Policy-routing на CentOS

Довольно распространённая ситуация — на моёй рабочей станции есть два интерфейса и два айпишника, скажем из подсети А и подсети Б. При обращении клиента с хоста из сети Б к моему айпишнику из подсети А ответ к нему уходит через другой интерфейс с моего айпишника из подсети Б, т.к. он из той же подсети, что и адрес клиента. Мне надо сделать, чтобы эти ответы уходили с того же адреса на который пришли.

Тут нужен policy-routing — маршрутизация на основе определённых правил. Логика получается такая: ответы на запросы из подсети Б к моему адресу из подсети А отправлять с адреса из подсети А (т.е. на шлюз подсети А).

Маркируем соединения из сети Б к нашему адресу из сети А при помощи iptables и таблицу mangle (используется для изменения пакетов):
iptables -t mangle -I INPUT -i eth0 -s 10.1.100.0/24 -d 10.2.96.3 -j CONNMARK --set-mark 1
А на выходе копируем маркировку соединения в маркировку пакетов, насколько я понимаю, это означает, что мы маркируем пакеты промаркированных ранее соединений:
iptables -t mangle -I OUTPUT -s 10.2.96.3 -d 10.1.100.0/24 -j CONNMARK --restore-mark
Вероятно, в этом правиле можно обойтись и без указания адресов источника и адресата, но мне кажется так будет правильнее, более точно чтоли )

В таблицу маршрутизации 111 добавляем маршрут для сети Б, но на шлюз из подсети А:
ip route add to 10.1.100.0/24 via 10.2.96.1 dev eth0 table 111
И, наконец, добавляем правило для перенаправления пакетов с нашей маркировкой в отдельную таблицу маршрутизации:
ip rule add fwmark 1 lookup 111

Для удобства можно назначить название для таблицы в файле /etc/iproute2/rt_tables, которое можно будет использовать вместо номера.

Так же нужно проверить не включена ли проверка обратного пути (reverse path checking):
sysctl net.ipv4.conf.eth0.rp_filter
Если включена, то система будет проверять пакеты на соответствие источника интерфейсу, с которого пакет получен. Например, если пакет пришёл с адреса, который виден через другой интерфейс (а не тот, с которого пакет пришёл), то значит этот пакет надо отбросить.

Если всё заработало как надо, то сохраняем правила iptables в файл "/etc/sysconfig/iptables", а правила для маршрутизации в файл "/etc/sysconfig/network-scripts/route-eth0".

Далее несколько вспомогательных команд, которые могут пригодиться.

Посмотреть определённую таблицу маршрутизации:
ip route show table 111
Удалить маршрут из указанной таблицы
ip route del table 111 to 10.1.100.0/24
Посмотреть правила маршрутизации:
ip rule show
Удалить правило маршрутизации:
ip rule del fwmark 1

Как посмотреть правила iptables писать не буду )

CentOS: управление запуском сервисов

Какие сервисы запускаются на каких уровнях:
chkconfig --list

Какие уровни что означают:

# /etc/inittab
# Default runlevel. The runlevels used are:
# 0 — halt (Do NOT set initdefault to this)
# 1 — Single user mode
# 2 — Multiuser, without NFS (The same as 3, if you do not have
# networking)
# 3 — Full multiuser mode
# 4 — unused
# 5 — X11
# 6 — reboot (Do NOT set initdefault to this)

Примеры:

1. В каких случаях запускать mysqld:
chkconfig --level 23 mysqld on
2. Не запускать апач на уровнях 2 и 3:
chkconfig --level 23 httpd off
3. Не запускать апач вообще:
chkconfig httpd off

Cрач между Apple и Samsung

Честно не понимаю предмета срача между Apple и Samsung. Ясно, что это бизнес и тут любые средства хороши, но порой доходит до маразмов. К примеру, одна из многочисленных претензий со стороны Apple — закруглённые углы иконок в интерфейсе смартфонов Samsung, полноцветные (colorful) иконки, строка с иконками внизу экрана. Признаю, есть и явно схожие по графике и цветам элементы, например, кнопки телефона, заметок или часов.
Ну или общий дизайн смартфонов — вытянутый корпус, большой экран и кнопка под ним.
Даже если и намеренно сделали некоторые элементы похожими, настолько ли это серьёзное преступление? Неужели найдутся идиоты (впрочем конечно найдутся, но достаточно ли много), которые перепутают смартфоны и купят вместо iPhone телефон от Samsung? Или намеренно купят смартфон от Samsung потому, что он похож на iPhone? Да не поверю — имиджевая составляющая iPhone, как и вообще всей продукции Apple, настолько сильна, что все кто попал под её влияние не спутают эту продукцию ни с чем другим, кроме разве, что откровенных подделок, да и то при взгляде издалека. И уж тем более, человек, нацеленный купить именно iPhone не спутает его с устройством от Samsung.
Автомобили вообще все похожи — кузов, двери, колёса, а уж некоторые модели и внешне очень схожи, однако, я не припоминаю, чтобы какие-то автопроизводители судились из-за схожести формы фар, расположения кнопок на панели или изгибов кузова.
Я не за Apple и не за Samsung, я за здравый смысл, но он, похоже, не применим в бизнесе )

Есть у кого-нибудь знакомый вебдизайнер, который может сделать симпатичный шаблон для данного сайта на LiveStreet?

Понятно, что не за просто так, а за разумную оплату )
Шаблон нужен ненавороченный, легкий, простой, но со вкусом, нестандартный, можно озорной и прикольный )
У меня самого не хватает ни фантазии, ни времени )

В Кыргызстане в 2011 году образовалось 83 млн тонн токсичных отходов, более 90% из которых в Иссык-Кульской области

Бишкек (АКИpress) — В Кыргызстане в 2011 году образовалось 11,3 млн тонн отходов, из которых 5,8 млн тонн — опасные отходы. Об этом говорится в Национальном докладе о состоянии окружающей среды в КР в 2006-2011 годы.
Читать дальше →

И снова про ограничения в пользовании устройствами от Apple

Поменял лаптоп, а вот скопировать содержимое папки iTunes не догадался. В результате iTunes при синхронизации данных предлагает удалить контент на iPad и скопировать туда контент из данного, только что установленного, iTunes. Скопировать содержимое iPad-а в комп нельзя.

Благо хоть установленный софт можно слить из iPad-а на комп. Впрочем, это как раз и необязательно, т.к. приобретённый софт всегда можно закачать снова из AppStore.
Таким образом получается, что контакты, календарь, фотки, музыку и прочий контент при подключении к новому iTunes можно только удалить.

С учётом того, что устройство от Apple нельзя подключить как флешку, чтобы залить музыку, видео или картинки, вероятность приобретения мной iPhone вплотную приблизилась к 100 процентам )

Конечно, есть ещё iCloud, но там бесплатно доступно только 5 ГБ, к тому же надо иметь быстрый и дешёвый Интернет.

Кроме того, узнал, что свой идентификатор AppStore можно использовать только с 5-ти компьютеров. По исчерпанию этого лимита можно будет сбросить авторизации (вроде так они это называют) для всех 5-ти компьютеров, но сделать это можно только раз в полгода.
Смысл этого ограничения я не могу постичь, вообще не могу придумать ни одного предположения для чего это было сделано.

Про блокирования сайтов на работе

В Кыргызстане принято всегда блокировать некоторые сайты, закачки итд в организациях. Ну понятное дело — траффик дорогой. А вот стали бы вы продолжать делать это если траффик не проблема?
интернет

Можно эту проблему выставить на более высокий уровень, на уровне провайдера, страны.

Есть примеры, например в Турции по моему сайт youtube.com до сих пор закрыт. В Австралии стараються прикрутить цензуру на интернет. Ну а в Китае есть знаменитый фаервол — Великий Китайский Фаервол.

У меня лично это первый раз когда на работе блокируют сайты. Ну как то не сталкивался с таким. В принципе есть собственный VPN сервер и я могу без проблем обходить все эти замарочки.

Но вопрос остаеться, нужно ли?

Готовится к запуску китайский пилотируемый корабль

Пилотируемый космический корабль «Шэньчжоу-9» доставлен на космодром Цзюцюань /провинция Ганьсу, Северо-Западный Китай/, где он должен будет пройти предстартовые тесты.
Читать дальше →