Рубрика: *NIX информация

info

Тюнинг сети linux / производительность / Контроль перегрузки

Автор записи Автор: Evgeny Yakovlev
Дата записи 2024/01/22

ссылки:

https://habr.com/ru/articles/168407/
https://habr.com/ru/articles/331720/
https://habr.com/ru/companies/otus/articles/550820/
https://habr.com/ru/articles/115527/
https://calculator.academy/rtt-calculator/
https://www.opennet.ru/base/net/tcp_tune.txt.html

https://habr.com/ru/articles/168407/

https://habr.com/ru/articles/331720/

https://habr.com/ru/companies/otus/articles/550820/

https://habr.com/ru/articles/115527/

https://calculator.academy/rtt-calculator/

https://www.opennet.ru/base/net/tcp_tune.txt.html

Алгоритмы:

BIC TCP
CUBIC TCP
Highspeed TCP
H-TCP
TCP Hybla
TCP-Illinois
TCP Low Priority
TCP Vegas
TCP NewReno
TCP Veno
TCP Westwood+
YeAH-TCP
BBR

BIC, CUBIC, Highspeed, H-TCP, NewReno, Illinois - эти алгоритмы созданы для так называемых long fat networks — длинных (а значит, с высоким RTT) и быстрых сетей.
TCP Hybla - здорово ведет себя на спутниковых линках.
Veno - создан для беспроводных сетей с высокой потерей пакетов.
TCP Low Priority - вообще сложно назвать congestion алгоритмом, т.к. он мало что делает, а просто пытается отправить пакет без очереди.
TCP Vegas - иногда применяют на серверах с большим количеством подключений т.к. он обеспечивает почти постоянную скорость, хоть и далеко не идеальную.
Westwood+ - комбинированный алгоритм
YeAH-TCP - молодой, ведет себя более-менее во всех случаях.

CUBIC, который используется по умолчанию во всех дистрибутивах, совершенно не подходит, например, для 3G-соединений


На каналах вроде домашнего вайфая, рекомендую использовать Westwood или H-TCP. 
Для проводных каналов хорошим выбором может быть YeAH (если у вас не наблюдается с ним проблем), H-TCP или Illinois.

рекомендации:
net.ipv4.tcp_fastopen=1 - Ускоряет а handshake для поддерживаемых алгоритмов
net.ipv4.tcp_slow_start_after_idle=0 - Добавит скорости для SPDY и других keep-alive соединений

BIC TCP

CUBIC TCP

Highspeed TCP

H-TCP

TCP Hybla

TCP-Illinois

TCP Low Priority

TCP Vegas

TCP NewReno

TCP Veno

TCP Westwood+

YeAH-TCP

BBR

BIC, CUBIC, Highspeed, H-TCP, NewReno, Illinois - эти алгоритмы созданы для так называемых long fat networks — длинных (а значит, с высоким RTT) и быстрых сетей.

TCP Hybla - здорово ведет себя на спутниковых линках.

Veno - создан для беспроводных сетей с высокой потерей пакетов.

TCP Low Priority - вообще сложно назвать congestion алгоритмом, т.к. он мало что делает, а просто пытается отправить пакет без очереди.

TCP Vegas - иногда применяют на серверах с большим количеством подключений т.к. он обеспечивает почти постоянную скорость, хоть и далеко не идеальную.

Westwood+ - комбинированный алгоритм

YeAH-TCP - молодой, ведет себя более-менее во всех случаях.

CUBIC, который используется по умолчанию во всех дистрибутивах, совершенно не подходит, например, для 3G-соединений

На каналах вроде домашнего вайфая, рекомендую использовать Westwood или H-TCP.

Для проводных каналов хорошим выбором может быть YeAH (если у вас не наблюдается с ним проблем), H-TCP или Illinois.

рекомендации:

net.ipv4.tcp_fastopen=1 - Ускоряет а handshake для поддерживаемых алгоритмов

net.ipv4.tcp_slow_start_after_idle=0 - Добавит скорости для SPDY и других keep-alive соединений

ethtool

Длина очереди передачи.
В современных сетях для 1G используется значение 1000, для 10G используется значение 10000.
ifconfig eth0 txqueuelen 1000
 
Отключаем checksum offload для правильной работы шейперов
ethtool --offload eth0 rx off tx off
 
Отключаем аппаратную поддержку 802.1q
ethtool -K eth0 rxvlan off txvlan off
 
Увеличивает размер буфера, чтобы избежать дропов.
Убедитесь, что ваша сетевая поддерживает такой размер буфера выполнив ethtool -g ethX
ethtool -G eth0 rx 2048 tx 2048
 
Отключает авто определение скорости порта
ethtool -A eth0 autoneg off rx off tx off
 
Отключим оффлоады для лучшей производительности TCP
ethtool -K eth0 tso off gso off gro off lro off

Flow control \ автосогласование \ Advertised pause frame use
"Advertised pause frame use" и "Link partner advertised pause frame use" указывают на режим управления потоком. 
Если они установлены в Symmetric, то управление потоком включено. Если установлено No, то оно выключено. 
Проверяем:
ethtool -a eth0 
чтобы включить
ethtool -A eth0 autoneg on rx on tx on

Длина очереди передачи.

В современных сетях для 1G используется значение 1000, для 10G используется значение 10000.

ifconfig eth0 txqueuelen 1000

Отключаем checksum offload для правильной работы шейперов

ethtool --offload eth0 rx off tx off

Отключаем аппаратную поддержку 802.1q

ethtool -K eth0 rxvlan off txvlan off

Увеличивает размер буфера, чтобы избежать дропов.

Убедитесь, что ваша сетевая поддерживает такой размер буфера выполнив ethtool -g ethX

ethtool -G eth0 rx 2048 tx 2048

Отключает авто определение скорости порта

ethtool -A eth0 autoneg off rx off tx off

Отключим оффлоады для лучшей производительности TCP

ethtool -K eth0 tso off gso off gro off lro off

Flow control \ автосогласование \ Advertised pause frame use

"Advertised pause frame use" и "Link partner advertised pause frame use" указывают на режим управления потоком.

Если они установлены в Symmetric, то управление потоком включено. Если установлено No, то оно выключено.

Проверяем:

ethtool -a eth0

чтобы включить

ethtool -A eth0 autoneg on rx on tx on

Лимиты:

ulimit -a - Показать текущие лимиты

Пример установки лимитов: 
ulimit -n 30000

Некоторые приложения (Proxy, Web сервера, базы данных) используют большие количества открытых файлов и сокетов, 
и как правило, установок по умолчанию им недостаточно.
 
Оболочка/скрипт
За лимиты оболочки отвечает ulimit. 
Текущее состояние можно проверить ulimit -a. 

Например, что-бы увеличить кол-во открытых файлов с 1024 до 10240 нужно сделать:
ulimit -n 10240

пользователь/процесс
Лимиты пользователей и процессов устанавливаются в /etc/security/limits.conf. 
Например:
# cat /etc/security/limits.conf
*   hard    nproc   250              # Лимит пользовательских процессов
asterisk hard nofile 409600          # Лимит открытых файлов для приложения
 
 
Обще системные лимиты устанавливаются командой Sysctl. 
Большинство этих переменных, действуют до перезагрузки, что-бы ограничения остались после ребута, внесите их в файл /etc/sysctl.conf.
сat /etc/sysctl.conf               # Показать файл
sysctl -a                          # Показать все системные переменные
sysctl fs.file-max                 # Показать текущие значения
sysctl -w fs.file-max=102400       # Изменить максимальное кол-во открытых файлов
fs.file-max=102400                 # Постоянное значение в файле sysctl.conf
cat /proc/sys/fs/file-nr           # Кол-во используемых файловых дескрипторов

ulimit -a - Показать текущие лимиты

Пример установки лимитов:

ulimit -n 30000

Некоторые приложения (Proxy, Web сервера, базы данных) используют большие количества открытых файлов и сокетов,

и как правило, установок по умолчанию им недостаточно.

Оболочка/скрипт

За лимиты оболочки отвечает ulimit.

Текущее состояние можно проверить ulimit -a.

Например, что-бы увеличить кол-во открытых файлов с 1024 до 10240 нужно сделать:

ulimit -n 10240

пользователь/процесс

Лимиты пользователей и процессов устанавливаются в /etc/security/limits.conf.

Например:

# cat /etc/security/limits.conf

* hard nproc 250 # Лимит пользовательских процессов

asterisk hard nofile 409600 # Лимит открытых файлов для приложения

Обще системные лимиты устанавливаются командой Sysctl.

Большинство этих переменных, действуют до перезагрузки, что-бы ограничения остались после ребута, внесите их в файл /etc/sysctl.conf.

сat /etc/sysctl.conf # Показать файл

sysctl -a # Показать все системные переменные

sysctl fs.file-max # Показать текущие значения

sysctl -w fs.file-max=102400 # Изменить максимальное кол-во открытых файлов

fs.file-max=102400 # Постоянное значение в файле sysctl.conf

cat /proc/sys/fs/file-nr # Кол-во используемых файловых дескрипторов

sysctl

Маршрутизация между интерфейсами, по умолчанию выключена net.ipv4.ip_forward=0
net.ipv4.ip_forward=1

Принцип фильтрования в rp_filter:
Если ответ на текущий пакет не может уйти через тот же интерфейс (когда приходит через один интерфейс, а уходит через другой), пакет отфильтровывается.
По умолчанию равно 2
net.ipv4.conf.all.rp_filter = 1
Обычно меняю на 0 или 1 при использовании двух шлюзов
----------------------------
net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.all.rp_filter=1
net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1
----------------------------


!!! Современные дистрибутивы автоматически настраивают оптимальные параметры сетевой карты 

###Для хоста с сетевым адаптером 10G, оптимизированного для сетевых путей с RTT до 100 мс и для удобства работы с инструментами одиночного и параллельного потока
 
# устанавливаем буферами до 64 МБ
net.core.rmem_max = 67108864 
net.core.wmem_max = 67108864 

# увеличить лимит буфера TCP автонастройки
net.ipv4.tcp_rmem = 4096 87380 33554432
net.ipv4.tcp_wmem = 4096 65536 33554432


# рекомендуемый контроль перегрузки по умолчанию / recommended default congestion control is htcp 
# на 2023 дефолт cubic
# для проверки доступных 
sysctl -a | grep congestion
net.ipv4.tcp_congestion_control=htcp
#net.ipv4.tcp_congestion_control=veno
#net.ipv4.tcp_congestion_control=cubic
#net.ipv4.tcp_congestion_control=bbr

# Если включены "jumbo frames"  то "tcp_mtu_probing" также следует включить
net.ipv4.tcp_mtu_probing=1


# Тип очереди
Рекомендуется включить "fair queueing/справедливую очередь"
net.core.default_qdisc = fq
 
 
Для хоста с сетевым адаптером 10G, оптимизированным для сетевых путей с RTT до 200 мс и для совместимости с инструментами одиночного и параллельного потока, 
или с сетевым адаптером 40G на путях с RTT до 50 мс:
 
# Буфер 128MB
net.core.rmem_max = 134217728 
net.core.wmem_max = 134217728 
# Авто тюнинг буфера 64MB
net.ipv4.tcp_rmem = 4096 87380 67108864
net.ipv4.tcp_wmem = 4096 65536 67108864
# # рекомендуемый контроль перегрузки по умолчанию / recommended default congestion control
net.ipv4.tcp_congestion_control=htcp # на самом деле тут дофига вариантов brr, cubic, westwood+
# Если "jumbo frames enabled" то и этот параметр нужен.
net.ipv4.tcp_mtu_probing=1
# Тип очередей
net.core.default_qdisc = fq

Маршрутизация между интерфейсами, по умолчанию выключена net.ipv4.ip_forward=0

net.ipv4.ip_forward=1

Принцип фильтрования в rp_filter:

Если ответ на текущий пакет не может уйти через тот же интерфейс (когда приходит через один интерфейс, а уходит через другой), пакет отфильтровывается.

По умолчанию равно 2

net.ipv4.conf.all.rp_filter = 1

Обычно меняю на 0 или 1 при использовании двух шлюзов

----------------------------

net.ipv4.conf.default.rp_filter=1

net.ipv4.conf.all.rp_filter=1

net.ipv4.ip_forward=1

net.ipv6.conf.all.forwarding=1

----------------------------

!!! Современные дистрибутивы автоматически настраивают оптимальные параметры сетевой карты

###Для хоста с сетевым адаптером 10G, оптимизированного для сетевых путей с RTT до 100 мс и для удобства работы с инструментами одиночного и параллельного потока

# устанавливаем буферами до 64 МБ

net.core.rmem_max = 67108864

net.core.wmem_max = 67108864

# увеличить лимит буфера TCP автонастройки

net.ipv4.tcp_rmem = 4096 87380 33554432

net.ipv4.tcp_wmem = 4096 65536 33554432

# рекомендуемый контроль перегрузки по умолчанию / recommended default congestion control is htcp

# на 2023 дефолт cubic

# для проверки доступных

sysctl -a | grep congestion

net.ipv4.tcp_congestion_control=htcp

#net.ipv4.tcp_congestion_control=veno

#net.ipv4.tcp_congestion_control=cubic

#net.ipv4.tcp_congestion_control=bbr

# Если включены "jumbo frames" то "tcp_mtu_probing" также следует включить

net.ipv4.tcp_mtu_probing=1

# Тип очереди

Рекомендуется включить "fair queueing/справедливую очередь"

net.core.default_qdisc = fq

Для хоста с сетевым адаптером 10G, оптимизированным для сетевых путей с RTT до 200 мс и для совместимости с инструментами одиночного и параллельного потока,

или с сетевым адаптером 40G на путях с RTT до 50 мс:

# Буфер 128MB

net.core.rmem_max = 134217728

net.core.wmem_max = 134217728

# Авто тюнинг буфера 64MB

net.ipv4.tcp_rmem = 4096 87380 67108864

net.ipv4.tcp_wmem = 4096 65536 67108864

# # рекомендуемый контроль перегрузки по умолчанию / recommended default congestion control

net.ipv4.tcp_congestion_control=htcp # на самом деле тут дофига вариантов brr, cubic, westwood+

# Если "jumbo frames enabled" то и этот параметр нужен.

net.ipv4.tcp_mtu_probing=1

# Тип очередей

net.core.default_qdisc = fq

Под trex

ulimit -n 30000

net.ipv4.ip_forward=1
net.ipv4.tcp_max_tw_buckets = 65536
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 0
net.ipv4.tcp_max_syn_backlog = 131072
net.ipv4.tcp_syn_retries = 3
net.ipv4.tcp_synack_retries = 3
net.ipv4.tcp_retries1 = 3
net.ipv4.tcp_retries2 = 8
net.ipv4.tcp_rmem = 16384 174760 349520
net.ipv4.tcp_wmem = 16384 131072 262144
net.ipv4.tcp_mem = 262144 524288 1048576
net.ipv4.tcp_max_orphans = 65536
net.ipv4.tcp_fin_timeout = 10
net.ipv4.tcp_low_latency = 1
net.ipv4.tcp_syncookies = 0
net.netfilter.nf_conntrack_max = 1048576

ulimit -n 30000

net.ipv4.ip_forward=1

net.ipv4.tcp_max_tw_buckets = 65536

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_tw_reuse = 0

net.ipv4.tcp_max_syn_backlog = 131072

net.ipv4.tcp_syn_retries = 3

net.ipv4.tcp_synack_retries = 3

net.ipv4.tcp_retries1 = 3

net.ipv4.tcp_retries2 = 8

net.ipv4.tcp_rmem = 16384 174760 349520

net.ipv4.tcp_wmem = 16384 131072 262144

net.ipv4.tcp_mem = 262144 524288 1048576

net.ipv4.tcp_max_orphans = 65536

net.ipv4.tcp_fin_timeout = 10

net.ipv4.tcp_low_latency = 1

net.ipv4.tcp_syncookies = 0

net.netfilter.nf_conntrack_max = 1048576

RTT/ Буферы / Как посчитать буфер, пример:

Не актуальные умолчания:
Windows XP размер буфера по умолчанию равен 17,520 байт
Mac OS X установлен в 64K
Linux  64Кбайт

Формула:
Пропускная способность = размер буфера / задержка
Винда:
17520 Байт / .04 секунды = .44 МБ/сек = 3.5 Мб/сек
Мак ос:
65936 Байт / .04 сек = 1.6 МБ/сек = 13 Мб/сек


Большинство экспертов по сетям соглашаются, что оптимальный размер
буфера для определенной сети равен удвоенному произведению задержки и полосы пропускания:
Размер буфера = 2 * задержка * полоса пропускания

Программа ping даст вам округленное время (round trip time - RTT) для сетевого соединения, 
что в два раза больше задержки. 
Формула принимает следующий вид:
Размер буфера = RTT * полоса пропускания
.08 секунд * 100 Мбс / 8 = 1 МБ

Пример:
cat  /etc/sysctl.conf
...
# увеличиваем максимальный размер буфера ТСР
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
# увеличиваем ограничения автоподчтройки буфера ТСР Linux
# мин, по умолчанию, и максимальное число байт, которое можно использовать
net.ipv4.tcp_rmem = 4096 87380 16777216
net.ipv4.tcp_wmem = 4096 65536 16777216

Не актуальные умолчания:

Windows XP размер буфера по умолчанию равен 17,520 байт

Mac OS X установлен в 64K

Linux 64Кбайт

Формула:

Пропускная способность = размер буфера / задержка

Винда:

17520 Байт / .04 секунды = .44 МБ/сек = 3.5 Мб/сек

Мак ос:

65936 Байт / .04 сек = 1.6 МБ/сек = 13 Мб/сек

Большинство экспертов по сетям соглашаются, что оптимальный размер

буфера для определенной сети равен удвоенному произведению задержки и полосы пропускания:

Размер буфера = 2 * задержка * полоса пропускания

Программа ping даст вам округленное время (round trip time - RTT) для сетевого соединения,

что в два раза больше задержки.

Формула принимает следующий вид:

Размер буфера = RTT * полоса пропускания

.08 секунд * 100 Мбс / 8 = 1 МБ

Пример:

cat /etc/sysctl.conf

...

# увеличиваем максимальный размер буфера ТСР

net.core.rmem_max = 16777216

net.core.wmem_max = 16777216

# увеличиваем ограничения автоподчтройки буфера ТСР Linux

# мин, по умолчанию, и максимальное число байт, которое можно использовать

net.ipv4.tcp_rmem = 4096 87380 16777216

net.ipv4.tcp_wmem = 4096 65536 16777216

Контроль перегрузки / рекомендуемый контроль перегрузки по умолчанию / recommended default congestion control

0. Проверить какие контроли перегрузки нам доступны:
sysctl net.ipv4.tcp_available_congestion_control
cat /proc/sys/net/ipv4/tcp_available_congestion_control

1. Проверить какие контроли перегрузки сейчас активны:
sysctl net.ipv4.tcp_congestion_control
cat /proc/sys/net/ipv4/tcp_congestion_control


2. Примеры включения:
Включить контроль перегрузки "cubic"без перезагрузки ОС.
sysctl -w net.ipv4.tcp_congestion_control=cubic

Включить очередь "fq" без перезагрузки ОС
sysctl -w net.core.default_qdisc=fq_codel
sysctl -w net.core.default_qdisc=fq


Пример добавления в файл /etc/sysctl.conf, контроль перегрузки bbr
net.core.default_qdisc=fq
net.ipv4.tcp_congestion_control=bbr

0. Проверить какие контроли перегрузки нам доступны:

sysctl net.ipv4.tcp_available_congestion_control

cat /proc/sys/net/ipv4/tcp_available_congestion_control

1. Проверить какие контроли перегрузки сейчас активны:

sysctl net.ipv4.tcp_congestion_control

cat /proc/sys/net/ipv4/tcp_congestion_control

2. Примеры включения:

Включить контроль перегрузки "cubic"без перезагрузки ОС.

sysctl -w net.ipv4.tcp_congestion_control=cubic

Включить очередь "fq" без перезагрузки ОС

sysctl -w net.core.default_qdisc=fq_codel

sysctl -w net.core.default_qdisc=fq

Пример добавления в файл /etc/sysctl.conf, контроль перегрузки bbr

net.core.default_qdisc=fq

net.ipv4.tcp_congestion_control=bbr

BBR

BBR (Bottleneck Bandwidth and RTT) — алгоритма контроля перегрузки TCP, 
патчи с которым ещё в 2016 году были опубликованы компанией Google и приняты в основное ядро Linux. 
Применение этой технологии в некоторых случаях позволяет значительно увеличить пропускную способность канала передачи данных. 
Несколько тестов и информация по настройке BBR далее.
sysctl -w net.ipv4.tcp_slow_start_after_idle=0
net.core.default_qdisc=fq
net.ipv4.tcp_congestion_control=bbr

В ядре требуется активировать:
CONFIG_TCP_CONG_BBR=m
CONFIG_NET_SCH_FQ_CODEL=y
CONFIG_NET_SCH_FQ=m

BBR (Bottleneck Bandwidth and RTT) — алгоритма контроля перегрузки TCP,

патчи с которым ещё в 2016 году были опубликованы компанией Google и приняты в основное ядро Linux.

Применение этой технологии в некоторых случаях позволяет значительно увеличить пропускную способность канала передачи данных.

Несколько тестов и информация по настройке BBR далее.

sysctl -w net.ipv4.tcp_slow_start_after_idle=0

net.core.default_qdisc=fq

net.ipv4.tcp_congestion_control=bbr

В ядре требуется активировать:

CONFIG_TCP_CONG_BBR=m

CONFIG_NET_SCH_FQ_CODEL=y

CONFIG_NET_SCH_FQ=m

*NIX информация

tc / traffic control

Автор записи Автор: Evgeny Yakovlev
Дата записи 2023/10/16

Вводная инфа:

Управление трафиком
Traffic Control, tc, Шейпинг, управление трафиком, HTB
Разделение, ограничение и управление трафиком - актуальная и сложная задача,
которую обычно возлагают на дорогостоящее специальное сетевое оборудование. 
Но решить ее можно и с помощью подсистемы Linux-ядра Traffic Control (tc входит в пакет iproute2)

Ограничение без потерь возможно только в отношении исходящего трафика. 
Стек протоколов TCP/IP не предусматривает возможности заставить удаленную сторону слать пакеты медленнее (и это правильно).

Shaping. 
Шейпинг - ограничение трафика, задержка пакетов с целью создания желаемой скорости передачи. 
Может использоваться не только для "сужения" исходящего канала, но и для сглаживания бросков во время пиковых нагрузок.

Scheduling. 
Планирование – упорядочивание типов трафика в канале. 
Позволяет избегать задержек для критичных типов трафика (QoS).

Policing. 
Политика входящего трафика. 
Позволяет ограничить входящий трафик путем уничтожения превысивших лимит пакетов. 
Помогает бороться с DDoS.

Основные параметры:
Дисциплина обработки пакетов (qdisc) - очередь пакетов и закрепленный за ней алгоритм обработки.
Класс (class) - логический контейнер, который может содержать несколько подклассов или дисциплину.
Фильтр (filter) - механизм классификации трафика.

Формат указания скорости в утилите tc
mbps = 1024 kbps = 1024 * 1024 bps => Байт/с
mbit = 1024 kbit => Кбит/с
mb = 1024 kb = 1024 * 1024 b => Байт


Наиболее используемые дисциплины
pfifo - Простейшая очередь FIFO (первым пришел, первым ушел).
        Размер буфера задается в пакетах.
bfifo - Аналог pfifo с буфером, размер которого задается в байтах.
pfifo_fast - Реализует простую очередь FIFO с тремя полосами.
             Используется по умолчанию в качестве корневой и не принимает аргументов.
tbf - Token Bucket Filter (TBF). 
      Передает поступающие пакеты со скоростью, не превышающей заданный порог. 
      Простая и точная реализация делает ее идеальным решением для ограничения полосы пропускания всего интерфейса.
sfq - Stochastic Fairness Queueing (SFQ). 
       (одна из лучших)Реализация алгоритма справедливой очереди. 
       Поровну разделяет полосу пропускания между несколькими соединениями. 
       Эффективно работает только на загруженном интерфейсе.
red - Random Early Detection (RED). 
      Симуляция затора. 
      Отбрасывает пакеты случайным образом при достижении заданной полосы пропускания. 
      Хорошо подходит для ограничения прожорливых в плане трафика приложений.
prio - Разделяет трафик по приоритетам (поле TOS). 
       По умолчанию создает три класса, в первый из которых попадают пакеты с большим приоритетом, а в третий - с наименьшим.
cbq - Class Based Queueing (CBQ). 
      Классовая дисциплина, предназначенная для создания сложных систем управления трафиком. 
      Поддерживает ограничения и приоритеты.
htb - Hierarchical Token Bucket (HTB). 
       (хорошо умеет работать с ip, во всех руководствах по шейпингу вы ее обязательно встретите)
       Предназначена для разделения полосы пропускания между различными видами трафика на полосы заданной ширины, с возможностью заимствования. 
       Поддерживает приоритеты.

Управление трафиком

Traffic Control, tc, Шейпинг, управление трафиком, HTB

Разделение, ограничение и управление трафиком - актуальная и сложная задача,

которую обычно возлагают на дорогостоящее специальное сетевое оборудование.

Но решить ее можно и с помощью подсистемы Linux-ядра Traffic Control (tc входит в пакет iproute2)

Ограничение без потерь возможно только в отношении исходящего трафика.

Стек протоколов TCP/IP не предусматривает возможности заставить удаленную сторону слать пакеты медленнее (и это правильно).

Shaping.

Шейпинг - ограничение трафика, задержка пакетов с целью создания желаемой скорости передачи.

Может использоваться не только для "сужения" исходящего канала, но и для сглаживания бросков во время пиковых нагрузок.

Scheduling.

Планирование – упорядочивание типов трафика в канале.

Позволяет избегать задержек для критичных типов трафика (QoS).

Policing.

Политика входящего трафика.

Позволяет ограничить входящий трафик путем уничтожения превысивших лимит пакетов.

Помогает бороться с DDoS.

Основные параметры:

Дисциплина обработки пакетов (qdisc) - очередь пакетов и закрепленный за ней алгоритм обработки.

Класс (class) - логический контейнер, который может содержать несколько подклассов или дисциплину.

Фильтр (filter) - механизм классификации трафика.

Формат указания скорости в утилите tc

mbps = 1024 kbps = 1024 * 1024 bps => Байт/с

mbit = 1024 kbit => Кбит/с

mb = 1024 kb = 1024 * 1024 b => Байт

Наиболее используемые дисциплины

pfifo - Простейшая очередь FIFO (первым пришел, первым ушел).

Размер буфера задается в пакетах.

bfifo - Аналог pfifo с буфером, размер которого задается в байтах.

pfifo_fast - Реализует простую очередь FIFO с тремя полосами.

Используется по умолчанию в качестве корневой и не принимает аргументов.

tbf - Token Bucket Filter (TBF).

Передает поступающие пакеты со скоростью, не превышающей заданный порог.

Простая и точная реализация делает ее идеальным решением для ограничения полосы пропускания всего интерфейса.

sfq - Stochastic Fairness Queueing (SFQ).

(одна из лучших)Реализация алгоритма справедливой очереди.

Поровну разделяет полосу пропускания между несколькими соединениями.

Эффективно работает только на загруженном интерфейсе.

red - Random Early Detection (RED).

Симуляция затора.

Отбрасывает пакеты случайным образом при достижении заданной полосы пропускания.

Хорошо подходит для ограничения прожорливых в плане трафика приложений.

prio - Разделяет трафик по приоритетам (поле TOS).

По умолчанию создает три класса, в первый из которых попадают пакеты с большим приоритетом, а в третий - с наименьшим.

cbq - Class Based Queueing (CBQ).

Классовая дисциплина, предназначенная для создания сложных систем управления трафиком.

Поддерживает ограничения и приоритеты.

htb - Hierarchical Token Bucket (HTB).

(хорошо умеет работать с ip, во всех руководствах по шейпингу вы ее обязательно встретите)

Предназначена для разделения полосы пропускания между различными видами трафика на полосы заданной ширины, с возможностью заимствования.

Поддерживает приоритеты.

Синтаксис tc:

Usage:  tc [ OPTIONS ] OBJECT { COMMAND | help }
        tc [-force] -batch filename
where  OBJECT := { qdisc | class | filter | chain |
                    action | monitor | exec }
       OPTIONS := { -V[ersion] | -s[tatistics] | -d[etails] | -r[aw] |
                    -o[neline] | -j[son] | -p[retty] | -c[olor]
                    -b[atch] [filename] | -n[etns] name | -N[umeric] |
                     -nm | -nam[es] | { -cf | -conf } path
                     -br[ief] }


tc qdisc - покажет состояние шейпинга в данный момент для всех интерфейсов.

Смотрим статистику прохождения пакетов:
tc -s -d qdisc show dev eth0
tc -s -d class show dev eth0
tc -s -d filter show dev eth0

Быстро удалить все классы, фильтры и вернуть root qdisc интерфейса в первоначальное состояние можно командой:
 tc qdisc del dev eth0 root

Usage: tc [ OPTIONS ] OBJECT { COMMAND | help }

tc [-force] -batch filename

where OBJECT := { qdisc | class | filter | chain |

action | monitor | exec }

OPTIONS := { -V[ersion] | -s[tatistics] | -d[etails] | -r[aw] |

-o[neline] | -j[son] | -p[retty] | -c[olor]

-b[atch] [filename] | -n[etns] name | -N[umeric] |

-nm | -nam[es] | { -cf | -conf } path

-br[ief] }

tc qdisc - покажет состояние шейпинга в данный момент для всех интерфейсов.

Смотрим статистику прохождения пакетов:

tc -s -d qdisc show dev eth0

tc -s -d class show dev eth0

tc -s -d filter show dev eth0

Быстро удалить все классы, фильтры и вернуть root qdisc интерфейса в первоначальное состояние можно командой:

tc qdisc del dev eth0 root

Это самый простой без классовый пример:

tc qdisc add dev eth1 root tbf rate 256kbit  latency 50ms burst 1540
- qdisc add - добавляем новую дисциплину (для удаления используй del).
- dev eth1 - указываем устройство, к которому будет привязана дисциплина.
- root - наша дисциплина корневая (будет обрабатываться весь трафик).
- tbf - имя дисциплины.
- rate 256kbit latency 50ms burst 1540 - параметры, специфичные для данной дисциплины: rate - ограничение скорости, 
latency - максимальный "возраст" пакета в очереди, burst - размер буфера

tc qdisc add dev eth1 root tbf rate 256kbit latency 50ms burst 1540

- qdisc add - добавляем новую дисциплину (для удаления используй del).

- dev eth1 - указываем устройство, к которому будет привязана дисциплина.

- root - наша дисциплина корневая (будет обрабатываться весь трафик).

- tbf - имя дисциплины.

- rate 256kbit latency 50ms burst 1540 - параметры, специфичные для данной дисциплины: rate - ограничение скорости,

latency - максимальный "возраст" пакета в очереди, burst - размер буфера

Пример создание классовой очереди HTB

Создадим дисциплину:
tc qdisc add dev eth1 root handle 1: htb default 13
Опция "default 13" говорит о том, что весь не классифицированный фильтрами
трафик должен быть обработан с помощью дисциплин класса "1:13". 

Создадим класс под дисциплину:
tc class add dev eth1 parent 1: classid 1:1 htb rate 10mbps ceil 10mbps

Создадим в нем подклассы:
tc class add dev eth1 parent 1:1 classid 1:11 htb rate 5mbps ceil 10mbps
tc class add dev eth1 parent 1:1 classid 1:12 htb rate 2mbps
tc class add dev eth1 parent 1:1 classid 1:13 htb rate 1mbps


По умолчанию к вновь созданным классам подключены дисциплины, реализующие  очередь FIFO. 
Это нам не подходит. 
Чтобы канал равномерно распределялся между всеми участниками под сети, мы должны подключить к ним дисциплину sfq:
tc qdisc add dev eth1 parent 1:11 handle 10:0 sfq perturb 10
tc qdisc add dev eth1 parent 1:12 handle 20:0 sfq perturb 10
tc qdisc add dev eth1 parent 1:13 handle 30:0 sfq perturb 10

Теперь подключим фильтры, которые будут классифицировать трафик:
tc filter add dev eth1 protocol ip parent 1:0 prio 1 u32 match ip src 10.55.0.0/24 flowid 1:11
tc filter add dev eth1 protocol ip parent 1:0 prio 1 u32 match ip src 10.55.1.0/24 flowid 1:12

Для примера, установим ограничение в 256 Кбит/с для пользователя, находящегося в под сети "все остальные". 
Сначала добавим к "классу под сети" новый  "класс-пользователь":
tc class add dev eth1 parent 1:13 classid 1:150 htb rate 256kbps
А затем фильтр:
tc filter add dev eth1 protocol ip parent 1:13 prio 1 u32 match ip src 10.55.55.7 flowid 1:150

Создадим дисциплину:

tc qdisc add dev eth1 root handle 1: htb default 13

Опция "default 13" говорит о том, что весь не классифицированный фильтрами

трафик должен быть обработан с помощью дисциплин класса "1:13".

Создадим класс под дисциплину:

tc class add dev eth1 parent 1: classid 1:1 htb rate 10mbps ceil 10mbps

Создадим в нем подклассы:

tc class add dev eth1 parent 1:1 classid 1:11 htb rate 5mbps ceil 10mbps

tc class add dev eth1 parent 1:1 classid 1:12 htb rate 2mbps

tc class add dev eth1 parent 1:1 classid 1:13 htb rate 1mbps

По умолчанию к вновь созданным классам подключены дисциплины, реализующие очередь FIFO.

Это нам не подходит.

Чтобы канал равномерно распределялся между всеми участниками под сети, мы должны подключить к ним дисциплину sfq:

tc qdisc add dev eth1 parent 1:11 handle 10:0 sfq perturb 10

tc qdisc add dev eth1 parent 1:12 handle 20:0 sfq perturb 10

tc qdisc add dev eth1 parent 1:13 handle 30:0 sfq perturb 10

Теперь подключим фильтры, которые будут классифицировать трафик:

tc filter add dev eth1 protocol ip parent 1:0 prio 1 u32 match ip src 10.55.0.0/24 flowid 1:11

tc filter add dev eth1 protocol ip parent 1:0 prio 1 u32 match ip src 10.55.1.0/24 flowid 1:12

Для примера, установим ограничение в 256 Кбит/с для пользователя, находящегося в под сети "все остальные".

Сначала добавим к "классу под сети" новый "класс-пользователь":

tc class add dev eth1 parent 1:13 classid 1:150 htb rate 256kbps

А затем фильтр:

tc filter add dev eth1 protocol ip parent 1:13 prio 1 u32 match ip src 10.55.55.7 flowid 1:150

Пример:

tc qdisc add dev eth1 root handle 1: htb default 13
tc class add dev eth1 parent 1: classid 1:1 htb rate 256kbps ceil 6mbps
tc class add dev eth1  parent 1:1 classid 1:11 htb rate 3mbps 
tc class add dev eth1 parent 1:1 classid 1:12 htb rate 2mbps
tc class add dev eth1 parent 1:1 classid 1:13 htb rate 256kbps
tc qdisc add dev eth1  parent 1:11 handle 10:0 sfq perturb 10
tc qdisc add dev eth1  parent 1:12 handle 20:0 sfq perturb 10
tc qdisc add dev eth1  parent 1:13 handle 30:0 sfq perturb 10
tc filter add dev eth1 protocol ip parent 1:0 prio 1 u32 match ip src 10.55.55.0/24 flowid 1:11
tc filter add dev eth1 protocol ip parent 1:0 prio 1 u32 match ip src 10.66.66.0/24 flowid 1:12
tc class add dev eth1 parent 1:13 classid 1:150 htb rate 256kbps
tc filter add dev eth1 protocol ip parent 1:13 prio 1 u32 match ip src 10.55.55.7 flowid 1:150

tc qdisc add dev eth1 root handle 1: htb default 13

tc class add dev eth1 parent 1: classid 1:1 htb rate 256kbps ceil 6mbps

tc class add dev eth1 parent 1:1 classid 1:11 htb rate 3mbps

tc class add dev eth1 parent 1:1 classid 1:12 htb rate 2mbps

tc class add dev eth1 parent 1:1 classid 1:13 htb rate 256kbps

tc qdisc add dev eth1 parent 1:11 handle 10:0 sfq perturb 10

tc qdisc add dev eth1 parent 1:12 handle 20:0 sfq perturb 10

tc qdisc add dev eth1 parent 1:13 handle 30:0 sfq perturb 10

tc filter add dev eth1 protocol ip parent 1:0 prio 1 u32 match ip src 10.55.55.0/24 flowid 1:11

tc filter add dev eth1 protocol ip parent 1:0 prio 1 u32 match ip src 10.66.66.0/24 flowid 1:12

tc class add dev eth1 parent 1:13 classid 1:150 htb rate 256kbps

tc filter add dev eth1 protocol ip parent 1:13 prio 1 u32 match ip src 10.55.55.7 flowid 1:150

Пример:

tc qdisc add dev eth0 root handle 1: htb default 15
tc class add dev eth0 parent 1: classid 1:1 htb rate 100mbps ceil 100mbps

tc class add dev eth0 parent 1:1 classid 1:11 htb rate 30mbps ceil 100mbps
tc class add dev eth0 parent 1:1 classid 1:12 htb rate 20mbps
tc class add dev eth0 parent 1:1 classid 1:13 htb rate 10mbps
tc class add dev eth0 parent 1:1 classid 1:14 htb rate 5mbps
tc class add dev eth0 parent 1:1 classid 1:15 htb rate 40mbps

tc qdisc add dev eth0 parent 1:11 handle 10:0 sfq perturb 10
tc qdisc add dev eth0 parent 1:12 handle 20:0 sfq perturb 10
tc qdisc add dev eth0 parent 1:13 handle 30:0 sfq perturb 10
tc qdisc add dev eth0 parent 1:14 handle 40:0 sfq perturb 10
tc qdisc add dev eth0 parent 1:15 handle 50:0 sfq perturb 10

tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip src 172.16.1.0/24 flowid 1:11
tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip src 172.16.2.0/24 flowid 1:12
tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip src 172.16.3.0/24 flowid 1:13
tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip src 172.16.4.0/24 flowid 1:14

tc class add dev eth0 parent 1:15 classid 1:150 htb rate 256kbps
tc filter add dev eth0 protocol ip parent 1:15 prio 1 u32 match ip src 172.16.1.32 flowid 1:150

tc qdisc add dev eth0 root handle 1: htb default 15

tc class add dev eth0 parent 1: classid 1:1 htb rate 100mbps ceil 100mbps

tc class add dev eth0 parent 1:1 classid 1:11 htb rate 30mbps ceil 100mbps

tc class add dev eth0 parent 1:1 classid 1:12 htb rate 20mbps

tc class add dev eth0 parent 1:1 classid 1:13 htb rate 10mbps

tc class add dev eth0 parent 1:1 classid 1:14 htb rate 5mbps

tc class add dev eth0 parent 1:1 classid 1:15 htb rate 40mbps

tc qdisc add dev eth0 parent 1:11 handle 10:0 sfq perturb 10

tc qdisc add dev eth0 parent 1:12 handle 20:0 sfq perturb 10

tc qdisc add dev eth0 parent 1:13 handle 30:0 sfq perturb 10

tc qdisc add dev eth0 parent 1:14 handle 40:0 sfq perturb 10

tc qdisc add dev eth0 parent 1:15 handle 50:0 sfq perturb 10

tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip src 172.16.1.0/24 flowid 1:11

tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip src 172.16.2.0/24 flowid 1:12

tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip src 172.16.3.0/24 flowid 1:13

tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip src 172.16.4.0/24 flowid 1:14

tc class add dev eth0 parent 1:15 classid 1:150 htb rate 256kbps

tc filter add dev eth0 protocol ip parent 1:15 prio 1 u32 match ip src 172.16.1.32 flowid 1:150

*NIX информация

Конспект: sysctl

Автор записи Автор: Evgeny Yakovlev
Дата записи 2023/09/02

sysctl

sysctl     - позволяет посмотреть параметры в системы и внести изменения, такие как стек tcp/ip, виртуальной памяти
sysctl -a  - показывает все параметры
sysctl -A | less - отобразить все динамические параметры ядра

sysctl -f  - выполняем для применения изменений без перезагрузки
sysctl -p  - выполняем для применения изменений без перезагрузки 
sysctl -p changes.conf - принять изменения в changes.conf без перезагрузки

!!!  /proc/sys/ 
!!! kern \ kernel \ зависит от дистрибутива
!!! клавиша TAB в помощь

sysctl kern.ipc.numopensockets — показывает количество открытых сокетов
sysctl kern.openfiles — показывает количество открытых файлов
sysctl kernel.hostname - показать имя системы
sysctl fs.nr_open - cколько дескрипторов файлов используется
sysctl net.ipv4.ip_forward

cat /proc/sys/net/ipv4/ip_forward - проверяем текущие состояние ip_forward
cat /proc/sys/kernel/hostname - показать имя системы

sysctl -w net.ipv6.conf.all.disable_ipv6=1 - выключить ipv6
sysctl -w net.ipv6.conf.default.disable_ipv6=1 - выключить ipv6

sysctl - позволяет посмотреть параметры в системы и внести изменения, такие как стек tcp/ip, виртуальной памяти

sysctl -a - показывает все параметры

sysctl -A | less - отобразить все динамические параметры ядра

sysctl -f - выполняем для применения изменений без перезагрузки

sysctl -p - выполняем для применения изменений без перезагрузки

sysctl -p changes.conf - принять изменения в changes.conf без перезагрузки

!!! /proc/sys/

!!! kern \ kernel \ зависит от дистрибутива

!!! клавиша TAB в помощь

sysctl kern.ipc.numopensockets — показывает количество открытых сокетов

sysctl kern.openfiles — показывает количество открытых файлов

sysctl kernel.hostname - показать имя системы

sysctl fs.nr_open - cколько дескрипторов файлов используется

sysctl net.ipv4.ip_forward

cat /proc/sys/net/ipv4/ip_forward - проверяем текущие состояние ip_forward

cat /proc/sys/kernel/hostname - показать имя системы

sysctl -w net.ipv6.conf.all.disable_ipv6=1 - выключить ipv6

sysctl -w net.ipv6.conf.default.disable_ipv6=1 - выключить ipv6

ip_forward

!!! Самое частое ради чего лезут в sysctl это включают forward для сетевых интерфейсов

net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1

cat /proc/sys/net/ipv4/ip_forward - проверяем текущие состояние ip_forward
echo 1 > /proc/sys/net/ipv4/ip_forward - так мы можем включить IP forward
 
!!! Для постоянного включения необходимо отредактировать файл  /etc/sysctl.conf, найти строку net.ipv4.ip_forward=1 и убрать комментарий с неё
vim /etc/sysctl.conf
---------------------
# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1
---------------------
sysctl -p  - выполняем для применения изменений без перезагрузки

!!! Самое частое ради чего лезут в sysctl это включают forward для сетевых интерфейсов

net.ipv4.ip_forward=1

net.ipv6.conf.all.forwarding=1

cat /proc/sys/net/ipv4/ip_forward - проверяем текущие состояние ip_forward

echo 1 > /proc/sys/net/ipv4/ip_forward - так мы можем включить IP forward

!!! Для постоянного включения необходимо отредактировать файл /etc/sysctl.conf, найти строку net.ipv4.ip_forward=1 и убрать комментарий с неё

vim /etc/sysctl.conf

---------------------

# Uncomment the next line to enable packet forwarding for IPv4

net.ipv4.ip_forward=1

---------------------

sysctl -p - выполняем для применения изменений без перезагрузки

ipv6

!!! отключение ipv6 \ достаточно бесполезная фигня \ не делай этого если не знаешь зачем хочешь его отключить

#disable ipv6 settins
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1

!!! отключение ipv6 \ достаточно бесполезная фигня \ не делай этого если не знаешь зачем хочешь его отключить

#disable ipv6 settins

net.ipv6.conf.all.disable_ipv6 = 1

net.ipv6.conf.default.disable_ipv6 = 1

net.ipv6.conf.lo.disable_ipv6 = 1

файлы

Ограничения на всю систему по открытым файлам:
sysctl fs.file-max        - показать максимальное количество открытых файлов
sysctl fs.file-max=102400 - меняем максимальное количества открытых файлов

echo "1024 50000" > /proc/sys/net/ipv4/ip_local_port_range - диапазон портов
 
vim /etc/sysctl.conf
fs.file-max=102400  - Ввод по умолчанию sysctl.conf
sysctl -p  - выполняем для применения изменений без перезагрузки 


ограничения открытых файлов shell/script
ulimit -a - Смотрим ограничения
ulimit -n 10240 - Меняем ограничение на количество открытых файлов, только shell


ограничения user / process
cat /etc/security/limits.conf
*   hard    nproc   250 - Ограничения пользовательских процессов
asterisk hard nofile 409600 - Ограничения на открытые файлы приложения

Ограничения на всю систему по открытым файлам:

sysctl fs.file-max - показать максимальное количество открытых файлов

sysctl fs.file-max=102400 - меняем максимальное количества открытых файлов

echo "1024 50000" > /proc/sys/net/ipv4/ip_local_port_range - диапазон портов

vim /etc/sysctl.conf

fs.file-max=102400 - Ввод по умолчанию sysctl.conf

sysctl -p - выполняем для применения изменений без перезагрузки

ограничения открытых файлов shell/script

ulimit -a - Смотрим ограничения

ulimit -n 10240 - Меняем ограничение на количество открытых файлов, только shell

ограничения user / process

cat /etc/security/limits.conf

* hard nproc 250 - Ограничения пользовательских процессов

asterisk hard nofile 409600 - Ограничения на открытые файлы приложения

монтирование / mount

Разрешить пользователям монтирование дисков:
# sysctl vfs.usermount=1  # Или впишите строку "vfs.usermount=1" in /etc/sysctl.conf

1 2	Разрешить пользователям монтирование дисков: # sysctl vfs.usermount=1 # Или впишите строку "vfs.usermount=1" in /etc/sysctl.conf

Таблица NAT:

# sysctl net.netfilter.nf_conntrack_max - посмотреть текущий размер таблицы NAT
net.netfilter.nf_conntrack_max = 65536
 
# sysctl -a | grep conntrack_max - посмотреть текущий размер таблицы NAT
net.netfilter.nf_conntrack_max = 65536
net.ipv4.netfilter.ip_conntrack_max = 65536
net.nf_conntrack_max = 65536
 
# sysctl net.netfilter.nf_conntrack_count - посмотреть заполненность таблицы
net.netfilter.nf_conntrack_count = 654

# Решение ошибки "nf_conntrack: table full, dropping packet"
net.ipv4.netfilter.ip_conntrack_max=1548576

# sysctl net.netfilter.nf_conntrack_max - посмотреть текущий размер таблицы NAT

net.netfilter.nf_conntrack_max = 65536

# sysctl -a | grep conntrack_max - посмотреть текущий размер таблицы NAT

net.netfilter.nf_conntrack_max = 65536

net.ipv4.netfilter.ip_conntrack_max = 65536

net.nf_conntrack_max = 65536

# sysctl net.netfilter.nf_conntrack_count - посмотреть заполненность таблицы

net.netfilter.nf_conntrack_count = 654

# Решение ошибки "nf_conntrack: table full, dropping packet"

net.ipv4.netfilter.ip_conntrack_max=1548576

Отключаем ответы на ping

!!! Не надо отключать пинг

sysctl net.ipv4.icmp_echo_ignore_all - узнаем что с пингом
sysctl -w net.ipv4.icmp_echo_ignore_all=1 - отключаем ответ на ping
sysctl -w net.ipv4.icmp_echo_ignore_all=0 - включаем ответ на ping

чтоб сохранялось при перегрузке
nano /etc/sysctl.conf - проверяем значение
net.ipv4.icmp_echo_ignore_all=1 - выставляем 1 и сохраняем

!!! Не надо отключать пинг

sysctl net.ipv4.icmp_echo_ignore_all - узнаем что с пингом

sysctl -w net.ipv4.icmp_echo_ignore_all=1 - отключаем ответ на ping

sysctl -w net.ipv4.icmp_echo_ignore_all=0 - включаем ответ на ping

чтоб сохранялось при перегрузке

nano /etc/sysctl.conf - проверяем значение

net.ipv4.icmp_echo_ignore_all=1 - выставляем 1 и сохраняем

rp_filter

!!! Не рекомендуется включать, если вы не знаете зачем.

net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.all.rp_filter=1

Принцип фильтрования в rp_filter:
Если ответ на текущий пакет не может уйти через тот же интерфейс 
(когда приходит через один интерфейс, а уходит через другой), 
пакет отфильтровывается.

По умолчанию: 
net.ipv4.conf.all.rp_filter = 1
 
Выключение rp_filter для всех интерфейсов:
for i in /proc/sys/net/ipv4/conf/*/rp_filter ; do
  echo 0 > $i 
done

!!! Не рекомендуется включать, если вы не знаете зачем.

net.ipv4.conf.default.rp_filter=1

net.ipv4.conf.all.rp_filter=1

Принцип фильтрования в rp_filter:

Если ответ на текущий пакет не может уйти через тот же интерфейс

(когда приходит через один интерфейс, а уходит через другой),

пакет отфильтровывается.

По умолчанию:

net.ipv4.conf.all.rp_filter = 1

Выключение rp_filter для всех интерфейсов:

for i in /proc/sys/net/ipv4/conf/*/rp_filter ; do

echo 0 > $i

done

Network SFP+

!!! Современные дистрибутивы автоматически настраивают оптимальные параметры сетевой карты

# Разрешить тестирование с буферами до 64МБ 
net.core.rmem_max = 67108864 
net.core.wmem_max = 67108864 

# Увеличить лимит буфера TCP автонастройки Linux до 32 МБ
net.ipv4.tcp_rmem = 4096 87380 33554432
net.ipv4.tcp_wmem = 4096 65536 33554432

# Рекомендуемый контроль перегрузки по умолчанию — htcp 
net.ipv4.tcp_congestion_control=htcp

# Рекомендуется для хостов с включенными большими кадрами
net.ipv4.tcp_mtu_probing=1

# Рекомендуется включить "fair queueing/справедливую очередь"
net.core.default_qdisc = fq

!!! Современные дистрибутивы автоматически настраивают оптимальные параметры сетевой карты

# Разрешить тестирование с буферами до 64МБ

net.core.rmem_max = 67108864

net.core.wmem_max = 67108864

# Увеличить лимит буфера TCP автонастройки Linux до 32 МБ

net.ipv4.tcp_rmem = 4096 87380 33554432

net.ipv4.tcp_wmem = 4096 65536 33554432

# Рекомендуемый контроль перегрузки по умолчанию — htcp

net.ipv4.tcp_congestion_control=htcp

# Рекомендуется для хостов с включенными большими кадрами

net.ipv4.tcp_mtu_probing=1

# Рекомендуется включить "fair queueing/справедливую очередь"

net.core.default_qdisc = fq

swap

vm.swappiness = 10 - начинать использовать swap когда осталось 10% памяти  (0 не использовать swap)

1	vm.swappiness = 10 - начинать использовать swap когда осталось 10% памяти (0 не использовать swap)

ipv4

https://www.opennet.ru/docs/RUS/LARTC/x1727.html


/proc/sys/net/ipv4/icmp_echo_ignore_all
Параметр может принимать два значения -- 0 (выключено) и 1 (включено). Значение по-умолчанию -- 0 (выключено). 
Если записана 1, то ядро просто игнорирует все ICMP Echo Request запросы и тогда никто не сможет ping-ануть вашу машину, чтобы проверить ее наличие в сети, что само по себе не есть хорошо. 
С одной стороны -- окружающие лишены возможности проверить ваше присутствие в сети, с другой -- существует масса приложений, 
которые используют ICMP Echo Request запросы далеко не в благовидных целях.
Вообщем все как всегда -- что-то плохо, а что-то хорошо.


/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
Эта переменная очень близка по смыслу к icmp_echo_ignore_all, только в данном случае будут игнорироваться ICMP-сообщения, 
отправленные на широковещательный или групповой адрес. Вполне очевидно, почему полезно включить этот параметр -- защита от smurf атак.


/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
Отдельные маршрутизаторы, вопреки стандартам, описанным в RFC 1122, отправляют фиктивные ответы в широковещательном диапазоне. 
Обычно эти ошибки заносятся в системный журнал. 
Если вы не желаете регистрировать их, то включите этот параметр и тем самым сбережете некоторый объем дискового пространства в своей системе. 
Параметр может принимать два значения -- 0 (выключено) и 1 (включено). 
Значение по-умолчанию -- 0 (выключено)


/proc/sys/net/ipv4/icmp_ratelimit
Максимальная частота генерации ICMP-пакетов с типом, указанным в icmp_ratemask (см. ниже). 
Это значение задается в "тиках" и устанавливает временной интервал между ICMP-посылками. Таким образом, значение 0 означает отсутствие ограничений. 
Обычно 1 "тик" равен 0.01 секунды, так значение 1 в этой переменной ограничивает скорость передачи не более 100 посылок в секунду, а значение 100 -- не более 1 посылки в секунду. 
Значение по-умолчанию -- 100 (зависит от конфигурации ядра), что означает не более 1 ICMP посылки за интервал в 100 "тиков".


/proc/sys/net/ipv4/icmp_ratemask
Маска ICMP типов, на которые накладывается ограничение по частоте генерации переменной icmp_ratelimit. 
Каждый из ICMP типов маскируется своим битом.
icmp_ratemask -- это битовая маска, где каждый ICMP тип представлен своим битом. 
Соответствие между символическим названием ICMP типа и его порядковым номером вы найдете в заголовочном файле netinet/ip_icmp.h (обычно это /usr/include/netinet/ip_icmp.h). 
За дополнительной информацией обращайтесь к RFC 792 - Internet Control Message Protocol. 
Значение по-умолчанию -- 6168


/proc/sys/net/ipv4/igmp_max_memberships
Максимальное число групп на каждый сокет. 
Значение по-умолчанию -- 20 и может быть изменено по мере необходимости. 


/proc/sys/net/ipv4/inet_peer_maxttl
Это максимальное время хранения записей. 
При незначительных нагрузках на систему неиспользуемые записи будут удаляться через данный промежуток времени.


/proc/sys/net/ipv4/inet_peer_minttl
Параметр определяет минимальное время хранения данных в "inet peer storage". 
Это время должно быть достаточно большим, чтобы перекрыть время сборки фрагментов на противоположной стороне.
Минимальное время хранения является гарантией того, что размер пула будет меньше чем величина inet_peer_threshold.


/proc/sys/net/ipv4/inet_peer_threshold
Здесь хранится приблизительный размер памяти для "inet peer storage". 
Когда размер пула достигает этой величины, то "сборщик мусора" переводится в более агрессивный режим работы -- с периодом прохода inet_peer_gc_mintime. 
Кроме того, этот порог влияет на срок хранения записей. Чем выше этот порог, тем больше срок хранения.


/proc/sys/net/ipv4/ip_default_ttl
Устанавливает значение по-умолчанию для величины Time To Live исходящих пакетов. 
Это число определяет продолжительность "жизни" пакета в Internet. 
Каждый раз, когда пакет попадает на очередной роутер (брандмауэр и т.п.), величина TTL пакета уменьшается на 1.
Значение по-умолчанию -- 64


/proc/sys/net/ipv4/ip_dynaddr
Параметр используется для разрешения некоторых проблем, связанных с динамической адресацией. 
Позволяет демону diald одновременно устанавливать соединение и изменять исходящий адрес в пакетах (и сокетах для локальных процессов). 
Эта возможность была реализованв для поддержки TCP по коммутируемым соединениям и соединениям с маскарадингом (masqueradig). 
Эта опция позволяет "маскарадить" исходящий адрес пакета при изменении динамического IP-адреса.
В переменную можно записать одно из 3-х значений: 0, 1 или 2.
0 -- опция выключена, это значение по-умолчанию.
1 -- опция включена.
Любое другое значение, отличающееся от 0 и 1 подразумевает включение этой опции в "многословном" (verbose) режиме, что приводит к записи в системный журнал отладочных сообщений.


/proc/sys/net/ipv4/ip_forward
Включает/отключает функцию форвардинга (передачу транзитных пакетов между сетевыми интерфейсами), которая позволяет компьютеру выступать в роли брандмауэра или маршрутизатора. 
Эта переменная очень важна для Network Address Translation (Трансляция Сетевых Адресов), 
брандмауэров, маршрутизаторов и всего того, что должно передавать пакеты между сетями.
Это булева переменная. Или, другими словами, она может принимать два значения -- 0 или 1. 
Значение по-умолчанию -- 0, "запрещено". 
То есть 0 означает запрет форвардинга, а 1 -- разрешает его.


/proc/sys/net/ipv4/ip_local_port_range
Содержит два целых числа, которые определяют диапазон локальных портов, которые используются в клиентских соединениях, 
т.е. для исходящих соединений, которые связывают нашу систему с некоторым узлом сети, 
где мы выступаем в качестве клиента. Первое число задает нижнюю границу диапазона, второе -- верхнюю.
Значения по-умолчанию зависят от имеющегося объема ОЗУ. 
Если установлено более чем 128 Мб, то нижняя граница будет 32768, а верхняя -- 61000. При меньшем объеме ОЗУ нижняя граница будет 1024 а верхняя -- 4999 или даже меньше.
Этот диапазон определяет количество активных соединений, которые могут быть запущены одновременно, с другой системой, которая не поддерживает TCP-расширение timestamp.
Диапазона 1024-4999 вполне достаточно для установки до 2000 соединений в секунду с системами, не поддерживающими timestamp. Проще говоря, этого вполне достаточно для большинства применений.


/proc/sys/net/ipv4/ip_no_pmtu_disc
Параметр ip_no_pmtu_disc запрещает поиск PMTU (от англ. Path Maximum Transfer Unit -- Максимальный Размер Пакета для выбранного Пути). 
Для большинства случаев лучше установить в эту переменную значение FALSE, или 0 (т.е. система будет пытаться определить максимальный размер пакета, 
при котором не потребуется выполнять их фрагментацию, для передачи на заданный хост). 
Но иногда, в отдельных случаях, такое поведение системы может приводить к "срывам" соединений. 
Если у вас возникают такие проблемы, то вам следует попробовать отключить эту опцию (т.е. записать в переменную число 1) и установить нужное значение MTU.
Обратите внимание на то, что MTU и PMTU -- это не одно и то же! MTU -- (от англ. Maximum Transfer Unit -- максимальный размер пакета) определяет максимальный размер пакета для наших сетевых интерфейсов,
но не для сетевых интерфейсов на другом конце. 
PMTU -- опция, которая заставляет систему вычислять максимальный размер пакета, 
при котором не потребуется фрагментация пакетов, для маршрута к заданному хосту, включая все промежуточные переходы.
Значение по-умолчанию -- FALSE (0), т.е. функция определения разрешена. Если записать число 1 в этот файл, 
то функция определения PMTU будет запрещена. Параметр ip_no_pmtu_disc может принимать значение 0 или 1.


/proc/sys/net/ipv4/ipfrag_high_thresh
Параметр задает максимальный объем памяти, выделяемый под очередь фрагментированных пакетов. 
Когда длина очереди достигает этого порога, то обработчик фрагментов будет отвергать все фрагментированные пакеты до тех пор, 
пока длина очереди не уменьшится до значения переменной ipfrag_low_thresh. 
Это означает, что все отвергнутые фрагментированные пакеты должны быть повторно переданы узлом-отправителем.



/proc/sys/net/ipv4/ip_nonlocal_bind
Установка этого параметра позволяет отдельным локальным процессам выступать от имени внешнего (чужого) IP-адреса. 
Это может оказаться полезным в некоторых случаях, когда необходимо "прослушивать" внешние (чужие) IP-адреса, например -- сниффинг чужого траффика. 
Однако, эта опция может оказывать отрицательное влияние на работоспособность отдельных приложений.
Может иметь два значения -- 0 или 1. 
Если установлено значение 0, то опция отключена, 1 -- включена. 
Значение по-умолчанию -- 0.


/proc/sys/net/ipv4/ipfrag_low_thresh
Этот параметр очень тесно связан с переменной ipfrag_high_thresh. 
Он устанавливает нижний порог, при достижении которого опять разрешается прием фрагментов в очередь. 
Обработчик фрагментов имеет свою очередь, в которой находятся фрагментированные пакеты, ожидающие сборки. 
Когда длина очереди достигает верхнего порога (ipfrag_high_thresh), то прием фрагментов в очередь приостанавливается до тех пор, пока длина очереди не уменьшится до величины ipfrag_low_thresh. 
Это предохраняет систему от "затопления" фрагментированными пакетами и, тем самым, является, в своем роде, защитой от некоторых видов DoS-атак.


/proc/sys/net/ipv4/ipfrag_time
Определяет максимальное время "хранения" фрагментов в секундах. 
Это относится только к тем фрагментам, которые пока невозможно собрать, поскольку собранные пакеты к этому сроку скорее всего уже будут переданы дальше (на следующий уровень или в сеть).
Принимает целое значение и определяет предельное время хранения фрагментов в секундах. Если записать туда число 5, то это будет означать 5 секунд.



/proc/sys/net/ipv4/tcp_abort_on_overflow
Заставляет ядро отвергать новые соединения, если их поступает такое количество, что система не в состоянии справиться с таким потоком. 
Что это означает? Допустим, что на систему обрушивается шквал запросов на соединение, тогда они могут быть просто отвергнуты, если эта опция будет включена, 
поскольку система не в состоянии обработать их все. 
Если не установлена, то система будет пытаться обслужить все запросы.
Может иметь два значение -- 0(выключено) или 1(включено). Значение по-умолчанию -- 0. 
Включение этой опции следует расценивать как крайнюю меру. Перед этим необходимо попытаться поднять производительность сервисов.


/proc/sys/net/ipv4/tcp_fin_timeout
Задает максимальное время пребывания сокета в состоянии FIN-WAIT-2. 
Используется в тех случаях, когда другая сторона по тем или иным причинам не закрыла соединение со своей стороны. 
Каждый сокет занимает в памяти порядка 1.5 Кб, что может привести к значительным утечкам памяти в некоторых случаях.
Принимает целое число. Значение по-умолчанию -- 60 секунд. 
В ядрах серии 2.2 это значение было равно 180 секундам, но было уменьшено, поскольку иногда возникали проблемы, 
связанные с нехваткой памяти, на web-серверах, которые, как правило, обслуживают огромное количество подключений.
За дополнительной информацией -- обращайтесь к описанию параметров tcp_max_orphans и tcp_orphan_retries.


/proc/sys/net/ipv4/tcp_keepalive_time
Определяет -- как часто следует проверять соединение, если оно давно не используется. 
Значение параметра имеет смысл только для тех сокетов, которые были созданы с флагом SO_KEEPALIVE.
Принимает целое число секунд. Значение по-умолчанию -- 7200, т.е. 2 часа. 
Не уменьшайте это число без необходимости, поскольку это может привести к увеличению бесполезного трафика.


/proc/sys/net/ipv4/tcp_keepalive_intvl
Определяет интервал проверки "жизнеспособности" сокета. 
Это значение учитывается при подсчете времени, которое должно пройти перед тем как соединение будет разорвано.
Принимает целое число. Значение по-умолчанию -- 75 секунд. 
Это достаточно высокое значение, чтобы рассматривать его как нормальное. 
Значения параметров tcp_keepalive_probes и tcp_keepalive_intvl могут использоваться для определения времени, через которое соединение будет разорвано.
Со значениями по-умолчанию (9 попыток с интервалом 75 секунд) это займет примерно 11 минут. 
Попытки определения "жизнеспособности", в свою очередь, начнутся через 2 часа после того, как через данное соединение проследовал последний пакет.


/proc/sys/net/ipv4/tcp_keepalive_probes
Определяет количество попыток проверки "жизнеспособности" прежде, чем будет принято решении о разрыве соединения.
Принимает целое число, которое не следует устанавливать больше 50-ти. Значение по-умолчанию -- 9. 
Это означает, что будет выполнено 9 попыток проверки соединения, чтобы убедиться в том, что соединение разорвано.


/proc/sys/net/ipv4/tcp_max_orphans
Задает максимальное число "осиротевших" (не связанных ни с одним процессом) сокетов. 
Если это число будет превышено, то такие соединения разрываются, а в системный журнал пишется предупреждение.
Это ограничение существует исключительно ради предотвращения простейших разновидностей DoS-атак. 
Вообще вы не должны полагаться на эту переменную! Не рекомендуется уменьшать это число. 
Сетевая среда может потребовать увеличение этого порога, однако, такое увеличение может привести к необходимости увеличения объема ОЗУ в системе. 
Прежде чем поднимать этот предел -- попробуйте перенастроить сетевые сервисы на более агрессивное поведение по отношению к "осиротевшим" сокетам.
Принимает целое число. Значение по-умолчанию -- 8192, однако оно очень сильно зависит от объема памяти в системе. 
Каждый "осиротевший" сокет "съедает" примерно 64 Кб памяти, которая не может быть сброшена в своп (swap).
При возникновении проблем, связанных с этим ограничением -- в системный журнал будет записано сообщение, подобное этому: TCP: too many of orphaned sockets           
Это может служить поводом к тому, чтобы пересмотреть значения переменных tcp_fin_timeout или tcp_orphans_retries.


/proc/sys/net/ipv4/tcp_orphan_retries
Количество попыток закрыть соединение перед тем как оно будет разорвано принудительно. 
Если вы администрируете http-сервер, который испытывает большие нагрузки, то стоит подумать об уменьшении этого значения.
Значение по-умолчанию -- 0 (archlinux)


/proc/sys/net/ipv4/tcp_max_syn_backlog
Определяет максимальное время хранения SYN-запросов в памяти до момента получения третьего, завершающего установление соединения, пакета. 
Эта опция работает только тогда, когда включен параметр tcp_syncookies. 
Если сервер испытывает серьезные нагрузки, то можно попробовать немного увеличить этот параметр.
По-умолчанию равно 512


/proc/sys/net/ipv4/tcp_max_tw_buckets
Максимальное число сокетов, находящихся в состоянии TIME-WAIT одновременно. 
При превышении этого порога -- "лишний" сокет разрушается и пишется сообщение в системный журнал. Цель этой переменной -- предотвращение простейших разновидностей DoS-атак.
По-умолчанию -- 180000.


/proc/sys/net/ipv4/tcp_retrans_collapse
Включает/выключает эмуляцию ошибки протокола TCP, делая возможным сетевое взаимодействие с некоторыми устройствами, в которых реализация стека TCP имеет эту ошибку. 
Без ее эмуляции было бы невозможным работать с отдельными моделями принтеров. 
Ошибка заключается в отправке полноразмерных пакетов при повторной передаче.
Значение по-умолчанию -- 1 (включено).



/proc/sys/net/ipv4/tcp_retries1
Максимальное количество попыток повторной передачи пакетов по установленному соединению прежде, 
чем сообщение об ошибке будет передано сетевому уровню, в результате чего может быть выбран другой маршрут для отправки последующих пакетов. 
Минимальное значение этого параметра равно 3.
Это число является значением по-умолчанию, что соответствует интервалу времени от 3 секунд до 8 минут, в зависимости от величины Retransmission timeout (RTO). 
Детальное описание RTO вы найдете в разделе "3.7. Data Communication" RFC 793 - Transmission Control Protocol.
Значение по-умолчанию -- 3. 



/proc/sys/net/ipv4/tcp_retries2
Максимальное количество попыток повторной передачи пакетов, до того как соединение будет считаться разорванным. 
Это ограничение определено в RFC 1122 и равно 100, но обычно его уменьшают.
Значение по-умолчанию -- 15, что соответствует примерно 13-30 минутам в зависимости от величины Retransmission timeout (RTO).


/proc/sys/net/ipv4/tcp_rfc1337
Является реализацией решения проблемы, описываемой в "RFC 1337 - TIME-WAIT Assassination Hazards in TCP". 
Проблема связана с "устаревшими" дубликатами пакетов, которые могут вносить помехи во вновь устанавливаемые соединения и порождать три различные проблемы. 
Первая -- "устаревший" дубликат пакета с данными может быть ошибочно воспринят в новом соединении, что приведет к передаче неверных данных. 
Вторая -- соединение может быть десинхронизировано и "уйти" в ACK-цикл из-за "устаревших" дубликатов, 
которые порождают новые соединения (здесь автор имеет ввиду "устаревшие" дубликаты SYN-пакетов, прим. перев.). 
И третья проблема -- "устаревшие" дубликаты могут "проникнуть" в недавно созданное соединение и ошибочно уничтожить его.


/proc/sys/net/ipv4/tcp_sack
Разрешает Selective Acknowledgements (SACK -- Выборочное Подтверждение), детальное описание вы найдете в RFC 2883 
- An Extension to Selective Acknowledgement (SACK) Option for TCP и RFC 2883
- An Extension to Selective Acknowledgement (SACK) Option for TCP


/proc/sys/net/ipv4/tcp_stdurg
Разрешает/запрещает соответствие стандарту RFC 1122. Поведение по-умолчанию соответствует стандарту использования флага URG -- BSD 4.2, описанному в RFC 793. 
Если этот параметр включен, то возможны сбои при работе с отдельными узлами Интернета, точнее -- с узлами, которые придерживаются стандарта BSD 4.2. 
Значение по-умолчанию -- 0 (выключено).


/proc/sys/net/ipv4/tcp_syn_retries
Количество попыток передачи SYN-пакета при установлении нового соединения. 
Это число не должно устанавливаться больше чем 255, поскольку каждая повторная попытка отнимает значительное время. 
На каждую попытку отводится примерно 30-40 секунд. Значение по-умолчанию -- 5, что соответствует, примерно, 180 секундам.


/proc/sys/net/ipv4/tcp_synack_retries
Количество попыток передачи SYN,ACK-пакета в ответ на SYN-запрос. 
Другими словами -- максимальное число попыток установить пассивное TCP-соединение, инициированное другим хостом. 
Это число не должно устанавливаться больше чем 255. Значение по-умолчанию -- 5.


/proc/sys/net/ipv4/tcp_timestamps
Разрешает/запрещает использование временных меток (timestamps), в соответствии с RFC 1323. Если коротко, 
то это расширение TCP используется для расчета Round Trip Measurement (определение времени возврата) лучшим способом, нежели метод Retransmission timeout (RTO). 
Эта опция должна сохранять обратную совместимость в большинстве случаев, так что лучше оставить ее включенной, 
особенно если вы работаете в высокоскоростной сети (например LAN или 10mb Интернет). 
В случае низкоскоростного оединения (скажем модемное) -- вы прекрасно обойдетесь и без этой опции, и будет даже лучше, если вы ее отключите. 
Значение по-умолчанию -- 1 (включено).


/proc/sys/net/ipv4/tcp_window_scaling
Разрешает/запрещает масштабирование TCP-окна, как определено в RFC 1323. 
В этом документе описано как производится масштабирование TCP-окна при передаче по Large Fat Pipes (LFP -- "толстый" канал). 
При передаче TCP-пакетов по "толстым" каналам возникают существенные потери пропускной способности из-за того, 
что они не загружены полностью во время ожидания подтверждения о приеме предыдущего TCP-окна. 
Основная проблема состоит в том, что окно не может иметь размер больше, чем 2**16 байт (65 Кб). 
Разрешая масштабирование TCP-окна мы, тем самым, можем увеличить его размер и таким образом уменьшить потери пропускной способности. 
Значение по-умолчанию -- 1 (включено).

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215

216

217

218

219

220

221

222

223

224

225

226

227

228

229

230

231

232

233

234

235

236

237

238

239

240

241

242

243

244

245

246

247

248

249

250

251

252

253

254

255

256

257

258

259

260

261

262

263

264

265

266

267

268

269

270

271

272

273

274

275

276

277

278

279

280

281

282

283

284

285

286

287

288

289

290

291

292

293

https://www.opennet.ru/docs/RUS/LARTC/x1727.html

/proc/sys/net/ipv4/icmp_echo_ignore_all

Параметр может принимать два значения -- 0 (выключено) и 1 (включено). Значение по-умолчанию -- 0 (выключено).

Если записана 1, то ядро просто игнорирует все ICMP Echo Request запросы и тогда никто не сможет ping-ануть вашу машину, чтобы проверить ее наличие в сети, что само по себе не есть хорошо.

С одной стороны -- окружающие лишены возможности проверить ваше присутствие в сети, с другой -- существует масса приложений,

которые используют ICMP Echo Request запросы далеко не в благовидных целях.

Вообщем все как всегда -- что-то плохо, а что-то хорошо.

/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

Эта переменная очень близка по смыслу к icmp_echo_ignore_all, только в данном случае будут игнорироваться ICMP-сообщения,

отправленные на широковещательный или групповой адрес. Вполне очевидно, почему полезно включить этот параметр -- защита от smurf атак.

/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

Отдельные маршрутизаторы, вопреки стандартам, описанным в RFC 1122, отправляют фиктивные ответы в широковещательном диапазоне.

Обычно эти ошибки заносятся в системный журнал.

Если вы не желаете регистрировать их, то включите этот параметр и тем самым сбережете некоторый объем дискового пространства в своей системе.

Параметр может принимать два значения -- 0 (выключено) и 1 (включено).

Значение по-умолчанию -- 0 (выключено)

/proc/sys/net/ipv4/icmp_ratelimit

Максимальная частота генерации ICMP-пакетов с типом, указанным в icmp_ratemask (см. ниже).

Это значение задается в "тиках" и устанавливает временной интервал между ICMP-посылками. Таким образом, значение 0 означает отсутствие ограничений.

Обычно 1 "тик" равен 0.01 секунды, так значение 1 в этой переменной ограничивает скорость передачи не более 100 посылок в секунду, а значение 100 -- не более 1 посылки в секунду.

Значение по-умолчанию -- 100 (зависит от конфигурации ядра), что означает не более 1 ICMP посылки за интервал в 100 "тиков".

/proc/sys/net/ipv4/icmp_ratemask

Маска ICMP типов, на которые накладывается ограничение по частоте генерации переменной icmp_ratelimit.

Каждый из ICMP типов маскируется своим битом.

icmp_ratemask -- это битовая маска, где каждый ICMP тип представлен своим битом.

Соответствие между символическим названием ICMP типа и его порядковым номером вы найдете в заголовочном файле netinet/ip_icmp.h (обычно это /usr/include/netinet/ip_icmp.h).

За дополнительной информацией обращайтесь к RFC 792 - Internet Control Message Protocol.

Значение по-умолчанию -- 6168

/proc/sys/net/ipv4/igmp_max_memberships

Максимальное число групп на каждый сокет.

Значение по-умолчанию -- 20 и может быть изменено по мере необходимости.

/proc/sys/net/ipv4/inet_peer_maxttl

Это максимальное время хранения записей.

При незначительных нагрузках на систему неиспользуемые записи будут удаляться через данный промежуток времени.

/proc/sys/net/ipv4/inet_peer_minttl

Параметр определяет минимальное время хранения данных в "inet peer storage".

Это время должно быть достаточно большим, чтобы перекрыть время сборки фрагментов на противоположной стороне.

Минимальное время хранения является гарантией того, что размер пула будет меньше чем величина inet_peer_threshold.

/proc/sys/net/ipv4/inet_peer_threshold

Здесь хранится приблизительный размер памяти для "inet peer storage".

Когда размер пула достигает этой величины, то "сборщик мусора" переводится в более агрессивный режим работы -- с периодом прохода inet_peer_gc_mintime.

Кроме того, этот порог влияет на срок хранения записей. Чем выше этот порог, тем больше срок хранения.

/proc/sys/net/ipv4/ip_default_ttl

Устанавливает значение по-умолчанию для величины Time To Live исходящих пакетов.

Это число определяет продолжительность "жизни" пакета в Internet.

Каждый раз, когда пакет попадает на очередной роутер (брандмауэр и т.п.), величина TTL пакета уменьшается на 1.

Значение по-умолчанию -- 64

/proc/sys/net/ipv4/ip_dynaddr

Параметр используется для разрешения некоторых проблем, связанных с динамической адресацией.

Позволяет демону diald одновременно устанавливать соединение и изменять исходящий адрес в пакетах (и сокетах для локальных процессов).

Эта возможность была реализованв для поддержки TCP по коммутируемым соединениям и соединениям с маскарадингом (masqueradig).

Эта опция позволяет "маскарадить" исходящий адрес пакета при изменении динамического IP-адреса.

В переменную можно записать одно из 3-х значений: 0, 1 или 2.

0 -- опция выключена, это значение по-умолчанию.

1 -- опция включена.

Любое другое значение, отличающееся от 0 и 1 подразумевает включение этой опции в "многословном" (verbose) режиме, что приводит к записи в системный журнал отладочных сообщений.

/proc/sys/net/ipv4/ip_forward

Включает/отключает функцию форвардинга (передачу транзитных пакетов между сетевыми интерфейсами), которая позволяет компьютеру выступать в роли брандмауэра или маршрутизатора.

Эта переменная очень важна для Network Address Translation (Трансляция Сетевых Адресов),

брандмауэров, маршрутизаторов и всего того, что должно передавать пакеты между сетями.

Это булева переменная. Или, другими словами, она может принимать два значения -- 0 или 1.

Значение по-умолчанию -- 0, "запрещено".

То есть 0 означает запрет форвардинга, а 1 -- разрешает его.

/proc/sys/net/ipv4/ip_local_port_range

Содержит два целых числа, которые определяют диапазон локальных портов, которые используются в клиентских соединениях,

т.е. для исходящих соединений, которые связывают нашу систему с некоторым узлом сети,

где мы выступаем в качестве клиента. Первое число задает нижнюю границу диапазона, второе -- верхнюю.

Значения по-умолчанию зависят от имеющегося объема ОЗУ.

Если установлено более чем 128 Мб, то нижняя граница будет 32768, а верхняя -- 61000. При меньшем объеме ОЗУ нижняя граница будет 1024 а верхняя -- 4999 или даже меньше.

Этот диапазон определяет количество активных соединений, которые могут быть запущены одновременно, с другой системой, которая не поддерживает TCP-расширение timestamp.

Диапазона 1024-4999 вполне достаточно для установки до 2000 соединений в секунду с системами, не поддерживающими timestamp. Проще говоря, этого вполне достаточно для большинства применений.

/proc/sys/net/ipv4/ip_no_pmtu_disc

Параметр ip_no_pmtu_disc запрещает поиск PMTU (от англ. Path Maximum Transfer Unit -- Максимальный Размер Пакета для выбранного Пути).

Для большинства случаев лучше установить в эту переменную значение FALSE, или 0 (т.е. система будет пытаться определить максимальный размер пакета,

при котором не потребуется выполнять их фрагментацию, для передачи на заданный хост).

Но иногда, в отдельных случаях, такое поведение системы может приводить к "срывам" соединений.

Если у вас возникают такие проблемы, то вам следует попробовать отключить эту опцию (т.е. записать в переменную число 1) и установить нужное значение MTU.

Обратите внимание на то, что MTU и PMTU -- это не одно и то же! MTU -- (от англ. Maximum Transfer Unit -- максимальный размер пакета) определяет максимальный размер пакета для наших сетевых интерфейсов,

но не для сетевых интерфейсов на другом конце.

PMTU -- опция, которая заставляет систему вычислять максимальный размер пакета,

при котором не потребуется фрагментация пакетов, для маршрута к заданному хосту, включая все промежуточные переходы.

Значение по-умолчанию -- FALSE (0), т.е. функция определения разрешена. Если записать число 1 в этот файл,

то функция определения PMTU будет запрещена. Параметр ip_no_pmtu_disc может принимать значение 0 или 1.

/proc/sys/net/ipv4/ipfrag_high_thresh

Параметр задает максимальный объем памяти, выделяемый под очередь фрагментированных пакетов.

Когда длина очереди достигает этого порога, то обработчик фрагментов будет отвергать все фрагментированные пакеты до тех пор,

пока длина очереди не уменьшится до значения переменной ipfrag_low_thresh.

Это означает, что все отвергнутые фрагментированные пакеты должны быть повторно переданы узлом-отправителем.

/proc/sys/net/ipv4/ip_nonlocal_bind

Установка этого параметра позволяет отдельным локальным процессам выступать от имени внешнего (чужого) IP-адреса.

Это может оказаться полезным в некоторых случаях, когда необходимо "прослушивать" внешние (чужие) IP-адреса, например -- сниффинг чужого траффика.

Однако, эта опция может оказывать отрицательное влияние на работоспособность отдельных приложений.

Может иметь два значения -- 0 или 1.

Если установлено значение 0, то опция отключена, 1 -- включена.

Значение по-умолчанию -- 0.

/proc/sys/net/ipv4/ipfrag_low_thresh

Этот параметр очень тесно связан с переменной ipfrag_high_thresh.

Он устанавливает нижний порог, при достижении которого опять разрешается прием фрагментов в очередь.

Обработчик фрагментов имеет свою очередь, в которой находятся фрагментированные пакеты, ожидающие сборки.

Когда длина очереди достигает верхнего порога (ipfrag_high_thresh), то прием фрагментов в очередь приостанавливается до тех пор, пока длина очереди не уменьшится до величины ipfrag_low_thresh.

Это предохраняет систему от "затопления" фрагментированными пакетами и, тем самым, является, в своем роде, защитой от некоторых видов DoS-атак.

/proc/sys/net/ipv4/ipfrag_time

Определяет максимальное время "хранения" фрагментов в секундах.

Это относится только к тем фрагментам, которые пока невозможно собрать, поскольку собранные пакеты к этому сроку скорее всего уже будут переданы дальше (на следующий уровень или в сеть).

Принимает целое значение и определяет предельное время хранения фрагментов в секундах. Если записать туда число 5, то это будет означать 5 секунд.

/proc/sys/net/ipv4/tcp_abort_on_overflow

Заставляет ядро отвергать новые соединения, если их поступает такое количество, что система не в состоянии справиться с таким потоком.

Что это означает? Допустим, что на систему обрушивается шквал запросов на соединение, тогда они могут быть просто отвергнуты, если эта опция будет включена,

поскольку система не в состоянии обработать их все.

Если не установлена, то система будет пытаться обслужить все запросы.

Может иметь два значение -- 0(выключено) или 1(включено). Значение по-умолчанию -- 0.

Включение этой опции следует расценивать как крайнюю меру. Перед этим необходимо попытаться поднять производительность сервисов.

/proc/sys/net/ipv4/tcp_fin_timeout

Задает максимальное время пребывания сокета в состоянии FIN-WAIT-2.

Используется в тех случаях, когда другая сторона по тем или иным причинам не закрыла соединение со своей стороны.

Каждый сокет занимает в памяти порядка 1.5 Кб, что может привести к значительным утечкам памяти в некоторых случаях.

Принимает целое число. Значение по-умолчанию -- 60 секунд.

В ядрах серии 2.2 это значение было равно 180 секундам, но было уменьшено, поскольку иногда возникали проблемы,

связанные с нехваткой памяти, на web-серверах, которые, как правило, обслуживают огромное количество подключений.

За дополнительной информацией -- обращайтесь к описанию параметров tcp_max_orphans и tcp_orphan_retries.

/proc/sys/net/ipv4/tcp_keepalive_time

Определяет -- как часто следует проверять соединение, если оно давно не используется.

Значение параметра имеет смысл только для тех сокетов, которые были созданы с флагом SO_KEEPALIVE.

Принимает целое число секунд. Значение по-умолчанию -- 7200, т.е. 2 часа.

Не уменьшайте это число без необходимости, поскольку это может привести к увеличению бесполезного трафика.

/proc/sys/net/ipv4/tcp_keepalive_intvl

Определяет интервал проверки "жизнеспособности" сокета.

Это значение учитывается при подсчете времени, которое должно пройти перед тем как соединение будет разорвано.

Принимает целое число. Значение по-умолчанию -- 75 секунд.

Это достаточно высокое значение, чтобы рассматривать его как нормальное.

Значения параметров tcp_keepalive_probes и tcp_keepalive_intvl могут использоваться для определения времени, через которое соединение будет разорвано.

Со значениями по-умолчанию (9 попыток с интервалом 75 секунд) это займет примерно 11 минут.

Попытки определения "жизнеспособности", в свою очередь, начнутся через 2 часа после того, как через данное соединение проследовал последний пакет.

/proc/sys/net/ipv4/tcp_keepalive_probes

Определяет количество попыток проверки "жизнеспособности" прежде, чем будет принято решении о разрыве соединения.

Принимает целое число, которое не следует устанавливать больше 50-ти. Значение по-умолчанию -- 9.

Это означает, что будет выполнено 9 попыток проверки соединения, чтобы убедиться в том, что соединение разорвано.

/proc/sys/net/ipv4/tcp_max_orphans

Задает максимальное число "осиротевших" (не связанных ни с одним процессом) сокетов.

Если это число будет превышено, то такие соединения разрываются, а в системный журнал пишется предупреждение.

Это ограничение существует исключительно ради предотвращения простейших разновидностей DoS-атак.

Вообще вы не должны полагаться на эту переменную! Не рекомендуется уменьшать это число.

Сетевая среда может потребовать увеличение этого порога, однако, такое увеличение может привести к необходимости увеличения объема ОЗУ в системе.

Прежде чем поднимать этот предел -- попробуйте перенастроить сетевые сервисы на более агрессивное поведение по отношению к "осиротевшим" сокетам.

Принимает целое число. Значение по-умолчанию -- 8192, однако оно очень сильно зависит от объема памяти в системе.

Каждый "осиротевший" сокет "съедает" примерно 64 Кб памяти, которая не может быть сброшена в своп (swap).

При возникновении проблем, связанных с этим ограничением -- в системный журнал будет записано сообщение, подобное этому: TCP: too many of orphaned sockets

Это может служить поводом к тому, чтобы пересмотреть значения переменных tcp_fin_timeout или tcp_orphans_retries.

/proc/sys/net/ipv4/tcp_orphan_retries

Количество попыток закрыть соединение перед тем как оно будет разорвано принудительно.

Если вы администрируете http-сервер, который испытывает большие нагрузки, то стоит подумать об уменьшении этого значения.

Значение по-умолчанию -- 0 (archlinux)

/proc/sys/net/ipv4/tcp_max_syn_backlog

Определяет максимальное время хранения SYN-запросов в памяти до момента получения третьего, завершающего установление соединения, пакета.

Эта опция работает только тогда, когда включен параметр tcp_syncookies.

Если сервер испытывает серьезные нагрузки, то можно попробовать немного увеличить этот параметр.

По-умолчанию равно 512

/proc/sys/net/ipv4/tcp_max_tw_buckets

Максимальное число сокетов, находящихся в состоянии TIME-WAIT одновременно.

При превышении этого порога -- "лишний" сокет разрушается и пишется сообщение в системный журнал. Цель этой переменной -- предотвращение простейших разновидностей DoS-атак.

По-умолчанию -- 180000.

/proc/sys/net/ipv4/tcp_retrans_collapse

Включает/выключает эмуляцию ошибки протокола TCP, делая возможным сетевое взаимодействие с некоторыми устройствами, в которых реализация стека TCP имеет эту ошибку.

Без ее эмуляции было бы невозможным работать с отдельными моделями принтеров.

Ошибка заключается в отправке полноразмерных пакетов при повторной передаче.

Значение по-умолчанию -- 1 (включено).

/proc/sys/net/ipv4/tcp_retries1

Максимальное количество попыток повторной передачи пакетов по установленному соединению прежде,

чем сообщение об ошибке будет передано сетевому уровню, в результате чего может быть выбран другой маршрут для отправки последующих пакетов.

Минимальное значение этого параметра равно 3.

Это число является значением по-умолчанию, что соответствует интервалу времени от 3 секунд до 8 минут, в зависимости от величины Retransmission timeout (RTO).

Детальное описание RTO вы найдете в разделе "3.7. Data Communication" RFC 793 - Transmission Control Protocol.

Значение по-умолчанию -- 3.

/proc/sys/net/ipv4/tcp_retries2

Максимальное количество попыток повторной передачи пакетов, до того как соединение будет считаться разорванным.

Это ограничение определено в RFC 1122 и равно 100, но обычно его уменьшают.

Значение по-умолчанию -- 15, что соответствует примерно 13-30 минутам в зависимости от величины Retransmission timeout (RTO).

/proc/sys/net/ipv4/tcp_rfc1337

Является реализацией решения проблемы, описываемой в "RFC 1337 - TIME-WAIT Assassination Hazards in TCP".

Проблема связана с "устаревшими" дубликатами пакетов, которые могут вносить помехи во вновь устанавливаемые соединения и порождать три различные проблемы.

Первая -- "устаревший" дубликат пакета с данными может быть ошибочно воспринят в новом соединении, что приведет к передаче неверных данных.

Вторая -- соединение может быть десинхронизировано и "уйти" в ACK-цикл из-за "устаревших" дубликатов,

которые порождают новые соединения (здесь автор имеет ввиду "устаревшие" дубликаты SYN-пакетов, прим. перев.).

И третья проблема -- "устаревшие" дубликаты могут "проникнуть" в недавно созданное соединение и ошибочно уничтожить его.

/proc/sys/net/ipv4/tcp_sack

Разрешает Selective Acknowledgements (SACK -- Выборочное Подтверждение), детальное описание вы найдете в RFC 2883

- An Extension to Selective Acknowledgement (SACK) Option for TCP и RFC 2883

- An Extension to Selective Acknowledgement (SACK) Option for TCP

/proc/sys/net/ipv4/tcp_stdurg

Разрешает/запрещает соответствие стандарту RFC 1122. Поведение по-умолчанию соответствует стандарту использования флага URG -- BSD 4.2, описанному в RFC 793.

Если этот параметр включен, то возможны сбои при работе с отдельными узлами Интернета, точнее -- с узлами, которые придерживаются стандарта BSD 4.2.

Значение по-умолчанию -- 0 (выключено).

/proc/sys/net/ipv4/tcp_syn_retries

Количество попыток передачи SYN-пакета при установлении нового соединения.

Это число не должно устанавливаться больше чем 255, поскольку каждая повторная попытка отнимает значительное время.

На каждую попытку отводится примерно 30-40 секунд. Значение по-умолчанию -- 5, что соответствует, примерно, 180 секундам.

/proc/sys/net/ipv4/tcp_synack_retries

Количество попыток передачи SYN,ACK-пакета в ответ на SYN-запрос.

Другими словами -- максимальное число попыток установить пассивное TCP-соединение, инициированное другим хостом.

Это число не должно устанавливаться больше чем 255. Значение по-умолчанию -- 5.

/proc/sys/net/ipv4/tcp_timestamps

Разрешает/запрещает использование временных меток (timestamps), в соответствии с RFC 1323. Если коротко,

то это расширение TCP используется для расчета Round Trip Measurement (определение времени возврата) лучшим способом, нежели метод Retransmission timeout (RTO).

Эта опция должна сохранять обратную совместимость в большинстве случаев, так что лучше оставить ее включенной,

особенно если вы работаете в высокоскоростной сети (например LAN или 10mb Интернет).

В случае низкоскоростного оединения (скажем модемное) -- вы прекрасно обойдетесь и без этой опции, и будет даже лучше, если вы ее отключите.

Значение по-умолчанию -- 1 (включено).

/proc/sys/net/ipv4/tcp_window_scaling

Разрешает/запрещает масштабирование TCP-окна, как определено в RFC 1323.

В этом документе описано как производится масштабирование TCP-окна при передаче по Large Fat Pipes (LFP -- "толстый" канал).

При передаче TCP-пакетов по "толстым" каналам возникают существенные потери пропускной способности из-за того,

что они не загружены полностью во время ожидания подтверждения о приеме предыдущего TCP-окна.

Основная проблема состоит в том, что окно не может иметь размер больше, чем 2**16 байт (65 Кб).

Разрешая масштабирование TCP-окна мы, тем самым, можем увеличить его размер и таким образом уменьшить потери пропускной способности.

Значение по-умолчанию -- 1 (включено).

dev

DEV следует понимать название устройства.
Настройки в каталоге all применяются ко ВСЕМ сетевым интерфейсам

/proc/sys/net/ipv4/conf/DEV/accept_redirects
Управляет приемом ICMP-сообщений о переадресации. 
Сообщения ICMP Redirect ... используются для уведомления маршрутизаторов или хостов о существовании лучшего маршрута движения пакетов к заданному хосту, 
который (маршрут) может быть быстрее или менее загружен.

/proc/sys/net/ipv4/conf/DEV/accept_source_route
Разрешает/запрещает "маршрутизацию от источника". Маршрутизация от источника весьма небезопасна. 
По-умолчанию -- 1 (включено). В archlinux = 0


/proc/sys/net/ipv4/conf/DEV/bootp_relay
Разрешает/запрещает форвардинг пакетов с исходящими адресами 0.b.c.d. 
Демон BOOTP relay должен перенаправлять эти пакеты на корректный адрес. 
Значение по-умолчанию -- 0 (выключено), поскольку реализация обработки этого параметра еще отсутствует (kernel v2.2.12).

/proc/sys/net/ipv4/conf/DEV/forwarding
Включает/отключает функцию форвардинга (передачу транзитных пакетов) между сетевыми интерфейсами. 
Могут использоваться для включения/выключения функции форвардинга для отдельных интерфейсов. 
По-умолчанию все параметры conf/DEV/forwarding принимают значение, установленное в ipv4/ip_forward так, если этот параметр включить, 
то и все параметры conf/DEV/forwarding будут включены, если выключить, то и conf/DEV/forwarding окажутся выключены.


/proc/sys/net/ipv4/conf/DEV/log_martians
Включает/выключает функцию журналирования всех пакетов, которые содержат неправильные (невозможные) адреса (так называемые martians -- "марсианские" пакеты). 
Под невозможными адресами, в данном случае, следует понимать такие адреса, которые отсутствуют в таблице маршрутизации.


/proc/sys/net/ipv4/conf/DEV/mc_forwarding
Включает/выключает поддержку маршрутизации групповых рассылок для заданного интерфейса. 
Кроме того, чтобы иметь поддержку маршрутизации групповых рассылок, необходимо собрать ядро с включенной опцией CONFIG_MROUTE. 
Дополнительно в системе должен иметься демон, осуществляющий групповую маршрутизацию. Значение по-умолчанию -- 0 (выключено). 
Обратите внимание -- нет никакой необходимости включать эту опцию, если вы желаете лишь получать групповые пакеты. 
Она необходима только если вы собираетесь перенаправлять групповой трафик через вашу систему.


/proc/sys/net/ipv4/conf/DEV/proxy_arp
Включает/выключает проксирование arp-запросов для заданного интерфейса. 
ARP-прокси позволяет маршрутизатору отвечать на ARP запросы в одну сеть, в то время как запрашиваемый хост находится в другой сети. 
С помощью этого средства происходит "обман" отправителя, который отправил ARP запрос, после чего он "думает", что маршрутизатор является хостом назначения, 
тогда как в действительности хост назначения находится по другую сторону маршрутизатора. 
Маршрутизатор выступает в роли уполномоченного агента хоста назначения, перекладывая пакеты от другого хоста. Значение по-умолчанию -- 0 (выключено). 
Дополнительную информацию вы найдете в Proxy-ARP mini HOWTO.


/proc/sys/net/ipv4/conf/DEV/rp_filter
Проверка Обратного Адреса, хотя это слишком вольный перевод термина, но мне он кажется наиболее близким по смыслу. прим. перев..
По-умолчанию, маршрутизаторы перенаправляют все подряд, даже пакеты, которые не принадлежат вашей сети. 
В качестве примера можно привести утечку локального трафика в Интернет. 
Если у вас имеется интерфейс с маршрутом к нему 195.96.96.0/24, то вы наверняка не ожидаете получить на него пакеты от 212.64.94.1.
В файловой системе /proc лежит файл, изменив который вы сможете отключить или включить эту проверку. 
Смысл этого параметра достаточно прост -- все, что поступает к нам, проходит проверку на соответствие исходящего адреса с нашей таблицей маршрутизации и такая проверка считается успешной, 
если принятый пакет предполагает передачу ответа через тот же самый интерфейс.
Следующий фрагмент включит проверку исходящего адреса для всех существующих интерфейсов:
# for i in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 2 > $i ; done  


/proc/sys/net/ipv4/conf/DEV/secure_redirects
Включает/выключает режим безопасной переадресации. 
Если параметр выключен, то будут приниматься любые сообщения ICMP Redirect ... от любого хоста из любого места. 
Если включен, то сообщения о переадресации будут восприниматься только от тех шлюзов (gateways), которые имеются в списке шлюзов по-умолчанию. 
С помощью этой опции можно избежать большинства ложных переадресаций, которые могут быть использованы для перехвата трафика. 
Значение по-умолчанию -- 1 (включено). Обратите внимание -- действие этой параметра отменяется параметром shared_media, 
так что, если вы включаете secure_redirects, то необходимо включить и shared_media.


/proc/sys/net/ipv4/conf/DEV/send_redirects
Включает/выключает выдачу ICMP Redirect ... другим хостам. 
Эта опция обязательно должна быть включена, если хост выступает в роли маршрутизатора любого рода. 
Как правило ICMP-сообщения о переадресации отправляются в том случае, когда необходимо сообщить хосту о том, 
что он должен вступить в контакт с другим сервером. Значение по-умолчанию -- 1 (включено). 
Если компьютер не выступает в роли маршрутизатора, то этот параметр можно отключить.


/proc/sys/net/ipv4/conf/DEV/shared_media
Включает/выключает признак того, что физическая сеть является носителем нескольких логических подсетей, например, 
когда на одном физическом кабеле организовано несколько подсетей с различными сетевыми масками. 
Этот признак используется ядром при принятии решения о необходимости выдачи ICMP-сообщений о переадресации. 
Значение по-умолчанию -- 0 (выключено). Этот параметр влияет на установку параметра secure_redirects.

DEV следует понимать название устройства.

Настройки в каталоге all применяются ко ВСЕМ сетевым интерфейсам

/proc/sys/net/ipv4/conf/DEV/accept_redirects

Управляет приемом ICMP-сообщений о переадресации.

Сообщения ICMP Redirect ... используются для уведомления маршрутизаторов или хостов о существовании лучшего маршрута движения пакетов к заданному хосту,

который (маршрут) может быть быстрее или менее загружен.

/proc/sys/net/ipv4/conf/DEV/accept_source_route

Разрешает/запрещает "маршрутизацию от источника". Маршрутизация от источника весьма небезопасна.

По-умолчанию -- 1 (включено). В archlinux = 0

/proc/sys/net/ipv4/conf/DEV/bootp_relay

Разрешает/запрещает форвардинг пакетов с исходящими адресами 0.b.c.d.

Демон BOOTP relay должен перенаправлять эти пакеты на корректный адрес.

Значение по-умолчанию -- 0 (выключено), поскольку реализация обработки этого параметра еще отсутствует (kernel v2.2.12).

/proc/sys/net/ipv4/conf/DEV/forwarding

Включает/отключает функцию форвардинга (передачу транзитных пакетов) между сетевыми интерфейсами.

Могут использоваться для включения/выключения функции форвардинга для отдельных интерфейсов.

По-умолчанию все параметры conf/DEV/forwarding принимают значение, установленное в ipv4/ip_forward так, если этот параметр включить,

то и все параметры conf/DEV/forwarding будут включены, если выключить, то и conf/DEV/forwarding окажутся выключены.

/proc/sys/net/ipv4/conf/DEV/log_martians

Включает/выключает функцию журналирования всех пакетов, которые содержат неправильные (невозможные) адреса (так называемые martians -- "марсианские" пакеты).

Под невозможными адресами, в данном случае, следует понимать такие адреса, которые отсутствуют в таблице маршрутизации.

/proc/sys/net/ipv4/conf/DEV/mc_forwarding

Включает/выключает поддержку маршрутизации групповых рассылок для заданного интерфейса.

Кроме того, чтобы иметь поддержку маршрутизации групповых рассылок, необходимо собрать ядро с включенной опцией CONFIG_MROUTE.

Дополнительно в системе должен иметься демон, осуществляющий групповую маршрутизацию. Значение по-умолчанию -- 0 (выключено).

Обратите внимание -- нет никакой необходимости включать эту опцию, если вы желаете лишь получать групповые пакеты.

Она необходима только если вы собираетесь перенаправлять групповой трафик через вашу систему.

/proc/sys/net/ipv4/conf/DEV/proxy_arp

Включает/выключает проксирование arp-запросов для заданного интерфейса.

ARP-прокси позволяет маршрутизатору отвечать на ARP запросы в одну сеть, в то время как запрашиваемый хост находится в другой сети.

С помощью этого средства происходит "обман" отправителя, который отправил ARP запрос, после чего он "думает", что маршрутизатор является хостом назначения,

тогда как в действительности хост назначения находится по другую сторону маршрутизатора.

Маршрутизатор выступает в роли уполномоченного агента хоста назначения, перекладывая пакеты от другого хоста. Значение по-умолчанию -- 0 (выключено).

Дополнительную информацию вы найдете в Proxy-ARP mini HOWTO.

/proc/sys/net/ipv4/conf/DEV/rp_filter

Проверка Обратного Адреса, хотя это слишком вольный перевод термина, но мне он кажется наиболее близким по смыслу. прим. перев..

По-умолчанию, маршрутизаторы перенаправляют все подряд, даже пакеты, которые не принадлежат вашей сети.

В качестве примера можно привести утечку локального трафика в Интернет.

Если у вас имеется интерфейс с маршрутом к нему 195.96.96.0/24, то вы наверняка не ожидаете получить на него пакеты от 212.64.94.1.

В файловой системе /proc лежит файл, изменив который вы сможете отключить или включить эту проверку.

Смысл этого параметра достаточно прост -- все, что поступает к нам, проходит проверку на соответствие исходящего адреса с нашей таблицей маршрутизации и такая проверка считается успешной,

если принятый пакет предполагает передачу ответа через тот же самый интерфейс.

Следующий фрагмент включит проверку исходящего адреса для всех существующих интерфейсов:

# for i in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 2 > $i ; done

/proc/sys/net/ipv4/conf/DEV/secure_redirects

Включает/выключает режим безопасной переадресации.

Если параметр выключен, то будут приниматься любые сообщения ICMP Redirect ... от любого хоста из любого места.

Если включен, то сообщения о переадресации будут восприниматься только от тех шлюзов (gateways), которые имеются в списке шлюзов по-умолчанию.

С помощью этой опции можно избежать большинства ложных переадресаций, которые могут быть использованы для перехвата трафика.

Значение по-умолчанию -- 1 (включено). Обратите внимание -- действие этой параметра отменяется параметром shared_media,

так что, если вы включаете secure_redirects, то необходимо включить и shared_media.

/proc/sys/net/ipv4/conf/DEV/send_redirects

Включает/выключает выдачу ICMP Redirect ... другим хостам.

Эта опция обязательно должна быть включена, если хост выступает в роли маршрутизатора любого рода.

Как правило ICMP-сообщения о переадресации отправляются в том случае, когда необходимо сообщить хосту о том,

что он должен вступить в контакт с другим сервером. Значение по-умолчанию -- 1 (включено).

Если компьютер не выступает в роли маршрутизатора, то этот параметр можно отключить.

/proc/sys/net/ipv4/conf/DEV/shared_media

Включает/выключает признак того, что физическая сеть является носителем нескольких логических подсетей, например,

когда на одном физическом кабеле организовано несколько подсетей с различными сетевыми масками.

Этот признак используется ядром при принятии решения о необходимости выдачи ICMP-сообщений о переадресации.

Значение по-умолчанию -- 0 (выключено). Этот параметр влияет на установку параметра secure_redirects.

*NIX информация

modbus gw

Автор записи Автор: Evgeny Yakovlev
Дата записи 2023/08/08

## Что у нас есть

/dev/ttyS0 - порт 485 на напи
115200 - скорость
полярность:
a +
b - 

Для GW modbus:

1 . Создать необходимые директории и файлы:
#/etc/mbusd/mbusd-ttyS0.conf
#  Внимание имя конфиг файла должно иметь правильное название
# для  mbusd@ttyS1.service  файл будет иметь название mbusd-ttyS1.conf и etc.
# а иначе если файла не будет, то сервис запустится с параметрами по умолчанию 


mkdir /etc/mbusd
touch /etc/mbusd/mbusd-ttyS0.conf


2. Запуск демона.

systemctl enable mbusd@ttyS0.service
systemctl start mbusd@ttyS0.service
systemctl status mbusd@ttyS0.service

3. Настроить правильно конфиг:
Пример конфига:
https://github.com/3cky/mbusd/blob/master/conf/mbusd.conf.example

Тут нужно поменять :
device = /dev/ttyS3
speed = 115200
maxconn = 100 
timeout = 10 
pause = 50  
wait = 50

## Что у нас есть

/dev/ttyS0 - порт 485 на напи

115200 - скорость

полярность:

a +

b -

Для GW modbus:

1 . Создать необходимые директории и файлы:

#/etc/mbusd/mbusd-ttyS0.conf

# Внимание имя конфиг файла должно иметь правильное название

# для mbusd@ttyS1.service файл будет иметь название mbusd-ttyS1.conf и etc.

# а иначе если файла не будет, то сервис запустится с параметрами по умолчанию

mkdir /etc/mbusd

touch /etc/mbusd/mbusd-ttyS0.conf

2. Запуск демона.

systemctl enable mbusd@ttyS0.service

systemctl start mbusd@ttyS0.service

systemctl status mbusd@ttyS0.service

3. Настроить правильно конфиг:

Пример конфига:

https://github.com/3cky/mbusd/blob/master/conf/mbusd.conf.example

Тут нужно поменять :

device = /dev/ttyS3

speed = 115200

maxconn = 100

timeout = 10

pause = 50

wait = 50

default conf

#############################################
#                                           #
#    Sample configuration file for mbusd    #
#                                           #
#############################################

########## Serial port settings #############

# Serial port device name
device = /dev/ttyS0

# Serial port speed
speed = 9600

# Serial port mode
mode = 8n1

# RS-485 data direction control type (addc, rts, sysfs_0, sysfs_1)
trx_control = addc

# Sysfs file to use to control data direction
# trx_sysfile =

############# TCP port settings #############

# TCP server address to bind
address = 0.0.0.0

# TCP server port number
port = 502

# Maximum number of simultaneous TCP connections
maxconn = 32

# Connection timeout value in seconds
timeout = 60

######### Request/response settings #########

# Maximum number of request retries
retries = 3

# Pause between requests in milliseconds
pause = 100

# Response wait time in milliseconds
wait = 500

# Reply on Broadcast
replyonbroadcast = no

#############################################

# #

# Sample configuration file for mbusd #

# #

#############################################

########## Serial port settings #############

# Serial port device name

device = /dev/ttyS0

# Serial port speed

speed = 9600

# Serial port mode

mode = 8n1

# RS-485 data direction control type (addc, rts, sysfs_0, sysfs_1)

trx_control = addc

# Sysfs file to use to control data direction

# trx_sysfile =

############# TCP port settings #############

# TCP server address to bind

address = 0.0.0.0

# TCP server port number

port = 502

# Maximum number of simultaneous TCP connections

maxconn = 32

# Connection timeout value in seconds

timeout = 60

######### Request/response settings #########

# Maximum number of request retries

retries = 3

# Pause between requests in milliseconds

pause = 100

# Response wait time in milliseconds

wait = 500

# Reply on Broadcast

replyonbroadcast = no

*NIX информация

dnsmasq / DNS / сервер / stubby / DoT

Автор записи Автор: Evgeny Yakovlev
Дата записи 2023/04/17

ссылки:

https://wiki.archlinux.org/title/dnsmasq

1	https://wiki.archlinux.org/title/dnsmasq

dnsmasq

0. Установка:
apt install dnsmasq

конфиги:
touch /etc/dnsmasq.d/dnsmasq.conf
chown root:dnsmasq /etc/dnsmasq.d/dnsmasq.conf
chmod 0644 /etc/dnsmasq.d/dnsmasq.conf


1. Редактируем конфиг:
vim /etc/dnsmasq.d/dnsmasq.conf
-------------------------------
# Указываем интерфейсы для прослушивания.
listen-address=::1
listen-address=127.0.0.1
listen-address=192.168.1.1
bind-interfaces
 
# Запрещаем чтение файла /etc/resolv.conf для получения DNS-серверов
no-resolv
 
# Запрещаем добавление хостов из файла /etc/hosts
no-hosts
 
# Указываем вышестоящие DNS-серверы.
server=::1#5353
server=127.0.0.1#5353
 
# Указываем количество элементов для локального кэша DNS
cache-size=5000
 
# В некоторых случаях, например при работе с авторизованным порталом, может быть полезно преобразовать определенные доменные имена в жестко закодированный набор адресов
address=/example.org/192.168.0.150
address=/zzz/192.168.0.151
address=/example.com/1.2.3.4
# Кроме того, можно вернуть определенный адрес для всех доменных имен, на которые не получен ответ от /etc/hostsили DHCP, с помощью специального подстановочного знака:
address=/#/1.2.3.4
# Чтобы заблокировать домены, т.е. отвечать на запросы к ним с помощью NXDOMAIN, используйте опцию addressбез указания IP-адреса
# блокирует как block.example , так и Anotherblocked.example , а также все их субдомены 
address=/*blocked.example/
# блокирует субдомены, такие как mail.google.com, но не google.com 
address=/*.google.com/
# блокирует google.com и все поддомены, кроме mail.google.com
address=/google.com/
server=/mail.google.com/#
#Примечание:
#Варианты address=/example.com/и server=/example.com/эквивалентны. Оба будут отвечать на запросы для них с помощью NXDOMAIN.
#Варианты address=/example.com/#и server=/example.com/#не эквивалентны.
#  address=/example.com/#будет отвечать на запросы для домена с нулевым адресом (0.0.0.0 или :: для IPv6).
#  server=/example.com/#будет отправлять запросы для домена на стандартно настроенные серверы.
#Шаблоны /example.com/и /.example.com/эквивалентны. Оба будут соответствовать домену example.com и всем его поддоменам.

-------------------------------

0. Установка:

apt install dnsmasq

конфиги:

touch /etc/dnsmasq.d/dnsmasq.conf

chown root:dnsmasq /etc/dnsmasq.d/dnsmasq.conf

chmod 0644 /etc/dnsmasq.d/dnsmasq.conf

1. Редактируем конфиг:

vim /etc/dnsmasq.d/dnsmasq.conf

-------------------------------

# Указываем интерфейсы для прослушивания.

listen-address=::1

listen-address=127.0.0.1

listen-address=192.168.1.1

bind-interfaces

# Запрещаем чтение файла /etc/resolv.conf для получения DNS-серверов

no-resolv

# Запрещаем добавление хостов из файла /etc/hosts

no-hosts

# Указываем вышестоящие DNS-серверы.

server=::1#5353

server=127.0.0.1#5353

# Указываем количество элементов для локального кэша DNS

cache-size=5000

# В некоторых случаях, например при работе с авторизованным порталом, может быть полезно преобразовать определенные доменные имена в жестко закодированный набор адресов

address=/example.org/192.168.0.150

address=/zzz/192.168.0.151

address=/example.com/1.2.3.4

# Кроме того, можно вернуть определенный адрес для всех доменных имен, на которые не получен ответ от /etc/hostsили DHCP, с помощью специального подстановочного знака:

address=/#/1.2.3.4

# Чтобы заблокировать домены, т.е. отвечать на запросы к ним с помощью NXDOMAIN, используйте опцию addressбез указания IP-адреса

# блокирует как block.example , так и Anotherblocked.example , а также все их субдомены

address=/*blocked.example/

# блокирует субдомены, такие как mail.google.com, но не google.com

address=/*.google.com/

# блокирует google.com и все поддомены, кроме mail.google.com

address=/google.com/

server=/mail.google.com/#

#Примечание:

#Варианты address=/example.com/и server=/example.com/эквивалентны. Оба будут отвечать на запросы для них с помощью NXDOMAIN.

#Варианты address=/example.com/#и server=/example.com/#не эквивалентны.

# address=/example.com/#будет отвечать на запросы для домена с нулевым адресом (0.0.0.0 или :: для IPv6).

# server=/example.com/#будет отправлять запросы для домена на стандартно настроенные серверы.

#Шаблоны /example.com/и /.example.com/эквивалентны. Оба будут соответствовать домену example.com и всем его поддоменам.

-------------------------------

stubby

0. Установка:
apt install stubby 

1. Правим конфиг::
vim /etc/stubby.yml 
-------------------
# Активируем режим STUB-резолвера.
resolution_type: GETDNS_RESOLUTION_STUB
 
# Активируем транспорт TLS.
dns_transport_list:
  - GETDNS_TRANSPORT_TLS
 
# Требуем обязательного использования TLS.
tls_authentication: GETDNS_AUTHENTICATION_REQUIRED
 
# Задаём стойкость шифра (128 или 256 бит).
tls_query_padding_blocksize: 128
 
# Активируем rfc7871.
edns_client_subnet_private : 1
 
# Разрешаем переключение на другой DNS-сервер в случае недоступности текущего.
round_robin_upstreams: 1
 
# Задаём таймаут keepalive в миллисекундах.
idle_timeout: 9000
 
# Указываем лимит исходящих DNS-запросов на вышестоящий сервер.
limit_outstanding_queries: 100
 
# Задаём таймаут ожидания ответа от сервера в миллисекундах.
timeout: 1000
 
# Указываем используемые шифры для TLS 1.2 и ниже.
tls_cipher_list: "EECDH+AESGCM:EECDH+CHACHA20"
 
# Указываем используемые шифры для TLS 1.3 и выше.
tls_ciphersuites: "TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256"
 
# Устанавливаем минимальную версию TLS.
tls_min_version: GETDNS_TLS1_2
 
# Устанавливаем максимальную версию TLS.
tls_max_version: GETDNS_TLS1_3
 
# Настраиваем stubby на прослушивание loopback-интерфейса и порта 5353.
listen_addresses:
  - 127.0.0.1@5353
  - 0::1@5353
 
# Указываем используемые серверы DNS.
upstream_recursive_servers:
  - address_data: 9.9.9.9
    tls_auth_name: "dns.quad9.net"
  - address_data: 1.1.1.1
    tls_auth_name: "cloudflare-dns.com"
  - address_data: 2620:fe::fe
    tls_auth_name: "dns.quad9.net"
  - address_data: 2606:4700:4700::1111
    tls_auth_name: "cloudflare-dns.com"
-------------------

0. Установка:

apt install stubby

1. Правим конфиг::

vim /etc/stubby.yml

-------------------

# Активируем режим STUB-резолвера.

resolution_type: GETDNS_RESOLUTION_STUB

# Активируем транспорт TLS.

dns_transport_list:

- GETDNS_TRANSPORT_TLS

# Требуем обязательного использования TLS.

tls_authentication: GETDNS_AUTHENTICATION_REQUIRED

# Задаём стойкость шифра (128 или 256 бит).

tls_query_padding_blocksize: 128

# Активируем rfc7871.

edns_client_subnet_private : 1

# Разрешаем переключение на другой DNS-сервер в случае недоступности текущего.

round_robin_upstreams: 1

# Задаём таймаут keepalive в миллисекундах.

idle_timeout: 9000

# Указываем лимит исходящих DNS-запросов на вышестоящий сервер.

limit_outstanding_queries: 100

# Задаём таймаут ожидания ответа от сервера в миллисекундах.

timeout: 1000

# Указываем используемые шифры для TLS 1.2 и ниже.

tls_cipher_list: "EECDH+AESGCM:EECDH+CHACHA20"

# Указываем используемые шифры для TLS 1.3 и выше.

tls_ciphersuites: "TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256"

# Устанавливаем минимальную версию TLS.

tls_min_version: GETDNS_TLS1_2

# Устанавливаем максимальную версию TLS.

tls_max_version: GETDNS_TLS1_3

# Настраиваем stubby на прослушивание loopback-интерфейса и порта 5353.

listen_addresses:

- 127.0.0.1@5353

- 0::1@5353

# Указываем используемые серверы DNS.

upstream_recursive_servers:

- address_data: 9.9.9.9

tls_auth_name: "dns.quad9.net"

- address_data: 1.1.1.1

tls_auth_name: "cloudflare-dns.com"

- address_data: 2620:fe::fe

tls_auth_name: "dns.quad9.net"

- address_data: 2606:4700:4700::1111

tls_auth_name: "cloudflare-dns.com"

-------------------

Изменение резолвера по умолчанию:

0. Для того, чтобы dnsmasq смог занять стандартный порт 53/udp, мы должны отключить и заблокировать запуск сервиса systemd-resolved
systemctl disable --now systemd-resolved.service
systemctl mask systemd-resolved.service

1. Пересоздать файл "/etc/resolv.conf":
rm -f /etc/resolv.conf
touch /etc/resolv.conf
chown root:root /etc/resolv.conf
chmod 0644 /etc/resolv.conf


2. Редактируем файл resolv
vim /etc/resolv.conf
--------------------
nameserver 127.0.0.1
nameserver ::1
options trust-ad
options ndots:1
-------------------

0. Для того, чтобы dnsmasq смог занять стандартный порт 53/udp, мы должны отключить и заблокировать запуск сервиса systemd-resolved

systemctl disable --now systemd-resolved.service

systemctl mask systemd-resolved.service

1. Пересоздать файл "/etc/resolv.conf":

rm -f /etc/resolv.conf

touch /etc/resolv.conf

chown root:root /etc/resolv.conf

chmod 0644 /etc/resolv.conf

2. Редактируем файл resolv

vim /etc/resolv.conf

--------------------

nameserver 127.0.0.1

nameserver ::1

options trust-ad

options ndots:1

-------------------

Проверка, автозапуск stubby и dnsmasq

0. Активируем systemd-юниты:
systemctl enable --now dnsmasq.service
systemctl enable --now stubby.service

1. Перезапустим их для корректного вступления в силу изменений конфигурации:
sudo systemctl restart dnsmasq.service
sudo systemctl restart stubby.service

2. Проверим работу настроенной связки:
dig @127.0.0.1 easycoding.org

0. Активируем systemd-юниты:

systemctl enable --now dnsmasq.service

systemctl enable --now stubby.service

1. Перезапустим их для корректного вступления в силу изменений конфигурации:

sudo systemctl restart dnsmasq.service

sudo systemctl restart stubby.service

2. Проверим работу настроенной связки:

dig @127.0.0.1 easycoding.org

Еще примеры:

# otebatina
#listen-address=10.0.0.1
#interface=ovsbr0
#dhcp-range=10.0.0.2,10.0.0.254,255.255.255.0,12h

dhcp-range=interface:ovsbr0,10.0.0.2,10.0.0.254,24h
dhcp-range=interface:ovsbr1,10.0.1.2,10.0.1.254,24h

# otebatina

#listen-address=10.0.0.1

#interface=ovsbr0

#dhcp-range=10.0.0.2,10.0.0.254,255.255.255.0,12h

dhcp-range=interface:ovsbr0,10.0.0.2,10.0.0.254,24h

dhcp-range=interface:ovsbr1,10.0.1.2,10.0.1.254,24h

Одноразовый запуск из консоли, примеры:

dnsmasq -i enp0s20f0u2 --dhcp-range=192.168.88.64,192.168.88.128 --dhcp-boot=openwrt-22.03.0-rc1-ipq40xx-mikrotik-mikrotik_lhgg-60ad-initramfs-kernel.bin --enable-tftp --tftp-root=/srv/tftp/ -d -u nobody -p0 -K --log-dhcp --bootp-dynamic --dhcp-host=DC:2C:6E:68:AF:B9
 

dnsmasq -i enp0s20f0u1u1 --dhcp-range=10.50.50.200,10.50.50.240 -d -u nobody -p0 -K --log-dhcp --bootp-dynamic

dnsmasq -i enp0s20f0u2 --dhcp-range=192.168.88.64,192.168.88.128 --dhcp-boot=openwrt-22.03.0-rc1-ipq40xx-mikrotik-mikrotik_lhgg-60ad-initramfs-kernel.bin --enable-tftp --tftp-root=/srv/tftp/ -d -u nobody -p0 -K --log-dhcp --bootp-dynamic --dhcp-host=DC:2C:6E:68:AF:B9

dnsmasq -i enp0s20f0u1u1 --dhcp-range=10.50.50.200,10.50.50.240 -d -u nobody -p0 -K --log-dhcp --bootp-dynamic

*NIX информация

debian / proxy for user / proxy for apt / wget / curl / прокси для пользователя

Автор записи Автор: Evgeny Yakovlev
Дата записи 2023/04/17

в браузере:

в Debian: Настройки> Сеть> Сетевой прокси > Вручную
в Ubuntu: Настройки> Сеть> Сетевой прокси> самостоятельно

1 2	в Debian: Настройки> Сеть> Сетевой прокси > Вручную в Ubuntu: Настройки> Сеть> Сетевой прокси> самостоятельно

для системы:

!!! profie.d - все скрипты помещенные в этот каталог выполняются при входе пользователя в систему

vim /etc/profile.d/proxy.sh 
-----------------------
# 
export http_proxy="http://10.0.0.10:8080/"
export https_proxy="http://10.0.0.10:8080/"
export ftp_proxy="http://10.0.0.10:8080/"
export no_proxy="127.0.0.1,localhost"

# For curl
export HTTP_PROXY="http://10.0.0.10:8080/"
export HTTPS_PROXY="http://10.0.0.10:8080/"
export FTP_PROXY="http://10.0.0.10:8080/"
export NO_PROXY="127.0.0.1,localhost"

-----------------------

source /etc/profile.d/proxy.sh - получить переменные из файла
env | grep -i proxy - так мы можем убедится что переменные получены

!!! profie.d - все скрипты помещенные в этот каталог выполняются при входе пользователя в систему

vim /etc/profile.d/proxy.sh

-----------------------

export http_proxy="http://10.0.0.10:8080/"

export https_proxy="http://10.0.0.10:8080/"

export ftp_proxy="http://10.0.0.10:8080/"

export no_proxy="127.0.0.1,localhost"

# For curl

export HTTP_PROXY="http://10.0.0.10:8080/"

export HTTPS_PROXY="http://10.0.0.10:8080/"

export FTP_PROXY="http://10.0.0.10:8080/"

export NO_PROXY="127.0.0.1,localhost"

-----------------------

source /etc/profile.d/proxy.sh - получить переменные из файла

env | grep -i proxy - так мы можем убедится что переменные получены

Прокси для менеджера пакетов APT:

Без аутентификации:
vim /etc/apt/apt.conf.d/80proxy 
-------------------------------
Acquire::http::proxy "http://10.0.0.10:8080/";
Acquire::https::proxy "https://10.0.0.10:8080/";
Acquire::ftp::proxy "ftp://10.0.0.10:8080/";
-------------------------------

Если требуется аутентификация:
vim /etc/apt/apt.conf.d/80proxy 
-------------------------------
Acquire::http::proxy "http://<username>:<password>@<proxy>:<port>/";
Acquire::https::proxy "https://<username>:<password>@<proxy>:<port>/";
Acquire::ftp::proxy "ftp://<username>:<password>@<proxy>:<port>/";
-------------------------------

Без аутентификации:

vim /etc/apt/apt.conf.d/80proxy

-------------------------------

Acquire::http::proxy "http://10.0.0.10:8080/";

Acquire::https::proxy "https://10.0.0.10:8080/";

Acquire::ftp::proxy "ftp://10.0.0.10:8080/";

-------------------------------

Если требуется аутентификация:

vim /etc/apt/apt.conf.d/80proxy

-------------------------------

Acquire::http::proxy "http://<username>:<password>@<proxy>:<port>/";

Acquire::https::proxy "https://<username>:<password>@<proxy>:<port>/";

Acquire::ftp::proxy "ftp://<username>:<password>@<proxy>:<port>/";

-------------------------------

Прокси только для wget:

Редактируем файл в профиле пользователя:
vim ~/.wgetrc   
-------------                        
use_proxy = on
http_proxy = http://10.0.0.10:8080/ 
https_proxy = http://10.0.0.10:8080/ 
ftp_proxy = http://10.0.0.10:8080/ 
-------------

Редактируем файл в профиле пользователя:

vim ~/.wgetrc

-------------

use_proxy = on

http_proxy = http://10.0.0.10:8080/

https_proxy = http://10.0.0.10:8080/

ftp_proxy = http://10.0.0.10:8080/

-------------

*NIX информация

debian 11 / dpdk / Data Plane Development Kit

Автор записи Автор: Evgeny Yakovlev
Дата записи 2023/04/17

Ссылки:

https://git.dpdk.org/dpdk/commit/?h=releases
https://habr.com/ru/company/intel/blog/302126/
https://habr.com/ru/post/267591/

https://git.dpdk.org/dpdk/commit/?h=releases

https://habr.com/ru/company/intel/blog/302126/

https://habr.com/ru/post/267591/

/etc/apt/sources.list

deb http://deb.debian.org/debian bullseye main contrib non-free
deb-src http://deb.debian.org/debian bullseye main contrib non-free
 
deb http://deb.debian.org/debian-security/ bullseye-security main contrib non-free
deb-src http://deb.debian.org/debian-security/ bullseye-security main contrib non-free
 
deb http://deb.debian.org/debian bullseye-updates main contrib non-free
deb-src http://deb.debian.org/debian bullseye-updates main contrib non-free
 
deb http://deb.debian.org/debian bullseye-backports main contrib non-free
deb-src http://deb.debian.org/debian bullseye-backports main contrib non-free

deb http://deb.debian.org/debian bullseye main contrib non-free

deb-src http://deb.debian.org/debian bullseye main contrib non-free

deb http://deb.debian.org/debian-security/ bullseye-security main contrib non-free

deb-src http://deb.debian.org/debian-security/ bullseye-security main contrib non-free

deb http://deb.debian.org/debian bullseye-updates main contrib non-free

deb-src http://deb.debian.org/debian bullseye-updates main contrib non-free

deb http://deb.debian.org/debian bullseye-backports main contrib non-free

deb-src http://deb.debian.org/debian bullseye-backports main contrib non-free

Ставим пакеты:

apt install lshw vim wget git make gcc linux-libc-dev linux-headers-amd64 pkg-config libncurses-dev flex bison  libssl-dev libelf-dev dwarves rsync bc fakeroot build-essential  xz-utils  libncurses5-dev 
apt install python python3-distutils python3-apt

1 2	apt install lshw vim wget git make gcc linux-libc-dev linux-headers-amd64 pkg-config libncurses-dev flex bison libssl-dev libelf-dev dwarves rsync bc fakeroot build-essential xz-utils libncurses5-dev apt install python python3-distutils python3-apt

Настроим python:

apt install python python3-distutils python3-apt python3-pyelftools
update-alternatives --install /usr/bin/python python /usr/bin/python3.9 1

1 2	apt install python python3-distutils python3-apt python3-pyelftools update-alternatives --install /usr/bin/python python /usr/bin/python3.9 1

Скачаем исходники dpdk:

cd /opt
wget https://git.dpdk.org/dpdk/snapshot/dpdk-releases.tar.gz
tar xvf dpdk-releases.tar.gz

cd /opt

wget https://git.dpdk.org/dpdk/snapshot/dpdk-releases.tar.gz

tar xvf dpdk-releases.tar.gz

Tools dpdk

cd /opt/dpdk-releases/usertools
./cpu_layout.py - проверяем что там у нас по CPU
##./dpdk_nic_bind.py --status - проверяем информацию по сетевым устройствам (в новых версиях это "dpdk-devbind.py")
./dpdk-devbind.py --status - проверяем информацию по сетевым устройствам
#./setup.sh - файл помогающий настроить dpdk под вашу систему (в новых версиях делается в скриптах в каталоге ".cli")

cd /opt/dpdk-releases/.ci
./linux-setup.sh  - скрипт позволит настроить вашу систему для работы с dpdk

cd /opt/dpdk-releases/usertools

./cpu_layout.py - проверяем что там у нас по CPU

##./dpdk_nic_bind.py --status - проверяем информацию по сетевым устройствам (в новых версиях это "dpdk-devbind.py")

./dpdk-devbind.py --status - проверяем информацию по сетевым устройствам

#./setup.sh - файл помогающий настроить dpdk под вашу систему (в новых версиях делается в скриптах в каталоге ".cli")

cd /opt/dpdk-releases/.ci

./linux-setup.sh - скрипт позволит настроить вашу систему для работы с dpdk

*NIX информация

error: symbol ‘grub_file_filters’ not found / debian / ubuntu

Автор записи Автор: Evgeny Yakovlev
Дата записи 2023/02/27

После обновления и перезагрузки системы получил ошибку:

error: symbol 'grub_file_filters' not found. 
Entering rescue mode... 
grub rescue>

error: symbol 'grub_file_filters' not found.

Entering rescue mode...

grub rescue>

Решение:

0. Качаем iso и загружаемся с диска в установленную систему:
https://www.supergrubdisk.org/

1. Загрузившись, выполняем инсталляцию grub
grub-install /dev/vdX

0. Качаем iso и загружаемся с диска в установленную систему:

https://www.supergrubdisk.org/

1. Загрузившись, выполняем инсталляцию grub

grub-install /dev/vdX

Ссылки:

https://askubuntu.com/questions/1183951/grub-file-filters-not-found-after-ubuntu-19-10-upgrade

1	https://askubuntu.com/questions/1183951/grub-file-filters-not-found-after-ubuntu-19-10-upgrade

*NIX информация

rockchip / ROCK Pi S

Автор записи Автор: Evgeny Yakovlev
Дата записи 2022/10/31

Ссылки

https://wiki.radxa.com/RockpiS/dev/sdnand-install
https://wiki.radxa.com/RockpiS
https://opensource.rock-chips.com/wiki_Rkdeveloptool
https://github.com/rockchip-linux/rkbin

https://wiki.radxa.com/RockpiS/dev/sdnand-install

https://wiki.radxa.com/RockpiS

https://opensource.rock-chips.com/wiki_Rkdeveloptool

https://github.com/rockchip-linux/rkbin

*NIX информация

noc / noc tower

Автор записи Автор: Evgeny Yakovlev
Дата записи 2022/03/22

Ссылки:

https://kb.nocproject.org/
https://kb.nocproject.org/pages/viewpage.action?pageId=13926529
https://kb.nocproject.org/pages/viewpage.action?pageId=26772210
https://kb.nocproject.org/pages/viewpage.action?pageId=38600718

https://www.youtube.com/channel/UC7r2LYJXJUurOIY40cRPcjQ

https://github.com/nocproject/noc-docker

https://code.getnoc.com/noc/tower
https://docs.getnoc.com
https://getnoc.com/

https://pro-ldap.ru/tr/zytrax/ch2/

https://kb.nocproject.org/

https://kb.nocproject.org/pages/viewpage.action?pageId=13926529

https://kb.nocproject.org/pages/viewpage.action?pageId=26772210

https://kb.nocproject.org/pages/viewpage.action?pageId=38600718

https://www.youtube.com/channel/UC7r2LYJXJUurOIY40cRPcjQ

https://github.com/nocproject/noc-docker

https://code.getnoc.com/noc/tower

https://docs.getnoc.com

https://getnoc.com/

https://pro-ldap.ru/tr/zytrax/ch2/

tools

Переходим в каталог установленного noc
cd /opt/noc

Получение настроек NOC:
./noc config dump

Проверка ldap:
./noc login --debug --backend=ldap --user=<user>
./noc login --debug --user=<test>

Переходим в каталог установленного noc

cd /opt/noc

Получение настроек NOC:

./noc config dump

Проверка ldap:

./noc login --debug --backend=ldap --user=<user>

./noc login --debug --user=<test>

*NIX информация

KDE Wallet System disabled / отключить wallet

Автор записи Автор: Evgeny Yakovlev
Дата записи 2021/08/12

vim .config/kwalletrc
-------------------
[Wallet]
Enabled=false
-------------------

vim .config/kwalletrc

-------------------

[Wallet]

Enabled=false

-------------------

*NIX информация

network-manager / nmcli

Автор записи Автор: Evgeny Yakovlev
Дата записи 2021/08/12

nmcli - network manager client
nmcli connection show - показать доступные соединения
nmcli connection  up [vpnName] - подключение к VPN из командной строки
nmcli connection down [vpnName] - отключение от VPN из командной строки

Пример:
nmcli connection up vpn.site.ru
nmcli connection dowm vpn.site.ru

nmcli - network manager client

nmcli connection show - показать доступные соединения

nmcli connection up [vpnName] - подключение к VPN из командной строки

nmcli connection down [vpnName] - отключение от VPN из командной строки

Пример:

nmcli connection up vpn.site.ru

nmcli connection dowm vpn.site.ru

*NIX информация

vyos

Автор записи Автор: Evgeny Yakovlev
Дата записи 2021/07/30

Сcылки:

https://support.vyos.io/en -помощь
https://support.vyos.io/en/kb - помощь

https://blackdiver.net/it/linux/4419 - статья на русском с примерами

https://support.vyos.io/en/kb/articles/set-change-the-password-of-a-user - изменить пароль \ создать пользователя

https://support.vyos.io/en/kb/articles/ethernet-interfaces - помощь по настройке сети 

https://docs.vyos.io/en/latest/configuration/service/index.html - доступные сервисы
https://docs.vyos.io/en/latest/configuration/service/ssh.html - ssh

https://docs.vyos.io/en/latest/installation/update.html - обновление

https://support.vyos.io/en/kb/articles/dns-forwarding - DNS


https://downloads.vyos.io/rolling/current/amd64/vyos-rolling-latest.iso - последний образ
https://downloads.vyos.io/?dir=rolling/current/amd64 - образы
https://github.com/vyos/vyos-build

https://support.vyos.io/en/kb/articles/static-ipv4-routing - Роутинг

проблемы с raid1:
https://blackbird.si/installing-vyatta-6-6-r1-with-software-raid-1/
https://forum.vyos.io/t/installing-on-a-software-raid/3523

https://support.vyos.io/en -помощь

https://support.vyos.io/en/kb - помощь

https://blackdiver.net/it/linux/4419 - статья на русском с примерами

https://support.vyos.io/en/kb/articles/set-change-the-password-of-a-user - изменить пароль \ создать пользователя

https://support.vyos.io/en/kb/articles/ethernet-interfaces - помощь по настройке сети

https://docs.vyos.io/en/latest/configuration/service/index.html - доступные сервисы

https://docs.vyos.io/en/latest/configuration/service/ssh.html - ssh

https://docs.vyos.io/en/latest/installation/update.html - обновление

https://support.vyos.io/en/kb/articles/dns-forwarding - DNS

https://downloads.vyos.io/rolling/current/amd64/vyos-rolling-latest.iso - последний образ

https://downloads.vyos.io/?dir=rolling/current/amd64 - образы

https://github.com/vyos/vyos-build

https://support.vyos.io/en/kb/articles/static-ipv4-routing - Роутинг

проблемы с raid1:

https://blackbird.si/installing-vyatta-6-6-r1-with-software-raid-1/

https://forum.vyos.io/t/installing-on-a-software-raid/3523

Установка:

0. Скачиваем образ:
https://downloads.vyos.io/rolling/current/amd64/vyos-rolling-latest.iso

1. Загружаемся с образа

2. Пароли и логин по умолчанию
Логин: vyos
Пароль: vyos

3. Производим установку
install image

0. Скачиваем образ:

https://downloads.vyos.io/rolling/current/amd64/vyos-rolling-latest.iso

1. Загружаемся с образа

2. Пароли и логин по умолчанию

Логин: vyos

Пароль: vyos

3. Производим установку

install image

О конфигурировании:

0. зашли в консоль
1. Включили режим конфигурирования
configure
2. Выполнили нудные команды
команды
3. Применили изменения 
commit
4. Сохранили изменения
save
5. Вышли 
exit

0. зашли в консоль

1. Включили режим конфигурирования

configure

2. Выполнили нудные команды

команды

3. Применили изменения

commit

4. Сохранили изменения

save

5. Вышли

exit

Создать пользователя \ Изменить пароль пользователю

1. Включили режим конфигурирования
configure

2. Создали \ изменили пароль пользователю

set system login user [username] authentication plaintext-password [password]

3. Сохранили изменения
commit
save

1. Включили режим конфигурирования

configure

2. Создали \ изменили пароль пользователю

set system login user [username] authentication plaintext-password [password]

3. Сохранили изменения

commit

save

Включить SSH

1. Включили режим конфигурирования
configure

2. Включить ssh
set service ssh port 22

3. Сохранили изменения
commit
save

1. Включили режим конфигурирования

configure

2. Включить ssh

set service ssh port 22

3. Сохранили изменения

commit

save

Настройка сетевого адаптера \ Установка IP v4 адреса

1. Включили режим конфигурирования
configure

2. Настроить интерфейсы:
Задаем ip:
set interfaces ethernet eth1 address '192.168.0.1/24' 
Называем наш интерфейс, не обязательно
set interfaces ethernet eth1 description 'INSIDE'
Задаем скорость:
set interfaces ethernet eth1 duplex 'auto'
set interfaces ethernet eth1 speed 'auto'

3. Сохранили изменения и выходим из конфига
commit
save
exit

4. Проверяем
show interfaces ethernet eth1 physical

1. Включили режим конфигурирования

configure

2. Настроить интерфейсы:

Задаем ip:

set interfaces ethernet eth1 address '192.168.0.1/24'

Называем наш интерфейс, не обязательно

set interfaces ethernet eth1 description 'INSIDE'

Задаем скорость:

set interfaces ethernet eth1 duplex 'auto'

set interfaces ethernet eth1 speed 'auto'

3. Сохранили изменения и выходим из конфига

commit

save

exit

4. Проверяем

show interfaces ethernet eth1 physical

настройка DNS:

set service dns forwarding system
set service dns forwarding name-server 8.8.8.8
set service dns forwarding name-server 8.8.4.4

set service dns forwarding system

set service dns forwarding name-server 8.8.8.8

set service dns forwarding name-server 8.8.4.4

Routing

Маршрут по умолчанию:
set protocols static route 0.0.0.0/0 next-hop 1.1.1.1 distance 1

Блокировка сетей:
set protocols static route 10.0.0.0/8 blackhole distance '254'
set protocols static route 172.16.0.0/12 blackhole distance '254'
set protocols static route 192.168.0.0/16 blackhole distance '254'

Маршрут по умолчанию:

set protocols static route 0.0.0.0/0 next-hop 1.1.1.1 distance 1

Блокировка сетей:

set protocols static route 10.0.0.0/8 blackhole distance '254'

set protocols static route 172.16.0.0/12 blackhole distance '254'

set protocols static route 192.168.0.0/16 blackhole distance '254'

*NIX информация

logrotate.service degraded

Автор записи Автор: Evgeny Yakovlev
Дата записи 2021/07/07

Проблема:

Падает демон logrotate

В логах
cd /var/log
grep -irns logrotate.service -C4
--------------------------------
daemon.log-13157-Jul  5 00:00:10 HOSTNAME systemd[1]: Reloaded The Apache HTTP Server.
daemon.log-13158-Jul  5 00:00:10 HOSTNAME logrotate[13606]: #007mysqladmin: connect to server at 'localhost' failed
daemon.log-13159-Jul  5 00:00:10 HOSTNAME logrotate[13606]: error: 'Access denied for user 'root'@'localhost' (using password: NO)'
daemon.log-13160-Jul  5 00:00:10 HOSTNAME logrotate[13606]: error: error running shared postrotate script for '/var/log/mysql/mysql.log /var/log/mysql/mysql-slow.log /var/log/mysql/mariadb-slow.log /var/log/mysql/error.log '
daemon.log:13161:Jul  5 00:00:10 HOSTNAME systemd[1]: logrotate.service: Main process exited, code=exited, status=1/FAILURE
daemon.log:13162:Jul  5 00:00:10 HOSTNAME systemd[1]: logrotate.service: Failed with result 'exit-code'.
daemon.log-13163-Jul  5 00:00:10 HOSTNAME systemd[1]: Failed to start Rotate log files.
daemon.log-13164-Jul  5 00:00:12 HOSTNAME systemd[1]: Stopping User Manager for UID 1015...
daemon.log-13165-Jul  5 00:00:12 HOSTNAME systemd[13615]: Stopped target Default.
daemon.log-13166-Jul  5 00:00:12 HOSTNAME systemd[13615]: Stopped target Basic System.
--------------------------------

в файле /etc/mysql/debian.cnf нет юзера debian-sys-maint и пароль пуст
cat /etc# cat /etc/mysql/debian.cnf
--------------------------------
# Automatically generated for Debian scripts. DO NOT TOUCH!
[client]
host     = localhost
user     = root
password = 
socket   = /var/run/mysqld/mysqld.sock
[mysql_upgrade]
host     = localhost
user     = root
password = 
socket   = /var/run/mysqld/mysqld.sock
basedir  = /usr
--------------------------------

Падает демон logrotate

В логах

cd /var/log

grep -irns logrotate.service -C4

--------------------------------

daemon.log-13157-Jul 5 00:00:10 HOSTNAME systemd[1]: Reloaded The Apache HTTP Server.

daemon.log-13158-Jul 5 00:00:10 HOSTNAME logrotate[13606]: #007mysqladmin: connect to server at 'localhost' failed

daemon.log-13159-Jul 5 00:00:10 HOSTNAME logrotate[13606]: error: 'Access denied for user 'root'@'localhost' (using password: NO)'

daemon.log-13160-Jul 5 00:00:10 HOSTNAME logrotate[13606]: error: error running shared postrotate script for '/var/log/mysql/mysql.log /var/log/mysql/mysql-slow.log /var/log/mysql/mariadb-slow.log /var/log/mysql/error.log '

daemon.log:13161:Jul 5 00:00:10 HOSTNAME systemd[1]: logrotate.service: Main process exited, code=exited, status=1/FAILURE

daemon.log:13162:Jul 5 00:00:10 HOSTNAME systemd[1]: logrotate.service: Failed with result 'exit-code'.

daemon.log-13163-Jul 5 00:00:10 HOSTNAME systemd[1]: Failed to start Rotate log files.

daemon.log-13164-Jul 5 00:00:12 HOSTNAME systemd[1]: Stopping User Manager for UID 1015...

daemon.log-13165-Jul 5 00:00:12 HOSTNAME systemd[13615]: Stopped target Default.

daemon.log-13166-Jul 5 00:00:12 HOSTNAME systemd[13615]: Stopped target Basic System.

--------------------------------

в файле /etc/mysql/debian.cnf нет юзера debian-sys-maint и пароль пуст

cat /etc# cat /etc/mysql/debian.cnf

--------------------------------

# Automatically generated for Debian scripts. DO NOT TOUCH!

[client]

host = localhost

user = root

password =

socket = /var/run/mysqld/mysqld.sock

[mysql_upgrade]

host = localhost

user = root

password =

socket = /var/run/mysqld/mysqld.sock

basedir = /usr

--------------------------------

Решение:

https://qastack.ru/server/9948/what-is-the-debian-sys-maint-mysql-user-and-more


задать пароль пользователю debian-sys-maint:
!!! ВАШ_НОВЫЙ_ПАРОЛЬ_ДЛЯ_ЮЗЕРА_debian-sys-maint - придумываем
GRANT ALL PRIVILEGES on *.* TO 'debian-sys-maint'@'localhost' IDENTIFIED BY 'ВАШ_НОВЫЙ_ПАРОЛЬ_ДЛЯ_ЮЗЕРА' WITH GRANT OPTION; FLUSH PRIVILEGES;
прописать логин и пароль debian-sys-maint  в файл:
vim /etc# cat /etc/mysql/debian.cnf
--------------------------------
# Automatically generated for Debian scripts. DO NOT TOUCH!
[client]
host     = localhost
user     = debian-sys-maint
password = ВАШ_НОВЫЙ_ПАРОЛЬ_ДЛЯ_ЮЗЕРА_debian-sys-maint
socket   = /var/run/mysqld/mysqld.sock
[mysql_upgrade]
host     = localhost
user     = debian-sys-maint
password = ВАШ_НОВЫЙ_ПАРОЛЬ_ДЛЯ_ЮЗЕРА_debian-sys-maint
socket   = /var/run/mysqld/mysqld.sock
basedir  = /usr
--------------------------------

Проверяем:
logrotate -v -f /etc/logrotate.d/mysql-server

https://qastack.ru/server/9948/what-is-the-debian-sys-maint-mysql-user-and-more

задать пароль пользователю debian-sys-maint:

!!! ВАШ_НОВЫЙ_ПАРОЛЬ_ДЛЯ_ЮЗЕРА_debian-sys-maint - придумываем

GRANT ALL PRIVILEGES on *.* TO 'debian-sys-maint'@'localhost' IDENTIFIED BY 'ВАШ_НОВЫЙ_ПАРОЛЬ_ДЛЯ_ЮЗЕРА' WITH GRANT OPTION; FLUSH PRIVILEGES;

прописать логин и пароль debian-sys-maint в файл:

vim /etc# cat /etc/mysql/debian.cnf

--------------------------------

# Automatically generated for Debian scripts. DO NOT TOUCH!

[client]

host = localhost

user = debian-sys-maint

password = ВАШ_НОВЫЙ_ПАРОЛЬ_ДЛЯ_ЮЗЕРА_debian-sys-maint

socket = /var/run/mysqld/mysqld.sock

[mysql_upgrade]

host = localhost

user = debian-sys-maint

password = ВАШ_НОВЫЙ_ПАРОЛЬ_ДЛЯ_ЮЗЕРА_debian-sys-maint

socket = /var/run/mysqld/mysqld.sock

basedir = /usr

--------------------------------

Проверяем:

logrotate -v -f /etc/logrotate.d/mysql-server

*NIX информация

Копирование ярлыков на Рабочий стол и боковую панель

Автор записи Автор: Evgeny Yakovlev
Дата записи 2021/07/02

!!! ссылка https://tehnichka.pro/how-to-work-with-linux-shortcuts/

cp /usr/share/applications/*  Домашняя_папка_пользователя/.local/share/applications/

!!! ссылка https://tehnichka.pro/how-to-work-with-linux-shortcuts/

cp /usr/share/applications/* Домашняя_папка_пользователя/.local/share/applications/

*NIX информация

Debian \ Centos \ Отключить сон \ гибернацию \ hibernate \ sleep \ systemd

Автор записи Автор: Evgeny Yakovlev
Дата записи 2021/01/10

Отключить энергосберегающие функции (сон, гибернация, гибридный сон и т.п.):

sudo systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target

1	sudo systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target

Включить обратно энергосберегающие функции (сон, гибернация, гибридный сон и т.п.):

sudo systemctl unmask sleep.target suspend.target hibernate.target hybrid-sleep.target

1	sudo systemctl unmask sleep.target suspend.target hibernate.target hybrid-sleep.target

Реакция на закрытие крышки у ноутбука:

vim /etc/systemd/logind.conf
----------------------------
[Login]
HandleLidSwitch=ignore
HandleLidSwitchDocked=ignore
----------------------------

Для применения параметров сделаем
sudo systemctl restart systemd-logind.service

vim /etc/systemd/logind.conf

----------------------------

[Login]

HandleLidSwitch=ignore

HandleLidSwitchDocked=ignore

----------------------------

Для применения параметров сделаем

sudo systemctl restart systemd-logind.service

*NIX информация

zoneminder / видео / наблюдение / регистратор

Автор записи Автор: Evgeny Yakovlev
Дата записи 2019/10/30

Ссылки:

https://wiki.zoneminder.com/Debian_10_Buster_with_Zoneminder_1.33.x_from_ZM_Repro_Master - установка на ПК debian
https://wiki.zoneminder.com/Raspbian - установка на raspberry pi
https://www.kerberos.io/ - дистрибутив для raspberry pi

https://wiki.zoneminder.com/Debian_10_Buster_with_Zoneminder_1.33.x_from_ZM_Repro_Master - установка на ПК debian

https://wiki.zoneminder.com/Raspbian - установка на raspberry pi

https://www.kerberos.io/ - дистрибутив для raspberry pi

Установка на debian 10:

0. Устанавливаем софт для дальнейшей установки.
sudo apt install apt-transport-https gnupg

1.Добавим репозиторий  zoneminder
nano /etc/apt/sources.list
--------------------------
...
deb https://zmrepo.zoneminder.com/debian/master buster/
--------------------------

2. Скачиваем и устанавливаем ключи для репозитория
wget -O - https://zmrepo.zoneminder.com/debian/archive-keyring.gpg | sudo apt-key add -

3. Установка zoneminder
sudo apt update
sudo apt install zoneminder
sudo dpkg-reconfigure zoneminder

4. Редактируем временную зону для PHP

4.1 быстро
# sed -i "s/;date.timezone =/date.timezone = $(sed 's/\//\\\//' /etc/timezone)/g" /etc/php/7.3/apache2/php.ini

4.2 медленно
sudo nano /etc/php/7.3/apache2/php.ini
--------------------------------------
...
date.timezone = Europe/Mosckow
...
--------------------------------------

5. Пере запускаем apache
sudo service apache2 reload
sudo systemctl start zoneminder

6. Заходим  в веб интерфейс
http://IP_ADDRESS/zm

0. Устанавливаем софт для дальнейшей установки.

sudo apt install apt-transport-https gnupg

1.Добавим репозиторий zoneminder

nano /etc/apt/sources.list

--------------------------

...

deb https://zmrepo.zoneminder.com/debian/master buster/

--------------------------

2. Скачиваем и устанавливаем ключи для репозитория

wget -O - https://zmrepo.zoneminder.com/debian/archive-keyring.gpg | sudo apt-key add -

3. Установка zoneminder

sudo apt update

sudo apt install zoneminder

sudo dpkg-reconfigure zoneminder

4. Редактируем временную зону для PHP

4.1 быстро

# sed -i "s/;date.timezone =/date.timezone = $(sed 's/\//\\\//' /etc/timezone)/g" /etc/php/7.3/apache2/php.ini

4.2 медленно

sudo nano /etc/php/7.3/apache2/php.ini

--------------------------------------

...

date.timezone = Europe/Mosckow

...

--------------------------------------

5. Пере запускаем apache

sudo service apache2 reload

sudo systemctl start zoneminder

6. Заходим в веб интерфейс

http://IP_ADDRESS/zm

*NIX информация

Не работает веб камера / ошибки / uvcvideo: / Failed / Debian 10 / Ubuntu / motion

Автор записи Автор: Evgeny Yakovlev
Дата записи 2019/10/15

ошибки в dmesg:

uvcvideo: Failed to query (130) UVC probe control : -32 (exp. 26).
uvcvideo: Found UVC 1.00 device Venus USB2.0 Camera (0ac8:3420)
uvcvideo: UVC non compliance - GET_DEF(PROBE) not supported. Enabling workaround.
uvcvideo: Failed to query (129) UVC probe control : -32 (exp. 26).
uvcvideo: Failed to initialize the device (-5).

uvcvideo: Failed to query (130) UVC probe control : -32 (exp. 26).

uvcvideo: Found UVC 1.00 device Venus USB2.0 Camera (0ac8:3420)

uvcvideo: UVC non compliance - GET_DEF(PROBE) not supported. Enabling workaround.

uvcvideo: Failed to query (129) UVC probe control : -32 (exp. 26).

uvcvideo: Failed to initialize the device (-5).

решение временное:

Выполняем:
sudo rmmod uvcvideo
sudo modprobe uvcvideo quirks=2 trace=65535
Камера должна заработать. 

Для постоянного можно добавить в  /etc/rc.local 
---/etc/rc.local---
...
...
...
# By default this script does nothing.
sudo rmmod uvcvideo
sudo modprobe uvcvideo quirks=2 trace=65535
exit 0 
---/etc/rc.local---

Выполняем:

sudo rmmod uvcvideo

sudo modprobe uvcvideo quirks=2 trace=65535

Камера должна заработать.

Для постоянного можно добавить в /etc/rc.local

---/etc/rc.local---

...

# By default this script does nothing.

sudo rmmod uvcvideo

sudo modprobe uvcvideo quirks=2 trace=65535

exit 0

---/etc/rc.local---

доп софт:

apt install v4l-utils  - ставим программу для работы с камерами
v4l2-ctl -d /dev/video0 --list-formats - показать доступные форматы

1 2	apt install v4l-utils - ставим программу для работы с камерами v4l2-ctl -d /dev/video0 --list-formats - показать доступные форматы

*NIX информация

Система управления пакетами Pacman ( Arch, Frugalware and alike )

Автор записи Автор: Evgeny Yakovlev
Дата записи 2019/08/04

pacman -S name - установить пакет name со всеми зависимостями
pacman -R name - удалить пакет и все его файлы

1 2	pacman -S name - установить пакет name со всеми зависимостями pacman -R name - удалить пакет и все его файлы

*NIX информация

Другие полезные команды \ alias \ apropos \ chsh \ gpg \ ldd \ man \ mkbootdisk \ wget \ echo \ whatis \ who

Автор записи Автор: Evgeny Yakovlev
Дата записи 2019/08/04

alias hh='history' - создать псевдоним hh для команды history

apropos ...keyword - вывод команд, так или иначе относящихся к ключевым словам. Полезно, когда вы знаете что делает программа, но не помните команду

chsh - Изменить системную оболочку пользователя

gpg -c file1 - шифрует файл file1 с помощью GNU Privacy Guard
gpg file1.gpg - дешифрует файл file1 с помощью GNU Privacy Guard

ldd /usr/bin/ssh - список библиотек, используемых программой ssh

man ping - вывод страниц руководства по работе с программой, в данном случае, ping

mkbootdisk --device /dev/fd0 `uname -r` - создаёт загрузочный флоппи-диск

wget -r http://www.example.com  - рекурсивно загружает содержимое сайта http://www.example.com
wget -c http://www.example.com/file.iso - загрузить файл http://www.example.com/file.iso с возможностью остановки и продолжение загрузки
echo 'wget -c http://www.example.com/files.iso' | at 09:00 - включить закачку в определенное время

whatis ...keyword - вывести описание действий указанной программы

who -a - вывести список подключенных пользователей, время последней загрузки системы и прочую полезную информацию

alias hh='history' - создать псевдоним hh для команды history

apropos ...keyword - вывод команд, так или иначе относящихся к ключевым словам. Полезно, когда вы знаете что делает программа, но не помните команду

chsh - Изменить системную оболочку пользователя

gpg -c file1 - шифрует файл file1 с помощью GNU Privacy Guard

gpg file1.gpg - дешифрует файл file1 с помощью GNU Privacy Guard

ldd /usr/bin/ssh - список библиотек, используемых программой ssh

man ping - вывод страниц руководства по работе с программой, в данном случае, ping

mkbootdisk --device /dev/fd0 `uname -r` - создаёт загрузочный флоппи-диск

wget -r http://www.example.com - рекурсивно загружает содержимое сайта http://www.example.com

wget -c http://www.example.com/file.iso - загрузить файл http://www.example.com/file.iso с возможностью остановки и продолжение загрузки

echo 'wget -c http://www.example.com/files.iso' | at 09:00 - включить закачку в определенное время

whatis ...keyword - вывести описание действий указанной программы

who -a - вывести список подключенных пользователей, время последней загрузки системы и прочую полезную информацию