counter comment "Ostatní provoz blokovat"
policy drop
}
}

# tabulka pro NAT
table ip nat {

# mapování NATu ve formátu vnitřní IP : veřejná IP
map snat_map {
type ipv4_addr : ipv4_addr
flags interval

elements = {
10.143.122.200 : 5.104.17.160
}
}

# SNAT
chain postrouting {
type nat hook postrouting priority 0

oifname $wan counter snat ip saddr map @snat_map comment "Vnitřní IP adresy z mapy snat_map sNATujeme za jim přidělené veřejné IP adresy"
oifname $wan counter masquerade comment "Ostatní vnitřní IP adresy zaNATujeme za veřejnou IP adresu brány"
}
}

= Server =

#!/usr/sbin/nft -f

# vymazeme puvodni pravidla
flush ruleset

define UNART4 = {
10.143.126.0/24,
5.104.16.0/21
}

define UNART6 = {
2a05:2100::/29
}

# tabulka pro filtrovani provozu (pro IPv4 i IPv6)
table inet filter {

set unart4 {
type ipv4_addr
flags interval
elements = $UNART4
}

set unart6 {
type ipv6_addr
flags interval
elements = $UNART6
}

# omezení provozu na server
chain input {
type filter hook input priority 0

ct state established,related counter accept

icmp type echo-request counter accept comment "Povolení IPv4 pingu"
icmpv6 type {
destination-unreachable,
echo-reply,
echo-request,
nd-neighbor-solicit,
nd-router-advert,
nd-neighbor-advert,
packet-too-big,
parameter-problem,
time-exceeded
} counter accept comment "Povolení IPv6 pingu"

tcp dport {
ftp,
ssh,
http,
https,
mysql,
tproxy
} counter accept comment "Povolení TCP služeb (FTP, SSH, HTTP, HTTPs a MySQL)"

ip saddr @unart4 udp dport snmp counter accept comment "Povolení SNMP z IPv4 rozsahů UnArtu"
ip6 saddr @unart6 udp dport snmp counter accept comment "Povolení SNMP z IPv6 rozsahů UnArtu"

counter comment "Všechno ostatní zakaž"
policy drop
}

# omezení provozu ze serveru
chain output {
type filter hook output priority 0

counter comment "Všechno povol"
policy accept
}
}

[https://wiki.nftables.org/wiki-nftables/index.php/Main_Page Dokumentace]

[http://moutane.net/RMLL2014/day_1-1620-Eric_Leblond-Netfilter_logging_at_the_nftables_age.pdf Logování provozu]

Nftables

2021-09-15T12:41:03Z

Quimi:

Jednoduchý firewall brány do internetu:

#!/usr/sbin/nft -f

# rozhraní přistupující do internetu
define wan = ens5f0

# rozhrani přístupující do lokální sítě
define lan = ens5f1

# vymažeme původní pravidla
flush ruleset

# tabulka pro filtrování provozu
table inet filter {

# omezení příchozího provozu NA bránu
chain input {
type filter hook input priority 0

ct state established,related counter accept "Povolení navázaných spojení z conntracku"

icmp type echo-request counter accept comment "Povolení pingu na bránu"

tcp dport ssh counter accept comment "Povolení SSH na bránu"

iifname $wan counter drop comment "Zakázání přístupu na bránu z internetu"

counter comment "Povolení přístupu na bránu z lokální sítě"
policy accept
}

# omezení provozu PŘES bránu
chain forward {
type filter hook forward priority 0

ct state established,related counter accept comment "Povolení navázaných spojení z conntracku"

iifname lo counter accept comemnt "Povolení všeho na loopback rozhraní"

oifname $wan counter accept comment "Povolení vše do internetu"

counter comment "Ostatní provoz blokovat"
policy drop
}
}

# tabulka pro NAT
table ip nat {

# mapování NATu ve formátu vnitřní IP : veřejná IP
map snat_map {
type ipv4_addr : ipv4_addr
flags interval

elements = {
10.143.122.200 : 5.104.17.160
}
}

# SNAT
chain postrouting {
type nat hook postrouting priority 0

oifname $wan counter snat ip saddr map @snat_map comment "Vnitřní IP adresy z mapy snat_map sNATujeme za jim přidělené veřejné IP adresy"
oifname $wan counter masquerade comment "Ostatní vnitřní IP adresy zaNATujeme za veřejnou IP adresu brány"
}
}

[https://wiki.nftables.org/wiki-nftables/index.php/Main_Page Dokumentace]

[http://moutane.net/RMLL2014/day_1-1620-Eric_Leblond-Netfilter_logging_at_the_nftables_age.pdf Logování provozu]

ES3528M

2021-08-04T05:29:52Z

Quimi:

= Reset do továrního nastavení =

Pokud se vám podaří odříznout si přístup do switche ES3528M, nezbude vám jiná možnost než jej resetovat do továrního nastavení.

- switch připojíme k PC přes serial port (8bit, 9600bps, bez řízení toku, 1 stop bit, bez parity)

- spustíme software pro komunikaci např. hyperterminál

- přihlásíme se jako admin

- spustíme:
config
boot system config: Factory_Default_Config.cfg
exit
reload

- po restartu switch najede opět v továrním nastavení

= Zjištění informací o optických modulech =

Pro port 28 spustíme:

show interfaces transceiver ethernet 1/28

Výstup:

Ethernet 1/28
Connector Type : unknown
Fiber Type : Multimode 50um (M5)
Eth Compliance Codes : 1000BASE-SX, 1000BASE-T, 100BASE-FX, BASE-BX10
Baud Rate : 24400 MBd
Vendor OUI : 76-2E-0A
Vendor Name :
Vendor PN : LQS
Vendor Rev : ��
Vendor SN : HQS��
Date Code : 29-88-153
DDM Info
Temperature : 10.38 degree C
Vcc : 0.08 V
Bias Current : 5.26 mA
TX Power : -11.00 dBm
RX Power : 4.06 dBm

Mysql cluster

2021-04-29T12:19:49Z

Quimi:

=== Oprava ===

Pokud se vám všechny uzly vypnout ve stejný čas, tak se po jejich spuštění cluster rozpadne a MySQL se nespustí ani na jednom z nich.

Na jednom z uzlů je potřeba upravit proměnnou '''safe_to_bootstrap''' na hodnotu '''1''' v souboru '''/var/lib/mysql/grastate.dat''' a vytvořit cluster znovu:

galera_new_cluster

Poté již stačí na ostatních uzlech pouze restartovat MySQL:

systemctl restart mariadb.service

Mysql cluster

2021-04-29T12:19:13Z

Quimi: Oprava

=== Oprava ===

Pokud se vám všechny uzly vypnout ve stejný čas, tak se po jejich spuštění cluster rozpadne a MySQL se na všech uzlech nespustí.

Na jednom z uzlů je potřeba upravit proměnnou '''safe_to_bootstrap''' na hodnotu '''1''' v souboru '''/var/lib/mysql/grastate.dat''' a vytvořit cluster znovu:

galera_new_cluster

Poté již stačí na ostatních uzlech pouze restartovat MySQL:

systemctl restart mariadb.service

Switch HPE 1920s

2021-03-09T09:16:06Z

Quimi: /* Povolení SSH */

== Povolení SSH ==

- firmware nejvýše PD.02.06.stk (v novějším je SSH již odstraněno)
- v '''Maintenance > Backup and Update Manager''' stáhnout (Backup) startovací konfiguraci (Startup configuration)
- upravit jej v textovém editoru - před řádek s '''configure''' přidat řádek '''ip telnet server enable'''
- soubor nahrát opět v '''Maintenance > Backup and Update Manager''' jako startovací konfiguraci (Startup configuration)
- restartovat switch
- přihlásit se do switche přes telnet a spustit následující příkazy pro povolení SSH a změnu hesla admina:
'''enable'''
'''configure'''
'''crypto key generate rsa'''
'''crypto key generate dsa'''
'''exit'''
'''ip ssh server enable'''
'''ip ssh protocol 2'''
'''passwords min-length 0'''
'''username admin password NOVE-HESLO-ADMINA'''
'''write memory confirm'''
'''quit'''
- přihlásit se do switche přes SSH a zakázat telnet:
'''enable'''
'''no ip telnet server enable'''
'''write memory confirm'''
'''quit'''

== Informace o SFP ==
show fiber-ports optical-transceiver all

Output Input
Port Temp Voltage Current Power Power TX LOS
[C] [Volt] [mA] [dBm] [dBm] Fault
-------- ---- ------- ------- ------- ------- ----- ---
26 37.5 3.337 26.8 -5.761 -5.832 No No

Temp - Internally measured transceiver temperatures.
Voltage - Internally measured supply voltage.
Current - Measured TX bias current.
Output Power - Measured optical output power relative to 1mW.
Input Power - Measured optical power received relative to 1mW.
TX Fault - Transmitter fault.
LOS - Loss of signal.

show fiber-ports optical-transceiver-info all

Link Link Nominal
Length Length Bit
50um 62.5um Rate
Port Vendor Name [m] [m] Serial Number Part Number [Mbps] Rev Compliance
-------- ---------------- --- ---- ---------------- ---------------- ----- ---- ----------------
26 OEM 0 0 S1803236892 GPB-5324L-L2CD-3 1300 1.0 1000LX

Monit

2021-01-05T15:37:45Z

Quimi:

=== Instalace ===

apt install monit

=== Konfigurace ===
Upravit hlavní konfigurační soubor /etc/monit/monitrc:
# kontrolovat každou minutu
set daemon 60

# logovat do syslogu
set log syslog

# posílat e-maily přes náš SMTP server
set mailserver smtp.unartel.cz port 25 username "freenetis" password "*********"

# posílat e-maily na naši e-mailovou adresu
set alert monitor@slavicin.unart.cz

# zapnutí webového rozhraní
set httpd port 2812 and allow root:tajneheslo

=== Vlastní hlídač služby ===

Pro hlídání influxdb vytvořit soubor /etc/monit/conf-available/influxdb s následujícím obsahem:
check process influxdb with matching influxd
start program = "/usr/bin/systemctl start influxdb.service"
stop program = "/usr/bin/systemctl stop influxdb.service"
if failed host 127.0.0.1 port 8086 then restart
if cpu > 60% for 2 cycles then alert
if cpu > 98% for 5 cycles then restart

Aktivovat jej:
ln -s /etc/monit/conf-available/influxdb /etc/monit/conf-enabled/
service monit restart

=== CLI rozhraní ===

monit start all # zapne všechny hlídané služby
monit start <name> # zapne pouze danou hlídanou službu
monit stop all # vypne všechny hlídané služby
monit stop <name> # vypne pouze danou hlídanou službu
monit restart all # vypne a zapne všechny hlídané služby
monit restart <name> # vypne a zapne pouze danou hlídanou službu
monit monitor all # zapne hlídání všech služeb
monit monitor <name> # zapne hlídání pouze dané služby
monit unmonitor all # vypne hlídání všech služeb
monit unmonitor <name> # vypne hlídání pouze dané služby
monit reload # reloadne monit
monit status # vypíše podrobný stav všech hlídaných služeb
monit status <name> # vypíše podrobný stav dané hlídané služby
monit summary # vypíše krátký stav všech hlídaných služeb
monit summary <name> # vypíše krátký stav dané hlídané služby
monit report # vypíše report se statistikou všech hlídaných služeb
monit report up # vypíše počet všech funkčních hlídaných služeb
monit report down # vypíše počet všech nefunkčních hlídaných služeb
monit report initialising # vypíše počet všech startujících hlídaných služeb
monit report unmonitored # vypíše počet všech nehlídaných služeb
monit report total # vypíše počet všech hlídaných služeb
monit quit # ukončí monit
monit validate # otestuje všechny služby a zapne se, jestliže není spuštěný
monit procmatch <pattern> # otestuje daný regexp výraz pro službu

Monit

2021-01-05T15:19:11Z

Quimi:

Monit

2021-01-05T14:52:49Z

Quimi:

Instalace:
apt install monit

Konfigurace (upravit soubor /etc/monit/monitrc):
# kontrolovat každou minutu
set daemon 60

# logovat do syslogu
set log syslog

# posílat e-maily přes náš SMTP server
set mailserver smtp.unartel.cz port 25 username "freenetis" password "*********"

# posílat e-maily na naši e-mailovou adresu
set alert monitor@slavicin.unart.cz

# zapnutí webového rozhraní
set httpd port 2812 and allow root:tajneheslo

Monit

2021-01-05T14:43:23Z

Quimi: Založena nová stránka s textem „Instalace: apt install monit“

Instalace:
apt install monit

Linux router

2020-12-01T14:08:40Z

Quimi: /* Síť v Debianu */

apt install -y bash-completion htop mc traceroute nmap tcpdump elinks iperf iperf3 iftop fping screen

= [[Flashybrid]] =

= IP forwarding =

Přidat do '''/etc/sysctl.conf''' řádky:

net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1

Aktivovat:
sysctl -p /etc/sysctl.conf

= Nastavení síťě =

[[Síť v Debianu]]

= DHCP server =

[[Kea|ISC Kea]]

= Conntrack =

Povolit moduly v '''/etc/modules''':

nf_conntrack
nf_conntrack_ipv4
nf_conntrack_pptp
nf_nat
nf_nat_ipv4
nf_nat_pptp

Zjištění aktuální hodnoty '''nf_conntrack_max''':

cat /proc/sys/net/netfilter/nf_conntrack_max
65536

Zjištění aktuální hodnoty '''nf_conntrack_buckets''' (hashsize):

cat /proc/sys/net/netfilter/nf_conntrack_buckets
16384

Zjištění velikost hodnoty jednoho záznamu v tabulce conntrack:

cat /proc/slabinfo | awk '{if ($1 == "nf_conntrack") print $4}'
256

Výpočet:

nf_conntrack_max = velikost použitelné RAM v bytech / velikost jednoho záznamu
nf_conntrack_buckets = nf_conntrack_max / 8

Příklad výpočtu pro 8GB RAM a velikost záznamu 256:

nf_conntrack_max = 8 * 1073741824 / 256 = 33554432
nf_conntrack_buckets = 33554432 / 8 = 4194304

Hodnotu nf_conntrack_max zapíšeme do souboru '''/etc/sysctl.conf''':

net.netfilter.nf_conntrack_max = 33554432
net.netfilter.nf_conntrack_helper = 1

Hodnotu nf_conntrack_buckets do souboru '''/etc/modprobe.d/nf_conntrack.conf''':

options nf_conntrack hashsize=4194304

Zdroje:

https://wiki.spoje.net/doku.php/howto/network/conntrack

Linux router

2020-12-01T14:06:17Z

Quimi:

apt install -y bash-completion htop mc traceroute nmap tcpdump elinks iperf iperf3 iftop fping screen

= [[Flashybrid]] =

= IP forwarding =

Přidat do '''/etc/sysctl.conf''' řádky:

net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1

Aktivovat:
sysctl -p /etc/sysctl.conf

= [[Síť v Debianu]] =

= DHCP server =

[[Kea|ISC Kea]]

= Conntrack =

Povolit moduly v '''/etc/modules''':

nf_conntrack
nf_conntrack_ipv4
nf_conntrack_pptp
nf_nat
nf_nat_ipv4
nf_nat_pptp

Zjištění aktuální hodnoty '''nf_conntrack_max''':

cat /proc/sys/net/netfilter/nf_conntrack_max
65536

Zjištění aktuální hodnoty '''nf_conntrack_buckets''' (hashsize):

cat /proc/sys/net/netfilter/nf_conntrack_buckets
16384

Zjištění velikost hodnoty jednoho záznamu v tabulce conntrack:

cat /proc/slabinfo | awk '{if ($1 == "nf_conntrack") print $4}'
256

Výpočet:

nf_conntrack_max = velikost použitelné RAM v bytech / velikost jednoho záznamu
nf_conntrack_buckets = nf_conntrack_max / 8

Příklad výpočtu pro 8GB RAM a velikost záznamu 256:

nf_conntrack_max = 8 * 1073741824 / 256 = 33554432
nf_conntrack_buckets = 33554432 / 8 = 4194304

Hodnotu nf_conntrack_max zapíšeme do souboru '''/etc/sysctl.conf''':

net.netfilter.nf_conntrack_max = 33554432
net.netfilter.nf_conntrack_helper = 1

Hodnotu nf_conntrack_buckets do souboru '''/etc/modprobe.d/nf_conntrack.conf''':

options nf_conntrack hashsize=4194304

Zdroje:

https://wiki.spoje.net/doku.php/howto/network/conntrack

Kea

2020-12-01T08:38:18Z

Quimi:

Pro Debian Buster neexistují balíčky přímo v oficiálním repozitáři, je nutné přidat ty od tvůrců:

curl -1sLf 'https://dl.cloudsmith.io/public/isc/kea-1-9/cfg/setup/bash.deb.sh' | bash

A nainstalujeme:

apt install isc-kea-dhcp4-server isc-kea-dhcp6-server

Pokud chcete použít připojení k externí DB, musíte upravit startovací skripty - ty aktuální totiž nečekají na spuštění sítě, takže by vám spuštění Kea skončilo chybou.

Do souborů '''/lib/systemd/system/isc-kea-dhcp4-server.service''' a '''/lib/systemd/system/isc-kea-dhcp6-server.service''' přidat do sekce [Unit] tyto řádky:

Wants=network-online.target
After=network-online.target
After=time-sync.target

Poté ještě reloadnout startovací skripty a spustit:

systemctl daemon-reload
systemctl start isc-kea-dhcp4-server.service
systemctl start isc-kea-dhcp6-server.service

Kea

2020-12-01T08:35:47Z

Quimi:

Pro Debian Buster neexistují balíčky přímo v oficiálním repozitáři, je nutné přidat ty od tvůrců:

curl -1sLf 'https://dl.cloudsmith.io/public/isc/kea-1-9/cfg/setup/bash.deb.sh' | bash

Pokud chcete použít připojení k externí DB, musíte upravit startovací skripty - ty aktuální totiž nečekají na spuštění sítě, takže by vám spuštění Kea skončilo chybou.

Do souborů '''/lib/systemd/system/isc-kea-dhcp4-server.service''' a '''/lib/systemd/system/isc-kea-dhcp6-server.service''' přidat do sekce [Unit] tyto řádky:

Wants=network-online.target
After=network-online.target
After=time-sync.target

Poté ještě reloadnout startovací skripty a spustit:

systemctl daemon-reload
systemctl start isc-kea-dhcp4-server.service
systemctl start isc-kea-dhcp6-server.service

Linux router

2020-11-30T14:21:27Z

Quimi:

apt install -y bash-completion htop mc traceroute nmap tcpdump elinks iperf iperf3 iftop fping screen

= [[Flashybrid]] =

= IP forwarding =

Přidat do '''/etc/sysctl.conf''' řádky:

net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1

Aktivovat:
sysctl -p /etc/sysctl.conf

= [[Síť v Debianu]] =

= Conntrack =

Povolit moduly v '''/etc/modules''':

nf_conntrack
nf_conntrack_ipv4
nf_conntrack_pptp
nf_nat
nf_nat_ipv4
nf_nat_pptp

Zjištění aktuální hodnoty '''nf_conntrack_max''':

cat /proc/sys/net/netfilter/nf_conntrack_max
65536

Zjištění aktuální hodnoty '''nf_conntrack_buckets''' (hashsize):

cat /proc/sys/net/netfilter/nf_conntrack_buckets
16384

Zjištění velikost hodnoty jednoho záznamu v tabulce conntrack:

cat /proc/slabinfo | awk '{if ($1 == "nf_conntrack") print $4}'
256

Výpočet:

nf_conntrack_max = velikost použitelné RAM v bytech / velikost jednoho záznamu
nf_conntrack_buckets = nf_conntrack_max / 8

Příklad výpočtu pro 8GB RAM a velikost záznamu 256:

nf_conntrack_max = 8 * 1073741824 / 256 = 33554432
nf_conntrack_buckets = 33554432 / 8 = 4194304

Hodnotu nf_conntrack_max zapíšeme do souboru '''/etc/sysctl.conf''':

net.netfilter.nf_conntrack_max = 33554432
net.netfilter.nf_conntrack_helper = 1

Hodnotu nf_conntrack_buckets do souboru '''/etc/modprobe.d/nf_conntrack.conf''':

options nf_conntrack hashsize=4194304

Zdroje:

https://wiki.spoje.net/doku.php/howto/network/conntrack

Síť v Debianu

2020-11-30T14:19:14Z

Quimi:

Nastavuje se pomocí systemd jednotky '''networking''' a hlavní konfigurační soubor je v '''/etc/network/interfaces'''.

= VLANy =

Doinstalujeme podporu:

apt install vlan

Příklad VLANu 703 na fyzickém rozhraní enp2s0:

auto vlan703
iface vlan703 inet static
vlan-raw-device enp2s0
address 10.143.128.13/24
gateway 10.143.128.1

= Bonding =

Doinstalujeme podporu:

apt install ifenslave

Příklad bonding rozhraní mezi rozhraními enp1s0, enp2s0 a enp3s0:

auto bond0
iface bond0 inet manual
mtu 9000
slaves enp1s0 enp2s0 enp3s0
bond-mode 802.3ad
bond-xmit-hash-policy layer3+4
bond-lacp-rate 1
bond-miimon 100
bond-downdelay 200
bond-updelay 200

Síť v Debianu

2020-11-30T14:16:06Z

Quimi: Založena nová stránka s textem „Nastavuje se pomocí systemd jednotky '''networking''' a hlavní konfigurační soubor je v '''/etc/network/interfaces'''. = VLANy = apt install vlan P…“

Nastavuje se pomocí systemd jednotky '''networking''' a hlavní konfigurační soubor je v '''/etc/network/interfaces'''.

= VLANy =

apt install vlan

Příklad VLANu 703 na fyzickém rozhraní enp2s0:

auto vlan703
iface vlan703 inet static
vlan-raw-device enp2s0
address 10.143.128.13/24
gateway 10.143.128.1

Linux router

2020-11-30T14:07:16Z

Quimi:

apt install -y bash-completion htop mc traceroute nmap tcpdump elinks iperf iperf3 iftop fping screen

= [[Flashybrid]] =

= IP forwarding =

Přidat do '''/etc/sysctl.conf''' řádky:

net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1

Aktivovat:
sysctl -p /etc/sysctl.conf

= VLAN =

apt install vlan

= Conntrack =

Povolit moduly v '''/etc/modules''':

nf_conntrack
nf_conntrack_ipv4
nf_conntrack_pptp
nf_nat
nf_nat_ipv4
nf_nat_pptp

Zjištění aktuální hodnoty '''nf_conntrack_max''':

cat /proc/sys/net/netfilter/nf_conntrack_max
65536

Zjištění aktuální hodnoty '''nf_conntrack_buckets''' (hashsize):

cat /proc/sys/net/netfilter/nf_conntrack_buckets
16384

Zjištění velikost hodnoty jednoho záznamu v tabulce conntrack:

cat /proc/slabinfo | awk '{if ($1 == "nf_conntrack") print $4}'
256

Výpočet:

nf_conntrack_max = velikost použitelné RAM v bytech / velikost jednoho záznamu
nf_conntrack_buckets = nf_conntrack_max / 8

Příklad výpočtu pro 8GB RAM a velikost záznamu 256:

nf_conntrack_max = 8 * 1073741824 / 256 = 33554432
nf_conntrack_buckets = 33554432 / 8 = 4194304

Hodnotu nf_conntrack_max zapíšeme do souboru '''/etc/sysctl.conf''':

net.netfilter.nf_conntrack_max = 33554432
net.netfilter.nf_conntrack_helper = 1

Hodnotu nf_conntrack_buckets do souboru '''/etc/modprobe.d/nf_conntrack.conf''':

options nf_conntrack hashsize=4194304

Zdroje:

https://wiki.spoje.net/doku.php/howto/network/conntrack

Linux router

2020-11-30T11:36:05Z

Quimi: /* VLAN */

apt install -y bash-completion htop mc traceroute nmap tcpdump elinks iperf iperf3 iftop fping screen

= IP forwarding =

Přidat do '''/etc/sysctl.conf''' řádky:

net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1

Aktivovat:
sysctl -p /etc/sysctl.conf

= VLAN =

apt install vlan

= Conntrack =

Povolit moduly v '''/etc/modules''':

nf_conntrack
nf_conntrack_ipv4
nf_conntrack_pptp
nf_nat
nf_nat_ipv4
nf_nat_pptp

Zjištění aktuální hodnoty '''nf_conntrack_max''':

cat /proc/sys/net/netfilter/nf_conntrack_max
65536

Zjištění aktuální hodnoty '''nf_conntrack_buckets''' (hashsize):

cat /proc/sys/net/netfilter/nf_conntrack_buckets
16384

Zjištění velikost hodnoty jednoho záznamu v tabulce conntrack:

cat /proc/slabinfo | awk '{if ($1 == "nf_conntrack") print $4}'
256

Výpočet:

nf_conntrack_max = velikost použitelné RAM v bytech / velikost jednoho záznamu
nf_conntrack_buckets = nf_conntrack_max / 8

Příklad výpočtu pro 8GB RAM a velikost záznamu 256:

nf_conntrack_max = 8 * 1073741824 / 256 = 33554432
nf_conntrack_buckets = 33554432 / 8 = 4194304

Hodnotu nf_conntrack_max zapíšeme do souboru '''/etc/sysctl.conf''':

net.netfilter.nf_conntrack_max = 33554432
net.netfilter.nf_conntrack_helper = 1

Hodnotu nf_conntrack_buckets do souboru '''/etc/modprobe.d/nf_conntrack.conf''':

options nf_conntrack hashsize=4194304

Zdroje:

https://wiki.spoje.net/doku.php/howto/network/conntrack

Conntrackd

2020-11-24T15:59:40Z

Quimi:

Conntrackd se používá pro synchronizaci conntrack tabulky mezi NAT routery.

Na všech routerech, kde chceme takovou synchronizaci vést, jej nainstalujeme a nahrajeme základní konfiguraci:

apt install conntrackd
zcat /usr/share/doc/conntrackd/examples/sync/ftfw/conntrackd.conf.gz > /etc/conntrackd/conntrackd.conf

V konfiguračním souboru '''/etc/conntrackd/conntrackd.conf''' je ještě nutné upravit tyto proměnné:

# vypnutí externí cache => spojení z ostatních routerů se budou injektovat přímo do conntrack tabulky routeru
DisableExternalCache On

# IPv4 adresy rozhraní pro synchronizaci, ideálně speciálně dedikované
IPv4_interface 10.143.128.10

# název rozhraní pro synchronizaci, ideálně speciálně dedikované
Interface vlan703

Startovací skript pro Debian Buster obsahuje chybu - skript nečeká na spuštění sítě a protože router pak nemůže komunikovat s ostatními routery, tak spuštění skončí chybou.

Do souboru '''/lib/systemd/system/conntrackd.service''' je nutné přidat do sekce [Unit] tyto řádky:

Wants=network-online.target
After=network-online.target
After=time-sync.target

Poté ještě reloadnout startovací skripty a spustit:

systemctl daemon-reload
systemctl start conntrackd.service

Conntrackd

2020-11-24T15:54:40Z

Quimi:

Conntrackd se používá pro synchronizaci conntrack tabulky mezi NAT routery.

Na všech routerech, kde chceme takovou synchronizaci vést, jej nainstalujeme a nahrajeme základní konfiguraci:

apt install conntrackd
zcat /usr/share/doc/conntrackd/examples/sync/ftfw/conntrackd.conf.gz > /etc/conntrackd/conntrackd.conf

V konfiguračním souboru '''/etc/conntrackd/conntrackd.conf''' je ještě nutné upravit tyto proměnné:

# vypnutí externí cache => spojení z ostatních routerů se budou injektovat přímo do conntrack tabulky routeru
DisableExternalCache On

# IPv4 adresy rozhraní pro synchronizaci, ideálně speciálně dedikované
IPv4_interface 10.143.128.10

# název rozhraní pro synchronizaci, ideálně speciálně dedikované
Interface vlan703

Je nutno upravit startovací skripty - ty aktuální totiž nečekají na spuštění sítě, takže by vám spuštění skončilo chybou.

Do souboru '''/lib/systemd/system/conntrackd.service''' přidat do sekce [Unit] tyto řádky:

Wants=network-online.target
After=network-online.target
After=time-sync.target

Poté ještě reloadnout startovací skripty a spustit:

systemctl daemon-reload
systemctl start conntrackd.service