Рубрика: *NIX информация

info

Сети linux. Модели и приложения / Конспект

Автор записи Автор: Evgeny Yakovlev
Дата записи 2024/09/11

Уровни OSI

1. Физический 
2. Канальный 
3. Сетевой
4. Транспортный
5. Сеансовый
6. Представительный
7. Прикладной

1. Физический

2. Канальный

3. Сетевой

4. Транспортный

5. Сеансовый

6. Представительный

7. Прикладной

Уровни OSI TCP/IP

1. Канальный (модуль ядра, драйвер устройства и сетевой интерфейс) L2
2. Сетевой(IP, ICMP, IGMP) L3
3. Транспортный (UDP, TCP, SCTP, DCCP) L4
4. Прикладной (http, https, telnet, ftp, e-mail, smtp, pop3, imap4 и т.д.)

1. Канальный (модуль ядра, драйвер устройства и сетевой интерфейс) L2

2. Сетевой(IP, ICMP, IGMP) L3

3. Транспортный (UDP, TCP, SCTP, DCCP) L4

4. Прикладной (http, https, telnet, ftp, e-mail, smtp, pop3, imap4 и т.д.)

MAC / ARP:

L2
В масштабе сегмента локальной сети аппаратные адаптеры обмениваются пакетами только по MAC-адресам.
Отдельного ARP протокола для ipv6 не существует.(NDP)
Протоколы канального уровня(L2) - немаршрутизируемые
Для выхода за пределы L2 должны быть как то инкапсулированы в пакет маршрутизируемого протокола.
Чаще всего этим занимается протокол IP 
Для этого применяется ARP, RARP для IPV4 и NDP для ipv6. RFC-826
Преобразованием MAC в IP занимается ядро ОС.

macchanger - программа для работы с MAC адресами
macchanger eth0 -s - показать MAC адрес eth0 


inxi - программа покажет ваше железо
inxi -Nxxx - покажет вашу сетевую карту
inxi -C - ваш процессор
inxi -D - ваши диски

Посмотреть таблицу MAC:
arp -en
arp -vn

ip -4 neigh show
ip -6 neigh show

В масштабе сегмента локальной сети аппаратные адаптеры обмениваются пакетами только по MAC-адресам.

Отдельного ARP протокола для ipv6 не существует.(NDP)

Протоколы канального уровня(L2) - немаршрутизируемые

Для выхода за пределы L2 должны быть как то инкапсулированы в пакет маршрутизируемого протокола.

Чаще всего этим занимается протокол IP

Для этого применяется ARP, RARP для IPV4 и NDP для ipv6. RFC-826

Преобразованием MAC в IP занимается ядро ОС.

macchanger - программа для работы с MAC адресами

macchanger eth0 -s - показать MAC адрес eth0

inxi - программа покажет ваше железо

inxi -Nxxx - покажет вашу сетевую карту

inxi -C - ваш процессор

inxi -D - ваши диски

Посмотреть таблицу MAC:

arp -en

arp -vn

ip -4 neigh show

ip -6 neigh show

IP адреса:

L3
Каждый сетевой интерфейс имеет свой IP-адрес.
Конечные точки коммуникации знают о друг друге только по их IP адресу

Каждый сетевой интерфейс имеет свой IP-адрес.

Конечные точки коммуникации знают о друг друге только по их IP адресу

Маски и подсети:

Разделение на классы
A - 0.0.0.0 - 127.255.255.255 - сверх большие подсети 
B - 128.0.0.0 - 192.255.255.255 - большие подсети
C - 192.0.0.0 - 223.255.255.255 - малые подсети
D - 224.0.0.0 - 239.255.255.255 - групповые операции
E - 240.0.0.0 - 247.255.255.255 - резерв

!!! 25 ноября 2019 года В RFC1219 классы с введение общих масок утратили свой смысл кроме групповых операций (класс D)

Разделение на классы

A - 0.0.0.0 - 127.255.255.255 - сверх большие подсети

B - 128.0.0.0 - 192.255.255.255 - большие подсети

C - 192.0.0.0 - 223.255.255.255 - малые подсети

D - 224.0.0.0 - 239.255.255.255 - групповые операции

E - 240.0.0.0 - 247.255.255.255 - резерв

!!! 25 ноября 2019 года В RFC1219 классы с введение общих масок утратили свой смысл кроме групповых операций (класс D)

Широковещательный и групповой обмен:

Всего существует три типа IP-адресов
персональный / unicast
широковещательный / broadcast
групповой / multicast

Широковещательные и групповые запросы применимы только к UDP и SCTP - подобные типы запросов 
позволяют приложению разослать одно сообщение нескольким получателям одновременно.

TCP - протокол, ориентированный на соединение, с его помощью устанавливается соединение между двумя сетевыми интерфейсами
(по указанному их IP-адресу с использованием одного адресата на каждом хосте(который идентифицируется по номеру порта))

Широковещательный адрес подсети(subnet-directed broadcast address) имеет идентификатор хоста, определяемый маской и установленный во все единицы
(самый старший адрес диапазона адресов подсети, а самый младший адрес этого диапазона есть адрес самой подсети):
192.168.1.5 - host
255.255.255.0 - netmask
192.168.1.255 - broadcast

Групповой адрес (multicast group address) состоит из четырех старших битов IP,
установленных в 11110,  идентификатора группы (28 младших битов, определяющих конкретную группу).
224.0.0.0 до 239.255.255.255

Для работы с мультикас существует специальный протокол IGMP RFC1112
Internet Management Protocol

Всего существует три типа IP-адресов

персональный / unicast

широковещательный / broadcast

групповой / multicast

Широковещательные и групповые запросы применимы только к UDP и SCTP - подобные типы запросов

позволяют приложению разослать одно сообщение нескольким получателям одновременно.

TCP - протокол, ориентированный на соединение, с его помощью устанавливается соединение между двумя сетевыми интерфейсами

(по указанному их IP-адресу с использованием одного адресата на каждом хосте(который идентифицируется по номеру порта))

Широковещательный адрес подсети(subnet-directed broadcast address) имеет идентификатор хоста, определяемый маской и установленный во все единицы

(самый старший адрес диапазона адресов подсети, а самый младший адрес этого диапазона есть адрес самой подсети):

192.168.1.5 - host

255.255.255.0 - netmask

192.168.1.255 - broadcast

Групповой адрес (multicast group address) состоит из четырех старших битов IP,

установленных в 11110, идентификатора группы (28 младших битов, определяющих конкретную группу).

224.0.0.0 до 239.255.255.255

Для работы с мультикас существует специальный протокол IGMP RFC1112

Internet Management Protocol

Частные адреса:

Никогда не маршрутизируются шлюзами IP.
Предназначены для организации локальных сетей.

10.0.0.0 - 10.255.255.255 (10/8)
172.16.0.0 - 172.31.255.255 (172.16/12)
192.168.0.0 - 192.168.255.255 (192.168./16)

Решение проблемы с передачей трафика из частных сетей:
1. На сетевом уровне
NAT, Network Address Translation
(еще эту технологи называют Masquerading, Network Masquerading, Native Adress Translation)
Для того что бы такие сети могли общается с внешним миром использую такие технологии как NAT 
При этом хост IP-шлюза подменяет в маршрутизируемых пакетах IP-адрес отправителя, подставляя IP-адрес собственного интерфейса, 
после получения пакета производится обратная операция.
Проекты реализующую NAT (от старых к новым)
ipfw, ipfilter, iptables
Сейчас чаще всего встретите iptables (nftable)

2. На уровне протоколов прикладного уровня - прокси (proxy и посредники)
При этом программа прокси-сервера ретранслирует запрос хоста с частным IP-адресом от своего имени в интерфейс с глобальным IP-адресом
squid / tinyproxy

Никогда не маршрутизируются шлюзами IP.

Предназначены для организации локальных сетей.

10.0.0.0 - 10.255.255.255 (10/8)

172.16.0.0 - 172.31.255.255 (172.16/12)

192.168.0.0 - 192.168.255.255 (192.168./16)

Решение проблемы с передачей трафика из частных сетей:

1. На сетевом уровне

NAT, Network Address Translation

(еще эту технологи называют Masquerading, Network Masquerading, Native Adress Translation)

Для того что бы такие сети могли общается с внешним миром использую такие технологии как NAT

При этом хост IP-шлюза подменяет в маршрутизируемых пакетах IP-адрес отправителя, подставляя IP-адрес собственного интерфейса,

после получения пакета производится обратная операция.

Проекты реализующую NAT (от старых к новым)

ipfw, ipfilter, iptables

Сейчас чаще всего встретите iptables (nftable)

2. На уровне протоколов прикладного уровня - прокси (proxy и посредники)

При этом программа прокси-сервера ретранслирует запрос хоста с частным IP-адресом от своего имени в интерфейс с глобальным IP-адресом

squid / tinyproxy

IPv6

6июня 2012 года крупнейшие провайдеры единовременно перешли к использованию - параллельно с IPv4 - IPv6
IPv6 имеет длину 128Бит (вместо 32 у IPv4)
Важнейшей отличие от IPv4:
Здесь нету отличия между глобальными хостами подключенным к интернету и локальными хостами находящимися в лан.
Здесь любой хост равнозначно доступен из вне, если он не закрыт фаерволом.
Нет масок.(есть префикс, но это другое)

IPv6 три типа адресов:
unicast - идентификатор одиночного интерфейса. 
Пакет, посланный по униксту доставляется интерфейсу по указанному адресу.
anycast - идентификатор набора интерфейсов
Пакет, посланный по эникастному адресу, доставляется одному из интерфейсов, указанному в адресе (зависит от настройки маршрутизации)
multicast - идентификатор набора интерфейса(обычно принадлежит разным узлам)
Пакет доставляется всем инерфесам, заданным этим адресом.


Префикс адреса
В отличии от предыдущей версии протокола, в IPv6 не применяются маски подсети, т.к они получились бы очень длинными, - вместо этого используется префикс,
который записывается так же через слеш после адреса.
Например префикс /64 означает что из 128 битов первые 64 - это сеть, а оставшаяся часть ( 64) -это хосты

Сам адрес записываю в шестнадцатеричном виде. 
[8 хексетов] X [по 16 бит] = [128 битов]


Зарезервированные диапазоны:
fe80::/10 называются link-local
Любой адрес из этого диапазона предназначен для авто конфигурирования ОС
Пакеты отправленные с такого адреса, не пропустит ни один маршрутизатор ограничивая их распространение в пределах сегмента локальной сети 
Протокол ipv6 спроектирован так что link-local адрес быть обязан.

2000://3 уникальные юникаст-адресов в Интернете. 
Выдает и регулирует IANA.

ff00::/8 - это адрес мультикаста. 
Например можно получить отклик всех интерфейсов
ping6 -c2 ff02::1%eno1


Работа с адресами IPv6
Пример адреса:
2001:0DB8:AA10:0001:0000:0000:0000:00FB
Можно убрать начальные 0
2001:DB8:AA10:1:0000:0000:0000:FB
Можно сократить еще нули
2001:DB8:AA10:1::FB

Для петли:
0000:0000:0000:0000:0000:0000:0000:0001
::1

Локальные адреса
Глобальный адрес IPv6  (global address) Действует в интернете. Выдает IANA.
Локальные адреса IPv6 (unique local address) Используются внутри организации.
Локальные адреса канала связи(link-local address) не маршрутизируются (fe80::/10) Действуют в рамках одного сегмента.


Пинг
Для использования команды ping6 требуется указывать суфикс интерфейса (%номер_ipa_a или %имя_фейса)
ping -6 -c3 fe80::f1:f1%eno1
в качестве cуфикса можно указывать номер интерфейса выдаваемый командой ping 
ping -6 -c3 fe80::f1:f1%2


curl [221:58c9:9a6:99be:f3d:clac:2b5b:9771]
wget https://curl [221:58c9:9a6:99be:f3d:clac:2b5b:9771]:80/index.php

6июня 2012 года крупнейшие провайдеры единовременно перешли к использованию - параллельно с IPv4 - IPv6

IPv6 имеет длину 128Бит (вместо 32 у IPv4)

Важнейшей отличие от IPv4:

Здесь нету отличия между глобальными хостами подключенным к интернету и локальными хостами находящимися в лан.

Здесь любой хост равнозначно доступен из вне, если он не закрыт фаерволом.

Нет масок.(есть префикс, но это другое)

IPv6 три типа адресов:

unicast - идентификатор одиночного интерфейса.

Пакет, посланный по униксту доставляется интерфейсу по указанному адресу.

anycast - идентификатор набора интерфейсов

Пакет, посланный по эникастному адресу, доставляется одному из интерфейсов, указанному в адресе (зависит от настройки маршрутизации)

multicast - идентификатор набора интерфейса(обычно принадлежит разным узлам)

Пакет доставляется всем инерфесам, заданным этим адресом.

Префикс адреса

В отличии от предыдущей версии протокола, в IPv6 не применяются маски подсети, т.к они получились бы очень длинными, - вместо этого используется префикс,

который записывается так же через слеш после адреса.

Например префикс /64 означает что из 128 битов первые 64 - это сеть, а оставшаяся часть ( 64) -это хосты

Сам адрес записываю в шестнадцатеричном виде.

[8 хексетов] X [по 16 бит] = [128 битов]

Зарезервированные диапазоны:

fe80::/10 называются link-local

Любой адрес из этого диапазона предназначен для авто конфигурирования ОС

Пакеты отправленные с такого адреса, не пропустит ни один маршрутизатор ограничивая их распространение в пределах сегмента локальной сети

Протокол ipv6 спроектирован так что link-local адрес быть обязан.

2000://3 уникальные юникаст-адресов в Интернете.

Выдает и регулирует IANA.

ff00::/8 - это адрес мультикаста.

Например можно получить отклик всех интерфейсов

ping6 -c2 ff02::1%eno1

Работа с адресами IPv6

Пример адреса:

2001:0DB8:AA10:0001:0000:0000:0000:00FB

Можно убрать начальные 0

2001:DB8:AA10:1:0000:0000:0000:FB

Можно сократить еще нули

2001:DB8:AA10:1::FB

Для петли:

0000:0000:0000:0000:0000:0000:0000:0001

::1

Локальные адреса

Глобальный адрес IPv6 (global address) Действует в интернете. Выдает IANA.

Локальные адреса IPv6 (unique local address) Используются внутри организации.

Локальные адреса канала связи(link-local address) не маршрутизируются (fe80::/10) Действуют в рамках одного сегмента.

Пинг

Для использования команды ping6 требуется указывать суфикс интерфейса (%номер_ipa_a или %имя_фейса)

ping -6 -c3 fe80::f1:f1%eno1

в качестве cуфикса можно указывать номер интерфейса выдаваемый командой ping

ping -6 -c3 fe80::f1:f1%2

curl [221:58c9:9a6:99be:f3d:clac:2b5b:9771]

wget https://curl [221:58c9:9a6:99be:f3d:clac:2b5b:9771]:80/index.php

Адресные переменные в программном коде / функция inet_pton{}

Функция inet_pton()  преобразовывает символьные изображения IP адреса в структуру адреса

int inet_pton(int af, const char *src, void *dst);

af - семейство адресов, которые может быть записано только одной из символьных констант:
     AF_INET или AF_INET6 означает IP-адрес IPv4 или IPv6 (</usr/include/bits/socket.h>)
src - символьная строка, в которой записан исходный IP-адрес
     Для IPv4 записывается в привычной точечной нотации: d.d.d.d, где d  десятичное число от 0-255
     Для IPv6 несколько форматов, h:h:h:h:h:h:h:h или h:h:h:h:h:h:d.d.d.d, где h - это 4 знаков шестнадцатеричные числа (0-ffff)
     кроме того, нулевые адресные группы IPv6, как обычно могут пропускаться, например ::FFFF:204.152.189.116;
dst - результат преобразования, структура адреса, вид который зависит от семейства адресов:
для AF_INET это (определяется в <linux/in.h>):
     struct in_addr{
          __br32 s_addr;
     };
для AF_INET6 это (определяется в <linux/in6.h>:
     struct in6_addr P
             union {
                     __u8   u6_addr8[16]
            ...
            } in6_u;

В ядре LInux определено весьма много поддерживаемых семейств адресов, что сильно усложняет поиск информации:
cat socket.h | grep 'AF_' | wc -l
             
Возвращаемые значения функции inet_pton:
1 =  успешное преобразование.
0 = Строка src не содержит строчное представление в специфицированном семействе адресов.
-1 = в качестве параметра af указано недопустимое семейство адресов, при этом глобальная переменная errno устанавливается в EAFNOSUPPORT

Функция inet_pton() преобразовывает символьные изображения IP адреса в структуру адреса

int inet_pton(int af, const char *src, void *dst);

af - семейство адресов, которые может быть записано только одной из символьных констант:

AF_INET или AF_INET6 означает IP-адрес IPv4 или IPv6 (</usr/include/bits/socket.h>)

src - символьная строка, в которой записан исходный IP-адрес

Для IPv4 записывается в привычной точечной нотации: d.d.d.d, где d десятичное число от 0-255

Для IPv6 несколько форматов, h:h:h:h:h:h:h:h или h:h:h:h:h:h:d.d.d.d, где h - это 4 знаков шестнадцатеричные числа (0-ffff)

кроме того, нулевые адресные группы IPv6, как обычно могут пропускаться, например ::FFFF:204.152.189.116;

dst - результат преобразования, структура адреса, вид который зависит от семейства адресов:

для AF_INET это (определяется в <linux/in.h>):

struct in_addr{

__br32 s_addr;

};

для AF_INET6 это (определяется в <linux/in6.h>:

struct in6_addr P

union {

__u8 u6_addr8[16]

...

} in6_u;

В ядре LInux определено весьма много поддерживаемых семейств адресов, что сильно усложняет поиск информации:

cat socket.h | grep 'AF_' | wc -l

Возвращаемые значения функции inet_pton:

1 = успешное преобразование.

0 = Строка src не содержит строчное представление в специфицированном семействе адресов.

-1 = в качестве параметра af указано недопустимое семейство адресов, при этом глобальная переменная errno устанавливается в EAFNOSUPPORT

Адресные переменные в программном коде / функция inet_ntop()

Функция inet_ntop делает в точности на оборот что делала функция inet_pton
Преобразовывает структуру сетевого адреса в символьное изображение IP-адреса.
const char *inet_ntop(int af, const void *src, char *dst, socklen_t size);
af -  семейство адресов AF_INET или AF_INET6
dst - строка, результат преобразования, это же значение возвращается inet_ntop() при успешном выполнение
size - длина запрашиваемой строки результата, специфицируемая при вызове, это может быть символьная константа типа INET6_ADDRSTRLEN


В заголовочном файле <arpa/inet.h> представлено еще весьма много полезных функций

Функция inet_ntop делает в точности на оборот что делала функция inet_pton

Преобразовывает структуру сетевого адреса в символьное изображение IP-адреса.

const char *inet_ntop(int af, const void *src, char *dst, socklen_t size);

af - семейство адресов AF_INET или AF_INET6

dst - строка, результат преобразования, это же значение возвращается inet_ntop() при успешном выполнение

size - длина запрашиваемой строки результата, специфицируемая при вызове, это может быть символьная константа типа INET6_ADDRSTRLEN

В заголовочном файле <arpa/inet.h> представлено еще весьма много полезных функций

Код программы adr для преобразования ip адреса

cat > adr.c << "EOF"
#include <arpa/inet.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>

int main(int argc, char *argv[]) {
   unsigned char buf[sizeof(struct in6_addr)];
   int domain, s;
   char str[INET6_ADDRSTRLEN];
   if (argc != 3) {
      fprintf(stderr, "Usage: %s {i4|i6|<num>} string\n", argv[0]);
      exit(EXIT_FAILURE);
   }
   domain = (strcmp(argv[1], "i4") == 0) ? AF_INET :
            (strcmp(argv[1], "i6") == 0) ? AF_INET6 :
            atoi(argv[1]);
   s = inet_pton(domain, argv[2], buf);
   if (s <= 0) {
      if (s == 0)
         fprintf(stderr, "Not in presentation format");
      else
         perror("inet_pton");
         exit(EXIT_FAILURE);
   }
   if (inet_ntop(domain, buf, str, INET6_ADDRSTRLEN) == NULL) {
      perror("inet_ntop");
      exit(EXIT_FAILURE);
   }
   printf("%s\n", str);
   exit(EXIT_SUCCESS);
}
EOF

Для компиляции используй:
gcc -o adr adr.c 
Примеры:
./adr i6 0:0:0:0:0:0:0:0
./adr i6 1:0:0:0:0:0:0:9
./adr 2001:DB8:AA10:1:0000:0000:0000:FB
./adr i6 0:0:0:0:0:FFFF:204.152.189.116
./adr i4 204.152.189.116

cat > adr.c << "EOF"

#include <arpa/inet.h>

#include <stdio.h>

#include <stdlib.h>

#include <string.h>

int main(int argc, char *argv[]) {

unsigned char buf[sizeof(struct in6_addr)];

int domain, s;

char str[INET6_ADDRSTRLEN];

if (argc != 3) {

fprintf(stderr, "Usage: %s {i4|i6|<num>} string\n", argv[0]);

exit(EXIT_FAILURE);

}

domain = (strcmp(argv[1], "i4") == 0) ? AF_INET :

(strcmp(argv[1], "i6") == 0) ? AF_INET6 :

atoi(argv[1]);

s = inet_pton(domain, argv[2], buf);

if (s <= 0) {

if (s == 0)

fprintf(stderr, "Not in presentation format");

else

perror("inet_pton");

exit(EXIT_FAILURE);

}

if (inet_ntop(domain, buf, str, INET6_ADDRSTRLEN) == NULL) {

perror("inet_ntop");

exit(EXIT_FAILURE);

}

printf("%s\n", str);

exit(EXIT_SUCCESS);

}

EOF

Для компиляции используй:

gcc -o adr adr.c

Примеры:

./adr i6 0:0:0:0:0:0:0:0

./adr i6 1:0:0:0:0:0:0:9

./adr 2001:DB8:AA10:1:0000:0000:0000:FB

./adr i6 0:0:0:0:0:FFFF:204.152.189.116

./adr i4 204.152.189.116

DNS / NS / разрешение имен

Человеку сложно запомнить цифры, запомнить слова проще, собственно это и привело к появлению DNS.
Domain Name System

До зарождения DNS был файл /etc/hosts
Заполнялся вручную.

Программы:
nslookup qnx.org.ru 1.1.1.1
nslookup qnx.org.ru 8.8.8.8

host rus-linux.net

dig @8.8.4.4 b14esh.com

Человеку сложно запомнить цифры, запомнить слова проще, собственно это и привело к появлению DNS.

Domain Name System

До зарождения DNS был файл /etc/hosts

Заполнялся вручную.

Программы:

nslookup qnx.org.ru 1.1.1.1

nslookup qnx.org.ru 8.8.8.8

host rus-linux.net

dig @8.8.4.4 b14esh.com

Разрешение имен в программном коде:

cat > gclie.c << "EOF"
#include <sys/types.h>
#include <sys/socket.h>
#include <netdb.h>
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <string.h>

#define BUF_SIZE 500

int main(int argc, char *argv[]) {
   struct addrinfo hints;
   struct addrinfo *result, *rp;
   int sfd, s, j;
   size_t len;
   ssize_t nread;
   char buf[BUF_SIZE];
   if (argc < 3) {
      fprintf(stderr, "Usage: %s host port msg...\n", argv[0]);
      exit(EXIT_FAILURE);
   }
   /* Obtain address(es) matching host/port */
   memset(&hints, 0, sizeof(struct addrinfo));
   hints.ai_family = AF_UNSPEC;    /* Allow IPv4 or IPv6 */
   hints.ai_socktype = SOCK_DGRAM; /* Datagram socket */
   hints.ai_flags = 0;
   hints.ai_protocol = 0;          /* Any protocol */
   s = getaddrinfo(argv[1], argv[2], &hints, &result);
   if (s != 0) {
      fprintf(stderr, "getaddrinfo: %s\n", gai_strerror(s));
      exit(EXIT_FAILURE);
   }
   /* getaddrinfo() returns a list of address structures.
      Try each address until we successfully connect(2).
      If socket(2) (or connect(2)) fails, we (close the socket
      and) try the next address. */
   for (rp = result; rp != NULL; rp = rp->ai_next) {
      sfd = socket(rp->ai_family, rp->ai_socktype, rp->ai_protocol);
      if (sfd == -1) continue;
      if (connect(sfd, rp->ai_addr, rp->ai_addrlen) != -1)
         break;                    /* Success */
      close(sfd);
   }
   if (rp == NULL) {               /* No address succeeded */
      fprintf(stderr, "Could not connect\n");
      exit(EXIT_FAILURE);
   }
   freeaddrinfo(result);           /* No longer needed */
   /* Send remaining command-line arguments as separate
      datagrams, and read responses from server */
   for (j = 3; j < argc; j++) {
      len = strlen(argv[j]) + 1;
      /* +1 for terminating null byte */
      if (len + 1 > BUF_SIZE) {
         fprintf(stderr, "Ignoring long message in argument %d\n", j);
         continue;
      }
      if (write(sfd, argv[j], len) != len) {
         fprintf(stderr, "partial/failed write\n");
         exit(EXIT_FAILURE);
      }
      nread = read(sfd, buf, BUF_SIZE);
      if (nread == -1) {
         perror("read");
         exit(EXIT_FAILURE);
      }
      printf("Received %ld bytes: %s\n", (long)nread, buf);
   }
   exit(EXIT_SUCCESS);
}
EOF



cat > gserv.c << "EOF"
#include <sys/types.h>
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <string.h>
#include <sys/socket.h>
#include <netdb.h>

#define BUF_SIZE 500

int main(int argc, char *argv[]) {
   struct addrinfo hints;
   struct addrinfo *result, *rp;
   int sfd, s;
   struct sockaddr_storage peer_addr;
   socklen_t peer_addr_len;
   ssize_t nread;
   char buf[BUF_SIZE];
   if (argc != 2) {
      fprintf(stderr, "Usage: %s port\n", argv[0]);
      exit(EXIT_FAILURE);
   }
   memset(&hints, 0, sizeof(struct addrinfo));
   hints.ai_family = AF_UNSPEC;    /* Allow IPv4 or IPv6 */
   hints.ai_socktype = SOCK_DGRAM; /* Datagram socket */
   hints.ai_flags = AI_PASSIVE;     /* For wildcard IP address */
   hints.ai_protocol = 0;          /* Any protocol */
   hints.ai_canonname = NULL;
   hints.ai_addr = NULL;
   hints.ai_next = NULL;
   s = getaddrinfo(NULL, argv[1], &hints, &result);
   if (s != 0) {
      fprintf(stderr, "getaddrinfo: %s\n", gai_strerror(s));
      exit(EXIT_FAILURE);
   }
   /* getaddrinfo() returns a list of address structures.
      Try each address until we successfully bind(2).
      If socket(2) (or bind(2)) fails, we (close the socket
      and) try the next address. */
   for (rp = result; rp != NULL; rp = rp->ai_next) {
      sfd = socket(rp->ai_family, rp->ai_socktype, rp->ai_protocol);
      if (sfd == -1)
      continue;
      if (bind(sfd, rp->ai_addr, rp->ai_addrlen) == 0)
         break;                   /* Success */
      close (sfd);
   }
   if (rp == NULL) {               /* No address succeeded */
      fprintf(stderr, "Could not bind\n");
      exit(EXIT_FAILURE);
   }
   freeaddrinfo(result);          /* No longer needed */
   /* Read datagrams and echo them back to sender */
   for (;;) {
      peer_addr_len = sizeof(struct sockaddr_storage);
      nread = recvfrom(sfd, buf, BUF_SIZE, 0,
                       (struct sockaddr*)&peer_addr, &peer_addr_len);
      if (nread == -1)
         continue;                /* Ignore failed request */
      char host[NI_MAXHOST], service[NI_MAXSERV];
      s = getnameinfo((struct sockaddr*) &peer_addr,
                      peer_addr_len, host, NI_MAXHOST,
                      service, NI_MAXSERV, NI_NUMERICSERV);
      if (s == 0)
         printf("Received %ld bytes from %s:%s\n",
                (long)nread, host, service);
      else
         fprintf(stderr, "getnameinfo: %s\n", gai_strerror(s));
      if (sendto(sfd, buf, nread, 0,
                 (struct sockaddr*)&peer_addr,
                 peer_addr_len) != nread)
         fprintf(stderr, "Error sending response\n");
   }
}
EOF



Для компиляции используй:
gcc -o gclie gclie.c
gcc -o gserv gserv.c 


Запуск:
./gserv 6000 
./gclie localhost 6000 privet
./gclie 127.0.0.1 6000 privet

Что тут происходи:

Функция <netdb.h> 
#include <netdb.h>
struct hostent *gethostbyname(const char *name);
Функция возвращает информации о хосте по его имени
struct hostent {
 char *h_name;        /* Official name of host. */
 char **h_aliases;    /* Alias list. */
 int h_addrtype;      /* Host address type AF_INET or AF_INET6 */
 int h_length;        /* Length of address 4 or 16 */
 char **h_addr_list;  /* List of addresses from name server. */

Функция gethostbyaddr() возвращает информацию о хосте по IP-адресу

Функция getaddrinfo()ведена более поздним POSIX, скрывает все зависимости в параметрах от типа протокола

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

cat > gclie.c << "EOF"

#include <sys/types.h>

#include <sys/socket.h>

#include <netdb.h>

#include <stdio.h>

#include <stdlib.h>

#include <unistd.h>

#include <string.h>

#define BUF_SIZE 500

int main(int argc, char *argv[]) {

struct addrinfo hints;

struct addrinfo *result, *rp;

int sfd, s, j;

size_t len;

ssize_t nread;

char buf[BUF_SIZE];

if (argc < 3) {

fprintf(stderr, "Usage: %s host port msg...\n", argv[0]);

exit(EXIT_FAILURE);

}

/* Obtain address(es) matching host/port */

memset(&hints, 0, sizeof(struct addrinfo));

hints.ai_family = AF_UNSPEC; /* Allow IPv4 or IPv6 */

hints.ai_socktype = SOCK_DGRAM; /* Datagram socket */

hints.ai_flags = 0;

hints.ai_protocol = 0; /* Any protocol */

s = getaddrinfo(argv[1], argv[2], &hints, &result);

if (s != 0) {

fprintf(stderr, "getaddrinfo: %s\n", gai_strerror(s));

exit(EXIT_FAILURE);

}

/* getaddrinfo() returns a list of address structures.

Try each address until we successfully connect(2).

If socket(2) (or connect(2)) fails, we (close the socket

and) try the next address. */

for (rp = result; rp != NULL; rp = rp->ai_next) {

sfd = socket(rp->ai_family, rp->ai_socktype, rp->ai_protocol);

if (sfd == -1) continue;

if (connect(sfd, rp->ai_addr, rp->ai_addrlen) != -1)

break; /* Success */

close(sfd);

}

if (rp == NULL) { /* No address succeeded */

fprintf(stderr, "Could not connect\n");

exit(EXIT_FAILURE);

}

freeaddrinfo(result); /* No longer needed */

/* Send remaining command-line arguments as separate

datagrams, and read responses from server */

for (j = 3; j < argc; j++) {

len = strlen(argv[j]) + 1;

/* +1 for terminating null byte */

if (len + 1 > BUF_SIZE) {

fprintf(stderr, "Ignoring long message in argument %d\n", j);

continue;

}

if (write(sfd, argv[j], len) != len) {

fprintf(stderr, "partial/failed write\n");

exit(EXIT_FAILURE);

}

nread = read(sfd, buf, BUF_SIZE);

if (nread == -1) {

perror("read");

exit(EXIT_FAILURE);

}

printf("Received %ld bytes: %s\n", (long)nread, buf);

}

exit(EXIT_SUCCESS);

}

EOF

cat > gserv.c << "EOF"

#include <sys/types.h>

#include <stdio.h>

#include <stdlib.h>

#include <unistd.h>

#include <string.h>

#include <sys/socket.h>

#include <netdb.h>

#define BUF_SIZE 500

int main(int argc, char *argv[]) {

struct addrinfo hints;

struct addrinfo *result, *rp;

int sfd, s;

struct sockaddr_storage peer_addr;

socklen_t peer_addr_len;

ssize_t nread;

char buf[BUF_SIZE];

if (argc != 2) {

fprintf(stderr, "Usage: %s port\n", argv[0]);

exit(EXIT_FAILURE);

}

memset(&hints, 0, sizeof(struct addrinfo));

hints.ai_family = AF_UNSPEC; /* Allow IPv4 or IPv6 */

hints.ai_socktype = SOCK_DGRAM; /* Datagram socket */

hints.ai_flags = AI_PASSIVE; /* For wildcard IP address */

hints.ai_protocol = 0; /* Any protocol */

hints.ai_canonname = NULL;

hints.ai_addr = NULL;

hints.ai_next = NULL;

s = getaddrinfo(NULL, argv[1], &hints, &result);

if (s != 0) {

fprintf(stderr, "getaddrinfo: %s\n", gai_strerror(s));

exit(EXIT_FAILURE);

}

/* getaddrinfo() returns a list of address structures.

Try each address until we successfully bind(2).

If socket(2) (or bind(2)) fails, we (close the socket

and) try the next address. */

for (rp = result; rp != NULL; rp = rp->ai_next) {

sfd = socket(rp->ai_family, rp->ai_socktype, rp->ai_protocol);

if (sfd == -1)

continue;

if (bind(sfd, rp->ai_addr, rp->ai_addrlen) == 0)

break; /* Success */

close (sfd);

}

if (rp == NULL) { /* No address succeeded */

fprintf(stderr, "Could not bind\n");

exit(EXIT_FAILURE);

}

freeaddrinfo(result); /* No longer needed */

/* Read datagrams and echo them back to sender */

for (;;) {

peer_addr_len = sizeof(struct sockaddr_storage);

nread = recvfrom(sfd, buf, BUF_SIZE, 0,

(struct sockaddr*)&peer_addr, &peer_addr_len);

if (nread == -1)

continue; /* Ignore failed request */

char host[NI_MAXHOST], service[NI_MAXSERV];

s = getnameinfo((struct sockaddr*) &peer_addr,

peer_addr_len, host, NI_MAXHOST,

service, NI_MAXSERV, NI_NUMERICSERV);

if (s == 0)

printf("Received %ld bytes from %s:%s\n",

(long)nread, host, service);

else

fprintf(stderr, "getnameinfo: %s\n", gai_strerror(s));

if (sendto(sfd, buf, nread, 0,

(struct sockaddr*)&peer_addr,

peer_addr_len) != nread)

fprintf(stderr, "Error sending response\n");

}

EOF

Для компиляции используй:

gcc -o gclie gclie.c

gcc -o gserv gserv.c

Запуск:

./gserv 6000

./gclie localhost 6000 privet

./gclie 127.0.0.1 6000 privet

Что тут происходи:

Функция <netdb.h>

#include <netdb.h>

struct hostent *gethostbyname(const char *name);

Функция возвращает информации о хосте по его имени

struct hostent {

char *h_name; /* Official name of host. */

char **h_aliases; /* Alias list. */

int h_addrtype; /* Host address type AF_INET or AF_INET6 */

int h_length; /* Length of address 4 or 16 */

char **h_addr_list; /* List of addresses from name server. */

Функция gethostbyaddr() возвращает информацию о хосте по IP-адресу

Функция getaddrinfo()ведена более поздним POSIX, скрывает все зависимости в параметрах от типа протокола

Пример Makefile для adr, gclie, gserv

cat > Makefile << "EOF"
CC = gcc -Wall

SRC = adr gclie gserv

all:    $(SRC)

clean disclean:
	rm -f $(SRC)
EOF

# Исправить восемь пробелов на TAB
sed -i 's/        /\t\t/g' Makefile 

Для компиляции используй:
make

cat > Makefile << "EOF"

CC = gcc -Wall

SRC = adr gclie gserv

all: $(SRC)

clean disclean:

rm -f $(SRC)

EOF

# Исправить восемь пробелов на TAB

sed -i 's/ /\t\t/g' Makefile

Для компиляции используй:

make

Сетевые интерфейсы:

Посмотреть текущие сетевые интерфейсы:
ip link
ifconfig 

В каталоге /proc
ls /proc/sys/net/ipv4/conf
ls /proc/sys/net/ipv4/conf/eth0/
ls -w80 /proc/sys/net/ipv4/conf/eth0/

Так же как для блочных устройств(дисков) в Linux, когда они еще не пригодны для работы, пока их не смонтируют,
так и сетевые интерфейсы сами по себе еще не пригодны для работы в сети, пока их не подготовят к использованию.
Для работы нужно назначить например  IP-адрес, маску.

Пример именования интерфейсов и их назначения(ip link / ip a / ifconfig):

cipsec0 - Виртуальная частная сеть, VPN, "Cisco Systems VPN Client от Cisco Systems", работает через реальный физический канал.

eml - интерфейс физического проводного Ethernet-адаптера 

eth0- интерфейс физического проводного Ethernet-адаптера 

enp1- интерфейс физического проводного Ethernet-адаптера 

wlan0 - интерфейс физического беспроводного Wi-Fi-адаптера 

wlo1 - интерфейс физического беспроводного Wi-Fi-адаптера 

ppp0 - это может быть беспроводной 3G CMDA модем на USB-шине

lo - логический петлевой интерфейс

Проверка доступности ip адреса
ping 10.0.0.1


Основные команды для работы c Ethernet
ifconfig --help
ip help
ip a 
ip addr show dev eth0
ip link
ip addr help

Основные команды для работы с Wi-Fi
iwconfig
iw wlan0 info
rfkill
rfkill list
iw phy0 info

Графическая программа для управления сетью NetworkManager

Консольная программа для управления NetworkManager
nmcli --help

Посмотреть текущие сетевые интерфейсы:

ip link

ifconfig

В каталоге /proc

ls /proc/sys/net/ipv4/conf

ls /proc/sys/net/ipv4/conf/eth0/

ls -w80 /proc/sys/net/ipv4/conf/eth0/

Так же как для блочных устройств(дисков) в Linux, когда они еще не пригодны для работы, пока их не смонтируют,

так и сетевые интерфейсы сами по себе еще не пригодны для работы в сети, пока их не подготовят к использованию.

Для работы нужно назначить например IP-адрес, маску.

Пример именования интерфейсов и их назначения(ip link / ip a / ifconfig):

cipsec0 - Виртуальная частная сеть, VPN, "Cisco Systems VPN Client от Cisco Systems", работает через реальный физический канал.

eml - интерфейс физического проводного Ethernet-адаптера

eth0- интерфейс физического проводного Ethernet-адаптера

enp1- интерфейс физического проводного Ethernet-адаптера

wlan0 - интерфейс физического беспроводного Wi-Fi-адаптера

wlo1 - интерфейс физического беспроводного Wi-Fi-адаптера

ppp0 - это может быть беспроводной 3G CMDA модем на USB-шине

lo - логический петлевой интерфейс

Проверка доступности ip адреса

ping 10.0.0.1

Основные команды для работы c Ethernet

ifconfig --help

ip help

ip a

ip addr show dev eth0

ip link

ip addr help

Основные команды для работы с Wi-Fi

iwconfig

iw wlan0 info

rfkill

rfkill list

iw phy0 info

Графическая программа для управления сетью NetworkManager

Консольная программа для управления NetworkManager

nmcli --help

Таблица маршрутизации (роутинг)

route -n
route -n -6
ip route --help
ip route show
ip -6 route show 

Если все рассматриваемые ранее параметры: IP-адрес, маска, префикс и д.р. - это атрибуты сетевого интерфейса,
то таблица роутинга - это атрибут сетевого хоста в целом, это таблица ядра операционной системы.
0.0.0.0 - default - шлюз последней надежды

route -n

route -n -6

ip route --help

ip route show

ip -6 route show

Если все рассматриваемые ранее параметры: IP-адрес, маска, префикс и д.р. - это атрибуты сетевого интерфейса,

то таблица роутинга - это атрибут сетевого хоста в целом, это таблица ядра операционной системы.

0.0.0.0 - default - шлюз последней надежды

Алиасные IP-адреса / дополнительный IP адрес из другой сети

ifconfig eno1:1 10.0.0.2/24 up
команда ip позволяет сразу навесить скольго угодна ip на один интерфейс.
ip a a 10.10.0.1/24 dev eno1
ip a a 10.10.1.1/24 dev eno1
ip a a 10.10.2.1/24 dev eno1

ifconfig eno1:1 10.0.0.2/24 up

команда ip позволяет сразу навесить скольго угодна ip на один интерфейс.

ip a a 10.10.0.1/24 dev eno1

ip a a 10.10.1.1/24 dev eno1

ip a a 10.10.2.1/24 dev eno1

Петлевой интерфейс:

На любом компьютере хосте, даже если он никак не использует сеть (не подключен к сети),
присутствует петлевой интерфейс (loopback, интерфейс lo)
под петлевой интерфейс выделена группа 127/8 и ::1

Петлевой интерфейс позволяет программам на компьютере использовать стек TCP/IP локально.

На любом компьютере хосте, даже если он никак не использует сеть (не подключен к сети),

присутствует петлевой интерфейс (loopback, интерфейс lo)

под петлевой интерфейс выделена группа 127/8 и ::1

Петлевой интерфейс позволяет программам на компьютере использовать стек TCP/IP локально.

Переименование сетевого интерфейса

ip link set dev eno1 name eth0

1	ip link set dev eno1 name eth0

Альтернативные имена (ядро выше 5.4.0)

ip link property add dev eth0 altname eno99

1	ip link property add dev eth0 altname eno99

Порты транспортного уровня:

Каждому протоколу более высоких уровней (SSH,RDP,FTP,HTTP,HTTPS, etc) соответствует свой стандартный порт.
Порты бываю: TCP или UDP
Порты разделены на три:
общеизвестные / системны 0-1024 (всегда требуются права root)
зарегистрированные / пользовательские 1024-49151 (зарегистрировала комиссия IANA официально)
динамические / частные 49152-65535

Посмотреть порты:
cat /etc/services 

Посмотреть сколько портов знает система:
grep -v ^$ /etc/services | grep -v ^# | wc -l

Номера портов можно и используется разные, например для HTTP никто не может веб серверу запретить использовать порт 8888 вместо 80. 



Датаграммная передача - UDP
Потоковая передача - UDP

Датаграммный протокол UDP ориентирован на быструю передачу информации, ничем не гарантирующую доставку. 
Вплоть до того, что приемная сторона(ее сетевой стек) имеет право просто успешно принимать UDP-сообщения, 
но если она перегружена, то по собственной инициативе просто сбрасывать в мусор уже принятые пакеты, 
никак не уведомляя об этом ни приемную, ни передающую сторону.

Потоковый протокол TCP ориентирован на надежную доставку информации.
В случае потери пакетов или их искажения на тракте передающая сторона делает многократные попытки повторения передачи.

Протокол UDP определен в RFC 768.
Протокол TCP посвящены RFC 790, 791, 793, 1025, 1323.

!!!
Не обольщайтесь кажущейся простотой и понятностью протокола UDP при реализации надежного взаимодействия
в создаваемом вами проекте. 
Надстраивание над UDP средств контроля и резервирования - это ловушка, которую попадают многие разработчики, впервые начинающие сетевое проектирование.
При этом повторяете путь развития TCP, который занял не одно десятилетие.

Каждому протоколу более высоких уровней (SSH,RDP,FTP,HTTP,HTTPS, etc) соответствует свой стандартный порт.

Порты бываю: TCP или UDP

Порты разделены на три:

общеизвестные / системны 0-1024 (всегда требуются права root)

зарегистрированные / пользовательские 1024-49151 (зарегистрировала комиссия IANA официально)

динамические / частные 49152-65535

Посмотреть порты:

cat /etc/services

Посмотреть сколько портов знает система:

grep -v ^$ /etc/services | grep -v ^# | wc -l

Номера портов можно и используется разные, например для HTTP никто не может веб серверу запретить использовать порт 8888 вместо 80.

Датаграммная передача - UDP

Потоковая передача - UDP

Датаграммный протокол UDP ориентирован на быструю передачу информации, ничем не гарантирующую доставку.

Вплоть до того, что приемная сторона(ее сетевой стек) имеет право просто успешно принимать UDP-сообщения,

но если она перегружена, то по собственной инициативе просто сбрасывать в мусор уже принятые пакеты,

никак не уведомляя об этом ни приемную, ни передающую сторону.

Потоковый протокол TCP ориентирован на надежную доставку информации.

В случае потери пакетов или их искажения на тракте передающая сторона делает многократные попытки повторения передачи.

Протокол UDP определен в RFC 768.

Протокол TCP посвящены RFC 790, 791, 793, 1025, 1323.

!!!

Не обольщайтесь кажущейся простотой и понятностью протокола UDP при реализации надежного взаимодействия

в создаваемом вами проекте.

Надстраивание над UDP средств контроля и резервирования - это ловушка, которую попадают многие разработчики, впервые начинающие сетевое проектирование.

При этом повторяете путь развития TCP, который занял не одно десятилетие.

Инструменты диагностики:

посмотреть линки:
ip link
Проверить таблицу маршрутизации:
route -n

посмотреть линки:

ip link

Проверить таблицу маршрутизации:

route -n

Инструменты наблюдения:

ping 8.8.8.8

traceroute 8.8.8.8

netstat -i

netstat -t 

ss -tplnu

arp

nslookup google.com

nslookup 8.8.8.8

host ya.ru

dig google.com

tcpdump -i eth0

id 

who

ps -uaxf

ping 8.8.8.8

traceroute 8.8.8.8

netstat -i

netstat -t

ss -tplnu

arp

nslookup google.com

nslookup 8.8.8.8

host ya.ru

dig google.com

tcpdump -i eth0

who

ps -uaxf

Инструменты тестирования:

scp test root@10.10.10.10:
sftp name@6.6.6.6:/home/name/1.txt

nc -l 1234
nc 127.0.0.1 1234

iperf -s 
iperf -c 10.10.10.1
iperf -c 10.10.10.1 -P4

iperf3 -s 
iperf3 -c 10.10.10.1
iperf3 -c 10.10.10.1 -P4

scp test root@10.10.10.10:

sftp name@6.6.6.6:/home/name/1.txt

nc -l 1234

nc 127.0.0.1 1234

iperf -s

iperf -c 10.10.10.1

iperf -c 10.10.10.1 -P4

iperf3 -s

iperf3 -c 10.10.10.1

iperf3 -c 10.10.10.1 -P4

Сервисы сети и systemd

Все сетевые продукты состоят из трех основных компонентов
1) Протокол
2) Клиент
3) Сервис

Все сетевые продукты состоят из трех основных компонентов

1) Протокол

2) Клиент

3) Сервис

mc (Midnight Commnader)

Есть очень удобный способ подключится по ssh к удаленной машине
Называется он "Shell-соединение"
перед использованием этого способа убедитесь что у вас подключается по ssh.

TAB - перемещение между правой и левой лакацией
Enter - Свободное перемещение по каталогам
F5 - копировать
F6 - перемещать
F3 - просматривать
F4 - редактировать

Есть очень удобный способ подключится по ssh к удаленной машине

Называется он "Shell-соединение"

перед использованием этого способа убедитесь что у вас подключается по ssh.

TAB - перемещение между правой и левой лакацией

Enter - Свободное перемещение по каталогам

F5 - копировать

F6 - перемещать

F3 - просматривать

F4 - редактировать

SSH

Графическая сессия 
ssh -X user@server xclock
ssh -Y user@server VirtualBox

Не все так может быть запущенно, но многие программы работают.
Не которые программы сами умеют подключатся через shell.
Например mc, virt-manager и etc

Графическая сессия

ssh -X user@server xclock

ssh -Y user@server VirtualBox

Не все так может быть запущенно, но многие программы работают.

Не которые программы сами умеют подключатся через shell.

Например mc, virt-manager и etc

Протокол DHCP

DHCP
Dynamic Host Configuration Protocol

Протокол DHCP - это клиент-серверный протокол, который автоматически доставляет хосту в момент его загрузки IP-адрес (из определенного пула адресов)
и другие связанные сведения о конфигурации, такие как маска подсети и шлюз по умолчанию

RFC2131 и 2132 - определяют протокол DHCP в качестве стандарта "Internet Engineering Task Force" (IETF)
основанного на более раннем протоколе загрузке BOOTP

В сети не может быть более одного DHCP сервера, так как могут возникнуть проблемы раздачи IP-адресов

Самый популярный в linux DHCP сервер это isc-dhcp-server
Чаще всего встретите после него это dnsmasq

DHCP

Dynamic Host Configuration Protocol

Протокол DHCP - это клиент-серверный протокол, который автоматически доставляет хосту в момент его загрузки IP-адрес (из определенного пула адресов)

и другие связанные сведения о конфигурации, такие как маска подсети и шлюз по умолчанию

RFC2131 и 2132 - определяют протокол DHCP в качестве стандарта "Internet Engineering Task Force" (IETF)

основанного на более раннем протоколе загрузке BOOTP

В сети не может быть более одного DHCP сервера, так как могут возникнуть проблемы раздачи IP-адресов

Самый популярный в linux DHCP сервер это isc-dhcp-server

Чаще всего встретите после него это dnsmasq

Разрешение имен: служба DNS

Domain name system

Сам DNS-протокол базируется на UDP-, либо на TCP-транспорте, на ранних этапах это было только UDP
Используется по умолчанию порт 53 (TCP/UDP)

Самый известный DNS-резолвер bind

Самый просто и кеширующий DHCP/DNS-сервер dnsmasq

Самый частый в systemd это systemd-resolved.services (чаще всего выключен, 
но настраивается очень просто, нужно отредактировать "DNS=" в файле "/etc/systemd/resolved.conf" 
и включить демон командой "sytemctl enable systemd-resolved.services && sytemctl start systemd-resolved.services") 
resolvectl status


# для debian11-12 может пригодится для восстановления systemd-resolved
#  ln -s /run/systemd/resolve/stub-resolv.conf /etc/resolv.conf

Domain name system

Сам DNS-протокол базируется на UDP-, либо на TCP-транспорте, на ранних этапах это было только UDP

Используется по умолчанию порт 53 (TCP/UDP)

Самый известный DNS-резолвер bind

Самый просто и кеширующий DHCP/DNS-сервер dnsmasq

Самый частый в systemd это systemd-resolved.services (чаще всего выключен,

но настраивается очень просто, нужно отредактировать "DNS=" в файле "/etc/systemd/resolved.conf"

и включить демон командой "sytemctl enable systemd-resolved.services && sytemctl start systemd-resolved.services")

resolvectl status

# для debian11-12 может пригодится для восстановления systemd-resolved

# ln -s /run/systemd/resolve/stub-resolv.conf /etc/resolv.conf

Немного про конфигурацию dnsmasq

ls /etc/dnsmasq.d/*.conf

конфиги могут быть разнесены по файла 
dhcp.conf
dns.conf
так и могут быть в одном файле dnsmasq.conf

dhcp.conf
---------
interface=eth1                                           # - интерфейс на котором будет работать dhcp
dhcp-range=192.168.25.2,192.168.25.150,255.255.255.0,12h # - объявляем диапазон для аренды
dhcp-option=option:router,192.168.25.1                   # - default gateway
log-dhcp                                                 # - включить логи
---------

dns.conf
--------
listen-address=127.0.0.1                # - принимаем запросы только из петли
interface=eth1                          # - слушаем только на этом интерфейсе
domain-needed                           # - никогда не присылать адреса без доменной части
bogus-priv                              # - никогда не пересылать адреса из не маршрутизированного пространства
stop-dns-rebind                         # - отклонять ответы от вышестоящих DNS-серверов
rebind-localhost-ok                     # - отключить проверку для 127.0.0.0/8
strict-order                            # - пересылать запросы с первого по порядку
no-resolv                               # - не использовать /etc/resolv.conf
no-hosts                                # - не читать /etc/hosts
domain=localdomain
local-ttl=7200
neg-ttl=14400
max-ttl=86400
server=192.168.25.1
server=8.8.8.8
server=8.8.4.4
--------

ls /etc/dnsmasq.d/*.conf

конфиги могут быть разнесены по файла

dhcp.conf

dns.conf

так и могут быть в одном файле dnsmasq.conf

dhcp.conf

---------

interface=eth1 # - интерфейс на котором будет работать dhcp

dhcp-range=192.168.25.2,192.168.25.150,255.255.255.0,12h # - объявляем диапазон для аренды

dhcp-option=option:router,192.168.25.1 # - default gateway

log-dhcp # - включить логи

---------

dns.conf

--------

listen-address=127.0.0.1 # - принимаем запросы только из петли

interface=eth1 # - слушаем только на этом интерфейсе

domain-needed # - никогда не присылать адреса без доменной части

bogus-priv # - никогда не пересылать адреса из не маршрутизированного пространства

stop-dns-rebind # - отклонять ответы от вышестоящих DNS-серверов

rebind-localhost-ok # - отключить проверку для 127.0.0.0/8

strict-order # - пересылать запросы с первого по порядку

no-resolv # - не использовать /etc/resolv.conf

no-hosts # - не читать /etc/hosts

domain=localdomain

local-ttl=7200

neg-ttl=14400

max-ttl=86400

server=192.168.25.1

server=8.8.8.8

server=8.8.4.4

--------

iptables

iptables --help

Просмотр правил основных цепочек INPUT \ FORWARD \ OUTPUT
iptables -L -v -n
iptables-save

Просмотр правил трансляции адресов NAT:
iptables -t nat -L -line-numbers

Разрешить все входящие пакеты (таблицу filter можно не указывать она дефолтная):
iptables -f filter -I OUTPUT 1 -j ACCEPT

Запретить все исходящие пакеты из подсети 10.10.10.0/24
iptables -t filter -A INPUT -s 10.10.10.0/24 -j DROP

Разрешение SSH:
iptables -A INPUT -p tcp --dport 22 -J ACCEPT

Разрешить диапазон входящих портов TCP:
iptables -A -p tcp --dport 3000:4000 -j ACCEPT

Разрешить ICMP:
iptables -A INPUT -p icmp -j ACCEPT

iptables --help

Просмотр правил основных цепочек INPUT \ FORWARD \ OUTPUT

iptables -L -v -n

iptables-save

Просмотр правил трансляции адресов NAT:

iptables -t nat -L -line-numbers

Разрешить все входящие пакеты (таблицу filter можно не указывать она дефолтная):

iptables -f filter -I OUTPUT 1 -j ACCEPT

Запретить все исходящие пакеты из подсети 10.10.10.0/24

iptables -t filter -A INPUT -s 10.10.10.0/24 -j DROP

Разрешение SSH:

iptables -A INPUT -p tcp --dport 22 -J ACCEPT

Разрешить диапазон входящих портов TCP:

iptables -A -p tcp --dport 3000:4000 -j ACCEPT

Разрешить ICMP:

iptables -A INPUT -p icmp -j ACCEPT

Systemd и сокетная активация сервисов на примере pure-ftpd

!!! Врятли у вас получится сделать это на современных дистрибутивах, так как файлы для запуска сервиса будут установлены автоматически.
apt install pure-ftpd

cat > /usr/lib/systemd/system/pure-ftpd.socket << "EOF"
[Unit]
Descrtiption=pure-ftp FTP server Activation Socket
Conflicts=pure-ftpd.service

[Socket]

ListenStream=21
Accept=true

[Install]
WantedBy=socket.target

EOF

cat > /usr/lib/systemd/system/pure-ftpd@.service << "EOF"
[Unit]
Descriptiom=pure-ftpd FTP Server
After=network-online.target

[Service]
ExecStart=-/usr/sbin/pure-ftpd
StandartInput=socket

EOF

systemctl status pure-ftpd
systemctl stop pure-ftpd
systemctl status pure-ftpd
systemct start pure-ftpd.socket
systemct status pure-ftpd.socket

!!! Врятли у вас получится сделать это на современных дистрибутивах, так как файлы для запуска сервиса будут установлены автоматически.

apt install pure-ftpd

cat > /usr/lib/systemd/system/pure-ftpd.socket << "EOF"

[Unit]

Descrtiption=pure-ftp FTP server Activation Socket

Conflicts=pure-ftpd.service

[Socket]

ListenStream=21

Accept=true

[Install]

WantedBy=socket.target

EOF

cat > /usr/lib/systemd/system/pure-ftpd@.service << "EOF"

[Unit]

Descriptiom=pure-ftpd FTP Server

After=network-online.target

[Service]

ExecStart=-/usr/sbin/pure-ftpd

StandartInput=socket

EOF

systemctl status pure-ftpd

systemctl stop pure-ftpd

systemctl status pure-ftpd

systemct start pure-ftpd.socket

systemct status pure-ftpd.socket

Прокси серверы:

Преодоление текториальных ограничений 
Защита компьютера клиента от атак с наружи
Позволяет сохранить анонимность клиента путем подмены IP
Проксирование на уровне протоков HTTP, HTTPS
Проксирование на уровне L4 UDP, TCP  SOCKS4 и SOCKS5

SOCKS5 - допускает возможность UDP, есть аутентификация

Самый распространённый  SOCKS5 прокси сервер это Dante
apt search Dante
apt install dante-client - научит любое приложение ходить в прокси
apt install dante-serve - прокси сервер

Пока вырубим его 
systemctl disable danted
systemctl stop danted

Простой конфиг без авторизации 
vim /etc/danted.conf
--------------------
logoutput: stderr
internal: eth0 port = 1080
external: eth0 
socksmethod: none
user.privileged: proxy
user.unprivileged: nobody
user.libwrap: nobody
client pass {
       from: 0/0 to: 0/0
       log: connect error
}
socks pass {
      from: 0/0 to: 0/0
      log: connect error
}
--------------------
тут:
internal - входящий интерфейс
external - исходящий 
port - порт прокси
socksmethod - собственно нету авторизации 

Для авторизации изменить конфиг так:
socksmethod: username 
socks pass {
      from: 0/0 to: 0/0
      log: connect disconnect error ioop
      group: proxy
}

и создать пользователя
useradd --shell /usr/sbin/nologin proxy_user_01
passwd proxy_user_01
usermod -a -G proxy proxy_user_01

Преодоление текториальных ограничений

Защита компьютера клиента от атак с наружи

Позволяет сохранить анонимность клиента путем подмены IP

Проксирование на уровне протоков HTTP, HTTPS

Проксирование на уровне L4 UDP, TCP SOCKS4 и SOCKS5

SOCKS5 - допускает возможность UDP, есть аутентификация

Самый распространённый SOCKS5 прокси сервер это Dante

apt search Dante

apt install dante-client - научит любое приложение ходить в прокси

apt install dante-serve - прокси сервер

Пока вырубим его

systemctl disable danted

systemctl stop danted

Простой конфиг без авторизации

vim /etc/danted.conf

--------------------

logoutput: stderr

internal: eth0 port = 1080

external: eth0

socksmethod: none

user.privileged: proxy

user.unprivileged: nobody

user.libwrap: nobody

client pass {

from: 0/0 to: 0/0

log: connect error

}

socks pass {

from: 0/0 to: 0/0

log: connect error

}

--------------------

тут:

internal - входящий интерфейс

external - исходящий

port - порт прокси

socksmethod - собственно нету авторизации

Для авторизации изменить конфиг так:

socksmethod: username

socks pass {

from: 0/0 to: 0/0

log: connect disconnect error ioop

group: proxy

}

и создать пользователя

useradd --shell /usr/sbin/nologin proxy_user_01

passwd proxy_user_01

usermod -a -G proxy proxy_user_01

Прокси через SSH

ssh -N -D 5555 10.10.10.22
curl -s  -x socks4://127.0.0.1:5555 ya.ru
curl -s  -x socks5://127.0.0.1:5555 ya.ru

ssh -N -D 5555 10.10.10.22

curl -s -x socks4://127.0.0.1:5555 ya.ru

curl -s -x socks5://127.0.0.1:5555 ya.ru

Прокси squid

#Debian 12 install squid

Устанавливаем:
apt install squid

Сохраняем оригинальный конфиг squid:
cp /etc/squid/squid.conf /etc/squid/squid.conf.backup
( можно вот так вот обработать  cat squid.conf.bak | grep -v "^#" | grep -v "^$" > squid.conf  тем самым убрав комментарии) 

Приводим конфиг к такому виду:
cat > /etc/squid/squid.conf << "EOF"
acl localnet src 0.0.0.1-0.255.255.255  # RFC 1122 "this" network (LAN)
acl localnet src 10.0.0.0/8             # RFC 1918 local private network (LAN)
acl localnet src 100.64.0.0/10          # RFC 6598 shared address space (CGN)
acl localnet src 169.254.0.0/16         # RFC 3927 link-local (directly plugged) machines
acl localnet src 172.16.0.0/12          # RFC 1918 local private network (LAN)
acl localnet src 192.168.0.0/16         # RFC 1918 local private network (LAN)
acl localnet src fc00::/7               # RFC 4193 local private network range
acl localnet src fe80::/10              # RFC 4291 link-local (directly plugged) machines
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
include /etc/squid/conf.d/*
http_access allow localhost
http_access deny all
http_port 3128
coredump_dir /var/spool/squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
EOF

И этот конфиг приводим к такому виду:
cat > /etc/squid/conf.d/debian.conf << EOF
#
# Squid configuration settings for Debian
#

# Logs are managed by logrotate on Debian
logfile_rotate 0

# For extra security Debian packages only allow
# localhost to use the proxy on new installs
#
http_access allow localnet
EOF

Запускаем в зависимости от статуса: 
systemctl status squid
systemctl restart squid
systemctl start squid
systemctl enable squid

#Debian 12 install squid

Устанавливаем:

apt install squid

Сохраняем оригинальный конфиг squid:

cp /etc/squid/squid.conf /etc/squid/squid.conf.backup

( можно вот так вот обработать cat squid.conf.bak | grep -v "^#" | grep -v "^$" > squid.conf тем самым убрав комментарии)

Приводим конфиг к такому виду:

cat > /etc/squid/squid.conf << "EOF"

acl localnet src 0.0.0.1-0.255.255.255 # RFC 1122 "this" network (LAN)

acl localnet src 10.0.0.0/8 # RFC 1918 local private network (LAN)

acl localnet src 100.64.0.0/10 # RFC 6598 shared address space (CGN)

acl localnet src 169.254.0.0/16 # RFC 3927 link-local (directly plugged) machines

acl localnet src 172.16.0.0/12 # RFC 1918 local private network (LAN)

acl localnet src 192.168.0.0/16 # RFC 1918 local private network (LAN)

acl localnet src fc00::/7 # RFC 4193 local private network range

acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 # https

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 1025-65535 # unregistered ports

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl CONNECT method CONNECT

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost manager

http_access deny manager

include /etc/squid/conf.d/*

http_access allow localhost

http_access deny all

http_port 3128

coredump_dir /var/spool/squid

refresh_pattern ^ftp: 1440 20% 10080

refresh_pattern ^gopher: 1440 0% 1440

refresh_pattern -i (/cgi-bin/|\?) 0 0% 0

refresh_pattern . 0 20% 4320

EOF

И этот конфиг приводим к такому виду:

cat > /etc/squid/conf.d/debian.conf << EOF

# Squid configuration settings for Debian

# Logs are managed by logrotate on Debian

logfile_rotate 0

# For extra security Debian packages only allow

# localhost to use the proxy on new installs

http_access allow localnet

EOF

Запускаем в зависимости от статуса:

systemctl status squid

systemctl restart squid

systemctl start squid

systemctl enable squid

Мониторинг за прокси

apt install sockstat
sockstat -h 
sockstat -4

apt install sockstat

sockstat -h

sockstat -4

Фазы соединения TCP

В формате каждого пакета транспортного уровня TCP предусмотрено несколько битовых флагов, определяющих предназначение пакета.
Некоторые флаги могут быть установлены одновременно но не в любых комбинациях.

UGR - указатель срочности (urgent pointer) данных
ACK - номер подтверждения необходимо принять в рассмотрение (acknowledgment)
PSH - получатель должен передать эти данные приложению как можно скорее (push)
RST - сбросить соединение (reset)
YN - синхронизирующий номер последовательности установления соединения
FIN - отправитель закончил пересылку данных

Что бы установить TCP соединения, пересылаются три сегмента:
1. Запрашивающая сторона(клиент) отправляет сегмент (флаг) SYN, указывающий номер порта сервера, к которому клиент хочет подключится,
и исходный номер последовательности клиента ISN
2. Сервер отвечает своим сегментом SYN, содержащий номер последовательности сервера. Сервер также подтверждает риход SYN от клиента
с использованием флага ACK(указыва номер ISN клиента плюс один)
3. Клиент должен подтвердить приход SYN от сервера с использованием флага ACK(ISN сервера плюс один)
Этих трех сегментов достаточно для установления соединения.
Часто называют трехразовым рукопожатием (three-way handshake).


Любая сторона может разорвать соединение послав пакет с флагом FIN.
Чаще всего это делает сам клиент.
И это также сопровождается трёхразовым рукопожатием.

В формате каждого пакета транспортного уровня TCP предусмотрено несколько битовых флагов, определяющих предназначение пакета.

Некоторые флаги могут быть установлены одновременно но не в любых комбинациях.

UGR - указатель срочности (urgent pointer) данных

ACK - номер подтверждения необходимо принять в рассмотрение (acknowledgment)

PSH - получатель должен передать эти данные приложению как можно скорее (push)

RST - сбросить соединение (reset)

YN - синхронизирующий номер последовательности установления соединения

FIN - отправитель закончил пересылку данных

Что бы установить TCP соединения, пересылаются три сегмента:

1. Запрашивающая сторона(клиент) отправляет сегмент (флаг) SYN, указывающий номер порта сервера, к которому клиент хочет подключится,

и исходный номер последовательности клиента ISN

2. Сервер отвечает своим сегментом SYN, содержащий номер последовательности сервера. Сервер также подтверждает риход SYN от клиента

с использованием флага ACK(указыва номер ISN клиента плюс один)

3. Клиент должен подтвердить приход SYN от сервера с использованием флага ACK(ISN сервера плюс один)

Этих трех сегментов достаточно для установления соединения.

Часто называют трехразовым рукопожатием (three-way handshake).

Любая сторона может разорвать соединение послав пакет с флагом FIN.

Чаще всего это делает сам клиент.

И это также сопровождается трёхразовым рукопожатием.

Пример работы с UDP \ TCP в коде :

cat > common.h << "EOF" 
#ifndef __common_h
#define  __common_h

#include <errno.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>

#include <netdb.h>
#include <sys/socket.h> /* basic socket definitions */
#include <netinet/in.h>
#include <arpa/inet.h>

#include "inet.h"

#define MAXLINE 4096                /* max text line length */
static char sendline[MAXLINE],     /* write buffer */
            recvline[MAXLINE + 1]; /* reaad buffer */

void  err_dump(const char *, ...);
void  err_sys(const char *, ...);

void str_cli(register FILE*, register int sockfd);
void str_echo(int sockfd);

void dg_cli(FILE* fp, int sockfd,
            struct sockaddr* pserv_addr,
            int servlen);
void dg_echo(int sockfd, 
             struct sockaddr* pcli_addr,  
             int maxclilen);
#endif
EOF


cat > dgcli.c  << "EOF"
/* Read the contents of the FILE *fp, write each line to the
 * datagram socket, then read a line back from the datagram
 * socket and write it to the standard output.
 * Return to caller when an EOF is encountered on the input file.
 */
#include "inet.h"

void dg_cli(FILE* fp, int sockfd,
            struct sockaddr* pserv_addr, // ptr to appropriate sockaddr_XX structure 
            int servlen) {               // actual sizeof(*pserv_addr) 
   int n;
   while (fgets(sendline, MAXLINE, fp) != NULL) {
      n = strlen(sendline);
      if (sendto(sockfd, sendline, n, 0, pserv_addr, servlen) != n)
         err_dump("dg_cli: sendto error on socket");
      // Now read a message from the socket and 
      // write it to our standard output.
      n = recvfrom(sockfd, recvline, MAXLINE, 0,
                   (struct sockaddr*)0, (socklen_t*)0);
      if (n < 0)
         err_dump("dg_cli: recvfrom error");
      recvline[n] = 0;    /* null terminate */
      fputs(recvline, stdout);
   }
   if (ferror(fp))
      err_dump("dg_cli: error reading file");
}
EOF


cat > dgecho.c << "EOF" 
/* Read a datagram from a connectionless socket and write it back to
 * the sender.
 * We never return, as we never know when a datagram client is done.
 */
#include "inet.h"

void dg_echo(int sockfd, 
             struct sockaddr* pcli_addr,  /* ptr to appropriate sockaddr_XX structure */
             int maxclilen) {             /* sizeof(*pcli_addr) */
   for (;;) {
      socklen_t clilen = maxclilen;
      int n = recvfrom(sockfd, recvline, MAXLINE, 0, pcli_addr, &clilen);
      if (n < 0) err_dump("dg_echo: recvfrom error");
      if (sendto(sockfd, recvline, n, 0, pcli_addr, clilen) != n)
         err_dump("dg_echo: sendto error");
   }
}




cat > udpcli.c << "EOF"
/* Example of client using UDP protocol. */
#include "inet.h"

int main(int argc, char* argv[]) {
   int sockfd;
   /* Open a UDP socket (an Internet datagram socket). */
   if((sockfd = socket(AF_INET, SOCK_DGRAM, 0)) < 0)
      err_dump("client: can't open datagram socket");
   struct sockaddr_in serv_addr;
   /* Fill in the structure "serv_addr" with the address
    * of the server that we want to send to. */
   bzero((char*)&serv_addr, sizeof(serv_addr));
   serv_addr.sin_family      = AF_INET;
   serv_addr.sin_addr.s_addr = inet_addr(SERV_HOST_ADDR);
   serv_addr.sin_port        = htons(SERV_UDP_PORT);
   dg_cli(stdin, sockfd, (struct sockaddr*)&serv_addr, sizeof(serv_addr));
   close(sockfd);
   exit(0);
}
EOF

cat > udpserv.c << "EOF"
// Example of server using UDP protocol.
#include	"inet.h"

int main(int argc, char* argv[] ) {
   /* Open a UDP socket (an Internet datagram socket). */
   int sockfd;
   if((sockfd = socket(AF_INET, SOCK_DGRAM, 0 ) ) < 0 )
      err_dump("server: can't open datagram socket" );
   /* Bind our local address so that the client can send to us. */
   struct sockaddr_in serv_addr;
   bzero((char*)&serv_addr, sizeof(serv_addr ) );
   serv_addr.sin_family      = AF_INET;
   serv_addr.sin_addr.s_addr = htonl(INADDR_ANY );
   serv_addr.sin_port        = htons(SERV_UDP_PORT );
   if(bind(sockfd, (struct sockaddr*)&serv_addr, sizeof(serv_addr ) ) < 0 )
      err_dump("server: can't bind local address" );
   dg_echo(sockfd, (struct sockaddr*)&serv_addr, sizeof(serv_addr ) );
}
EOF



cat > error.c << "EOF"
#include "common.h"
#include <stdarg.h>     /* ANSI C header file */
#include <syslog.h>     /* for syslog() */

int daemon_proc;        /* set nonzero by daemon_init() */

static void err_doit(int, int, const char *, va_list);

/* Fatal error related to a system call.
 * Print a message and terminate. */
void err_sys(const char *fmt, ...) {
   va_list ap;
   va_start(ap, fmt);
   err_doit(1, LOG_ERR, fmt, ap);
   va_end(ap);
   exit(1);
}

/* Fatal error related to a system call.
 * Print a message, dump core, and terminate. */
void err_dump(const char *fmt, ...) {
   va_list ap;
   va_start(ap, fmt);
   err_doit(1, LOG_ERR, fmt, ap);
   va_end(ap);
   abort();             /* dump core and terminate */
   exit(1);             /* shouldn't get here */
}

/* Print a message and return to caller.
 * Caller specifies "errnoflag" and "level". */
static void err_doit(int errnoflag, int level, const char *fmt, va_list ap) {
   int errno_save, n;
   char buf[MAXLINE];
   errno_save = errno;                     /* value caller might want printed */
#ifdef HAVE_VSNPRINTF
   vsnprintf(buf, sizeof(buf), fmt, ap);   /* this is safe */
#else
   vsprintf(buf, fmt, ap);                 /* this is not safe */
#endif
   n = strlen(buf);
   if (errnoflag)
      snprintf(buf + n, sizeof(buf) - n, ": %s", strerror(errno_save));
   strcat(buf, "\n");
   if (daemon_proc) {
      syslog(level, buf, "cli-serv : %s");
   } else {
      fflush(stdout);                        /* in case stdout and stderr are the same */
      fputs(buf, stderr);
      fflush(stderr);
   }
   return;
}
EOF



cat > inet.h << "EOF" 
/* Definitions for TCP and UDP client/server programs. */
#include "common.h"

#define SERV_UDP_PORT 60000
#define SERV_TCP_PORT 60000
//#define SERV_HOST_ADDR "192.168.1.13" /* host addr for server */
#define SERV_HOST_ADDR "127.0.0.1"      /* host addr for server */

ssize_t readline(int fd, void *vptr, size_t maxlen);
ssize_t writen(int fd, const void *vptr, size_t n);
EOF


cat  > Makefile << "EOF"
MYLIB   = error.o writen.o readline.o 
#LIBS   =
CFLAGS  = -O -Wall -Wno-unused-variable 

all:    $(MYLIB) tcp udp unixstr unixdg sockopt 
        rm -f *.o

lib:    $(MYLIB)

# Internet stream version (TCP protocol).
tcp:    tcpserv tcpcli

tcpcli.o tcpserv.o: inet.h common.h

tcpserv:        tcpserv.o strecho.o
                $(CC) $(CFLAGS) -o $@ tcpserv.o strecho.o $(MYLIB)

tcpcli:         tcpcli.o strcli.o
                $(CC) $(CFLAGS) -o $@ tcpcli.o strcli.o $(MYLIB)

# Internet datagram version (UDP protocol).
udp:    udpserv udpcli

udpcli.o udpserv.o: inet.h common.h

udpserv:        udpserv.o dgecho.o
                $(CC) $(CFLAGS) -o $@ udpserv.o dgecho.o $(MYLIB)

udpcli:         udpcli.o dgcli.o
                $(CC) $(CFLAGS) -o $@ udpcli.o dgcli.o $(MYLIB)

# UNIX stream version.
unixstr: unixstrserv unixstrcli

unixstrcli.o unixstrserv.o: unix.h common.h

unixstrserv:    unixstrserv.o strecho.o
                $(CC) $(CFLAGS) -o $@ unixstrserv.o strecho.o $(MYLIB)

unixstrcli:     unixstrcli.o strcli.o
                $(CC) $(CFLAGS) -o $@ unixstrcli.o strcli.o $(MYLIB)

# UNIX datagram version.
unixdg: unixdgserv unixdgcli

unixdgcli.o unixdgserv.o: unix.h common.h

unixdgserv:     unixdgserv.o dgecho.o
                $(CC) $(CFLAGS) -o $@ unixdgserv.o dgecho.o $(MYLIB)

unixdgcli:      unixdgcli.o dgcli.o
                $(CC) $(CFLAGS) -o $@ unixdgcli.o dgcli.o $(MYLIB)

sockopt:        sockopt.o common.h
                $(CC) $(CFLAGS) -o $@ sockopt.o $(MYLIB)

clean disclean:
        -rm -f *.o core a.out temp*.* \
                tcpserv tcpcli udpserv udpcli \
                unixstrserv unixstrcli unixdgserv unixdgcli \
                s.unixdg s.unixstr sockopt 
EOF

# Исправить восемь пробелов на TAB
sed -i 's/        /\t\t/g' Makefile 


cat > readline.c << "EOF"
#include "common.h"

static ssize_t my_read(int fd, char *ptr) {
   static int read_cnt = 0;
   static char *read_ptr;
   static char read_buf[MAXLINE];
   if (read_cnt <= 0) {
again:
      if ((read_cnt = read(fd, read_buf, sizeof(read_buf))) < 0) {
         if (errno == EINTR) goto again;
         return(-1);
      } else if (read_cnt == 0)
         return(0);
      read_ptr = read_buf;
   }
   read_cnt--;
   *ptr = *read_ptr++;
   return(1);
}

ssize_t readline(int fd, void *vptr, size_t maxlen) {
   int n, rc;
   char c, *ptr;
   ptr = vptr;
   for (n = 1; n < maxlen; n++) {
      if ((rc = my_read(fd, &c)) == 1) {
         *ptr++ = c;
         if (c == '\n') break;   /* newline is stored, like fgets() */
      } else if (rc == 0) {
         if(n == 1) return(0);   /* EOF, no data read */
         else break;             /* EOF, some data was read */
      } else return(-1);         /* error, errno set by read() */
   }
   *ptr = 0;                     /* null terminate like fgets() */
   return(n);
}
EOF



cat > sockopt.c << "EOF" 
/* Example of getsockopt() and setsockopt(). */
#include "common.h"
#include <sys/types.h>
#include <sys/socket.h>  /* for SOL_SOCKET and SO_xx values */
#include <netinet/in.h>  /* for IPPROTO_TCP value */
#include <netinet/tcp.h> /* for TCP_MAXSEG value */

int main() {
   int sockfd, maxseg, sendbuff; //, optlen;
   if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0)
      err_sys("can't create socket");
   /* Fetch and print the TCP maximum segment size. */

   socklen_t optlen = sizeof(maxseg);
   if (getsockopt(sockfd, IPPROTO_TCP, TCP_MAXSEG, (char*)&maxseg, &optlen) < 0)
      err_sys("TCP_MAXSEG getsockopt error");
   printf("TCP maxseg = %d\n", maxseg);
   /* Set the send buffer size, then fetch it and print its value. */
   sendbuff = 16384; /* just some number for example purposes */
   if (setsockopt(sockfd, SOL_SOCKET, SO_SNDBUF,
                  (char*)&sendbuff, sizeof(sendbuff)) < 0)
      err_sys("SO_SNDBUF setsockopt error");
   optlen = sizeof(sendbuff);
   if (getsockopt(sockfd, SOL_SOCKET, SO_SNDBUF,
                  (char*)&sendbuff, &optlen) < 0)
      err_sys("SO_SNDBUF getsockopt error");
   printf("send buffer size = %d\n", sendbuff);
}
EOF


cat > strcli.c << "EOF" 
/* Read the contents of the FILE *fp, write each line to the
 * stream socket (to the server process), then read a line back from
 * the socket and write it to the standard output.
 * Return to caller when an EOF is encountered on the input file.
 */
#include "common.h"

void str_cli(register FILE* fp, register int sockfd) {
   int n;
   while (fgets(sendline, MAXLINE, fp) != NULL) {
      n = strlen(sendline);
      if (writen(sockfd, sendline, n) != n)
         err_sys("str_cli: writen error on socket");
      /* Now read a line from the socket and 
       * write it to our standard output. */
      n = readline(sockfd, recvline, MAXLINE);
      if (n < 0) err_dump("str_cli: readline error");
      recvline[n] = 0;    /* null terminate */
      fputs(recvline, stdout);
   }
   if (ferror(fp))
      err_sys("str_cli: error reading file");
}
EOF



cat > strecho.c << "EOF"
/* Read a stream socket one line at a time, and write each line back
 * to the sender.
 * Return when the connection is terminated.
 */
#include "common.h"

void str_echo(int sockfd) {
   int n;
   for (;;) {
      n = readline(sockfd, recvline, MAXLINE);
      if (n == 0) return;      /* connection terminated */
      else if (n < 0) err_dump("str_echo: readline error");
      if (writen(sockfd, recvline, n) != n)
         err_dump("str_echo: writen error");
   }
}
EOF


cat > tcpcli.c << "EOF"
/* Example of client using TCP protocol. */
#include "inet.h"

int main(int argc, char* argv[]) {
   int sockfd;                    // TCP сокет 
   struct sockaddr_in serv_addr;  // заполнить структуру адреса сервера
   bzero((char*)&serv_addr, sizeof(serv_addr));
   serv_addr.sin_family      = AF_INET;
   serv_addr.sin_addr.s_addr = inet_addr(SERV_HOST_ADDR);
   serv_addr.sin_port        = htons(SERV_TCP_PORT);
   /* Open a TCP socket (an Internet stream socket). */
   if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0)
      err_sys("client: can't open stream socket");
   /* Connect to the server. */
   if (connect(sockfd, (struct sockaddr*)&serv_addr, sizeof(serv_addr)) < 0)
      err_sys("client: can't connect to server");
   str_cli(stdin, sockfd);        // цикл обменов с сервером
   close(sockfd);
   exit(0);
}
EOF

cat > tcpserv.c << "EOF"
/* Example of server using TCP protocol. */
#include "inet.h"

int main(int argc, char* argv[]) {
   int sockfd;                   // TCP сокет 
   if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0)
      err_dump("server: can't open stream socket");
   struct sockaddr_in serv_addr; // инициализировать униадресом 
   bzero((char*)&serv_addr, sizeof(serv_addr));
   serv_addr.sin_family      = AF_INET;
   serv_addr.sin_addr.s_addr = htonl(INADDR_ANY);
   serv_addr.sin_port        = htons(SERV_TCP_PORT);
   if (bind(sockfd, (struct sockaddr*)&serv_addr, sizeof(serv_addr)) < 0)
      err_dump("server: can't bind local address");
   listen(sockfd, 5);
   for (;;) {                    // цикл по подключения
      socklen_t clilen = sizeof(serv_addr);
      int childpid, newsockfd;
      newsockfd = accept(sockfd, (struct sockaddr*)&serv_addr, &clilen);
      if (newsockfd < 0)         // ожидать соединения
         err_dump("server: accept error");
      if ((childpid = fork()) < 0) 
         err_dump("server: fork error");
      else if (childpid == 0) {  // обрабатывать в дочернем процессе
         close(sockfd);          // закрыть копию прослушивающего сокета
         str_echo(newsockfd);    // ретранслировать полученные данные
         exit(0);                // завершить дочерний процесс
      }
      close(newsockfd);          // в роительском процессе
   }
}
EOF


cat > unixdgcli.c << "EOF"
/* Example of client using UNIX domain datagram protocol. */
#include "unix.h"

int main(int argc, char* argv[]) {
   int sockfd, clilen, servlen;
   char *mktemp();
   struct sockaddr_un cli_addr, serv_addr;
   /* Fill in the structure "serv_addr" with the address
    * of the server that we want to send to. */
   bzero((char*)&serv_addr, sizeof(serv_addr));
   serv_addr.sun_family = AF_UNIX;
   strcpy(serv_addr.sun_path, UNIXDG_PATH);
   servlen = sizeof(serv_addr.sun_family) + strlen(serv_addr.sun_path);
   /* Open a socket (a UNIX domain datagram socket). */
   if ((sockfd = socket(AF_UNIX, SOCK_DGRAM, 0)) < 0)
      err_dump("client: can't open datagram socket");
   /* Bind a local address for us.
    * In the UNIX domain we have to choose our own name (that
    * should be unique).  We'll use mktemp() to create a unique
    * pathname, based on our process id.
    */
   bzero((char*)&cli_addr, sizeof(cli_addr)); /* zero out */
   cli_addr.sun_family = AF_UNIX;
   strcpy(cli_addr.sun_path, UNIXDG_TMP);
   mktemp(cli_addr.sun_path);
   clilen = sizeof(cli_addr.sun_family) + strlen(cli_addr.sun_path);
   if (bind(sockfd, (struct sockaddr*)&cli_addr, clilen) < 0)
      err_dump("client: can't bind local address");
   dg_cli(stdin, sockfd, (struct sockaddr*)&serv_addr, servlen);
   close(sockfd);
   unlink(cli_addr.sun_path);
   exit(0);
}
EOF


cat > unixdgserv.c << "EOF"
/* Example of server using UNIX domain datagram protocol. */
#include "unix.h"

int main(int argc, char* argv[]) {
   int sockfd, servlen;
   struct sockaddr_un serv_addr, cli_addr;
   /* Open a socket (a UNIX domain datagram socket). */
   if ((sockfd = socket(AF_UNIX, SOCK_DGRAM, 0)) < 0)
      err_dump("server: can't open datagram socket");
   /* Bind our local address so that the client can send to us. */
   unlink(UNIXDG_PATH); /* in case it was left from last time */
   bzero((char*)&serv_addr, sizeof(serv_addr));
   serv_addr.sun_family = AF_UNIX;
   strcpy(serv_addr.sun_path, UNIXDG_PATH);
   servlen = sizeof(serv_addr.sun_family) + strlen(serv_addr.sun_path);
   if (bind(sockfd, (struct sockaddr*)&serv_addr, servlen) < 0)
      err_dump("server: can't bind local address");
   dg_echo(sockfd, (struct sockaddr*)&cli_addr, sizeof(cli_addr));
}
EOF

cat > unix.h  << "EOF"
/*
 * Definitions for UNIX domain stream and datagram client/server programs.
 */

#include <stdio.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <sys/un.h>
#include "common.h"

#define UNIXSTR_PATH "./s.unixstr"
#define UNIXDG_PATH  "./s.unixdg"
#define UNIXDG_TMP   "/tmp/dg.XXXXXX"

char *pname;
EOF


cat > unixstrcli.c << "EOF"
/* Example of client using UNIX domain stream protocol. */
#include "unix.h"

int main(int argc, char* argv[]) {
   int sockfd, servlen;
   struct sockaddr_un serv_addr;
   /* Fill in the structure "serv_addr" with the address
    * of the server that we want to send to.     */
   bzero((char*)&serv_addr, sizeof(serv_addr));
   serv_addr.sun_family = AF_UNIX;
   strcpy(serv_addr.sun_path, UNIXSTR_PATH);
   servlen = strlen(serv_addr.sun_path) + sizeof(serv_addr.sun_family);
   /* Open a socket (an UNIX domain stream socket). */
   if ((sockfd = socket(AF_UNIX, SOCK_STREAM, 0)) < 0)
      err_sys("client: can't open stream socket");
   /* Connect to the server. */
   if (connect(sockfd, (struct sockaddr*)&serv_addr, servlen) < 0)
      err_sys("client: can't connect to server");
   str_cli(stdin, sockfd);   /* do it all */
   close(sockfd);
   exit(0);
}
EOF


cat > unixstrserv.c << "EOF"
/* Example of server using UNIX domain stream protocol. */
#include "unix.h"

int main(int argc, char* argv[]) {
   int sockfd, newsockfd, childpid, servlen;
   struct sockaddr_un cli_addr, serv_addr;
   /* Open a socket (a UNIX domain stream socket). */
   if ((sockfd = socket(AF_UNIX, SOCK_STREAM, 0)) < 0)
      err_dump("server: can't open stream socket");
   /* Bind our local address so that the client can send to us. */
   bzero((char*)&serv_addr, sizeof(serv_addr));
   serv_addr.sun_family = AF_UNIX;
   strcpy(serv_addr.sun_path, UNIXSTR_PATH);
   servlen = strlen(serv_addr.sun_path) + sizeof(serv_addr.sun_family);
   if (bind(sockfd, (struct sockaddr*)&serv_addr, servlen) < 0)
      err_dump("server: can't bind local address");
   listen(sockfd, 5);
   for (; ;) {
      /* Wait for a connection from a client process.
       * This is an example of a concurrent server. */
      socklen_t clilen = sizeof(cli_addr);
      newsockfd = accept(sockfd, (struct sockaddr*)&cli_addr, &clilen);
      if (newsockfd < 0) err_dump("server: accept error");
      if ((childpid = fork()) < 0) err_dump("server: fork error");
      else if (childpid == 0) {    /* child process */
         close(sockfd);            /* close original socket */
         str_echo(newsockfd);      /* process the request */
         exit(0);
      }
      close(newsockfd);            /* parent process */
   }
}
EOF


cat > writen.c << "EOF"
#include "common.h"

/* Write "n" bytes to a descriptor */
ssize_t writen(int fd, const void *vptr, size_t n) { 
   size_t nleft;
   ssize_t nwritten;
   nleft = n;
   while (nleft > 0) {
      if ((nwritten = write(fd, vptr, nleft)) <= 0) {
         if (errno == EINTR) nwritten = 0;     /* and call write() again */
         else return(-1);                     /* error */
      } 
      nleft -= nwritten;
      vptr  += nwritten;
   }
   return(n);
}
EOF



Для компиляции используй:
make



Использование:
./udpserv
./udpcli

./tcpserv
./tcpcli

./unixdgserv
./unixdgcli

./unixstrserv
./unixstrcli

./sockopt

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215

216

217

218

219

220

221

222

223

224

225

226

227

228

229

230

231

232

233

234

235

236

237

238

239

240

241

242

243

244

245

246

247

248

249

250

251

252

253

254

255

256

257

258

259

260

261

262

263

264

265

266

267

268

269

270

271

272

273

274

275

276

277

278

279

280

281

282

283

284

285

286

287

288

289

290

291

292

293

294

295

296

297

298

299

300

301

302

303

304

305

306

307

308

309

310

311

312

313

314

315

316

317

318

319

320

321

322

323

324

325

326

327

328

329

330

331

332

333

334

335

336

337

338

339

340

341

342

343

344

345

346

347

348

349

350

351

352

353

354

355

356

357

358

359

360

361

362

363

364

365

366

367

368

369

370

371

372

373

374

375

376

377

378

379

380

381

382

383

384

385

386

387

388

389

390

391

392

393

394

395

396

397

398

399

400

401

402

403

404

405

406

407

408

409

410

411

412

413

414

415

416

417

418

419

420

421

422

423

424

425

426

427

428

429

430

431

432

433

434

435

436

437

438

439

440

441

442

443

444

445

446

447

448

449

450

451

452

453

454

455

456

457

458

459

460

461

462

463

464

465

466

467

468

469

470

471

472

473

474

475

476

477

478

479

480

481

482

483

484

485

486

487

488

489

490

491

492

493

494

495

496

497

498

499

500

501

502

503

504

505

506

507

508

509

510

511

512

513

514

515

516

517

518

519

520

521

522

523

524

525

526

527

528

529

530

531

532

533

534

535

536

537

538

539

540

541

542

543

544

545

546

547

548

549

550

551

552

553

554

555

556

557

558

559

560

561

562

563

564

565

566

567

568

569

570

571

572

573

574

575

576

577

578

579

580

581

582

583

584

585

586

587

588

589

590

591

592

593

594

595

596

597

598

599

600

601

602

603

604

605

606

607

608

609

610

611

612

613

614

615

616

617

618

619

620

621

622

623

624

625

626

627

628

629

630

631

632

633

634

635

cat > common.h << "EOF"

#ifndef __common_h

#define __common_h

#include <errno.h>

#include <stdio.h>

#include <stdlib.h>

#include <string.h>

#include <unistd.h>

#include <netdb.h>

#include <sys/socket.h> /* basic socket definitions */

#include <netinet/in.h>

#include <arpa/inet.h>

#include "inet.h"

#define MAXLINE 4096 /* max text line length */

static char sendline[MAXLINE], /* write buffer */

recvline[MAXLINE + 1]; /* reaad buffer */

void err_dump(const char *, ...);

void err_sys(const char *, ...);

void str_cli(register FILE*, register int sockfd);

void str_echo(int sockfd);

void dg_cli(FILE* fp, int sockfd,

struct sockaddr* pserv_addr,

int servlen);

void dg_echo(int sockfd,

struct sockaddr* pcli_addr,

int maxclilen);

#endif

EOF

cat > dgcli.c << "EOF"

/* Read the contents of the FILE *fp, write each line to the

* datagram socket, then read a line back from the datagram

* socket and write it to the standard output.

* Return to caller when an EOF is encountered on the input file.

#include "inet.h"

void dg_cli(FILE* fp, int sockfd,

struct sockaddr* pserv_addr, // ptr to appropriate sockaddr_XX structure

int servlen) { // actual sizeof(*pserv_addr)

int n;

while (fgets(sendline, MAXLINE, fp) != NULL) {

n = strlen(sendline);

if (sendto(sockfd, sendline, n, 0, pserv_addr, servlen) != n)

err_dump("dg_cli: sendto error on socket");

// Now read a message from the socket and

// write it to our standard output.

n = recvfrom(sockfd, recvline, MAXLINE, 0,

(struct sockaddr*)0, (socklen_t*)0);

if (n < 0)

err_dump("dg_cli: recvfrom error");

recvline[n] = 0; /* null terminate */

fputs(recvline, stdout);

}

if (ferror(fp))

err_dump("dg_cli: error reading file");

}

EOF

cat > dgecho.c << "EOF"

/* Read a datagram from a connectionless socket and write it back to

* the sender.

* We never return, as we never know when a datagram client is done.

#include "inet.h"

void dg_echo(int sockfd,

struct sockaddr* pcli_addr, /* ptr to appropriate sockaddr_XX structure */

int maxclilen) { /* sizeof(*pcli_addr) */

for (;;) {

socklen_t clilen = maxclilen;

int n = recvfrom(sockfd, recvline, MAXLINE, 0, pcli_addr, &clilen);

if (n < 0) err_dump("dg_echo: recvfrom error");

if (sendto(sockfd, recvline, n, 0, pcli_addr, clilen) != n)

err_dump("dg_echo: sendto error");

}

cat > udpcli.c << "EOF"

/* Example of client using UDP protocol. */

#include "inet.h"

int main(int argc, char* argv[]) {

int sockfd;

/* Open a UDP socket (an Internet datagram socket). */

if((sockfd = socket(AF_INET, SOCK_DGRAM, 0)) < 0)

err_dump("client: can't open datagram socket");

struct sockaddr_in serv_addr;

/* Fill in the structure "serv_addr" with the address

* of the server that we want to send to. */

bzero((char*)&serv_addr, sizeof(serv_addr));

serv_addr.sin_family = AF_INET;

serv_addr.sin_addr.s_addr = inet_addr(SERV_HOST_ADDR);

serv_addr.sin_port = htons(SERV_UDP_PORT);

dg_cli(stdin, sockfd, (struct sockaddr*)&serv_addr, sizeof(serv_addr));

close(sockfd);

exit(0);

}

EOF

cat > udpserv.c << "EOF"

// Example of server using UDP protocol.

#include "inet.h"

int main(int argc, char* argv[] ) {

/* Open a UDP socket (an Internet datagram socket). */

int sockfd;

if((sockfd = socket(AF_INET, SOCK_DGRAM, 0 ) ) < 0 )

err_dump("server: can't open datagram socket" );

/* Bind our local address so that the client can send to us. */

struct sockaddr_in serv_addr;

bzero((char*)&serv_addr, sizeof(serv_addr ) );

serv_addr.sin_family = AF_INET;

serv_addr.sin_addr.s_addr = htonl(INADDR_ANY );

serv_addr.sin_port = htons(SERV_UDP_PORT );

if(bind(sockfd, (struct sockaddr*)&serv_addr, sizeof(serv_addr ) ) < 0 )

err_dump("server: can't bind local address" );

dg_echo(sockfd, (struct sockaddr*)&serv_addr, sizeof(serv_addr ) );

}

EOF

cat > error.c << "EOF"

#include "common.h"

#include <stdarg.h> /* ANSI C header file */

#include <syslog.h> /* for syslog() */

int daemon_proc; /* set nonzero by daemon_init() */

static void err_doit(int, int, const char *, va_list);

/* Fatal error related to a system call.

* Print a message and terminate. */

void err_sys(const char *fmt, ...) {

va_list ap;

va_start(ap, fmt);

err_doit(1, LOG_ERR, fmt, ap);

va_end(ap);

exit(1);

}

/* Fatal error related to a system call.

* Print a message, dump core, and terminate. */

void err_dump(const char *fmt, ...) {

va_list ap;

va_start(ap, fmt);

err_doit(1, LOG_ERR, fmt, ap);

va_end(ap);

abort(); /* dump core and terminate */

exit(1); /* shouldn't get here */

}

/* Print a message and return to caller.

* Caller specifies "errnoflag" and "level". */

static void err_doit(int errnoflag, int level, const char *fmt, va_list ap) {

int errno_save, n;

char buf[MAXLINE];

errno_save = errno; /* value caller might want printed */

#ifdef HAVE_VSNPRINTF

vsnprintf(buf, sizeof(buf), fmt, ap); /* this is safe */

#else

vsprintf(buf, fmt, ap); /* this is not safe */

#endif

n = strlen(buf);

if (errnoflag)

snprintf(buf + n, sizeof(buf) - n, ": %s", strerror(errno_save));

strcat(buf, "\n");

if (daemon_proc) {

syslog(level, buf, "cli-serv : %s");

} else {

fflush(stdout); /* in case stdout and stderr are the same */

fputs(buf, stderr);

fflush(stderr);

}

return;

}

EOF

cat > inet.h << "EOF"

/* Definitions for TCP and UDP client/server programs. */

#include "common.h"

#define SERV_UDP_PORT 60000

#define SERV_TCP_PORT 60000

//#define SERV_HOST_ADDR "192.168.1.13" /* host addr for server */

#define SERV_HOST_ADDR "127.0.0.1" /* host addr for server */

ssize_t readline(int fd, void *vptr, size_t maxlen);

ssize_t writen(int fd, const void *vptr, size_t n);

EOF

cat > Makefile << "EOF"

MYLIB = error.o writen.o readline.o

#LIBS =

CFLAGS = -O -Wall -Wno-unused-variable

all: $(MYLIB) tcp udp unixstr unixdg sockopt

rm -f *.o

lib: $(MYLIB)

# Internet stream version (TCP protocol).

tcp: tcpserv tcpcli

tcpcli.o tcpserv.o: inet.h common.h

tcpserv: tcpserv.o strecho.o

$(CC) $(CFLAGS) -o $@ tcpserv.o strecho.o $(MYLIB)

tcpcli: tcpcli.o strcli.o

$(CC) $(CFLAGS) -o $@ tcpcli.o strcli.o $(MYLIB)

# Internet datagram version (UDP protocol).

udp: udpserv udpcli

udpcli.o udpserv.o: inet.h common.h

udpserv: udpserv.o dgecho.o

$(CC) $(CFLAGS) -o $@ udpserv.o dgecho.o $(MYLIB)

udpcli: udpcli.o dgcli.o

$(CC) $(CFLAGS) -o $@ udpcli.o dgcli.o $(MYLIB)

# UNIX stream version.

unixstr: unixstrserv unixstrcli

unixstrcli.o unixstrserv.o: unix.h common.h

unixstrserv: unixstrserv.o strecho.o

$(CC) $(CFLAGS) -o $@ unixstrserv.o strecho.o $(MYLIB)

unixstrcli: unixstrcli.o strcli.o

$(CC) $(CFLAGS) -o $@ unixstrcli.o strcli.o $(MYLIB)

# UNIX datagram version.

unixdg: unixdgserv unixdgcli

unixdgcli.o unixdgserv.o: unix.h common.h

unixdgserv: unixdgserv.o dgecho.o

$(CC) $(CFLAGS) -o $@ unixdgserv.o dgecho.o $(MYLIB)

unixdgcli: unixdgcli.o dgcli.o

$(CC) $(CFLAGS) -o $@ unixdgcli.o dgcli.o $(MYLIB)

sockopt: sockopt.o common.h

$(CC) $(CFLAGS) -o $@ sockopt.o $(MYLIB)

clean disclean:

-rm -f *.o core a.out temp*.* \

tcpserv tcpcli udpserv udpcli \

unixstrserv unixstrcli unixdgserv unixdgcli \

s.unixdg s.unixstr sockopt

EOF

# Исправить восемь пробелов на TAB

sed -i 's/ /\t\t/g' Makefile

cat > readline.c << "EOF"

#include "common.h"

static ssize_t my_read(int fd, char *ptr) {

static int read_cnt = 0;

static char *read_ptr;

static char read_buf[MAXLINE];

if (read_cnt <= 0) {

again:

if ((read_cnt = read(fd, read_buf, sizeof(read_buf))) < 0) {

if (errno == EINTR) goto again;

return(-1);

} else if (read_cnt == 0)

return(0);

read_ptr = read_buf;

}

read_cnt--;

*ptr = *read_ptr++;

return(1);

}

ssize_t readline(int fd, void *vptr, size_t maxlen) {

int n, rc;

char c, *ptr;

ptr = vptr;

for (n = 1; n < maxlen; n++) {

if ((rc = my_read(fd, &c)) == 1) {

*ptr++ = c;

if (c == '\n') break; /* newline is stored, like fgets() */

} else if (rc == 0) {

if(n == 1) return(0); /* EOF, no data read */

else break; /* EOF, some data was read */

} else return(-1); /* error, errno set by read() */

}

*ptr = 0; /* null terminate like fgets() */

return(n);

}

EOF

cat > sockopt.c << "EOF"

/* Example of getsockopt() and setsockopt(). */

#include "common.h"

#include <sys/types.h>

#include <sys/socket.h> /* for SOL_SOCKET and SO_xx values */

#include <netinet/in.h> /* for IPPROTO_TCP value */

#include <netinet/tcp.h> /* for TCP_MAXSEG value */

int main() {

int sockfd, maxseg, sendbuff; //, optlen;

if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0)

err_sys("can't create socket");

/* Fetch and print the TCP maximum segment size. */

socklen_t optlen = sizeof(maxseg);

if (getsockopt(sockfd, IPPROTO_TCP, TCP_MAXSEG, (char*)&maxseg, &optlen) < 0)

err_sys("TCP_MAXSEG getsockopt error");

printf("TCP maxseg = %d\n", maxseg);

/* Set the send buffer size, then fetch it and print its value. */

sendbuff = 16384; /* just some number for example purposes */

if (setsockopt(sockfd, SOL_SOCKET, SO_SNDBUF,

(char*)&sendbuff, sizeof(sendbuff)) < 0)

err_sys("SO_SNDBUF setsockopt error");

optlen = sizeof(sendbuff);

if (getsockopt(sockfd, SOL_SOCKET, SO_SNDBUF,

(char*)&sendbuff, &optlen) < 0)

err_sys("SO_SNDBUF getsockopt error");

printf("send buffer size = %d\n", sendbuff);

}

EOF

cat > strcli.c << "EOF"

/* Read the contents of the FILE *fp, write each line to the

* stream socket (to the server process), then read a line back from

* the socket and write it to the standard output.

* Return to caller when an EOF is encountered on the input file.

#include "common.h"

void str_cli(register FILE* fp, register int sockfd) {

int n;

while (fgets(sendline, MAXLINE, fp) != NULL) {

n = strlen(sendline);

if (writen(sockfd, sendline, n) != n)

err_sys("str_cli: writen error on socket");

/* Now read a line from the socket and

* write it to our standard output. */

n = readline(sockfd, recvline, MAXLINE);

if (n < 0) err_dump("str_cli: readline error");

recvline[n] = 0; /* null terminate */

fputs(recvline, stdout);

}

if (ferror(fp))

err_sys("str_cli: error reading file");

}

EOF

cat > strecho.c << "EOF"

/* Read a stream socket one line at a time, and write each line back

* to the sender.

* Return when the connection is terminated.

#include "common.h"

void str_echo(int sockfd) {

int n;

for (;;) {

n = readline(sockfd, recvline, MAXLINE);

if (n == 0) return; /* connection terminated */

else if (n < 0) err_dump("str_echo: readline error");

if (writen(sockfd, recvline, n) != n)

err_dump("str_echo: writen error");

}

EOF

cat > tcpcli.c << "EOF"

/* Example of client using TCP protocol. */

#include "inet.h"

int main(int argc, char* argv[]) {

int sockfd; // TCP сокет

struct sockaddr_in serv_addr; // заполнить структуру адреса сервера

bzero((char*)&serv_addr, sizeof(serv_addr));

serv_addr.sin_family = AF_INET;

serv_addr.sin_addr.s_addr = inet_addr(SERV_HOST_ADDR);

serv_addr.sin_port = htons(SERV_TCP_PORT);

/* Open a TCP socket (an Internet stream socket). */

if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0)

err_sys("client: can't open stream socket");

/* Connect to the server. */

if (connect(sockfd, (struct sockaddr*)&serv_addr, sizeof(serv_addr)) < 0)

err_sys("client: can't connect to server");

str_cli(stdin, sockfd); // цикл обменов с сервером

close(sockfd);

exit(0);

}

EOF

cat > tcpserv.c << "EOF"

/* Example of server using TCP protocol. */

#include "inet.h"

int main(int argc, char* argv[]) {

int sockfd; // TCP сокет

if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0)

err_dump("server: can't open stream socket");

struct sockaddr_in serv_addr; // инициализировать униадресом

bzero((char*)&serv_addr, sizeof(serv_addr));

serv_addr.sin_family = AF_INET;

serv_addr.sin_addr.s_addr = htonl(INADDR_ANY);

serv_addr.sin_port = htons(SERV_TCP_PORT);

if (bind(sockfd, (struct sockaddr*)&serv_addr, sizeof(serv_addr)) < 0)

err_dump("server: can't bind local address");

listen(sockfd, 5);

for (;;) { // цикл по подключения

socklen_t clilen = sizeof(serv_addr);

int childpid, newsockfd;

newsockfd = accept(sockfd, (struct sockaddr*)&serv_addr, &clilen);

if (newsockfd < 0) // ожидать соединения

err_dump("server: accept error");

if ((childpid = fork()) < 0)

err_dump("server: fork error");

else if (childpid == 0) { // обрабатывать в дочернем процессе

close(sockfd); // закрыть копию прослушивающего сокета

str_echo(newsockfd); // ретранслировать полученные данные

exit(0); // завершить дочерний процесс

}

close(newsockfd); // в роительском процессе

}

EOF

cat > unixdgcli.c << "EOF"

/* Example of client using UNIX domain datagram protocol. */

#include "unix.h"

int main(int argc, char* argv[]) {

int sockfd, clilen, servlen;

char *mktemp();

struct sockaddr_un cli_addr, serv_addr;

/* Fill in the structure "serv_addr" with the address

* of the server that we want to send to. */

bzero((char*)&serv_addr, sizeof(serv_addr));

serv_addr.sun_family = AF_UNIX;

strcpy(serv_addr.sun_path, UNIXDG_PATH);

servlen = sizeof(serv_addr.sun_family) + strlen(serv_addr.sun_path);

/* Open a socket (a UNIX domain datagram socket). */

if ((sockfd = socket(AF_UNIX, SOCK_DGRAM, 0)) < 0)

err_dump("client: can't open datagram socket");

/* Bind a local address for us.

* In the UNIX domain we have to choose our own name (that

* should be unique). We'll use mktemp() to create a unique

* pathname, based on our process id.

bzero((char*)&cli_addr, sizeof(cli_addr)); /* zero out */

cli_addr.sun_family = AF_UNIX;

strcpy(cli_addr.sun_path, UNIXDG_TMP);

mktemp(cli_addr.sun_path);

clilen = sizeof(cli_addr.sun_family) + strlen(cli_addr.sun_path);

if (bind(sockfd, (struct sockaddr*)&cli_addr, clilen) < 0)

err_dump("client: can't bind local address");

dg_cli(stdin, sockfd, (struct sockaddr*)&serv_addr, servlen);

close(sockfd);

unlink(cli_addr.sun_path);

exit(0);

}

EOF

cat > unixdgserv.c << "EOF"

/* Example of server using UNIX domain datagram protocol. */

#include "unix.h"

int main(int argc, char* argv[]) {

int sockfd, servlen;

struct sockaddr_un serv_addr, cli_addr;

/* Open a socket (a UNIX domain datagram socket). */

if ((sockfd = socket(AF_UNIX, SOCK_DGRAM, 0)) < 0)

err_dump("server: can't open datagram socket");

/* Bind our local address so that the client can send to us. */

unlink(UNIXDG_PATH); /* in case it was left from last time */

bzero((char*)&serv_addr, sizeof(serv_addr));

serv_addr.sun_family = AF_UNIX;

strcpy(serv_addr.sun_path, UNIXDG_PATH);

servlen = sizeof(serv_addr.sun_family) + strlen(serv_addr.sun_path);

if (bind(sockfd, (struct sockaddr*)&serv_addr, servlen) < 0)

err_dump("server: can't bind local address");

dg_echo(sockfd, (struct sockaddr*)&cli_addr, sizeof(cli_addr));

}

EOF

cat > unix.h << "EOF"

* Definitions for UNIX domain stream and datagram client/server programs.

#include <stdio.h>

#include <sys/types.h>

#include <sys/socket.h>

#include <sys/un.h>

#include "common.h"

#define UNIXSTR_PATH "./s.unixstr"

#define UNIXDG_PATH "./s.unixdg"

#define UNIXDG_TMP "/tmp/dg.XXXXXX"

char *pname;

EOF

cat > unixstrcli.c << "EOF"

/* Example of client using UNIX domain stream protocol. */

#include "unix.h"

int main(int argc, char* argv[]) {

int sockfd, servlen;

struct sockaddr_un serv_addr;

/* Fill in the structure "serv_addr" with the address

* of the server that we want to send to. */

bzero((char*)&serv_addr, sizeof(serv_addr));

serv_addr.sun_family = AF_UNIX;

strcpy(serv_addr.sun_path, UNIXSTR_PATH);

servlen = strlen(serv_addr.sun_path) + sizeof(serv_addr.sun_family);

/* Open a socket (an UNIX domain stream socket). */

if ((sockfd = socket(AF_UNIX, SOCK_STREAM, 0)) < 0)

err_sys("client: can't open stream socket");

/* Connect to the server. */

if (connect(sockfd, (struct sockaddr*)&serv_addr, servlen) < 0)

err_sys("client: can't connect to server");

str_cli(stdin, sockfd); /* do it all */

close(sockfd);

exit(0);

}

EOF

cat > unixstrserv.c << "EOF"

/* Example of server using UNIX domain stream protocol. */

#include "unix.h"

int main(int argc, char* argv[]) {

int sockfd, newsockfd, childpid, servlen;

struct sockaddr_un cli_addr, serv_addr;

/* Open a socket (a UNIX domain stream socket). */

if ((sockfd = socket(AF_UNIX, SOCK_STREAM, 0)) < 0)

err_dump("server: can't open stream socket");

/* Bind our local address so that the client can send to us. */

bzero((char*)&serv_addr, sizeof(serv_addr));

serv_addr.sun_family = AF_UNIX;

strcpy(serv_addr.sun_path, UNIXSTR_PATH);

servlen = strlen(serv_addr.sun_path) + sizeof(serv_addr.sun_family);

if (bind(sockfd, (struct sockaddr*)&serv_addr, servlen) < 0)

err_dump("server: can't bind local address");

listen(sockfd, 5);

for (; ;) {

/* Wait for a connection from a client process.

* This is an example of a concurrent server. */

socklen_t clilen = sizeof(cli_addr);

newsockfd = accept(sockfd, (struct sockaddr*)&cli_addr, &clilen);

if (newsockfd < 0) err_dump("server: accept error");

if ((childpid = fork()) < 0) err_dump("server: fork error");

else if (childpid == 0) { /* child process */

close(sockfd); /* close original socket */

str_echo(newsockfd); /* process the request */

exit(0);

}

close(newsockfd); /* parent process */

}

EOF

cat > writen.c << "EOF"

#include "common.h"

/* Write "n" bytes to a descriptor */

ssize_t writen(int fd, const void *vptr, size_t n) {

size_t nleft;

ssize_t nwritten;

nleft = n;

while (nleft > 0) {

if ((nwritten = write(fd, vptr, nleft)) <= 0) {

if (errno == EINTR) nwritten = 0; /* and call write() again */

else return(-1); /* error */

}

nleft -= nwritten;

vptr += nwritten;

}

return(n);

}

EOF

Для компиляции используй:

make

Использование:

./udpserv

./udpcli

./tcpserv

./tcpcli

./unixdgserv

./unixdgcli

./unixstrserv

./unixstrcli

./sockopt

Драйверы и сетевые устройства в ядре Linux

Linux - операционная система с монолитным ядром.
!!! Альтернативой системы с монолитным ядром является микро ядерные операционные системы (которых создано очень мало)

Проблемы у монолитного ядра, это расширения функциональности (Решёное погрузкой модулей) 
Такие модули загружаясь  связываются с API ядра  и его структурами данных по абсолютным адресам размещения. 
Адреса всех модулей можно посмотреть в псевдо файле /proc/kallsyms и их кол-во может достигать десятков тысяч (с каждой новой версией ядра становится все больше)
cat /proc/kallsyms

Подсчитать количество:
cat /proc/kallsyms | wc -l

Пример что значит строки в выводе "cat /proc/kallsyms | head" :
cat /proc/kallsyms | head -n1
ffff800008000000 T _text
ffff800008000000 - это абсолютный адрес для вызова этой функции ядра
T - сегмент текста (т.е. кода)
_text - внешнее имя драйвера (модуля)

Linux - операционная система с монолитным ядром.

!!! Альтернативой системы с монолитным ядром является микро ядерные операционные системы (которых создано очень мало)

Проблемы у монолитного ядра, это расширения функциональности (Решёное погрузкой модулей)

Такие модули загружаясь связываются с API ядра и его структурами данных по абсолютным адресам размещения.

Адреса всех модулей можно посмотреть в псевдо файле /proc/kallsyms и их кол-во может достигать десятков тысяч (с каждой новой версией ядра становится все больше)

cat /proc/kallsyms

Подсчитать количество:

cat /proc/kallsyms | wc -l

Пример что значит строки в выводе "cat /proc/kallsyms | head" :

cat /proc/kallsyms | head -n1

ffff800008000000 T _text

ffff800008000000 - это абсолютный адрес для вызова этой функции ядра

T - сегмент текста (т.е. кода)

_text - внешнее имя драйвера (модуля)

ОС с микро ядерной архитектурой:

Операционные системы с микроядерной архитектурой включают:

Minix — учебная операционная система, использующая микроядро. 
Стала основой для создания концепции микроядерных систем.

QNX — коммерческая реальная ОС с микроядром, широко используемая в автомобильной и встраиваемой электронике.

L4 — семейство микроядер, которое используется в исследовательских и промышленных системах, 
таких как системы безопасности и встраиваемые системы. 
Есть несколько версий L4, например, L4Ka::Pistachio, Fiasco.

GNU Hurd — проект свободной операционной системы, использующий микроядро Mach.
Hurd разрабатывался как часть проекта GNU для замены Unix-подобных систем.

Mach — изначально разработанное микроядро, которое повлияло на разработку других микроядер. 
Использовалось как основа для NeXTSTEP и позднее стало частью macOS в виде гибридного ядра XNU.

Integrity — реальная ОС с микроядром, используемая в авиационной и медицинской технике.

Genode — платформа, основанная на микроядре, ориентированная на безопасность и высокую модульность встраиваемых систем.

Операционные системы с микроядерной архитектурой включают:

Minix — учебная операционная система, использующая микроядро.

Стала основой для создания концепции микроядерных систем.

QNX — коммерческая реальная ОС с микроядром, широко используемая в автомобильной и встраиваемой электронике.

L4 — семейство микроядер, которое используется в исследовательских и промышленных системах,

таких как системы безопасности и встраиваемые системы.

Есть несколько версий L4, например, L4Ka::Pistachio, Fiasco.

GNU Hurd — проект свободной операционной системы, использующий микроядро Mach.

Hurd разрабатывался как часть проекта GNU для замены Unix-подобных систем.

Mach — изначально разработанное микроядро, которое повлияло на разработку других микроядер.

Использовалось как основа для NeXTSTEP и позднее стало частью macOS в виде гибридного ядра XNU.

Integrity — реальная ОС с микроядром, используемая в авиационной и медицинской технике.

Genode — платформа, основанная на микроядре, ориентированная на безопасность и высокую модульность встраиваемых систем.

Сборка своего модуля ядра hello_printk.c

Обратите внимание что данный Makefile создан с использованием макросов разработчиками ядра  
и он будет повторятся с минимальными изменениями для любых модулей ядра. 
cat  > Makefile << "EOF" 
CONFIG_MODULE_SIG=n

CURRENT = $(shell uname -r)
KDIR = /lib/modules/$(CURRENT)/build
PWD = $(shell pwd)
DEST = /lib/modules/$(CURRENT)/misc
TARGET = hello_printk

obj-m      := $(TARGET).o

all: default clean
#all: default

default: 
        $(MAKE) -C $(KDIR) M=$(PWD) modules

install:
        cp -v $(TARGET).ko $(DEST)
#      /sbin/depmod -v | grep $(TARGET)
        /sbin/depmod
        /sbin/insmod $(TARGET).ko
        /sbin/lsmod | grep $(TARGET)

uninstall:
        /sbin/rmmod $(TARGET)
        rm -v $(DEST)/$(TARGET).ko
        /sbin/depmod

clean:
        @rm -f *.o .*.cmd .*.flags *.mod.c *.order
        @rm -f .*.*.cmd *.symvers *~ *.*~
        @rm -fR .tmp* *.mod
        @rm -rf .tmp_versions

disclean: clean
        @rm -f *.ko
EOF

# Исправить восемь пробелов на TAB
sed -i 's/        /\t\t/g' Makefile 

cat >  hello_printk.c << "EOF" 
#include <linux/module.h>

MODULE_LICENSE("GPL");
MODULE_AUTHOR("LALA <mail@gmail.com>>");

static int __init hello_init(void) {
   printk("Hello, world!\n");
   return 0;
}

static void __exit hello_exit(void) {
   printk("Goodbye, world!\n");
}

module_init(hello_init);
module_exit(hello_exit);
EOF

Для сборки используем:
make

!!!Обратите внимание что начиная с версии ядра 2.6 имя модуля ядра изменилось на ".o" на ".ko"
Формат файла модуля является обычный объектный файл ELF, но дополненный в таблице внешних имен дополнительными именами
(__mod_author5, __mod_license4, __mod_srcversion23, __module_depends, __mod_vermagic5 и прочими)

Узнать информацию о собранном модуле можно командой modinfo:
file hello_print.ko
modinfo ./hello_print.ko

Загрузить:
!!! insmod - не проверяет зависимости, по этому ее использование опасно
modprobe  ./hello_print.ko

Для выгрузки:
rmmod hello_print

Обратите внимание что данный Makefile создан с использованием макросов разработчиками ядра

и он будет повторятся с минимальными изменениями для любых модулей ядра.

cat > Makefile << "EOF"

CONFIG_MODULE_SIG=n

CURRENT = $(shell uname -r)

KDIR = /lib/modules/$(CURRENT)/build

PWD = $(shell pwd)

DEST = /lib/modules/$(CURRENT)/misc

TARGET = hello_printk

obj-m := $(TARGET).o

all: default clean

#all: default

default:

$(MAKE) -C $(KDIR) M=$(PWD) modules

install:

cp -v $(TARGET).ko $(DEST)

# /sbin/depmod -v | grep $(TARGET)

/sbin/depmod

/sbin/insmod $(TARGET).ko

/sbin/lsmod | grep $(TARGET)

uninstall:

/sbin/rmmod $(TARGET)

rm -v $(DEST)/$(TARGET).ko

/sbin/depmod

clean:

@rm -f *.o .*.cmd .*.flags *.mod.c *.order

@rm -f .*.*.cmd *.symvers *~ *.*~

@rm -fR .tmp* *.mod

@rm -rf .tmp_versions

disclean: clean

@rm -f *.ko

EOF

# Исправить восемь пробелов на TAB

sed -i 's/ /\t\t/g' Makefile

cat > hello_printk.c << "EOF"

#include <linux/module.h>

MODULE_LICENSE("GPL");

MODULE_AUTHOR("LALA <mail@gmail.com>>");

static int __init hello_init(void) {

printk("Hello, world!\n");

return 0;

}

static void __exit hello_exit(void) {

printk("Goodbye, world!\n");

}

module_init(hello_init);

module_exit(hello_exit);

EOF

Для сборки используем:

make

!!!Обратите внимание что начиная с версии ядра 2.6 имя модуля ядра изменилось на ".o" на ".ko"

Формат файла модуля является обычный объектный файл ELF, но дополненный в таблице внешних имен дополнительными именами

(__mod_author5, __mod_license4, __mod_srcversion23, __module_depends, __mod_vermagic5 и прочими)

Узнать информацию о собранном модуле можно командой modinfo:

file hello_print.ko

modinfo ./hello_print.ko

Загрузить:

!!! insmod - не проверяет зависимости, по этому ее использование опасно

modprobe ./hello_print.ko

Для выгрузки:

rmmod hello_print

Модули ядра, точки входа и завершения:

Любой модуль должен иметь объявление функции входа(инициализации) модуля и его завершения (не обязательно, может и отсутствовать).

Функция инициализации будет вызываться после проверки и соблюдения всех условий достаточных для инициализации.
Выполнение команды insmod для модуля.
Функция инициализации имеет прототип и объявляется именно как функция инициализации макросом module_init():
static int __int hello_int(void) {
...
}
module_init(hello_init);


Функция завершения будет вызывается при выполнение команды rmmod
функция завершения имеет прототип module_exit():
static void __exit hello_exit(void){
...
}
module_exit(hello_exit);
Обратите внимание что функция завершения по своему прототипу не имеет возвращаемого значения 
и поэтому не может сообщить о невозможности каких=либо действий, когда уже начала выполнятся.
Идея состоит в том что система сама проверит возможность завершения , и если это не возможно
то просто не выполнит эту функцию.


Существует еще один не документированный способ описания этих функций:
а именно init_module() и clean_module()
выглядят они так:
int init_module(void) {
...
}
void cleanup_module(void) {
...
}
при такой записи необходимость в макросах module_int() и module_xit отпадает и 
задействовать квалификатор static с такими записями нельзя!
такая запись ухудшает читаемость кода

Любой модуль должен иметь объявление функции входа(инициализации) модуля и его завершения (не обязательно, может и отсутствовать).

Функция инициализации будет вызываться после проверки и соблюдения всех условий достаточных для инициализации.

Выполнение команды insmod для модуля.

Функция инициализации имеет прототип и объявляется именно как функция инициализации макросом module_init():

static int __int hello_int(void) {

...

}

module_init(hello_init);

Функция завершения будет вызывается при выполнение команды rmmod

функция завершения имеет прототип module_exit():

static void __exit hello_exit(void){

...

}

module_exit(hello_exit);

Обратите внимание что функция завершения по своему прототипу не имеет возвращаемого значения

и поэтому не может сообщить о невозможности каких=либо действий, когда уже начала выполнятся.

Идея состоит в том что система сама проверит возможность завершения , и если это не возможно

то просто не выполнит эту функцию.

Существует еще один не документированный способ описания этих функций:

а именно init_module() и clean_module()

выглядят они так:

int init_module(void) {

...

}

void cleanup_module(void) {

...

}

при такой записи необходимость в макросах module_int() и module_xit отпадает и

задействовать квалификатор static с такими записями нельзя!

такая запись ухудшает читаемость кода

Модули ядра, вывод диагностики модуля:

Для диагностики модуля используется функция printk()
По функционалу похож на функцию printf()

Сам вызов printk() и сопутствующие ему константы \ определения вы найдете в файле:
/lib/modules/`uname -r`/build/include/linux/kernel.h
asmlinkage int printk(const char * fmt, ...) 

#define KERN_EMERG    "<0>"
#define KERN_ALERT    "<1>"
#define KERN_CRIT     "<2>"
#define KERN_ERR      "<3>"
#define KERN_WARNING  "<4>"
#define KERN_NOTICE   "<5>"
#define KERN_INFO     "<6>"
#define KERN_DEBUG    "<7>"


зависимости модулей прописаны в файле (информацию о них modprobe черпает из него)
cat /lib/modules/`uname -r`/modules.dep
Если modprobe получает универсальный идентификатор, то она сначала пытается найти его в файлах /etc/modprobe.conf (утарело)
и в каталоге /etc/modprobe.d/*.conf

!!! inmod никак не проверяет зависимости, если обнаруживает не разрешенные имена, то завершает работу аварийно.

depmod - показывает зависимости

Для диагностики модуля используется функция printk()

По функционалу похож на функцию printf()

Сам вызов printk() и сопутствующие ему константы \ определения вы найдете в файле:

/lib/modules/`uname -r`/build/include/linux/kernel.h

asmlinkage int printk(const char * fmt, ...)

#define KERN_EMERG "<0>"

#define KERN_ALERT "<1>"

#define KERN_CRIT "<2>"

#define KERN_ERR "<3>"

#define KERN_WARNING "<4>"

#define KERN_NOTICE "<5>"

#define KERN_INFO "<6>"

#define KERN_DEBUG "<7>"

зависимости модулей прописаны в файле (информацию о них modprobe черпает из него)

cat /lib/modules/`uname -r`/modules.dep

Если modprobe получает универсальный идентификатор, то она сначала пытается найти его в файлах /etc/modprobe.conf (утарело)

и в каталоге /etc/modprobe.d/*.conf

!!! inmod никак не проверяет зависимости, если обнаруживает не разрешенные имена, то завершает работу аварийно.

depmod - показывает зависимости

Параметры загрузки модуля

Из командной строки передаются через массив argv[]
Для каждого параметра определяется переменная-параметр, далее эти переменные используются в макросе module_param().
Подобный макрос следует записать для каждого предусмотренного параметра, и он должен последовательно определить:
1) имя параметра и переменной
2) тип значения этой переменной
3) права доступа к параметру (отображаемое как путевое имя в системе псевдо каталог /sys)

Значения параметрам могут быть установлены во время загрузки модуля через insmod и modprobe
modprobe также может прочитать файл /etc/modprobe.conf

Обработка входных параметров модуля обеспечивается макросами  описанными в <linux/moduleparam.h>
И там множество!
Но чаще всего вы встретите  module_param() и module_param_array()


Пример кода:
cat  > mod_params.c << "EOF"
#include <linux/module.h>
#include <linux/moduleparam.h>
#include <linux/string.h>

MODULE_LICENSE("GPL");
MODULE_AUTHOR("OLA laA <mail@gmail.com>>");

static int iparam = 0;        // целочисленный параметр
module_param(iparam, int, 0);

static int k = 0;             // имена параметра и переменной различаются
module_param_named(nparam, k, int, 0);

static bool bparam = true;    // логический инверсный парамер
module_param(bparam, invbool, 0);

static char* sparam;          // строчный параметр
module_param(sparam, charp, 0);

#define FIXLEN 5
static char s[FIXLEN] = "";   // имена параметра и переменной различаются
module_param_string(cparam, s, sizeof(s), 0); // копируемая строка

static int aparam[] = { 0, 0, 0, 0, 0 };      // параметр - целочисленный массив
static int arnum = sizeof(aparam)/ sizeof(aparam[0]);
module_param_array(aparam, int, &arnum, S_IRUGO | S_IWUSR);

static int __init mod_init(void) {
   int j;
   char msg[40] = "";
   printk("========================================\n");
   printk("iparam = %d\n", iparam);
   printk("nparam = %d\n", k);
   printk("bparam = %d\n", bparam);
   printk("sparam = %s\n", sparam);
   printk("cparam = %s {%ld}\n", s, (long)strlen(s));
   sprintf(msg, "aparam [ %d ] = ", arnum );
   for(j = 0; j < arnum; j++) sprintf(msg + strlen(msg), " %d ", aparam[j]);
   printk("%s\n", msg );
   printk("========================================\n");
   return -1;
}
         
module_init(mod_init);

EOF

cat  > Makefile << "EOF" 
CURRENT = $(shell uname -r)
KDIR = /lib/modules/$(CURRENT)/build
PWD = $(shell pwd)

TARGET = mod_params

obj-m      := $(TARGET).o

all: default clean

default: $(TARGET).c 
        $(MAKE) -C $(KDIR) M=$(PWD) modules

clean:
        @rm -f *.o .*.cmd .*.flags *.mod.c *.order
        @rm -f .*.*.cmd *.symvers *~ *.*~ TODO.*
        @rm -fR .tmp* *.mod
        @rm -rf .tmp_versions

disclean: clean
        @rm -f $(TARGET).ko 

EOF


# Исправить восемь пробелов на TAB
sed -i 's/        /\t\t/g' Makefile 


Примеры использования:
insmod mod_params.ko
insmod ./mod_params.ko iparam=3 sparam=zxcv aparam=5,4,3
insmod ./mod_params.ko iparam=3 sparam=zxcv aparam=5,4,3,2,1,0
insmod ./mod_params.ko iparam=qwerty
insmod ./mod_params.ko iparam=3 nparam=4 sparam=str1 cparam=str2 aparam=5,4,3
insmod mod_params.ko sparam='new'
insmod mod_params.ko iparam=3 nparam=4 bparam=1 sparam=str1 cparam=str2 aparam=5,4,3

Ошибка?
echo $?
Если последняя команда выполнилась и 0 нет ошибки, если > 0 есть ошибка 

Ну и вывод смотрим с помощью dmesg 
dmesg 
dmesg -w
dmesg | tail -n9

100

101

102

103

104

105

106

107

108

109

110

111

Из командной строки передаются через массив argv[]

Для каждого параметра определяется переменная-параметр, далее эти переменные используются в макросе module_param().

Подобный макрос следует записать для каждого предусмотренного параметра, и он должен последовательно определить:

1) имя параметра и переменной

2) тип значения этой переменной

3) права доступа к параметру (отображаемое как путевое имя в системе псевдо каталог /sys)

Значения параметрам могут быть установлены во время загрузки модуля через insmod и modprobe

modprobe также может прочитать файл /etc/modprobe.conf

Обработка входных параметров модуля обеспечивается макросами описанными в <linux/moduleparam.h>

И там множество!

Но чаще всего вы встретите module_param() и module_param_array()

Пример кода:

cat > mod_params.c << "EOF"

#include <linux/module.h>

#include <linux/moduleparam.h>

#include <linux/string.h>

MODULE_LICENSE("GPL");

MODULE_AUTHOR("OLA laA <mail@gmail.com>>");

static int iparam = 0; // целочисленный параметр

module_param(iparam, int, 0);

static int k = 0; // имена параметра и переменной различаются

module_param_named(nparam, k, int, 0);

static bool bparam = true; // логический инверсный парамер

module_param(bparam, invbool, 0);

static char* sparam; // строчный параметр

module_param(sparam, charp, 0);

#define FIXLEN 5

static char s[FIXLEN] = ""; // имена параметра и переменной различаются

module_param_string(cparam, s, sizeof(s), 0); // копируемая строка

static int aparam[] = { 0, 0, 0, 0, 0 }; // параметр - целочисленный массив

static int arnum = sizeof(aparam)/ sizeof(aparam[0]);

module_param_array(aparam, int, &arnum, S_IRUGO | S_IWUSR);

static int __init mod_init(void) {

int j;

char msg[40] = "";

printk("========================================\n");

printk("iparam = %d\n", iparam);

printk("nparam = %d\n", k);

printk("bparam = %d\n", bparam);

printk("sparam = %s\n", sparam);

printk("cparam = %s {%ld}\n", s, (long)strlen(s));

sprintf(msg, "aparam [ %d ] = ", arnum );

for(j = 0; j < arnum; j++) sprintf(msg + strlen(msg), " %d ", aparam[j]);

printk("%s\n", msg );

printk("========================================\n");

return -1;

}

module_init(mod_init);

EOF

cat > Makefile << "EOF"

CURRENT = $(shell uname -r)

KDIR = /lib/modules/$(CURRENT)/build

PWD = $(shell pwd)

TARGET = mod_params

obj-m := $(TARGET).o

all: default clean

default: $(TARGET).c

$(MAKE) -C $(KDIR) M=$(PWD) modules

clean:

@rm -f *.o .*.cmd .*.flags *.mod.c *.order

@rm -f .*.*.cmd *.symvers *~ *.*~ TODO.*

@rm -fR .tmp* *.mod

@rm -rf .tmp_versions

disclean: clean

@rm -f $(TARGET).ko

EOF

# Исправить восемь пробелов на TAB

sed -i 's/ /\t\t/g' Makefile

Примеры использования:

insmod mod_params.ko

insmod ./mod_params.ko iparam=3 sparam=zxcv aparam=5,4,3

insmod ./mod_params.ko iparam=3 sparam=zxcv aparam=5,4,3,2,1,0

insmod ./mod_params.ko iparam=qwerty

insmod ./mod_params.ko iparam=3 nparam=4 sparam=str1 cparam=str2 aparam=5,4,3

insmod mod_params.ko sparam='new'

insmod mod_params.ko iparam=3 nparam=4 bparam=1 sparam=str1 cparam=str2 aparam=5,4,3

Ошибка?

echo $?

Если последняя команда выполнилась и 0 нет ошибки, если > 0 есть ошибка

Ну и вывод смотрим с помощью dmesg

dmesg

dmesg -w

dmesg | tail -n9

Модуль ядра, подсчет ссылок использования:

Одно из важных  понятий модуля.
При загрузки модуля начальное значение счетчика  ссылок нулевое.
При загрузке любого следующего модуля, который использует(импортирует) имена, экспортируемые этим модулем, счетчик ссылок такого модуля инкрементируется.

!!!
Модуль, счетчик ссылок использования которого ненулевой, не может быть выгружен командой rmmod.
Некорректное обращение к несуществующему модулю гарантирует крах всей системы.

Пример:
lsmod | grep i2c
i2c_algo_bit           20480  1 i915
i2c_i801               45056  0
i2c_smbus              20480  1 i2c_i801
i2c_mux                16384  1 i2c_i801
i2c_dev                28672  0

Взглянем на:
i2c_smbus              20480  1 i2c_i801 
Значение ссылок  равно 1 
Далее i2c_i801 перечислены использующие его модули (модули которые на него ссылаются) 
До тех пор пока модуль i2c_i801 не будет удален из системы, модуль i2c_smbus будет невозможно удалить.

функции вызова определены в файле <linux/module.h>
int try_module _get(struct module *module) - увеличить счетчик ссылок для модуля (возвращает признак успешности операции)
void module_put(struct module *module) - уменьшает счетчик ссылок для модуля
unsigned int module_refcount(struct module *mod) - возвратить значение счетчика ссылок для модуля

В качестве параметра всех этих вызовов, как правило, передается константный указатель THIS_MODULE, так что вызовы выглядят примерно так:
try_module_get(THIS_MODULE);

!!!
Возможность управлять значениями счетчика ссылок из собственного модуля есть, но делать это не рекомендуется.

Одно из важных понятий модуля.

При загрузки модуля начальное значение счетчика ссылок нулевое.

При загрузке любого следующего модуля, который использует(импортирует) имена, экспортируемые этим модулем, счетчик ссылок такого модуля инкрементируется.

!!!

Модуль, счетчик ссылок использования которого ненулевой, не может быть выгружен командой rmmod.

Некорректное обращение к несуществующему модулю гарантирует крах всей системы.

Пример:

lsmod | grep i2c

i2c_algo_bit 20480 1 i915

i2c_i801 45056 0

i2c_smbus 20480 1 i2c_i801

i2c_mux 16384 1 i2c_i801

i2c_dev 28672 0

Взглянем на:

i2c_smbus 20480 1 i2c_i801

Значение ссылок равно 1

Далее i2c_i801 перечислены использующие его модули (модули которые на него ссылаются)

До тех пор пока модуль i2c_i801 не будет удален из системы, модуль i2c_smbus будет невозможно удалить.

функции вызова определены в файле <linux/module.h>

int try_module _get(struct module *module) - увеличить счетчик ссылок для модуля (возвращает признак успешности операции)

void module_put(struct module *module) - уменьшает счетчик ссылок для модуля

unsigned int module_refcount(struct module *mod) - возвратить значение счетчика ссылок для модуля

В качестве параметра всех этих вызовов, как правило, передается константный указатель THIS_MODULE, так что вызовы выглядят примерно так:

try_module_get(THIS_MODULE);

!!!

Возможность управлять значениями счетчика ссылок из собственного модуля есть, но делать это не рекомендуется.

Структура данных сетевого стека:

Сетевая реализация построена так, чтобы не зависеть от конкретики протоколов.
Основной структурой данных является struct net_device, описывает сетевое устройство.

Основной структурой обмениваемых данных между сетевыми устройствами являются "буферы сокетов"
Определена в <linux/skbuff.h>
struct sk_buff
данные управления "head"
данные пакета "data"

Буферы  сокетов всегда указывают в очереди( struct sk_queue_head ) посредством своих первых полей "next" и  "prev"

Пример полей структуры:
typedef unsigned char *sk_buff data_t;
struct sk_buff {
  stuckt sk_buff *next;
  struct sk_buff *prev;
...
  sk_buff_data_t transport_header;
  sk_buff_data_t network_header;
  sk_buff_data_t mac_header;
...
unsigned char *head,
              *data;
...
};

Структура вложенности заголовков сетевых уровней в точности соответствует структуре инкапсуляции сетевых протоколов внутри друг друга 
- это позволяет обрабатывающему слою получить доступ к информации, относящейся только нужному ему слою.


Экземпляры данных типа struct sk_buff:
ПОЛУЧАТЕЛЬ:
Возникают при поступлении очередного сетевого пакета из внешней физической среды распространения данных.
Об этом событии извещает прерывание IRQ, генерируемое сетевым адаптером.
При этом создается экземпляр буфера сокета, заполняется данными из поступающего пакета и далее передается вверх от сетевого слоя к слою до приложения 
прикладного уровня, которое является получателем пакета.
На этом экземпляр данных буфера сокета уничтожается.
ОТПРАВИТЕЛЬ:
Возникает в среде приложения прикладного уровня, которое является отправителем пакета данных.
Пакет отправителя данных помещается в созданный буфер сокета, который начинает перемещается вниз от сетевого слоя к слою достижения канального уровня L2.
На этом уровне осуществляется физическая передача данных пакета через сетевой адаптер в среду распространения.
В случае успешного завершения передачи  (подтверждается прерыванием, генерируем сетевым адаптером , часто по той же линии IRQ, что и при приеме пакета)
буфер сокета уничтожается.
При отсутствии подтверждения отправки(IRQ) обычно делается несколько повторных попыток, прежде чем принять решение об ошибке канала.

Сетевая реализация построена так, чтобы не зависеть от конкретики протоколов.

Основной структурой данных является struct net_device, описывает сетевое устройство.

Основной структурой обмениваемых данных между сетевыми устройствами являются "буферы сокетов"

Определена в <linux/skbuff.h>

struct sk_buff

данные управления "head"

данные пакета "data"

Буферы сокетов всегда указывают в очереди( struct sk_queue_head ) посредством своих первых полей "next" и "prev"

Пример полей структуры:

typedef unsigned char *sk_buff data_t;

struct sk_buff {

stuckt sk_buff *next;

struct sk_buff *prev;

...

sk_buff_data_t transport_header;

sk_buff_data_t network_header;

sk_buff_data_t mac_header;

...

unsigned char *head,

*data;

...

};

Структура вложенности заголовков сетевых уровней в точности соответствует структуре инкапсуляции сетевых протоколов внутри друг друга

- это позволяет обрабатывающему слою получить доступ к информации, относящейся только нужному ему слою.

Экземпляры данных типа struct sk_buff:

ПОЛУЧАТЕЛЬ:

Возникают при поступлении очередного сетевого пакета из внешней физической среды распространения данных.

Об этом событии извещает прерывание IRQ, генерируемое сетевым адаптером.

При этом создается экземпляр буфера сокета, заполняется данными из поступающего пакета и далее передается вверх от сетевого слоя к слою до приложения

прикладного уровня, которое является получателем пакета.

На этом экземпляр данных буфера сокета уничтожается.

ОТПРАВИТЕЛЬ:

Возникает в среде приложения прикладного уровня, которое является отправителем пакета данных.

Пакет отправителя данных помещается в созданный буфер сокета, который начинает перемещается вниз от сетевого слоя к слою достижения канального уровня L2.

На этом уровне осуществляется физическая передача данных пакета через сетевой адаптер в среду распространения.

В случае успешного завершения передачи (подтверждается прерыванием, генерируем сетевым адаптером , часто по той же линии IRQ, что и при приеме пакета)

буфер сокета уничтожается.

При отсутствии подтверждения отправки(IRQ) обычно делается несколько повторных попыток, прежде чем принять решение об ошибке канала.

Путь пакета сквозь стек протоколов / Прием: традиционный подход

Традиционный подход состоит в том, что каждый приходящий сетевой пакет порождает аппаратное прерывание 
по линии IRQ адаптера, что и служит сигналом  на прием очередного сетевого пакета и создание буфера сокета для 
его сохранения и обработки принятых данных.
Порядок действий:
1. Читая конфигурационную область PCI-адаптера сети при инициализации модуля,
определяем линию прерывания IRQ, которая будет обслуживать сетевой обмен:
char irq; 
pci_read_config_byte(pdev, PCI_INTERRUPT_LINE, &byte);
2. При инициализации сетевого интерфейса для этой линии IRQ устанавливается обработчик прерывания my_interrupt():
reques_irq(int)irq, my_interrupt, IRQF_SHARED, "my_interrupt", &my_dev_id);
3. В обработчике прерывания по приему нового пакета в сеть - здесь нужен
анализ причины по чтению некоего аппаратного флага) создается (или запрашивается из пула используемых) новый экземпляр буфера сокетов:
static irqreturn_t my_interrupt(int irq, void *dev_id) {
   ...
   struct sk_buff *skb = kmalloc(sizeof(struct sk_buff), ...);
   // заполнение данных *skb чтением из портов сетевого адаптера
   netif_rx(skb);
   return IRQ_HANDLED;
}
Все эти действия выполняются не в самом обработчике верхней половины прерываний от сетевого адаптера, 
а в обработчике отложенного прерывания NET_RX_SOFTIRQ для этой линии.
Последним действием является передача заполненного сокетного буфера вызову netifrx() (или netif_receive_skb()), 
который и запустит процесс движения его (буфера) по структуре сетевого стека (отметит отложенное программное прерывание NET_RX_SOFTIRQ для исполнения).

Традиционный подход состоит в том, что каждый приходящий сетевой пакет порождает аппаратное прерывание

по линии IRQ адаптера, что и служит сигналом на прием очередного сетевого пакета и создание буфера сокета для

его сохранения и обработки принятых данных.

Порядок действий:

1. Читая конфигурационную область PCI-адаптера сети при инициализации модуля,

определяем линию прерывания IRQ, которая будет обслуживать сетевой обмен:

char irq;

pci_read_config_byte(pdev, PCI_INTERRUPT_LINE, &byte);

2. При инициализации сетевого интерфейса для этой линии IRQ устанавливается обработчик прерывания my_interrupt():

reques_irq(int)irq, my_interrupt, IRQF_SHARED, "my_interrupt", &my_dev_id);

3. В обработчике прерывания по приему нового пакета в сеть - здесь нужен

анализ причины по чтению некоего аппаратного флага) создается (или запрашивается из пула используемых) новый экземпляр буфера сокетов:

static irqreturn_t my_interrupt(int irq, void *dev_id) {

...

struct sk_buff *skb = kmalloc(sizeof(struct sk_buff), ...);

// заполнение данных *skb чтением из портов сетевого адаптера

netif_rx(skb);

return IRQ_HANDLED;

}

Все эти действия выполняются не в самом обработчике верхней половины прерываний от сетевого адаптера,

а в обработчике отложенного прерывания NET_RX_SOFTIRQ для этой линии.

Последним действием является передача заполненного сокетного буфера вызову netifrx() (или netif_receive_skb()),

который и запустит процесс движения его (буфера) по структуре сетевого стека (отметит отложенное программное прерывание NET_RX_SOFTIRQ для исполнения).

Путь пакета сквозь стек протоколов / Прием: высокоскоростной интерфейс

Особенность сетевых интерфейсов в том, что их активность носит взрывной характер.
В один момент времени может не быть трафика совсем(обмен ARP пакетами не в счёт), в другой его много.

!!!
Современные сетевые интерфейсы имеют скорости 10+ Гбит, и уже при более скромных скоростях традиционный подход становится нецелесообразным:
Новые приходящие пакеты создают вложенные запросы IRQ несколько уровней при еще не обслуженном приеме текущего IRQ;
Асинхронное обслуживание каждого IRQ в плотном потоке создает слишком большие накладные расходы.

Поэтому был добавлен набор API для обработки таких  плотных потоков пакетов, 
поступающих с высокоскоростных интерфейсов, который и получил название NAPI (New API).
Идея состоит в том,  чтобы прием пакетов осуществлять не методом прерывания, а методом программного опроса (poling)
точнее комбинацией этих двух возможностей:

 При поступлении первого пакета "пачки" инициируется прерывание IRQ адаптера(все начинается как в традиционном методе);

 В обработчике прерывания запрещается поступление дальнейших запросов прерывания с этой линии IRQ по приему пакетов, 
IRQ с этой линии по отправке пакетов могут продолжать пропускать - т.е. установленный запрет происходит не программным
запретом линии IRQ со стороны процессора, а записью управляющей информации в аппаратные регистры сетевого адаптера.
Тесть сетевой адаптер это должен уметь делать. (все современные адаптеры умет это делать)

 После прекращения прерываний по приему обработчик переходит в режим циклического считывания и обработки принятых   
из сети пакетов, сетевой адаптер при этом накапливает поступающие пакеты  во внутреннем кольцевом буфере приема, 
либо до определенного порогового числа считанных пакетов (10, 20, ...), называемого бюджетом функции поллинга.

 Считывание и обработка  пакетов происходит обработчике прерываний в его отстроченной (нижней) части.

 Каждому принятому в опросе пакету генерируется сокетный буфер для продвижения его по стеку сетевых протоколов вверх

 После завершения цикла программного опроса по его результатам устанавливается состояния завершения:
NAPI_STATE_DISABLE(если не осталось считанных пакетов в кольцевом буфере адаптера) или NAPI_STATE_SCHED(что говорит,
что устройство адаптера должно продолжать опрашиваться, когда ядро в следующий раз перейдет к циклу опросов 
в отложенном обработчике прерываний)

 Если результатом является NAPI_STATE_DISABLE, то после завершения цикла программного опроса восстанавливается разрешение 
генерации прерываний по линии IRQ приема пакетов(записью в порты сетевого адаптера)



1. Реализатор обязан создать и зарегистрировать специфичную функцию для модуля функции опроса(poll-функцию), используя вызов (<netdevice.h>)
static inline void netif_napi_add(struct net_device *dev,
                                  struct napi_struct *napi,
                                  int (*poll)(struct napi_struct *,int),
                                  int weight);
dev - сетевой интерфейс
poll - функция программного опроса
weight - относительный вес \ 10MIb,100Mib  = 16 \ 10Gib и 100Gib = 64
napi - указатель на специальную структуру, со значениями state = NAPI_STATE_DISABLE \ state = NAPI_STATE_SCHED  

struct napi_struct {
  struct list_head poll_list;
  unsingned long state;
  int weight;
  int (*poll) (struct napi_struct*, int);
};

2. Зарегистрированная функция программного опроса ( полностью зависимая от задачи и реализуемая в коде модуля имеет подобный вид;
static int my_card_poll(struct napi_struct *napi, int budget) {
       int work_done; // число реально обработанных в цикле опроса сетевых пакетов
       work_done = my_card_input(budget, ...); // реализационно специфический прием пакетов
       if (work_done < budget ) {
          netif_rx_complete(netdev, napi);
          my_card_enable_irq(...); // разрешить IRQ приема
       }
       retun work_done;
}

my_card_input() - пытается аппаратно считать budget сетевых пакетов
Для каждого считанного сетевого пакета создается сокетный буфер и вызывает netif_receive_skb()
если кольцевой буфер исчерпается ранее budget то будет вызвана netif_rx_complete() что отменит отложенное програмное прерывание  NET_RX_SOFTIRQ

3. Обработчик аппаратного прерывания линии IRQ сетевого адаптера:
static irqretur_t my_interrupt(int irq, void *dev_id) {
   struct net_debice *netdev = dev_id;
   if (likely(netif_rx_schedule_prep(netdev, ...))) {
     my_card_disable_irq(...); // запретить IRQ приема
     __netif_rx_schedule(netdev, ...);
   }
    return IRQ_HANDLED;
}

Ядро должно быть уведомлено что новая порция сетевых пакетов готова для обработки.
Для этого:
вызов netif_rx_schedule_prep() устанавливает состояние NAPI_STATE_SCHED
если он успешен, то вызовом __netif_rx_schedule() устройство помещается в список программного опроса  в цикле обработки отложенного программного прерывания NET_RQ_SOFTIRQ


Опрос не должен потреблять более одного системного тика(глобальная переменная jiffiels), иначе это будет искажать диспетчеризацию потоков ядра
Бюджет не должен быть больше глобального установленного ограничения
cat /proc/sys/net/core/netdev_budget

Особенность сетевых интерфейсов в том, что их активность носит взрывной характер.

В один момент времени может не быть трафика совсем(обмен ARP пакетами не в счёт), в другой его много.

!!!

Современные сетевые интерфейсы имеют скорости 10+ Гбит, и уже при более скромных скоростях традиционный подход становится нецелесообразным:

Новые приходящие пакеты создают вложенные запросы IRQ несколько уровней при еще не обслуженном приеме текущего IRQ;

Асинхронное обслуживание каждого IRQ в плотном потоке создает слишком большие накладные расходы.

Поэтому был добавлен набор API для обработки таких плотных потоков пакетов,

поступающих с высокоскоростных интерфейсов, который и получил название NAPI (New API).

Идея состоит в том, чтобы прием пакетов осуществлять не методом прерывания, а методом программного опроса (poling)

точнее комбинацией этих двух возможностей:

При поступлении первого пакета "пачки" инициируется прерывание IRQ адаптера(все начинается как в традиционном методе);

В обработчике прерывания запрещается поступление дальнейших запросов прерывания с этой линии IRQ по приему пакетов,

IRQ с этой линии по отправке пакетов могут продолжать пропускать - т.е. установленный запрет происходит не программным

запретом линии IRQ со стороны процессора, а записью управляющей информации в аппаратные регистры сетевого адаптера.

Тесть сетевой адаптер это должен уметь делать. (все современные адаптеры умет это делать)

После прекращения прерываний по приему обработчик переходит в режим циклического считывания и обработки принятых

из сети пакетов, сетевой адаптер при этом накапливает поступающие пакеты во внутреннем кольцевом буфере приема,

либо до определенного порогового числа считанных пакетов (10, 20, ...), называемого бюджетом функции поллинга.

Считывание и обработка пакетов происходит обработчике прерываний в его отстроченной (нижней) части.

Каждому принятому в опросе пакету генерируется сокетный буфер для продвижения его по стеку сетевых протоколов вверх

После завершения цикла программного опроса по его результатам устанавливается состояния завершения:

NAPI_STATE_DISABLE(если не осталось считанных пакетов в кольцевом буфере адаптера) или NAPI_STATE_SCHED(что говорит,

что устройство адаптера должно продолжать опрашиваться, когда ядро в следующий раз перейдет к циклу опросов

в отложенном обработчике прерываний)

Если результатом является NAPI_STATE_DISABLE, то после завершения цикла программного опроса восстанавливается разрешение

генерации прерываний по линии IRQ приема пакетов(записью в порты сетевого адаптера)

1. Реализатор обязан создать и зарегистрировать специфичную функцию для модуля функции опроса(poll-функцию), используя вызов (<netdevice.h>)

static inline void netif_napi_add(struct net_device *dev,

struct napi_struct *napi,

int (*poll)(struct napi_struct *,int),

int weight);

dev - сетевой интерфейс

poll - функция программного опроса

weight - относительный вес \ 10MIb,100Mib = 16 \ 10Gib и 100Gib = 64

napi - указатель на специальную структуру, со значениями state = NAPI_STATE_DISABLE \ state = NAPI_STATE_SCHED

struct napi_struct {

struct list_head poll_list;

unsingned long state;

int weight;

int (*poll) (struct napi_struct*, int);

};

2. Зарегистрированная функция программного опроса ( полностью зависимая от задачи и реализуемая в коде модуля имеет подобный вид;

static int my_card_poll(struct napi_struct *napi, int budget) {

int work_done; // число реально обработанных в цикле опроса сетевых пакетов

work_done = my_card_input(budget, ...); // реализационно специфический прием пакетов

if (work_done < budget ) {

netif_rx_complete(netdev, napi);

my_card_enable_irq(...); // разрешить IRQ приема

}

retun work_done;

}

my_card_input() - пытается аппаратно считать budget сетевых пакетов

Для каждого считанного сетевого пакета создается сокетный буфер и вызывает netif_receive_skb()

если кольцевой буфер исчерпается ранее budget то будет вызвана netif_rx_complete() что отменит отложенное програмное прерывание NET_RX_SOFTIRQ

3. Обработчик аппаратного прерывания линии IRQ сетевого адаптера:

static irqretur_t my_interrupt(int irq, void *dev_id) {

struct net_debice *netdev = dev_id;

if (likely(netif_rx_schedule_prep(netdev, ...))) {

my_card_disable_irq(...); // запретить IRQ приема

__netif_rx_schedule(netdev, ...);

}

return IRQ_HANDLED;

}

Ядро должно быть уведомлено что новая порция сетевых пакетов готова для обработки.

Для этого:

вызов netif_rx_schedule_prep() устанавливает состояние NAPI_STATE_SCHED

если он успешен, то вызовом __netif_rx_schedule() устройство помещается в список программного опроса в цикле обработки отложенного программного прерывания NET_RQ_SOFTIRQ

Опрос не должен потреблять более одного системного тика(глобальная переменная jiffiels), иначе это будет искажать диспетчеризацию потоков ядра

Бюджет не должен быть больше глобального установленного ограничения

cat /proc/sys/net/core/netdev_budget

Передача пакета:

ndo (Net Device Operation)
При инициализации сетевого интерфейса создается таблица операций сетевого интерфейса, одно из полей которой -
- ndo_start_xmit - определяет функцию передачи пакета в сеть:
struct net_device_ops ndo = {
   .ndo_open = my_open,
   .ndo_stop = my_close,
   .ndo_start_xmit = stub_start_xmit,
};

При вызове stub_start_xmit должна обеспечить аппаратную передачу полученного сокета в сеть, после чего уничтожает(возвращает в пул) буфер сокета:
static int stab_start_xmit(struct sk)buff *skb, struct net_device *dev) {
       // ... апаратное обслуживание передачи
       dev _kfree_skb(skb);
       return 0;
}

Реально чаще уничтожение отправлено буфера будет происходить не при инициализации операции, а при ее успешном завершении, что отслеживается той же IRQ,
что и прием пакетов из сети. 


Часто задаваемый вопрос:
а где же в этом процессе место (код), где создается информация для буферов?, где потребляется информация из принимаемых сокетных буферов?
Ответ прост:
Интерфейс из этого прикладного уровня в стек протоколов ядра обеспечивается известным POSIX API сокетов прикладного уровня.

ndo (Net Device Operation)

При инициализации сетевого интерфейса создается таблица операций сетевого интерфейса, одно из полей которой -

- ndo_start_xmit - определяет функцию передачи пакета в сеть:

struct net_device_ops ndo = {

.ndo_open = my_open,

.ndo_stop = my_close,

.ndo_start_xmit = stub_start_xmit,

};

При вызове stub_start_xmit должна обеспечить аппаратную передачу полученного сокета в сеть, после чего уничтожает(возвращает в пул) буфер сокета:

static int stab_start_xmit(struct sk)buff *skb, struct net_device *dev) {

// ... апаратное обслуживание передачи

dev _kfree_skb(skb);

return 0;

}

Реально чаще уничтожение отправлено буфера будет происходить не при инициализации операции, а при ее успешном завершении, что отслеживается той же IRQ,

что и прием пакетов из сети.

Часто задаваемый вопрос:

а где же в этом процессе место (код), где создается информация для буферов?, где потребляется информация из принимаемых сокетных буферов?

Ответ прост:

Интерфейс из этого прикладного уровня в стек протоколов ядра обеспечивается известным POSIX API сокетов прикладного уровня.

Драйверы: сетевой интерфейс

Задача сетевого интерфейса - быть местом в котором:
Создаются экземпляры структуры "struct sk_buff" по каждому принятому из интерфейса пакету (здесь нужно принимать во внимание возможность сегментации IP-пакетов),
далее созданный экземпляр структуры продвигается по стеку протоколов вверх до получателя пользовательского пространства, где он и уничтожается.
Исходящие экземпляры структуры "struct sk_buff", порожденные где-то на верхних уровнях протоколов пользовательского пространства, должны отправляться
(чаще всего каким-то аппаратным механизмом), а сами экземпляры структуры после этого - уничтожатся.

Пример кода:
cat > network.c << "EOF"
/*
 * (c) Copyright Jerry Cooperstein, 2009
 * (c) Copyright Oleg Tsiliuric, 2011
 */
#include <linux/module.h>
#include <linux/version.h>
#include <linux/netdevice.h>

static struct net_device *dev;

static int my_open(struct net_device *dev) {
   printk(KERN_INFO "! Hit: my_open(%s)\n", dev->name);
   /* start up the transmission queue */
   netif_start_queue(dev);
   return 0;
}

static int my_close(struct net_device *dev) {
   printk(KERN_INFO "! Hit: my_close(%s)\n", dev->name);
   /* shutdown the transmission queue */
   netif_stop_queue(dev);
   return 0;
}

/* Note this method is only needed on some; without it
   module will fail upon removal or use. At any rate there is a memory
   leak whenever you try to send a packet through in any case*/
static int stub_start_xmit(struct sk_buff *skb, struct net_device *dev) {
   dev_kfree_skb(skb);
   return 0;
}

static struct net_device_ops ndo = {
   .ndo_open = my_open,
   .ndo_stop = my_close,
   .ndo_start_xmit = stub_start_xmit,
};

static void my_setup(struct net_device *dev) {
   /* Fill in the MAC address with a phoney */
   char *pa = (char*)dev->dev_addr;
   for(int j = 0; j < ETH_ALEN; j++) 
      *pa++ = (char)j;
   ether_setup(dev);
   dev->netdev_ops = &ndo;
}

static int __init my_init(void) {
   printk(KERN_INFO "! Loading stub network module:....");
#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))
   dev = alloc_netdev(0, "fict%d", my_setup);
#else
   dev = alloc_netdev(0, "fict%d", NET_NAME_ENUM, my_setup);
#endif
   if(register_netdev(dev)) {
      printk(KERN_INFO "! Failed to register\n");
      free_netdev(dev);
      return -1;
   }
   printk(KERN_INFO "! Succeeded in loading %s!\n", dev_name(&dev->dev));
   return 0;
}

static void __exit my_exit(void) {
   printk(KERN_INFO "! Unloading stub network module\n");
   unregister_netdev(dev);
   free_netdev(dev);
}

module_init(my_init);
module_exit(my_exit);

MODULE_AUTHOR("Bill Shubert");
MODULE_AUTHOR("Jerry Cooperstein");
MODULE_AUTHOR("Tatsuo Kawasaki");
MODULE_AUTHOR("Oleg Tsiliuric");
MODULE_DESCRIPTION("LDD:1.0 s_24/lab1_network.c");
MODULE_LICENSE("GPL v2");

EOF

cat > Makefile << "EOF"
CURRENT = $(shell uname -r)
KDIR = /lib/modules/$(CURRENT)/build
PWD = $(shell pwd)
DEST = /lib/modules/$(CURRENT)/misc

EXTRA_CFLAGS += -std=gnu99

TARGET1 = devices
TARGET2 = network
TARGET3 = transmit_simple
TARGET4 = transmit
TARGET5 = receive
TARGET6 = mulnet

obj-m   := $(TARGET1).o $(TARGET2).o $(TARGET3).o \
           $(TARGET4).o $(TARGET5).o $(TARGET6).o

all: default clean

default:
        $(MAKE) -C $(KDIR) M=$(PWD) modules

install:
        cp -v $(TARGET).ko $(DEST)
        /sbin/depmod -v | grep $(TARGET)
        /sbin/insmod $(TARGET).ko
        /sbin/lsmod | grep $(TARGET)

uninstall:
        /sbin/rmmod $(TARGET)
        rm -v $(DEST)/$(TARGET).ko
        /sbin/depmod

clean:
        @rm -f *.o .*.cmd .*.flags *.mod.c *.order
        @rm -f .*.*.cmd *.symvers *~ *.*~
        @rm -fR .tmp* .*.d .*.cmd *.mod
        @rm -rf .tmp_versions

disclean: clean
        @rm -f *.ko

EOF

# Исправить восемь пробелов на TAB
sed -i 's/        /\t\t/g' Makefile 


cat > devices.c << "EOF"
#include <linux/module.h>
#include <linux/init.h>
#include <linux/netdevice.h>

static int __init my_init(void) {
   struct net_device *dev;
   printk(KERN_INFO "Hello: module loaded at 0x%px\n", my_init);
   dev = first_net_device(&init_net);
   printk(KERN_INFO "Hello: dev_base address=0x%px\n", dev);
   while (dev) { 
      char smac[ETH_ALEN*3];
      struct rtnl_link_stats64 stat = {};
      for(int j = 0; j < ETH_ALEN; j++)
         sprintf(smac + j * 3, "%02x%c",
                 dev->dev_addr[j], ETH_ALEN - 1 != j ? ':' : '\0' );
      if (dev->netdev_ops->ndo_get_stats64 != NULL)
         dev->netdev_ops->ndo_get_stats64(dev, &stat);
      printk(KERN_INFO "name=%-6s irq=%-3d MAC=%s "
                       "rx_bytes=%-8llu tx_bytes=%-8llu \n",
                       dev->name, dev->irq, smac,
                       stat.rx_bytes, stat.tx_bytes);
      dev = next_net_device(dev);
    }
    return -1;
}

module_init(my_init);

MODULE_AUTHOR("Oleg Tsiliuric");
MODULE_LICENSE("GPL v2");

EOF


cat > transmit_simple.c << "EOF"
/*
 * (c) Copyright Jerry Cooperstein, 2009
 * (c) Copyright Oleg Tsiliuric, 2011-2022
 */

/*
 * Building a Transmitting Network Driver (simple solution)
 *
 * Extend your stub network device driver to include a transmission
 * function, which means supplying a method for
 * dev->hard_start_xmit().
 *
 * While you are at it, you may want to add other entry points to see
 * how you may exercise them.
 *
 * Once again, you should be able to exercise it with:
 *
 *   insmod transmit_simple.ko
 *   ifconfig mynet0 up 192.168.3.197
 *   ping -I mynet0 localhost
 *       or
 *   ping -bI mynet0 192.168.3
 *
 * Make sure your chosen address is not being used by anything else.
 */
#include <linux/module.h>
#include <linux/version.h>
#include <linux/init.h>
#include <linux/netdevice.h>

static int debug = 0;               // уровень отладочного вывода
module_param(debug, int, 0);

static struct net_device *dev;

static int my_hard_start_xmit(struct sk_buff *skb, struct net_device *dev) {
   struct netdev_queue *pnq = skb_get_tx_queue(dev, skb);
//static inline struct netdev_queue *skb_get_tx_queue(const struct net_device *dev,
//                            const struct sk_buff *skb)
   pnq->trans_start = jiffies;
   if(debug > 0)
      printk(KERN_INFO "! my_hard_start_xmit(%s) - sending packet :\n",
             dev->name);   
   if(debug > 1) {
      char line[3 * 16 + 1]; //, *plin = (char*)&line; 
      /* print out 16 bytes per line */
      for(int i = 0; i < skb->len; ++i) {
         int pos = i % 16;
         if((i > 0) && (i & 0xf) == 0)
            printk(KERN_INFO "! %s\n", line);
         sprintf((char*)line + pos * 3, "%02x ", skb->data[i]);
      }
      printk(KERN_INFO "\n");
   }
   dev_kfree_skb(skb);
   return 0;
}

static int my_open(struct net_device *dev) {
   printk(KERN_INFO "! Hit: my_open(%s)\n", dev->name);
   /* start up the transmission queue */
   netif_start_queue(dev);
   return 0;
}

static int my_close(struct net_device *dev) {
   printk(KERN_INFO "! Hit: my_close(%s)\n", dev->name);
   /* shutdown the transmission queue */
   netif_stop_queue(dev);
   return 0;
}

static struct net_device_ops ndo = {
   .ndo_open = my_open,
   .ndo_stop = my_close,
   .ndo_start_xmit = my_hard_start_xmit,
};

static void my_setup(struct net_device *dev ) {
   /* Fill in the MAC address with a phoney */
   char *pa = (char*)dev->dev_addr;
   for(int j = 0; j < ETH_ALEN; j++) 
      *pa++ = (char)j;
   ether_setup(dev);
   dev->netdev_ops = &ndo;
   dev->flags |= IFF_NOARP;
}

static int __init my_init(void) {
   printk(KERN_INFO "! Loading transmitting network module:....");
   printk(KERN_INFO "! debug level = %d", (int)debug);
#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))
   dev = alloc_netdev(0, "mynet%d", my_setup);
#else
   dev = alloc_netdev(0, "mynet%d", NET_NAME_ENUM,  my_setup);
#endif
   if(register_netdev(dev)) {
      printk(KERN_INFO "! Failed to register\n");
      free_netdev(dev);
      return -1;
   }
   printk(KERN_INFO "! Succeeded in loading %s!\n", dev_name(&dev->dev));
   return 0;
}

static void __exit my_exit(void) {
   printk(KERN_INFO "! Unloading transmitting network module\n");
   unregister_netdev(dev);
   free_netdev(dev);
}

module_init(my_init);
module_exit(my_exit);

MODULE_AUTHOR("Bill Shubert");
MODULE_AUTHOR("Jerry Cooperstein");  // "LDD:1.0 s_26/lab1_transmit_simple.c"  
MODULE_AUTHOR("Oleg Tsiliuric");
MODULE_DESCRIPTION("");
MODULE_LICENSE("GPL v2");

EOF


cat > transmit.c  << "EOF"
/*
 * (c) Copyright Jerry Cooperstein, 2009
 * (c) Copyright Oleg Tsiliuric, 2011
 */
#include <linux/module.h>
#include <linux/version.h>
#include <linux/init.h>
#include <linux/netdevice.h>

static struct net_device *dev;
static struct net_device_stats *stats;

static int my_hard_start_xmit(struct sk_buff *skb, struct net_device *dev) {
   struct netdev_queue *pnq = skb_get_tx_queue(dev, skb);
   pnq->trans_start = jiffies;   
   printk(KERN_INFO "! my_hard_start_xmit(%s) - Sending packet :\n", dev->name);
//   printk(KERN_INFO "! Sending packet :\n");
   for(int i = 0; i < skb->len; ++i) {
      /* print out 16 bytes per line */
      char line[3 * 16 + 1];
      int pos = i % 16;
      if((i > 0) && (i & 0xf) == 0)
         printk(KERN_INFO "! %s\n", line);
      sprintf((char*)line + pos * 3, "%02x ", skb->data[i]);
   }
   printk(KERN_INFO "\n");
   dev_kfree_skb(skb);
   ++stats->tx_packets;
   return 0;
}

static int my_do_ioctl(struct net_device *dev, struct ifreq *ifr, int cmd) {
   printk(KERN_INFO "! my_do_ioctl(%s)\n", dev->name);
   return -1;
}

static struct net_device_stats *my_get_stats(struct net_device *dev) {
   printk(KERN_INFO "! my_get_stats(%s)\n", dev->name);
   return stats;
}

/* This is where ifconfig comes down and tells us who we are, etc.
 * We can just ignore this. */
static int my_config(struct net_device *dev, struct ifmap *map) {
   printk(KERN_INFO "! my_config(%s)\n", dev->name);
   if(dev->flags & IFF_UP) 
      return -EBUSY;
   return 0;
}

static int my_change_mtu(struct net_device *dev, int new_mtu) {
   printk(KERN_INFO "! my_change_mtu(%s)\n", dev->name);
   return -1;
}

static int my_open(struct net_device *dev) {
   printk(KERN_INFO "! Hit: my_open(%s)\n", dev->name);
   /* start up the transmission queue */
   netif_start_queue(dev);
   return 0;
}

static int my_close(struct net_device *dev) {
   printk(KERN_INFO "! Hit: my_close(%s)\n", dev->name);
   /* shutdown the transmission queue */
   netif_stop_queue(dev);
   return 0;
}

static struct net_device_ops ndo = {
   .ndo_open = my_open,
   .ndo_stop = my_close,
   .ndo_start_xmit = my_hard_start_xmit,
   .ndo_do_ioctl = my_do_ioctl,
   .ndo_get_stats = my_get_stats,
   .ndo_set_config = my_config,
   .ndo_change_mtu = my_change_mtu,
};

static void my_setup(struct net_device *dev) {
   /* Fill in the MAC address with a phoney */
   char *pa = (char*)dev->dev_addr;
   for(int j = 0; j < ETH_ALEN; j++) 
      *pa++ = (char)j;
   ether_setup(dev);
   dev->netdev_ops = &ndo;
   dev->flags |= IFF_NOARP;
   stats = &dev->stats;
   /* Just for laughs, let's claim that we've seen 50 collisions. */
   stats->collisions = 50;
}

static int __init my_init(void) {
   printk(KERN_INFO "! Loading transmitting network module:....");
#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))
   dev = alloc_netdev(0, "mynet%d", my_setup);
#else
   dev = alloc_netdev(0, "mynet%d", NET_NAME_ENUM, my_setup);
#endif
   if(register_netdev(dev)) {
      printk(KERN_INFO "! Failed to register\n");
      free_netdev(dev);
      return -1;
   }
   printk(KERN_INFO "! Succeeded in loading %s!\n", dev_name(&dev->dev));
   return 0;
}

static void __exit my_exit(void) {
   printk(KERN_INFO "! Unloading transmitting network module\n");
   unregister_netdev(dev);
   free_netdev(dev);
}

module_init(my_init);
module_exit(my_exit);

MODULE_AUTHOR("Bill Shubert");
MODULE_AUTHOR("Jerry Cooperstein");  // LDD:1.0 s_26/lab1_transmit.c
MODULE_AUTHOR("Oleg Tsiliuric");
MODULE_DESCRIPTION("");
MODULE_LICENSE("GPL v2");

EOF




cat > receive.c << "EOF"
/*
 * (c) Copyright Jerry Cooperstein, 2009
 * (c) Copyright Oleg Tsiliuric, 2011-2022
 *
 * Adding Reception
 *
 * Extend your transmitting device driver to include a reception
 * function.
 *
 * You can do a loopback method in which any packet sent out is
 * received.
 *
 * Be careful not to create memory leaks!
 *
 */

#include <linux/module.h>
#include <linux/version.h>
#include <linux/init.h>
#include <linux/netdevice.h>

static struct net_device *dev;
static struct net_device_stats *stats;

static void my_rx(struct sk_buff *skb, struct net_device *dev) {
   /* just a loopback, already has the skb */
   printk(KERN_INFO "! I'm receiving a packet\n");
   ++stats->rx_packets;
   netif_rx(skb);
}

static int my_hard_start_xmit(struct sk_buff *skb, struct net_device *dev) {
   struct netdev_queue *pnq;
   printk(KERN_INFO "! my_hard_start_xmit(%s)\n", dev->name);
   pnq = skb_get_tx_queue(dev, skb);
   pnq->trans_start = jiffies;   
   printk(KERN_INFO "! Sending packet :\n");
   /* print out 16 bytes per line */
   for(int i = 0; i < skb->len; ++i) {
      if((i & 0xf) == 0)
         printk(KERN_INFO "\n  ");
      printk(KERN_INFO "%02x ", skb->data[i]);
   }
   printk(KERN_INFO "\n");
   ++stats->tx_packets;
   /* loopback it */
   my_rx(skb, dev);
   return 0;
}

static int my_do_ioctl(struct net_device *dev, struct ifreq *ifr, int cmd) {
   printk(KERN_INFO "! my_do_ioctl(%s)\n", dev->name);
   return -1;
}

static struct net_device_stats *my_get_stats(struct net_device *dev) {
   printk(KERN_INFO "! my_get_stats(%s)\n", dev->name);
   return stats;
}

/*
 * This is where ifconfig comes down and tells us who we are, etc.
 * We can just ignore this.
 */
static int my_config(struct net_device *dev, struct ifmap *map) {
   printk(KERN_INFO "! my_config(%s)\n", dev->name);
   if(dev->flags & IFF_UP) 
      return -EBUSY;
   return 0;
}

static int my_change_mtu(struct net_device *dev, int new_mtu) {
   printk(KERN_INFO "! my_change_mtu(%s)\n", dev->name);
   return -1;
}

static int my_open(struct net_device *dev) {
   printk(KERN_INFO "! Hit: my_open(%s)\n", dev->name);
   /* start up the transmission queue */
   netif_start_queue(dev);
   return 0;
}

static int my_close(struct net_device *dev) {
   printk(KERN_INFO "! Hit: my_close(%s)\n", dev->name);
   /* shutdown the transmission queue */
   netif_stop_queue(dev);
   return 0;
}

static struct net_device_ops ndo = {
   .ndo_open = my_open,
   .ndo_stop = my_close,
   .ndo_start_xmit = my_hard_start_xmit,
   .ndo_do_ioctl = my_do_ioctl,
   .ndo_get_stats = my_get_stats,
   .ndo_set_config = my_config,
   .ndo_change_mtu = my_change_mtu,
};

static void my_setup(struct net_device *dev) {
   /* Fill in the MAC address with a phoney */
   char *pa = (char*)dev->dev_addr;
   for(int j = 0; j < ETH_ALEN; j++) 
      *pa++ = (char)j;
   ether_setup(dev);
   dev->netdev_ops = &ndo;
   dev->flags |= IFF_NOARP;
   stats = &dev->stats;
   /* Just for laughs, let's claim that we've seen 50 collisions. */
   stats->collisions = 50;
}

static int __init my_init(void) {
   printk(KERN_INFO "! Loading transmitting network module:....");

#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))
   dev = alloc_netdev(0, "mynet%d", my_setup);
#else
   dev = alloc_netdev(0, "mynet%d", NET_NAME_ENUM, my_setup);
#endif
   if(register_netdev(dev)) {
      printk(KERN_INFO "! Failed to register\n");
      free_netdev(dev);
      return -1;
   }
   printk(KERN_INFO "! Succeeded in loading %s!\n\n", dev_name(&dev->dev));
   return 0;
}

static void __exit my_exit(void) {
   printk(KERN_INFO "! Unloading transmitting network module\n\n");
   unregister_netdev(dev);
   free_netdev(dev);
}

module_init(my_init);
module_exit(my_exit);

MODULE_AUTHOR("Bill Shubert");
MODULE_AUTHOR("Jerry Cooperstein");  // LDD:1.0 s_26/lab2_receive.c 
MODULE_AUTHOR("Oleg Tsiliuric");
MODULE_DESCRIPTION("");
MODULE_LICENSE("GPL v2");
EOF



cat >  mulnet.c  << "EOF"
/*
 * (c) Copyright Jerry Cooperstein, 2009
 * (c) Copyright Oleg Tsiliuric, 2011-2022
 */
#include <linux/module.h>
#include <linux/version.h>
#include <linux/netdevice.h>

static uint num = 1;               // число создаваемых интерфейсов
module_param(num, uint, 0);
static char* title;               // префикс имени интерфейсов
module_param(title, charp, 0);
static int digit = 1;             // числовые суфиксы (по умолчанию)
module_param(digit, int, 0);
#if (LINUX_VERSION_CODE >= KERNEL_VERSION(3, 17, 0))
static int mode = 1;              // режим нумерации интерфейсов
module_param(mode, int, 0);
#endif

#define MAX_LINK 5
static struct net_device* adev[MAX_LINK] = {}; //{ NULL, NULL, NULL, NULL, NULL, NULL };

static int my_open(struct net_device *dev) {
   printk(KERN_INFO "! my_open(%s)\n", dev->name);
   /* start up the transmission queue */
   netif_start_queue(dev);
   return 0;
}

static int my_close(struct net_device *dev) {
   printk(KERN_INFO "! my_close(%s)\n", dev->name);
   /* shutdown the transmission queue */
   netif_stop_queue(dev);
   return 0;
}

/* Note this method is only needed on some; without it
   module will fail upon removal or use. At any rate there is a memory
   leak whenever you try to send a packet through in any case*/
static int stub_start_xmit(struct sk_buff *skb, struct net_device *dev) {
   dev_kfree_skb(skb);
   return 0;
}

static struct net_device_ops ndo = {
   .ndo_open = my_open,
   .ndo_stop = my_close,
   .ndo_start_xmit = stub_start_xmit,
};

static int ipos;

static void __init my_setup(struct net_device *dev) {
   /* Fill in the MAC address with a phoney */
   char *pa = (char*)dev->dev_addr;
   for(int j = 0; j < ETH_ALEN; j++) 
      *pa++ = (char)(ipos + j);
   ether_setup(dev);
   dev->netdev_ops = &ndo;
}

static int __init my_init(void) {
   char prefix[20];
//   if(num > sizeof(adev) / sizeof(adev[0])) {
   if( num > MAX_LINK ) {
      printk(KERN_INFO "! link number error");
      return -EINVAL;
   }
// NET_NAME_UNKNOWN, NET_NAME_ENUM, NET_NAME_PREDICTABLE, NET_NAME_USER, NET_NAME_RENAMED 
#if (LINUX_VERSION_CODE >= KERNEL_VERSION(3, 17, 0))
   if(mode < 0 || mode > NET_NAME_RENAMED) {
      printk(KERN_INFO "! unknown name assign mode");
      return -EINVAL;
   }
#endif
   printk(KERN_INFO "! loading network module for %d links", num);
   sprintf(prefix, "%s%s", (NULL == title ? "fict" : title), "%d");
   for(ipos = 0; ipos < num; ipos++) {
      if(!digit)
         sprintf(prefix, "%s%c", (NULL == title ? "fict" : title), 'a' + ipos);
#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))
      adev[ipos] = alloc_netdev(0, prefix, my_setup);
#else
      adev[ipos] = alloc_netdev(0, prefix, NET_NAME_UNKNOWN + mode, my_setup);
#endif
      if(register_netdev(adev[ipos])) {
         printk(KERN_INFO "! failed to register");
         for(int j = ipos; j >= 0; j--) {
            if(j != ipos) unregister_netdev(adev[ipos]);
            free_netdev(adev[ipos]);
         }
         return -ELNRNG;
      }
   }
   printk(KERN_INFO "! succeeded in loading %d devices!", num);
   return 0;
}

static void __exit my_exit(void) {
   printk(KERN_INFO "! unloading network module");
   for(int i = 0; i < num; i++) {
      unregister_netdev(adev[i]);
      free_netdev(adev[i]);
   }
} 

module_init(my_init);
module_exit(my_exit);

MODULE_AUTHOR("Bill Shubert");
MODULE_AUTHOR("Jerry Cooperstein");
MODULE_AUTHOR("Tatsuo Kawasaki");
MODULE_AUTHOR("Oleg Tsiliuric");
MODULE_DESCRIPTION("LDD:1.0 s_24/lab1_network.c");
MODULE_LICENSE("GPL v2");

EOF


Пробуем собрать фиктивный адаптер
make 
insmod ./network.ko
dmesg | tail n4 
ip link show dev fict0

Основная структура "struct net_device" описания сетевого интерфейса находится в файле <linux/netdevice.h>
Оттуда же и берется MAC "00:01:02:03:04:05" (генерируется)

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215

216

217

218

219

220

221

222

223

224

225

226

227

228

229

230

231

232

233

234

235

236

237

238

239

240

241

242

243

244

245

246

247

248

249

250

251

252

253

254

255

256

257

258

259

260

261

262

263

264

265

266

267

268

269

270

271

272

273

274

275

276

277

278

279

280

281

282

283

284

285

286

287

288

289

290

291

292

293

294

295

296

297

298

299

300

301

302

303

304

305

306

307

308

309

310

311

312

313

314

315

316

317

318

319

320

321

322

323

324

325

326

327

328

329

330

331

332

333

334

335

336

337

338

339

340

341

342

343

344

345

346

347

348

349

350

351

352

353

354

355

356

357

358

359

360

361

362

363

364

365

366

367

368

369

370

371

372

373

374

375

376

377

378

379

380

381

382

383

384

385

386

387

388

389

390

391

392

393

394

395

396

397

398

399

400

401

402

403

404

405

406

407

408

409

410

411

412

413

414

415

416

417

418

419

420

421

422

423

424

425

426

427

428

429

430

431

432

433

434

435

436

437

438

439

440

441

442

443

444

445

446

447

448

449

450

451

452

453

454

455

456

457

458

459

460

461

462

463

464

465

466

467

468

469

470

471

472

473

474

475

476

477

478

479

480

481

482

483

484

485

486

487

488

489

490

491

492

493

494

495

496

497

498

499

500

501

502

503

504

505

506

507

508

509

510

511

512

513

514

515

516

517

518

519

520

521

522

523

524

525

526

527

528

529

530

531

532

533

534

535

536

537

538

539

540

541

542

543

544

545

546

547

548

549

550

551

552

553

554

555

556

557

558

559

560

561

562

563

564

565

566

567

568

569

570

571

572

573

574

575

576

577

578

579

580

581

582

583

584

585

586

587

588

589

590

591

592

593

594

595

596

597

598

599

600

601

602

603

604

605

606

607

608

609

610

611

612

613

614

615

616

617

618

619

620

621

622

623

624

625

626

627

628

629

630

631

632

633

634

635

636

637

638

639

640

641

642

643

644

645

646

647

648

649

650

651

652

653

654

655

656

657

658

659

660

661

662

663

664

665

666

667

668

669

670

671

672

673

674

675

676

677

678

679

680

681

682

683

684

685

686

687

688

689

690

691

692

693

694

695

696

697

698

699

700

701

702

703

Задача сетевого интерфейса - быть местом в котором:

Создаются экземпляры структуры "struct sk_buff" по каждому принятому из интерфейса пакету (здесь нужно принимать во внимание возможность сегментации IP-пакетов),

далее созданный экземпляр структуры продвигается по стеку протоколов вверх до получателя пользовательского пространства, где он и уничтожается.

Исходящие экземпляры структуры "struct sk_buff", порожденные где-то на верхних уровнях протоколов пользовательского пространства, должны отправляться

(чаще всего каким-то аппаратным механизмом), а сами экземпляры структуры после этого - уничтожатся.

Пример кода:

cat > network.c << "EOF"

* (c) Copyright Jerry Cooperstein, 2009

* (c) Copyright Oleg Tsiliuric, 2011

#include <linux/module.h>

#include <linux/version.h>

#include <linux/netdevice.h>

static struct net_device *dev;

static int my_open(struct net_device *dev) {

printk(KERN_INFO "! Hit: my_open(%s)\n", dev->name);

/* start up the transmission queue */

netif_start_queue(dev);

return 0;

}

static int my_close(struct net_device *dev) {

printk(KERN_INFO "! Hit: my_close(%s)\n", dev->name);

/* shutdown the transmission queue */

netif_stop_queue(dev);

return 0;

}

/* Note this method is only needed on some; without it

module will fail upon removal or use. At any rate there is a memory

leak whenever you try to send a packet through in any case*/

static int stub_start_xmit(struct sk_buff *skb, struct net_device *dev) {

dev_kfree_skb(skb);

return 0;

}

static struct net_device_ops ndo = {

.ndo_open = my_open,

.ndo_stop = my_close,

.ndo_start_xmit = stub_start_xmit,

};

static void my_setup(struct net_device *dev) {

/* Fill in the MAC address with a phoney */

char *pa = (char*)dev->dev_addr;

for(int j = 0; j < ETH_ALEN; j++)

*pa++ = (char)j;

ether_setup(dev);

dev->netdev_ops = &ndo;

}

static int __init my_init(void) {

printk(KERN_INFO "! Loading stub network module:....");

#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))

dev = alloc_netdev(0, "fict%d", my_setup);

#else

dev = alloc_netdev(0, "fict%d", NET_NAME_ENUM, my_setup);

#endif

if(register_netdev(dev)) {

printk(KERN_INFO "! Failed to register\n");

free_netdev(dev);

return -1;

}

printk(KERN_INFO "! Succeeded in loading %s!\n", dev_name(&dev->dev));

return 0;

}

static void __exit my_exit(void) {

printk(KERN_INFO "! Unloading stub network module\n");

unregister_netdev(dev);

free_netdev(dev);

}

module_init(my_init);

module_exit(my_exit);

MODULE_AUTHOR("Bill Shubert");

MODULE_AUTHOR("Jerry Cooperstein");

MODULE_AUTHOR("Tatsuo Kawasaki");

MODULE_AUTHOR("Oleg Tsiliuric");

MODULE_DESCRIPTION("LDD:1.0 s_24/lab1_network.c");

MODULE_LICENSE("GPL v2");

EOF

cat > Makefile << "EOF"

CURRENT = $(shell uname -r)

KDIR = /lib/modules/$(CURRENT)/build

PWD = $(shell pwd)

DEST = /lib/modules/$(CURRENT)/misc

EXTRA_CFLAGS += -std=gnu99

TARGET1 = devices

TARGET2 = network

TARGET3 = transmit_simple

TARGET4 = transmit

TARGET5 = receive

TARGET6 = mulnet

obj-m := $(TARGET1).o $(TARGET2).o $(TARGET3).o \

$(TARGET4).o $(TARGET5).o $(TARGET6).o

all: default clean

default:

$(MAKE) -C $(KDIR) M=$(PWD) modules

install:

cp -v $(TARGET).ko $(DEST)

/sbin/depmod -v | grep $(TARGET)

/sbin/insmod $(TARGET).ko

/sbin/lsmod | grep $(TARGET)

uninstall:

/sbin/rmmod $(TARGET)

rm -v $(DEST)/$(TARGET).ko

/sbin/depmod

clean:

@rm -f *.o .*.cmd .*.flags *.mod.c *.order

@rm -f .*.*.cmd *.symvers *~ *.*~

@rm -fR .tmp* .*.d .*.cmd *.mod

@rm -rf .tmp_versions

disclean: clean

@rm -f *.ko

EOF

# Исправить восемь пробелов на TAB

sed -i 's/ /\t\t/g' Makefile

cat > devices.c << "EOF"

#include <linux/module.h>

#include <linux/init.h>

#include <linux/netdevice.h>

static int __init my_init(void) {

struct net_device *dev;

printk(KERN_INFO "Hello: module loaded at 0x%px\n", my_init);

dev = first_net_device(&init_net);

printk(KERN_INFO "Hello: dev_base address=0x%px\n", dev);

while (dev) {

char smac[ETH_ALEN*3];

struct rtnl_link_stats64 stat = {};

for(int j = 0; j < ETH_ALEN; j++)

sprintf(smac + j * 3, "%02x%c",

dev->dev_addr[j], ETH_ALEN - 1 != j ? ':' : '\0' );

if (dev->netdev_ops->ndo_get_stats64 != NULL)

dev->netdev_ops->ndo_get_stats64(dev, &stat);

printk(KERN_INFO "name=%-6s irq=%-3d MAC=%s "

"rx_bytes=%-8llu tx_bytes=%-8llu \n",

dev->name, dev->irq, smac,

stat.rx_bytes, stat.tx_bytes);

dev = next_net_device(dev);

}

return -1;

}

module_init(my_init);

MODULE_AUTHOR("Oleg Tsiliuric");

MODULE_LICENSE("GPL v2");

EOF

cat > transmit_simple.c << "EOF"

* (c) Copyright Jerry Cooperstein, 2009

* (c) Copyright Oleg Tsiliuric, 2011-2022

* Building a Transmitting Network Driver (simple solution)

* Extend your stub network device driver to include a transmission

* function, which means supplying a method for

* dev->hard_start_xmit().

* While you are at it, you may want to add other entry points to see

* how you may exercise them.

* Once again, you should be able to exercise it with:

* insmod transmit_simple.ko

* ifconfig mynet0 up 192.168.3.197

* ping -I mynet0 localhost

* or

* ping -bI mynet0 192.168.3

* Make sure your chosen address is not being used by anything else.

#include <linux/module.h>

#include <linux/version.h>

#include <linux/init.h>

#include <linux/netdevice.h>

static int debug = 0; // уровень отладочного вывода

module_param(debug, int, 0);

static struct net_device *dev;

static int my_hard_start_xmit(struct sk_buff *skb, struct net_device *dev) {

struct netdev_queue *pnq = skb_get_tx_queue(dev, skb);

//static inline struct netdev_queue *skb_get_tx_queue(const struct net_device *dev,

// const struct sk_buff *skb)

pnq->trans_start = jiffies;

if(debug > 0)

printk(KERN_INFO "! my_hard_start_xmit(%s) - sending packet :\n",

dev->name);

if(debug > 1) {

char line[3 * 16 + 1]; //, *plin = (char*)&line;

/* print out 16 bytes per line */

for(int i = 0; i < skb->len; ++i) {

int pos = i % 16;

if((i > 0) && (i & 0xf) == 0)

printk(KERN_INFO "! %s\n", line);

sprintf((char*)line + pos * 3, "%02x ", skb->data[i]);

}

printk(KERN_INFO "\n");

}

dev_kfree_skb(skb);

return 0;

}

static int my_open(struct net_device *dev) {

printk(KERN_INFO "! Hit: my_open(%s)\n", dev->name);

/* start up the transmission queue */

netif_start_queue(dev);

return 0;

}

static int my_close(struct net_device *dev) {

printk(KERN_INFO "! Hit: my_close(%s)\n", dev->name);

/* shutdown the transmission queue */

netif_stop_queue(dev);

return 0;

}

static struct net_device_ops ndo = {

.ndo_open = my_open,

.ndo_stop = my_close,

.ndo_start_xmit = my_hard_start_xmit,

};

static void my_setup(struct net_device *dev ) {

/* Fill in the MAC address with a phoney */

char *pa = (char*)dev->dev_addr;

for(int j = 0; j < ETH_ALEN; j++)

*pa++ = (char)j;

ether_setup(dev);

dev->netdev_ops = &ndo;

dev->flags |= IFF_NOARP;

}

static int __init my_init(void) {

printk(KERN_INFO "! Loading transmitting network module:....");

printk(KERN_INFO "! debug level = %d", (int)debug);

#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))

dev = alloc_netdev(0, "mynet%d", my_setup);

#else

dev = alloc_netdev(0, "mynet%d", NET_NAME_ENUM, my_setup);

#endif

if(register_netdev(dev)) {

printk(KERN_INFO "! Failed to register\n");

free_netdev(dev);

return -1;

}

printk(KERN_INFO "! Succeeded in loading %s!\n", dev_name(&dev->dev));

return 0;

}

static void __exit my_exit(void) {

printk(KERN_INFO "! Unloading transmitting network module\n");

unregister_netdev(dev);

free_netdev(dev);

}

module_init(my_init);

module_exit(my_exit);

MODULE_AUTHOR("Bill Shubert");

MODULE_AUTHOR("Jerry Cooperstein"); // "LDD:1.0 s_26/lab1_transmit_simple.c"

MODULE_AUTHOR("Oleg Tsiliuric");

MODULE_DESCRIPTION("");

MODULE_LICENSE("GPL v2");

EOF

cat > transmit.c << "EOF"

* (c) Copyright Jerry Cooperstein, 2009

* (c) Copyright Oleg Tsiliuric, 2011

#include <linux/module.h>

#include <linux/version.h>

#include <linux/init.h>

#include <linux/netdevice.h>

static struct net_device *dev;

static struct net_device_stats *stats;

static int my_hard_start_xmit(struct sk_buff *skb, struct net_device *dev) {

struct netdev_queue *pnq = skb_get_tx_queue(dev, skb);

pnq->trans_start = jiffies;

printk(KERN_INFO "! my_hard_start_xmit(%s) - Sending packet :\n", dev->name);

// printk(KERN_INFO "! Sending packet :\n");

for(int i = 0; i < skb->len; ++i) {

/* print out 16 bytes per line */

char line[3 * 16 + 1];

int pos = i % 16;

if((i > 0) && (i & 0xf) == 0)

printk(KERN_INFO "! %s\n", line);

sprintf((char*)line + pos * 3, "%02x ", skb->data[i]);

}

printk(KERN_INFO "\n");

dev_kfree_skb(skb);

++stats->tx_packets;

return 0;

}

static int my_do_ioctl(struct net_device *dev, struct ifreq *ifr, int cmd) {

printk(KERN_INFO "! my_do_ioctl(%s)\n", dev->name);

return -1;

}

static struct net_device_stats *my_get_stats(struct net_device *dev) {

printk(KERN_INFO "! my_get_stats(%s)\n", dev->name);

return stats;

}

/* This is where ifconfig comes down and tells us who we are, etc.

* We can just ignore this. */

static int my_config(struct net_device *dev, struct ifmap *map) {

printk(KERN_INFO "! my_config(%s)\n", dev->name);

if(dev->flags & IFF_UP)

return -EBUSY;

return 0;

}

static int my_change_mtu(struct net_device *dev, int new_mtu) {

printk(KERN_INFO "! my_change_mtu(%s)\n", dev->name);

return -1;

}

static int my_open(struct net_device *dev) {

printk(KERN_INFO "! Hit: my_open(%s)\n", dev->name);

/* start up the transmission queue */

netif_start_queue(dev);

return 0;

}

static int my_close(struct net_device *dev) {

printk(KERN_INFO "! Hit: my_close(%s)\n", dev->name);

/* shutdown the transmission queue */

netif_stop_queue(dev);

return 0;

}

static struct net_device_ops ndo = {

.ndo_open = my_open,

.ndo_stop = my_close,

.ndo_start_xmit = my_hard_start_xmit,

.ndo_do_ioctl = my_do_ioctl,

.ndo_get_stats = my_get_stats,

.ndo_set_config = my_config,

.ndo_change_mtu = my_change_mtu,

};

static void my_setup(struct net_device *dev) {

/* Fill in the MAC address with a phoney */

char *pa = (char*)dev->dev_addr;

for(int j = 0; j < ETH_ALEN; j++)

*pa++ = (char)j;

ether_setup(dev);

dev->netdev_ops = &ndo;

dev->flags |= IFF_NOARP;

stats = &dev->stats;

/* Just for laughs, let's claim that we've seen 50 collisions. */

stats->collisions = 50;

}

static int __init my_init(void) {

printk(KERN_INFO "! Loading transmitting network module:....");

#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))

dev = alloc_netdev(0, "mynet%d", my_setup);

#else

dev = alloc_netdev(0, "mynet%d", NET_NAME_ENUM, my_setup);

#endif

if(register_netdev(dev)) {

printk(KERN_INFO "! Failed to register\n");

free_netdev(dev);

return -1;

}

printk(KERN_INFO "! Succeeded in loading %s!\n", dev_name(&dev->dev));

return 0;

}

static void __exit my_exit(void) {

printk(KERN_INFO "! Unloading transmitting network module\n");

unregister_netdev(dev);

free_netdev(dev);

}

module_init(my_init);

module_exit(my_exit);

MODULE_AUTHOR("Bill Shubert");

MODULE_AUTHOR("Jerry Cooperstein"); // LDD:1.0 s_26/lab1_transmit.c

MODULE_AUTHOR("Oleg Tsiliuric");

MODULE_DESCRIPTION("");

MODULE_LICENSE("GPL v2");

EOF

cat > receive.c << "EOF"

* (c) Copyright Jerry Cooperstein, 2009

* (c) Copyright Oleg Tsiliuric, 2011-2022

* Adding Reception

* Extend your transmitting device driver to include a reception

* function.

* You can do a loopback method in which any packet sent out is

* received.

* Be careful not to create memory leaks!

#include <linux/module.h>

#include <linux/version.h>

#include <linux/init.h>

#include <linux/netdevice.h>

static struct net_device *dev;

static struct net_device_stats *stats;

static void my_rx(struct sk_buff *skb, struct net_device *dev) {

/* just a loopback, already has the skb */

printk(KERN_INFO "! I'm receiving a packet\n");

++stats->rx_packets;

netif_rx(skb);

}

static int my_hard_start_xmit(struct sk_buff *skb, struct net_device *dev) {

struct netdev_queue *pnq;

printk(KERN_INFO "! my_hard_start_xmit(%s)\n", dev->name);

pnq = skb_get_tx_queue(dev, skb);

pnq->trans_start = jiffies;

printk(KERN_INFO "! Sending packet :\n");

/* print out 16 bytes per line */

for(int i = 0; i < skb->len; ++i) {

if((i & 0xf) == 0)

printk(KERN_INFO "\n ");

printk(KERN_INFO "%02x ", skb->data[i]);

}

printk(KERN_INFO "\n");

++stats->tx_packets;

/* loopback it */

my_rx(skb, dev);

return 0;

}

static int my_do_ioctl(struct net_device *dev, struct ifreq *ifr, int cmd) {

printk(KERN_INFO "! my_do_ioctl(%s)\n", dev->name);

return -1;

}

static struct net_device_stats *my_get_stats(struct net_device *dev) {

printk(KERN_INFO "! my_get_stats(%s)\n", dev->name);

return stats;

}

* This is where ifconfig comes down and tells us who we are, etc.

* We can just ignore this.

static int my_config(struct net_device *dev, struct ifmap *map) {

printk(KERN_INFO "! my_config(%s)\n", dev->name);

if(dev->flags & IFF_UP)

return -EBUSY;

return 0;

}

static int my_change_mtu(struct net_device *dev, int new_mtu) {

printk(KERN_INFO "! my_change_mtu(%s)\n", dev->name);

return -1;

}

static int my_open(struct net_device *dev) {

printk(KERN_INFO "! Hit: my_open(%s)\n", dev->name);

/* start up the transmission queue */

netif_start_queue(dev);

return 0;

}

static int my_close(struct net_device *dev) {

printk(KERN_INFO "! Hit: my_close(%s)\n", dev->name);

/* shutdown the transmission queue */

netif_stop_queue(dev);

return 0;

}

static struct net_device_ops ndo = {

.ndo_open = my_open,

.ndo_stop = my_close,

.ndo_start_xmit = my_hard_start_xmit,

.ndo_do_ioctl = my_do_ioctl,

.ndo_get_stats = my_get_stats,

.ndo_set_config = my_config,

.ndo_change_mtu = my_change_mtu,

};

static void my_setup(struct net_device *dev) {

/* Fill in the MAC address with a phoney */

char *pa = (char*)dev->dev_addr;

for(int j = 0; j < ETH_ALEN; j++)

*pa++ = (char)j;

ether_setup(dev);

dev->netdev_ops = &ndo;

dev->flags |= IFF_NOARP;

stats = &dev->stats;

/* Just for laughs, let's claim that we've seen 50 collisions. */

stats->collisions = 50;

}

static int __init my_init(void) {

printk(KERN_INFO "! Loading transmitting network module:....");

#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))

dev = alloc_netdev(0, "mynet%d", my_setup);

#else

dev = alloc_netdev(0, "mynet%d", NET_NAME_ENUM, my_setup);

#endif

if(register_netdev(dev)) {

printk(KERN_INFO "! Failed to register\n");

free_netdev(dev);

return -1;

}

printk(KERN_INFO "! Succeeded in loading %s!\n\n", dev_name(&dev->dev));

return 0;

}

static void __exit my_exit(void) {

printk(KERN_INFO "! Unloading transmitting network module\n\n");

unregister_netdev(dev);

free_netdev(dev);

}

module_init(my_init);

module_exit(my_exit);

MODULE_AUTHOR("Bill Shubert");

MODULE_AUTHOR("Jerry Cooperstein"); // LDD:1.0 s_26/lab2_receive.c

MODULE_AUTHOR("Oleg Tsiliuric");

MODULE_DESCRIPTION("");

MODULE_LICENSE("GPL v2");

EOF

cat > mulnet.c << "EOF"

* (c) Copyright Jerry Cooperstein, 2009

* (c) Copyright Oleg Tsiliuric, 2011-2022

#include <linux/module.h>

#include <linux/version.h>

#include <linux/netdevice.h>

static uint num = 1; // число создаваемых интерфейсов

module_param(num, uint, 0);

static char* title; // префикс имени интерфейсов

module_param(title, charp, 0);

static int digit = 1; // числовые суфиксы (по умолчанию)

module_param(digit, int, 0);

#if (LINUX_VERSION_CODE >= KERNEL_VERSION(3, 17, 0))

static int mode = 1; // режим нумерации интерфейсов

module_param(mode, int, 0);

#endif

#define MAX_LINK 5

static struct net_device* adev[MAX_LINK] = {}; //{ NULL, NULL, NULL, NULL, NULL, NULL };

static int my_open(struct net_device *dev) {

printk(KERN_INFO "! my_open(%s)\n", dev->name);

/* start up the transmission queue */

netif_start_queue(dev);

return 0;

}

static int my_close(struct net_device *dev) {

printk(KERN_INFO "! my_close(%s)\n", dev->name);

/* shutdown the transmission queue */

netif_stop_queue(dev);

return 0;

}

/* Note this method is only needed on some; without it

module will fail upon removal or use. At any rate there is a memory

leak whenever you try to send a packet through in any case*/

static int stub_start_xmit(struct sk_buff *skb, struct net_device *dev) {

dev_kfree_skb(skb);

return 0;

}

static struct net_device_ops ndo = {

.ndo_open = my_open,

.ndo_stop = my_close,

.ndo_start_xmit = stub_start_xmit,

};

static int ipos;

static void __init my_setup(struct net_device *dev) {

/* Fill in the MAC address with a phoney */

char *pa = (char*)dev->dev_addr;

for(int j = 0; j < ETH_ALEN; j++)

*pa++ = (char)(ipos + j);

ether_setup(dev);

dev->netdev_ops = &ndo;

}

static int __init my_init(void) {

char prefix[20];

// if(num > sizeof(adev) / sizeof(adev[0])) {

if( num > MAX_LINK ) {

printk(KERN_INFO "! link number error");

return -EINVAL;

}

// NET_NAME_UNKNOWN, NET_NAME_ENUM, NET_NAME_PREDICTABLE, NET_NAME_USER, NET_NAME_RENAMED

#if (LINUX_VERSION_CODE >= KERNEL_VERSION(3, 17, 0))

if(mode < 0 || mode > NET_NAME_RENAMED) {

printk(KERN_INFO "! unknown name assign mode");

return -EINVAL;

}

#endif

printk(KERN_INFO "! loading network module for %d links", num);

sprintf(prefix, "%s%s", (NULL == title ? "fict" : title), "%d");

for(ipos = 0; ipos < num; ipos++) {

if(!digit)

sprintf(prefix, "%s%c", (NULL == title ? "fict" : title), 'a' + ipos);

#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))

adev[ipos] = alloc_netdev(0, prefix, my_setup);

#else

adev[ipos] = alloc_netdev(0, prefix, NET_NAME_UNKNOWN + mode, my_setup);

#endif

if(register_netdev(adev[ipos])) {

printk(KERN_INFO "! failed to register");

for(int j = ipos; j >= 0; j--) {

if(j != ipos) unregister_netdev(adev[ipos]);

free_netdev(adev[ipos]);

}

return -ELNRNG;

}

printk(KERN_INFO "! succeeded in loading %d devices!", num);

return 0;

}

static void __exit my_exit(void) {

printk(KERN_INFO "! unloading network module");

for(int i = 0; i < num; i++) {

unregister_netdev(adev[i]);

free_netdev(adev[i]);

}

module_init(my_init);

module_exit(my_exit);

MODULE_AUTHOR("Bill Shubert");

MODULE_AUTHOR("Jerry Cooperstein");

MODULE_AUTHOR("Tatsuo Kawasaki");

MODULE_AUTHOR("Oleg Tsiliuric");

MODULE_DESCRIPTION("LDD:1.0 s_24/lab1_network.c");

MODULE_LICENSE("GPL v2");

EOF

Пробуем собрать фиктивный адаптер

make

insmod ./network.ko

dmesg | tail n4

ip link show dev fict0

Основная структура "struct net_device" описания сетевого интерфейса находится в файле <linux/netdevice.h>

Оттуда же и берется MAC "00:01:02:03:04:05" (генерируется)

Виртуальный сетевой интерфейс и пример кода

cat > Makefile << "EOF"
CURRENT = $(shell uname -r)
KDIR = /lib/modules/$(CURRENT)/build
PWD = $(shell pwd)

TARGET0 = virt
TARGET1 = virt1
TARGET2 = virt2

obj-m := $(TARGET0).o $(TARGET1).o  $(TARGET2).o

all: default clean

default:
        $(MAKE) -C $(KDIR) M=$(PWD) modules 

clean:
        @rm -f *.o .*.cmd .*.flags *.mod.c *.order
        @rm -f .*.*.cmd *.symvers *~ *.*~ TODO.*
        @rm -fR .tmp* *.mod
        @rm -rf .tmp_versions

disclean: clean
        @rm -f *.ko
EOF

# Исправить восемь пробелов на TAB
sed -i 's/        /\t\t/g' Makefile 



cat > virt.c << "EOF"
#include <linux/module.h>
#include <linux/version.h>
#include <linux/netdevice.h>
#include <linux/etherdevice.h>
#include <linux/moduleparam.h>
#include <net/arp.h>

#define ERR(...) printk(KERN_ERR "! "__VA_ARGS__)
#define LOG(...) printk(KERN_INFO "! "__VA_ARGS__)

static char* link = "eth0";
module_param(link, charp, 0);

static char* ifname = "virt"; 
module_param(ifname, charp, 0);

static struct net_device *child = NULL;

struct priv {
   struct net_device_stats stats;
   struct net_device *parent;
};

static rx_handler_result_t handle_frame(struct sk_buff **pskb) {
   struct sk_buff *skb = *pskb;
   if(child) {
      struct priv *priv = netdev_priv(child);
      priv->stats.rx_packets++;
      priv->stats.rx_bytes += skb->len;
      LOG("rx: injecting frame from %s to %s", skb->dev->name, child->name);
      skb->dev = child;
      /* netif_receive_skb(skb);
      return RX_HANDLER_CONSUMED; */
      return RX_HANDLER_ANOTHER;
   }
   return RX_HANDLER_PASS;
}

static int open(struct net_device *dev) {
   netif_start_queue(dev);
   LOG("%s: device opened", dev->name);
   return 0;
}

static int stop(struct net_device *dev) {
   netif_stop_queue(dev);
   LOG("%s: device closed", dev->name);
   return 0;
}

static netdev_tx_t start_xmit(struct sk_buff *skb, struct net_device *dev) {
   struct priv *priv = netdev_priv(dev);
   priv->stats.tx_packets++;
   priv->stats.tx_bytes += skb->len;
   if(priv->parent) {
      skb->dev = priv->parent;
      skb->priority = 1;
      dev_queue_xmit(skb);
      LOG("tx: injecting frame from %s to %s", dev->name, skb->dev->name);
      return 0;
   }
   return NETDEV_TX_OK;
}

static struct net_device_stats *get_stats(struct net_device *dev) {
   return &((struct priv*)netdev_priv(dev))->stats;
}

static struct net_device_ops crypto_net_device_ops = {
   .ndo_open = open,
   .ndo_stop = stop,
   .ndo_get_stats = get_stats,
   .ndo_start_xmit = start_xmit,
};

// #define MAX_ADDR_LEN    32  <netdev.h>
// #define ETH_ALEN        6   /* Octets in one ethernet addr   */ <if_ether.h>

static void setup(struct net_device *dev) {
   int j;
   ether_setup(dev);
   memset(netdev_priv(dev), 0, sizeof(struct priv));
   dev->netdev_ops = &crypto_net_device_ops;
   for(j = 0; j < ETH_ALEN; ++j) // fill in the MAC address with a phoney 
      dev->dev_addr[j]= (char)j;
}

int __init init(void) {
   int err = 0;
   struct priv *priv;
   char ifstr[40];
   sprintf(ifstr, "%s%s", ifname, "%d");
#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))
   child = alloc_netdev(sizeof(struct priv), ifstr, setup);
#else
   child = alloc_netdev(sizeof(struct priv), ifstr, NET_NAME_UNKNOWN, setup);
#endif
   if(child == NULL) {
      ERR("%s: allocate error", THIS_MODULE->name); return -ENOMEM;
   }
   priv = netdev_priv(child);
   priv->parent = __dev_get_by_name(&init_net, link); // parent interface  
   if(!priv->parent) {
      ERR("%s: no such link: %s", THIS_MODULE->name, link);
      err = -ENODEV; goto err;
   }
   if(priv->parent->type != ARPHRD_ETHER && priv->parent->type != ARPHRD_LOOPBACK) {
      ERR("%s: illegal net type", THIS_MODULE->name);
      err = -EINVAL; goto err;
   }
   /* also, and clone its IP, MAC and other information */
   memcpy(child->dev_addr, priv->parent->dev_addr, ETH_ALEN);
   memcpy(child->broadcast, priv->parent->broadcast, ETH_ALEN);
   if((err = dev_alloc_name(child, child->name))) {
      ERR("%s: allocate name, error %i", THIS_MODULE->name, err);
      err = -EIO; goto err;
   }
   register_netdev(child);
   rtnl_lock();
   netdev_rx_handler_register(priv->parent, &handle_frame, NULL);
   rtnl_unlock();
   LOG("module %s loaded", THIS_MODULE->name);
   LOG("%s: create link %s", THIS_MODULE->name, child->name);
   LOG("%s: registered rx handler for %s", THIS_MODULE->name, priv->parent->name);
   return 0;
err:
   free_netdev(child);
   return err;
}

void __exit virt_exit(void) {
   struct priv *priv = netdev_priv(child);
   if(priv->parent) {
      rtnl_lock();
      netdev_rx_handler_unregister(priv->parent);
      rtnl_unlock();
      LOG("unregister rx handler for %s\n", priv->parent->name);
   }
   unregister_netdev(child);
   free_netdev(child);
   LOG("module %s unloaded", THIS_MODULE->name);
}

module_init(init);
module_exit(virt_exit);

MODULE_AUTHOR("Oleg Tsiliuric");
MODULE_AUTHOR("Nikita Dorokhin");
MODULE_LICENSE("GPL v2");
MODULE_VERSION("3.2");

EOF



cat > virt1.c << "EOF"
#include <linux/module.h>
#include <linux/version.h>
#include <linux/netdevice.h>
#include <linux/etherdevice.h>
#include <linux/moduleparam.h>
#include <net/arp.h>

#define ERR(...) printk(KERN_ERR "! "__VA_ARGS__)
#define LOG(...) printk(KERN_INFO "! "__VA_ARGS__)

static char* link = "eth0";
module_param(link, charp, 0);

static char* ifname = "virt"; 
module_param(ifname, charp, 0);

static struct net_device *child = NULL;

static struct net_device_stats stats;

struct priv {
   struct net_device *parent;
};

static rx_handler_result_t handle_frame(struct sk_buff **pskb) {
   struct sk_buff *skb = *pskb;
   if(child) {
      stats.rx_packets++;
      stats.rx_bytes += skb->len;
      LOG("rx: injecting frame from %s to %s", skb->dev->name, child->name);
      skb->dev = child;
      /* netif_receive_skb(skb);
      return RX_HANDLER_CONSUMED; */
      return RX_HANDLER_ANOTHER;
   }
   return RX_HANDLER_PASS;
}

static int open(struct net_device *dev) {
   netif_start_queue(dev);
   LOG("%s: device opened", dev->name);
   return 0;
}

static int stop(struct net_device *dev) {
   netif_stop_queue(dev);
   LOG("%s: device closed", dev->name);
   return 0;
}

static netdev_tx_t start_xmit(struct sk_buff *skb, struct net_device *dev) {
   struct priv *priv = netdev_priv(dev);
   stats.tx_packets++;
   stats.tx_bytes += skb->len;
   if(priv->parent) {
      skb->dev = priv->parent;
      skb->priority = 1;
      dev_queue_xmit(skb);
      LOG("tx: injecting frame from %s to %s", dev->name, skb->dev->name);
      return 0;
   }
   return NETDEV_TX_OK;
}

static struct net_device_stats *get_stats(struct net_device *dev) {
   return &stats;
}

static struct net_device_ops crypto_net_device_ops = {
   .ndo_open = open,
   .ndo_stop = stop,
   .ndo_get_stats = get_stats,
   .ndo_start_xmit = start_xmit,
};

// #define MAX_ADDR_LEN    32  <netdev.h>
// #define ETH_ALEN        6   /* Octets in one ethernet addr   */ <if_ether.h>

static void setup(struct net_device *dev) {
   int j;
   ether_setup(dev);
   memset(netdev_priv(dev), 0, sizeof(struct priv));
   dev->netdev_ops = &crypto_net_device_ops;
   for(j = 0; j < ETH_ALEN; ++j) // fill in the MAC address with a phoney 
      dev->dev_addr[j] = (char)j;
}

int __init init(void) {
   int err = 0;
   struct priv *priv;
   char ifstr[40];
   sprintf(ifstr, "%s%s", ifname, "%d");
#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))
   child = alloc_netdev(sizeof(struct priv), ifstr, setup);
#else
   child = alloc_netdev(sizeof(struct priv), ifstr, NET_NAME_UNKNOWN, setup);
#endif
   if(child == NULL) {
      ERR("%s: allocate error", THIS_MODULE->name); return -ENOMEM;
   }
   priv = netdev_priv(child);
   priv->parent = __dev_get_by_name(&init_net, link); // parent interface  
   if(!priv->parent) {
      ERR("%s: no such link: %s", THIS_MODULE->name, link);
      err = -ENODEV; goto err;
   }
   if(priv->parent->type != ARPHRD_ETHER && priv->parent->type != ARPHRD_LOOPBACK) {
      ERR("%s: illegal net type", THIS_MODULE->name);
      err = -EINVAL; goto err;
   }
   /* also, and clone its IP, MAC and other information */
   memcpy(child->dev_addr, priv->parent->dev_addr, ETH_ALEN);
   memcpy(child->broadcast, priv->parent->broadcast, ETH_ALEN);
   if((err = dev_alloc_name(child, child->name))) {
      ERR("%s: allocate name, error %i", THIS_MODULE->name, err);
      err = -EIO; goto err;
   }
   register_netdev(child);
   rtnl_lock();
   netdev_rx_handler_register(priv->parent, &handle_frame, NULL);
   rtnl_unlock();
   LOG("module %s loaded", THIS_MODULE->name);
   LOG("%s: create link %s", THIS_MODULE->name, child->name);
   LOG("%s: registered rx handler for %s", THIS_MODULE->name, priv->parent->name);
   return 0;
err:
   free_netdev(child);
   return err;
}

void __exit virt_exit(void) {
   struct priv *priv = netdev_priv(child);
   if(priv->parent) {
      rtnl_lock();
      netdev_rx_handler_unregister(priv->parent);
      rtnl_unlock();
      LOG("unregister rx handler for %s\n", priv->parent->name);
   }
   unregister_netdev(child);
   free_netdev(child);
   LOG("module %s unloaded", THIS_MODULE->name);
}

module_init(init);
module_exit(virt_exit);

MODULE_AUTHOR("Oleg Tsiliuric");
MODULE_AUTHOR("Nikita Dorokhin");
MODULE_LICENSE("GPL v2");
MODULE_VERSION("3.2");

EOF


cat > virt2.c << "EOF"
#include <linux/module.h>
#include <linux/version.h>
#include <linux/netdevice.h>
#include <linux/etherdevice.h>
#include <linux/moduleparam.h>
#include <net/arp.h>

#define ERR(...) printk(KERN_ERR "! "__VA_ARGS__)
#define LOG(...) printk(KERN_INFO "! "__VA_ARGS__)

static char* link = "eth0";
module_param(link, charp, 0);

static char* ifname = "virt"; 
module_param(ifname, charp, 0);

static struct net_device *child = NULL;

struct priv {
   struct net_device *parent;
};

static rx_handler_result_t handle_frame(struct sk_buff **pskb) {
   struct sk_buff *skb = *pskb;
   if(child) {
      child->stats.rx_packets++;
      child->stats.rx_bytes += skb->len;
      LOG("rx: injecting frame from %s to %s", skb->dev->name, child->name);
      skb->dev = child;
      /* netif_receive_skb(skb);
      return RX_HANDLER_CONSUMED; */
      return RX_HANDLER_ANOTHER;
   }
   return RX_HANDLER_PASS;
}

static int open(struct net_device *dev) {
   netif_start_queue(dev);
   LOG("%s: device opened", dev->name);
   return 0;
}

static int stop(struct net_device *dev) {
   netif_stop_queue(dev);
   LOG("%s: device closed", dev->name);
   return 0;
}

static netdev_tx_t start_xmit(struct sk_buff *skb, struct net_device *dev) {
   struct priv *priv = netdev_priv(dev);
   child->stats.tx_packets++;
   child->stats.tx_bytes += skb->len;
   if(priv->parent) {
      skb->dev = priv->parent;
      skb->priority = 1;
      dev_queue_xmit(skb);
      LOG("tx: injecting frame from %s to %s", dev->name, skb->dev->name);
      return 0;
   }
   return NETDEV_TX_OK;
}

static struct net_device_stats *get_stats(struct net_device *dev) {
   return &dev->stats;
}

static struct net_device_ops crypto_net_device_ops = {
   .ndo_open = open,
   .ndo_stop = stop,
   .ndo_get_stats = get_stats,
   .ndo_start_xmit = start_xmit,
};

// #define MAX_ADDR_LEN    32  <netdev.h>
// #define ETH_ALEN        6   /* Octets in one ethernet addr   */ <if_ether.h>

static void setup(struct net_device *dev) {
   int j;
   ether_setup(dev);
   memset(netdev_priv(dev), 0, sizeof(struct priv));
   dev->netdev_ops = &crypto_net_device_ops;
   for(j = 0; j < ETH_ALEN; ++j) // fill in the MAC address with a phoney 
      dev->dev_addr[j] = (char)j;
}

int __init init(void) {
   int err = 0;
   struct priv *priv;
   char ifstr[40];
   sprintf(ifstr, "%s%s", ifname, "%d");
#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))
   child = alloc_netdev(sizeof(struct priv), ifstr, setup);
#else
   child = alloc_netdev(sizeof(struct priv), ifstr, NET_NAME_UNKNOWN, setup);
#endif
   if(child == NULL) {
      ERR("%s: allocate error", THIS_MODULE->name); return -ENOMEM;
   }
   priv = netdev_priv(child);
   priv->parent = __dev_get_by_name(&init_net, link); // parent interface  
   if(!priv->parent) {
      ERR("%s: no such link: %s", THIS_MODULE->name, link);
      err = -ENODEV; goto err;
   }
   if(priv->parent->type != ARPHRD_ETHER && priv->parent->type != ARPHRD_LOOPBACK) {
      ERR("%s: illegal net type", THIS_MODULE->name);
      err = -EINVAL; goto err;
   }
   /* also, and clone its IP, MAC and other information */
   memcpy(child->dev_addr, priv->parent->dev_addr, ETH_ALEN);
   memcpy(child->broadcast, priv->parent->broadcast, ETH_ALEN);
   if((err = dev_alloc_name(child, child->name))) {
      ERR("%s: allocate name, error %i", THIS_MODULE->name, err);
      err = -EIO; goto err;
   }
   register_netdev(child);
   rtnl_lock();
   netdev_rx_handler_register(priv->parent, &handle_frame, NULL);
   rtnl_unlock();
   LOG("module %s loaded", THIS_MODULE->name);
   LOG("%s: create link %s", THIS_MODULE->name, child->name);
   LOG("%s: registered rx handler for %s", THIS_MODULE->name, priv->parent->name);
   return 0;
err:
   free_netdev(child);
   return err;
}

void __exit virt_exit(void) {
   struct priv *priv = netdev_priv(child);
   if(priv->parent) {
      rtnl_lock();
      netdev_rx_handler_unregister(priv->parent);
      rtnl_unlock();
      LOG("unregister rx handler for %s\n", priv->parent->name);
   }
   unregister_netdev(child);
   free_netdev(child);
   LOG("module %s unloaded", THIS_MODULE->name);
}

module_init(init);
module_exit(virt_exit);

MODULE_AUTHOR("Oleg Tsiliuric");
MODULE_AUTHOR("Nikita Dorokhin");
MODULE_LICENSE("GPL v2");
MODULE_VERSION("3.2");

EOF



ЧДД?
make
insmod virt.ko link=p7p1
ifconfig virt0 192.168.50.2
ping 192.168.50.1
rmmod virt
virt.1.ko link=p7p1
lsmod | head -n3
rmmod 'virt.1'

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215

216

217

218

219

220

221

222

223

224

225

226

227

228

229

230

231

232

233

234

235

236

237

238

239

240

241

242

243

244

245

246

247

248

249

250

251

252

253

254

255

256

257

258

259

260

261

262

263

264

265

266

267

268

269

270

271

272

273

274

275

276

277

278

279

280

281

282

283

284

285

286

287

288

289

290

291

292

293

294

295

296

297

298

299

300

301

302

303

304

305

306

307

308

309

310

311

312

313

314

315

316

317

318

319

320

321

322

323

324

325

326

327

328

329

330

331

332

333

334

335

336

337

338

339

340

341

342

343

344

345

346

347

348

349

350

351

352

353

354

355

356

357

358

359

360

361

362

363

364

365

366

367

368

369

370

371

372

373

374

375

376

377

378

379

380

381

382

383

384

385

386

387

388

389

390

391

392

393

394

395

396

397

398

399

400

401

402

403

404

405

406

407

408

409

410

411

412

413

414

415

416

417

418

419

420

421

422

423

424

425

426

427

428

429

430

431

432

433

434

435

436

437

438

439

440

441

442

443

444

445

446

447

448

449

450

451

452

453

454

455

456

457

458

459

460

461

462

463

464

465

466

467

468

469

470

471

472

473

474

475

476

477

478

479

480

481

482

483

484

485

486

487

488

489

490

491

492

493

494

495

496

497

498

499

500

501

502

503

504

505

cat > Makefile << "EOF"

CURRENT = $(shell uname -r)

KDIR = /lib/modules/$(CURRENT)/build

PWD = $(shell pwd)

TARGET0 = virt

TARGET1 = virt1

TARGET2 = virt2

obj-m := $(TARGET0).o $(TARGET1).o $(TARGET2).o

all: default clean

default:

$(MAKE) -C $(KDIR) M=$(PWD) modules

clean:

@rm -f *.o .*.cmd .*.flags *.mod.c *.order

@rm -f .*.*.cmd *.symvers *~ *.*~ TODO.*

@rm -fR .tmp* *.mod

@rm -rf .tmp_versions

disclean: clean

@rm -f *.ko

EOF

# Исправить восемь пробелов на TAB

sed -i 's/ /\t\t/g' Makefile

cat > virt.c << "EOF"

#include <linux/module.h>

#include <linux/version.h>

#include <linux/netdevice.h>

#include <linux/etherdevice.h>

#include <linux/moduleparam.h>

#include <net/arp.h>

#define ERR(...) printk(KERN_ERR "! "__VA_ARGS__)

#define LOG(...) printk(KERN_INFO "! "__VA_ARGS__)

static char* link = "eth0";

module_param(link, charp, 0);

static char* ifname = "virt";

module_param(ifname, charp, 0);

static struct net_device *child = NULL;

struct priv {

struct net_device_stats stats;

struct net_device *parent;

};

static rx_handler_result_t handle_frame(struct sk_buff **pskb) {

struct sk_buff *skb = *pskb;

if(child) {

struct priv *priv = netdev_priv(child);

priv->stats.rx_packets++;

priv->stats.rx_bytes += skb->len;

LOG("rx: injecting frame from %s to %s", skb->dev->name, child->name);

skb->dev = child;

/* netif_receive_skb(skb);

return RX_HANDLER_CONSUMED; */

return RX_HANDLER_ANOTHER;

}

return RX_HANDLER_PASS;

}

static int open(struct net_device *dev) {

netif_start_queue(dev);

LOG("%s: device opened", dev->name);

return 0;

}

static int stop(struct net_device *dev) {

netif_stop_queue(dev);

LOG("%s: device closed", dev->name);

return 0;

}

static netdev_tx_t start_xmit(struct sk_buff *skb, struct net_device *dev) {

struct priv *priv = netdev_priv(dev);

priv->stats.tx_packets++;

priv->stats.tx_bytes += skb->len;

if(priv->parent) {

skb->dev = priv->parent;

skb->priority = 1;

dev_queue_xmit(skb);

LOG("tx: injecting frame from %s to %s", dev->name, skb->dev->name);

return 0;

}

return NETDEV_TX_OK;

}

static struct net_device_stats *get_stats(struct net_device *dev) {

return &((struct priv*)netdev_priv(dev))->stats;

}

static struct net_device_ops crypto_net_device_ops = {

.ndo_open = open,

.ndo_stop = stop,

.ndo_get_stats = get_stats,

.ndo_start_xmit = start_xmit,

};

// #define MAX_ADDR_LEN 32 <netdev.h>

// #define ETH_ALEN 6 /* Octets in one ethernet addr */ <if_ether.h>

static void setup(struct net_device *dev) {

int j;

ether_setup(dev);

memset(netdev_priv(dev), 0, sizeof(struct priv));

dev->netdev_ops = &crypto_net_device_ops;

for(j = 0; j < ETH_ALEN; ++j) // fill in the MAC address with a phoney

dev->dev_addr[j]= (char)j;

}

int __init init(void) {

int err = 0;

struct priv *priv;

char ifstr[40];

sprintf(ifstr, "%s%s", ifname, "%d");

#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))

child = alloc_netdev(sizeof(struct priv), ifstr, setup);

#else

child = alloc_netdev(sizeof(struct priv), ifstr, NET_NAME_UNKNOWN, setup);

#endif

if(child == NULL) {

ERR("%s: allocate error", THIS_MODULE->name); return -ENOMEM;

}

priv = netdev_priv(child);

priv->parent = __dev_get_by_name(&init_net, link); // parent interface

if(!priv->parent) {

ERR("%s: no such link: %s", THIS_MODULE->name, link);

err = -ENODEV; goto err;

}

if(priv->parent->type != ARPHRD_ETHER && priv->parent->type != ARPHRD_LOOPBACK) {

ERR("%s: illegal net type", THIS_MODULE->name);

err = -EINVAL; goto err;

}

/* also, and clone its IP, MAC and other information */

memcpy(child->dev_addr, priv->parent->dev_addr, ETH_ALEN);

memcpy(child->broadcast, priv->parent->broadcast, ETH_ALEN);

if((err = dev_alloc_name(child, child->name))) {

ERR("%s: allocate name, error %i", THIS_MODULE->name, err);

err = -EIO; goto err;

}

register_netdev(child);

rtnl_lock();

netdev_rx_handler_register(priv->parent, &handle_frame, NULL);

rtnl_unlock();

LOG("module %s loaded", THIS_MODULE->name);

LOG("%s: create link %s", THIS_MODULE->name, child->name);

LOG("%s: registered rx handler for %s", THIS_MODULE->name, priv->parent->name);

return 0;

err:

free_netdev(child);

return err;

}

void __exit virt_exit(void) {

struct priv *priv = netdev_priv(child);

if(priv->parent) {

rtnl_lock();

netdev_rx_handler_unregister(priv->parent);

rtnl_unlock();

LOG("unregister rx handler for %s\n", priv->parent->name);

}

unregister_netdev(child);

free_netdev(child);

LOG("module %s unloaded", THIS_MODULE->name);

}

module_init(init);

module_exit(virt_exit);

MODULE_AUTHOR("Oleg Tsiliuric");

MODULE_AUTHOR("Nikita Dorokhin");

MODULE_LICENSE("GPL v2");

MODULE_VERSION("3.2");

EOF

cat > virt1.c << "EOF"

#include <linux/module.h>

#include <linux/version.h>

#include <linux/netdevice.h>

#include <linux/etherdevice.h>

#include <linux/moduleparam.h>

#include <net/arp.h>

#define ERR(...) printk(KERN_ERR "! "__VA_ARGS__)

#define LOG(...) printk(KERN_INFO "! "__VA_ARGS__)

static char* link = "eth0";

module_param(link, charp, 0);

static char* ifname = "virt";

module_param(ifname, charp, 0);

static struct net_device *child = NULL;

static struct net_device_stats stats;

struct priv {

struct net_device *parent;

};

static rx_handler_result_t handle_frame(struct sk_buff **pskb) {

struct sk_buff *skb = *pskb;

if(child) {

stats.rx_packets++;

stats.rx_bytes += skb->len;

LOG("rx: injecting frame from %s to %s", skb->dev->name, child->name);

skb->dev = child;

/* netif_receive_skb(skb);

return RX_HANDLER_CONSUMED; */

return RX_HANDLER_ANOTHER;

}

return RX_HANDLER_PASS;

}

static int open(struct net_device *dev) {

netif_start_queue(dev);

LOG("%s: device opened", dev->name);

return 0;

}

static int stop(struct net_device *dev) {

netif_stop_queue(dev);

LOG("%s: device closed", dev->name);

return 0;

}

static netdev_tx_t start_xmit(struct sk_buff *skb, struct net_device *dev) {

struct priv *priv = netdev_priv(dev);

stats.tx_packets++;

stats.tx_bytes += skb->len;

if(priv->parent) {

skb->dev = priv->parent;

skb->priority = 1;

dev_queue_xmit(skb);

LOG("tx: injecting frame from %s to %s", dev->name, skb->dev->name);

return 0;

}

return NETDEV_TX_OK;

}

static struct net_device_stats *get_stats(struct net_device *dev) {

return &stats;

}

static struct net_device_ops crypto_net_device_ops = {

.ndo_open = open,

.ndo_stop = stop,

.ndo_get_stats = get_stats,

.ndo_start_xmit = start_xmit,

};

// #define MAX_ADDR_LEN 32 <netdev.h>

// #define ETH_ALEN 6 /* Octets in one ethernet addr */ <if_ether.h>

static void setup(struct net_device *dev) {

int j;

ether_setup(dev);

memset(netdev_priv(dev), 0, sizeof(struct priv));

dev->netdev_ops = &crypto_net_device_ops;

for(j = 0; j < ETH_ALEN; ++j) // fill in the MAC address with a phoney

dev->dev_addr[j] = (char)j;

}

int __init init(void) {

int err = 0;

struct priv *priv;

char ifstr[40];

sprintf(ifstr, "%s%s", ifname, "%d");

#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))

child = alloc_netdev(sizeof(struct priv), ifstr, setup);

#else

child = alloc_netdev(sizeof(struct priv), ifstr, NET_NAME_UNKNOWN, setup);

#endif

if(child == NULL) {

ERR("%s: allocate error", THIS_MODULE->name); return -ENOMEM;

}

priv = netdev_priv(child);

priv->parent = __dev_get_by_name(&init_net, link); // parent interface

if(!priv->parent) {

ERR("%s: no such link: %s", THIS_MODULE->name, link);

err = -ENODEV; goto err;

}

if(priv->parent->type != ARPHRD_ETHER && priv->parent->type != ARPHRD_LOOPBACK) {

ERR("%s: illegal net type", THIS_MODULE->name);

err = -EINVAL; goto err;

}

/* also, and clone its IP, MAC and other information */

memcpy(child->dev_addr, priv->parent->dev_addr, ETH_ALEN);

memcpy(child->broadcast, priv->parent->broadcast, ETH_ALEN);

if((err = dev_alloc_name(child, child->name))) {

ERR("%s: allocate name, error %i", THIS_MODULE->name, err);

err = -EIO; goto err;

}

register_netdev(child);

rtnl_lock();

netdev_rx_handler_register(priv->parent, &handle_frame, NULL);

rtnl_unlock();

LOG("module %s loaded", THIS_MODULE->name);

LOG("%s: create link %s", THIS_MODULE->name, child->name);

LOG("%s: registered rx handler for %s", THIS_MODULE->name, priv->parent->name);

return 0;

err:

free_netdev(child);

return err;

}

void __exit virt_exit(void) {

struct priv *priv = netdev_priv(child);

if(priv->parent) {

rtnl_lock();

netdev_rx_handler_unregister(priv->parent);

rtnl_unlock();

LOG("unregister rx handler for %s\n", priv->parent->name);

}

unregister_netdev(child);

free_netdev(child);

LOG("module %s unloaded", THIS_MODULE->name);

}

module_init(init);

module_exit(virt_exit);

MODULE_AUTHOR("Oleg Tsiliuric");

MODULE_AUTHOR("Nikita Dorokhin");

MODULE_LICENSE("GPL v2");

MODULE_VERSION("3.2");

EOF

cat > virt2.c << "EOF"

#include <linux/module.h>

#include <linux/version.h>

#include <linux/netdevice.h>

#include <linux/etherdevice.h>

#include <linux/moduleparam.h>

#include <net/arp.h>

#define ERR(...) printk(KERN_ERR "! "__VA_ARGS__)

#define LOG(...) printk(KERN_INFO "! "__VA_ARGS__)

static char* link = "eth0";

module_param(link, charp, 0);

static char* ifname = "virt";

module_param(ifname, charp, 0);

static struct net_device *child = NULL;

struct priv {

struct net_device *parent;

};

static rx_handler_result_t handle_frame(struct sk_buff **pskb) {

struct sk_buff *skb = *pskb;

if(child) {

child->stats.rx_packets++;

child->stats.rx_bytes += skb->len;

LOG("rx: injecting frame from %s to %s", skb->dev->name, child->name);

skb->dev = child;

/* netif_receive_skb(skb);

return RX_HANDLER_CONSUMED; */

return RX_HANDLER_ANOTHER;

}

return RX_HANDLER_PASS;

}

static int open(struct net_device *dev) {

netif_start_queue(dev);

LOG("%s: device opened", dev->name);

return 0;

}

static int stop(struct net_device *dev) {

netif_stop_queue(dev);

LOG("%s: device closed", dev->name);

return 0;

}

static netdev_tx_t start_xmit(struct sk_buff *skb, struct net_device *dev) {

struct priv *priv = netdev_priv(dev);

child->stats.tx_packets++;

child->stats.tx_bytes += skb->len;

if(priv->parent) {

skb->dev = priv->parent;

skb->priority = 1;

dev_queue_xmit(skb);

LOG("tx: injecting frame from %s to %s", dev->name, skb->dev->name);

return 0;

}

return NETDEV_TX_OK;

}

static struct net_device_stats *get_stats(struct net_device *dev) {

return &dev->stats;

}

static struct net_device_ops crypto_net_device_ops = {

.ndo_open = open,

.ndo_stop = stop,

.ndo_get_stats = get_stats,

.ndo_start_xmit = start_xmit,

};

// #define MAX_ADDR_LEN 32 <netdev.h>

// #define ETH_ALEN 6 /* Octets in one ethernet addr */ <if_ether.h>

static void setup(struct net_device *dev) {

int j;

ether_setup(dev);

memset(netdev_priv(dev), 0, sizeof(struct priv));

dev->netdev_ops = &crypto_net_device_ops;

for(j = 0; j < ETH_ALEN; ++j) // fill in the MAC address with a phoney

dev->dev_addr[j] = (char)j;

}

int __init init(void) {

int err = 0;

struct priv *priv;

char ifstr[40];

sprintf(ifstr, "%s%s", ifname, "%d");

#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))

child = alloc_netdev(sizeof(struct priv), ifstr, setup);

#else

child = alloc_netdev(sizeof(struct priv), ifstr, NET_NAME_UNKNOWN, setup);

#endif

if(child == NULL) {

ERR("%s: allocate error", THIS_MODULE->name); return -ENOMEM;

}

priv = netdev_priv(child);

priv->parent = __dev_get_by_name(&init_net, link); // parent interface

if(!priv->parent) {

ERR("%s: no such link: %s", THIS_MODULE->name, link);

err = -ENODEV; goto err;

}

if(priv->parent->type != ARPHRD_ETHER && priv->parent->type != ARPHRD_LOOPBACK) {

ERR("%s: illegal net type", THIS_MODULE->name);

err = -EINVAL; goto err;

}

/* also, and clone its IP, MAC and other information */

memcpy(child->dev_addr, priv->parent->dev_addr, ETH_ALEN);

memcpy(child->broadcast, priv->parent->broadcast, ETH_ALEN);

if((err = dev_alloc_name(child, child->name))) {

ERR("%s: allocate name, error %i", THIS_MODULE->name, err);

err = -EIO; goto err;

}

register_netdev(child);

rtnl_lock();

netdev_rx_handler_register(priv->parent, &handle_frame, NULL);

rtnl_unlock();

LOG("module %s loaded", THIS_MODULE->name);

LOG("%s: create link %s", THIS_MODULE->name, child->name);

LOG("%s: registered rx handler for %s", THIS_MODULE->name, priv->parent->name);

return 0;

err:

free_netdev(child);

return err;

}

void __exit virt_exit(void) {

struct priv *priv = netdev_priv(child);

if(priv->parent) {

rtnl_lock();

netdev_rx_handler_unregister(priv->parent);

rtnl_unlock();

LOG("unregister rx handler for %s\n", priv->parent->name);

}

unregister_netdev(child);

free_netdev(child);

LOG("module %s unloaded", THIS_MODULE->name);

}

module_init(init);

module_exit(virt_exit);

MODULE_AUTHOR("Oleg Tsiliuric");

MODULE_AUTHOR("Nikita Dorokhin");

MODULE_LICENSE("GPL v2");

MODULE_VERSION("3.2");

EOF

ЧДД?

make

insmod virt.ko link=p7p1

ifconfig virt0 192.168.50.2

ping 192.168.50.1

rmmod virt

virt.1.ko link=p7p1

lsmod | head -n3

rmmod 'virt.1'

Протокол сетевого уровня:

На этом уровне (L2) обеспечивается обработка таких протоколов как IP/IPv4/IPv6/IPX/ICMP/RIP/OSPF/ARP 
или оригинальных пользовательских протоколов.
Для установки обработчиков сетевого уровня предоставляются API сетевого уровня (<linux/netdevice.h>)

Фактически в протокольных модулях мы должны добавить фильтр, через который проходят буферы сокетов из 
входящего потока интерфейса. (Исходящий поток реализуется проще)
На обработку функции отбираются те буферы сокетов, которые удовлетворяют критериям,
заложенным в структуре "struct packet_type"


Примеры кода:
cat > Makefile << "EOF"
CURRENT = $(shell uname -r)
KDIR = /lib/modules/$(CURRENT)/build
PWD = $(shell pwd)
DEST = /lib/modules/$(CURRENT)/misc
EXTRA_CFLAGS += -std=gnu99

TARGET1 = net_proto
TARGET2 = net_proto2
TARGET3 = net_protox
TARGET4 = trn_proto

obj-m   := $(TARGET1).o 
#$(TARGET2).o $(TARGET3).o

all: modules clean

modules:
        $(MAKE) -C $(KDIR) M=$(PWD) modules

clean:
        @rm -f *.o .*.cmd .*.flags *.mod.c *.order *.d
        @rm -f .*.*.cmd *.symvers *~ *.*~
        @rm -fR .tmp* .*.cmd .*.d
        @rm -rf .tmp_versions

disclean:  clean
        @rm -f *.ko
EOF


cat > net_proto.c << "EOF" 
#include "net_common.c"

// int (*func) (struct sk_buff *, struct net_device *,
//              struct packet_type *,
//              struct net_device *);

int test_pack_rcv(struct sk_buff *skb, struct net_device *dev,
                  struct packet_type *pt, struct net_device *odev) {
//   printk(KERN_INFO "packet received with length: %u\n", skb->len);
   kfree_skb(skb);
   return skb->len;
};

#define TEST_PROTO_ID 0x1234
static struct packet_type test_proto = {
   __constant_htons(ETH_P_ALL),  // may be: __constant_htons(TEST_PROTO_ID),
   false,
   NULL,
   test_pack_rcv,
   (void*)1,
   NULL
};

static int __init my_init(void) {
   dev_add_pack(&test_proto);
   LOG("module %s loaded\n", THIS_MODULE->name);
   return 0; 
}

static void __exit my_exit(void) {
   dev_remove_pack(&test_proto);
   LOG("module %s unloaded\n", THIS_MODULE->name);
}

/*
struct packet_type {            // 5.4
        __be16                  type;           // This is really htons(ether_type). 
        bool                    ignore_outgoing;
        struct net_device       *dev;      // NULL is wildcarded here        
        int                     (*func) (struct sk_buff *,
                                         struct net_device *,
                                         struct packet_type *,
                                         struct net_device *);
        void                    (*list_func) (struct list_head *,
                                              struct packet_type *,
                                              struct net_device *);
        bool                    (*id_match)(struct packet_type *ptype,
                                            struct sock *sk);
        void                    *af_packet_priv;
        struct list_head        list;
};
*/


/* struct packet_type {
   __be16 type;            // This is really htons(ether_type). 
   struct net_device *dev; // NULL is wildcarded here
   (*func) ( struct sk_buff *, struct net_device *, 
             struct packet_type *, struct net_device * );
   struct sk_buff *(*gso_segment)( struct sk_buff *skb, int features );
   int (*gso_send_check)( struct sk_buff *skb );
   struct sk_buff **(*gro_receive)( struct sk_buff **head, struct sk_buff *skb );
   int (*gro_complete)( struct sk_buff *skb );
   void *af_packet_priv;
   struct list_head list;
}; */

EOF


cat > net_proto2.c << "EOF"
#include "net_common.c"

static int debug = 0;
module_param( debug, int, 0 );

static char* link = NULL;
module_param( link, charp, 0 );

int test_pack_rcv_1( struct sk_buff *skb, struct net_device *dev,
                     struct packet_type *pt, struct net_device *odev ) {
   int s = atomic_read( &skb->users );  
   kfree_skb( skb );
   if( debug > 0 ) LOG( "function #1 - %p => users: %d->%d\n", skb, s, atomic_read( &skb->users ) );
   return skb->len;
};

int test_pack_rcv_2( struct sk_buff *skb, struct net_device *dev,
                     struct packet_type *pt, struct net_device *odev ) {
   int s = atomic_read( &skb->users );  
   kfree_skb( skb );
   if( debug > 0 ) LOG( "function #2 - %p => users: %d->%d\n", skb, s, atomic_read( &skb->users ) );
   return skb->len;
};

static struct packet_type 
test_proto1 = {
   __constant_htons( ETH_P_IP ),
   NULL,
   test_pack_rcv_1,
   (void*)1,
   NULL
},
test_proto2 = {
   __constant_htons( ETH_P_IP ),
   NULL,
   test_pack_rcv_2,
   (void*)1,
   NULL
};

static int __init my_init( void ) {
   if( link != NULL ) {
      struct net_device *dev = __dev_get_by_name( &init_net, link );
      if( NULL == dev ) { 
         ERR( "%s: illegal link", link );
         return -EINVAL; 
      }
      test_proto1.dev = test_proto2.dev = dev;
   }
   dev_add_pack( &test_proto1 );
   dev_add_pack( &test_proto2 );
   if( NULL == test_proto1.dev ) LOG( "module %s loaded for all links\n", THIS_MODULE->name );
   else LOG( "module %s loaded for link %s\n", THIS_MODULE->name, link );
   return 0; 
}

static void __exit my_exit( void ) {
   if( test_proto2.dev != NULL ) dev_put( test_proto2.dev );
   if( test_proto1.dev != NULL ) dev_put( test_proto1.dev );
   dev_remove_pack( &test_proto2 );
   dev_remove_pack( &test_proto1 );
   LOG( "module %s unloaded\n", THIS_MODULE->name );
}


/* struct packet_type {
   __be16 type;            // This is really htons(ether_type). 
   struct net_device *dev; // NULL is wildcarded here
   (*func) ( struct sk_buff *, struct net_device *, 
             struct packet_type *, struct net_device * );
   struct sk_buff *(*gso_segment)( struct sk_buff *skb, int features );
   int (*gso_send_check)( struct sk_buff *skb );
   struct sk_buff **(*gro_receive)( struct sk_buff **head, struct sk_buff *skb );
   int (*gro_complete)( struct sk_buff *skb );
   void *af_packet_priv;
   struct list_head list;
}; */

EOF



cat > net_protox.c << "EOF"
#include "net_common.c"

int test_pack_rcv( struct sk_buff *skb, struct net_device *dev,
                   struct packet_type *pt, struct net_device *odev ) {
   LOG( "packet received with length: %u\n", skb->len );
   kfree_skb( skb );
   return skb->len;
};

#define TEST_PROTO_ID 0x1234
static struct packet_type test_proto = {
//   __constant_htons( TEST_PROTO_ID ),
   __constant_htons( ETH_P_IP ),
   NULL,
   test_pack_rcv,
   (void*)1,
   NULL
};

static int my_open( struct net_device *dev ) {
   LOG( "my_open(%s)\n", dev->name );
   /* start up the transmission queue */
   netif_start_queue( dev );
   return 0;
}

static int my_close( struct net_device *dev ) {
   LOG( "my_close(%s)\n", dev->name );
   /* shutdown the transmission queue */
   netif_stop_queue( dev );
   return 0;
}

static int stub_start_xmit( struct sk_buff *skb, struct net_device *dev ) {
   dev_kfree_skb( skb );
   return 0;
}

static struct net_device_ops ndo = {
   .ndo_open = my_open,
   .ndo_stop = my_close,
   .ndo_start_xmit = stub_start_xmit,
};

static void __init my_setup( struct net_device *dev ) {
   int j;
   for( j = 0; j < ETH_ALEN; ++j )
      dev->dev_addr[ j ] = (char)j;    // Fill the MAC address
   ether_setup( dev );
   dev->netdev_ops = &ndo;
}

static struct net_device *dev;

static int __init my_init( void ) {
#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))
   dev = alloc_netdev( 0, "xxx%d", my_setup );
#else
   dev = alloc_netdev( 0, "xxx%d", NET_NAME_UNKNOWN, my_setup );
#endif
   if( register_netdev( dev ) ) {
      ERR( "failed to register\n" );
      free_netdev( dev );
      return -1;
   }
   test_proto.dev = dev;
   dev_add_pack( &test_proto );
   LOG( "module loaded\n" );
   return 0; 
}

static void __exit my_exit( void ) {
   dev_remove_pack( &test_proto );
   unregister_netdev( dev );
   free_netdev( dev );
   LOG( "module unloaded\n" );
}

/* struct packet_type {
   __be16 type;            // This is really htons(ether_type)
   struct net_device *dev; // NULL is wildcarded here
   (*func) ( struct sk_buff *, struct net_device *, 
             struct packet_type *, struct net_device * );
   struct sk_buff *(*gso_segment)( struct sk_buff *skb, int features );
   int (*gso_send_check)( struct sk_buff *skb );
   struct sk_buff **(*gro_receive)( struct sk_buff **head, struct sk_buff *skb );
   int (*gro_complete)( struct sk_buff *skb );
   void *af_packet_priv;
   struct list_head list;
}; */

EOF


cat > trn_proto.c < "EOF" 
#include <net/protocol.h>
#include "net_common.c"

int test_proto_rcv( struct sk_buff *skb ) {
   printk( KERN_INFO "Packet received with length: %u\n", skb->len );
   return skb->len;
};

/* This is used to register protocols. 
struct net_protocol {
   int  (*handler)( struct sk_buff *skb );
   void (*err_handler)( struct sk_buff *skb, u32 info );
   int  (*gso_send_check)( struct sk_buff *skb );
   struct sk_buff *(*gso_segment)( struct sk_buff *skb,
                                   int features);
   struct sk_buff **(*gro_receive)( struct sk_buff **head,
                                    struct sk_buff *skb );
   int (*gro_complete)( struct sk_buff *skb );
   unsigned int no_policy:1,
                netns_ok:1;
}; */
static struct net_protocol test_proto = {
   .handler = test_proto_rcv,
   .err_handler = 0,
   .no_policy = 0,
};

#define PROTO IPPROTO_ICMP
//#define PROTO IPPROTO_TCP
//#define PROTO IPPROTO_RAW
// #define PROTO IPPROTO_UDP

static int __init my_init( void ) {
   int ret;
   if( ( ret = inet_add_protocol( &test_proto, PROTO ) ) < 0 ) {
      printk( KERN_INFO "proto init: can't add protocol\n");
      return ret;
   };
   printk( KERN_INFO "proto module loaded\n" );
   return 0; 
}

static void __exit my_exit( void ) {
   inet_del_protocol( &test_proto, PROTO );
   printk( KERN_INFO "proto module unloaded\n" );
}


EOF



ЧТДСХ?
insmod net_proto.ko
insmod net_protox.ko
insmod trn_proto.ko 
insmod net_proto2.ko link=p7p1
dmesg | tail -n30 | grep -v ^audit
ls -R /sys/module/trn_proto 
rmmod trn_proto
dmesg | tail -n60 | grep -v ^audit



Очень большое число идентификаторов протоколов содержится в файле <linux/if_ether.h>

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215

216

217

218

219

220

221

222

223

224

225

226

227

228

229

230

231

232

233

234

235

236

237

238

239

240

241

242

243

244

245

246

247

248

249

250

251

252

253

254

255

256

257

258

259

260

261

262

263

264

265

266

267

268

269

270

271

272

273

274

275

276

277

278

279

280

281

282

283

284

285

286

287

288

289

290

291

292

293

294

295

296

297

298

299

300

301

302

303

304

305

306

307

308

309

310

311

312

313

314

315

316

317

318

319

320

321

322

323

324

325

326

327

328

329

330

331

332

333

334

335

336

337

338

339

340

341

342

343

344

345

346

347

348

349

350

351

352

353

354

355

356

357

На этом уровне (L2) обеспечивается обработка таких протоколов как IP/IPv4/IPv6/IPX/ICMP/RIP/OSPF/ARP

или оригинальных пользовательских протоколов.

Для установки обработчиков сетевого уровня предоставляются API сетевого уровня (<linux/netdevice.h>)

Фактически в протокольных модулях мы должны добавить фильтр, через который проходят буферы сокетов из

входящего потока интерфейса. (Исходящий поток реализуется проще)

На обработку функции отбираются те буферы сокетов, которые удовлетворяют критериям,

заложенным в структуре "struct packet_type"

Примеры кода:

cat > Makefile << "EOF"

CURRENT = $(shell uname -r)

KDIR = /lib/modules/$(CURRENT)/build

PWD = $(shell pwd)

DEST = /lib/modules/$(CURRENT)/misc

EXTRA_CFLAGS += -std=gnu99

TARGET1 = net_proto

TARGET2 = net_proto2

TARGET3 = net_protox

TARGET4 = trn_proto

obj-m := $(TARGET1).o

#$(TARGET2).o $(TARGET3).o

all: modules clean

modules:

$(MAKE) -C $(KDIR) M=$(PWD) modules

clean:

@rm -f *.o .*.cmd .*.flags *.mod.c *.order *.d

@rm -f .*.*.cmd *.symvers *~ *.*~

@rm -fR .tmp* .*.cmd .*.d

@rm -rf .tmp_versions

disclean: clean

@rm -f *.ko

EOF

cat > net_proto.c << "EOF"

#include "net_common.c"

// int (*func) (struct sk_buff *, struct net_device *,

// struct packet_type *,

// struct net_device *);

int test_pack_rcv(struct sk_buff *skb, struct net_device *dev,

struct packet_type *pt, struct net_device *odev) {

// printk(KERN_INFO "packet received with length: %u\n", skb->len);

kfree_skb(skb);

return skb->len;

};

#define TEST_PROTO_ID 0x1234

static struct packet_type test_proto = {

__constant_htons(ETH_P_ALL), // may be: __constant_htons(TEST_PROTO_ID),

false,

NULL,

test_pack_rcv,

(void*)1,

NULL

};

static int __init my_init(void) {

dev_add_pack(&test_proto);

LOG("module %s loaded\n", THIS_MODULE->name);

return 0;

}

static void __exit my_exit(void) {

dev_remove_pack(&test_proto);

LOG("module %s unloaded\n", THIS_MODULE->name);

}

struct packet_type { // 5.4

__be16 type; // This is really htons(ether_type).

bool ignore_outgoing;

struct net_device *dev; // NULL is wildcarded here

int (*func) (struct sk_buff *,

struct net_device *,

struct packet_type *,

struct net_device *);

void (*list_func) (struct list_head *,

struct packet_type *,

struct net_device *);

bool (*id_match)(struct packet_type *ptype,

struct sock *sk);

void *af_packet_priv;

struct list_head list;

};

/* struct packet_type {

__be16 type; // This is really htons(ether_type).

struct net_device *dev; // NULL is wildcarded here

(*func) ( struct sk_buff *, struct net_device *,

struct packet_type *, struct net_device * );

struct sk_buff *(*gso_segment)( struct sk_buff *skb, int features );

int (*gso_send_check)( struct sk_buff *skb );

struct sk_buff **(*gro_receive)( struct sk_buff **head, struct sk_buff *skb );

int (*gro_complete)( struct sk_buff *skb );

void *af_packet_priv;

struct list_head list;

}; */

EOF

cat > net_proto2.c << "EOF"

#include "net_common.c"

static int debug = 0;

module_param( debug, int, 0 );

static char* link = NULL;

module_param( link, charp, 0 );

int test_pack_rcv_1( struct sk_buff *skb, struct net_device *dev,

struct packet_type *pt, struct net_device *odev ) {

int s = atomic_read( &skb->users );

kfree_skb( skb );

if( debug > 0 ) LOG( "function #1 - %p => users: %d->%d\n", skb, s, atomic_read( &skb->users ) );

return skb->len;

};

int test_pack_rcv_2( struct sk_buff *skb, struct net_device *dev,

struct packet_type *pt, struct net_device *odev ) {

int s = atomic_read( &skb->users );

kfree_skb( skb );

if( debug > 0 ) LOG( "function #2 - %p => users: %d->%d\n", skb, s, atomic_read( &skb->users ) );

return skb->len;

};

static struct packet_type

test_proto1 = {

__constant_htons( ETH_P_IP ),

NULL,

test_pack_rcv_1,

(void*)1,

NULL

test_proto2 = {

__constant_htons( ETH_P_IP ),

NULL,

test_pack_rcv_2,

(void*)1,

NULL

};

static int __init my_init( void ) {

if( link != NULL ) {

struct net_device *dev = __dev_get_by_name( &init_net, link );

if( NULL == dev ) {

ERR( "%s: illegal link", link );

return -EINVAL;

}

test_proto1.dev = test_proto2.dev = dev;

}

dev_add_pack( &test_proto1 );

dev_add_pack( &test_proto2 );

if( NULL == test_proto1.dev ) LOG( "module %s loaded for all links\n", THIS_MODULE->name );

else LOG( "module %s loaded for link %s\n", THIS_MODULE->name, link );

return 0;

}

static void __exit my_exit( void ) {

if( test_proto2.dev != NULL ) dev_put( test_proto2.dev );

if( test_proto1.dev != NULL ) dev_put( test_proto1.dev );

dev_remove_pack( &test_proto2 );

dev_remove_pack( &test_proto1 );

LOG( "module %s unloaded\n", THIS_MODULE->name );

}

/* struct packet_type {

__be16 type; // This is really htons(ether_type).

struct net_device *dev; // NULL is wildcarded here

(*func) ( struct sk_buff *, struct net_device *,

struct packet_type *, struct net_device * );

struct sk_buff *(*gso_segment)( struct sk_buff *skb, int features );

int (*gso_send_check)( struct sk_buff *skb );

struct sk_buff **(*gro_receive)( struct sk_buff **head, struct sk_buff *skb );

int (*gro_complete)( struct sk_buff *skb );

void *af_packet_priv;

struct list_head list;

}; */

EOF

cat > net_protox.c << "EOF"

#include "net_common.c"

int test_pack_rcv( struct sk_buff *skb, struct net_device *dev,

struct packet_type *pt, struct net_device *odev ) {

LOG( "packet received with length: %u\n", skb->len );

kfree_skb( skb );

return skb->len;

};

#define TEST_PROTO_ID 0x1234

static struct packet_type test_proto = {

// __constant_htons( TEST_PROTO_ID ),

__constant_htons( ETH_P_IP ),

NULL,

test_pack_rcv,

(void*)1,

NULL

};

static int my_open( struct net_device *dev ) {

LOG( "my_open(%s)\n", dev->name );

/* start up the transmission queue */

netif_start_queue( dev );

return 0;

}

static int my_close( struct net_device *dev ) {

LOG( "my_close(%s)\n", dev->name );

/* shutdown the transmission queue */

netif_stop_queue( dev );

return 0;

}

static int stub_start_xmit( struct sk_buff *skb, struct net_device *dev ) {

dev_kfree_skb( skb );

return 0;

}

static struct net_device_ops ndo = {

.ndo_open = my_open,

.ndo_stop = my_close,

.ndo_start_xmit = stub_start_xmit,

};

static void __init my_setup( struct net_device *dev ) {

int j;

for( j = 0; j < ETH_ALEN; ++j )

dev->dev_addr[ j ] = (char)j; // Fill the MAC address

ether_setup( dev );

dev->netdev_ops = &ndo;

}

static struct net_device *dev;

static int __init my_init( void ) {

#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))

dev = alloc_netdev( 0, "xxx%d", my_setup );

#else

dev = alloc_netdev( 0, "xxx%d", NET_NAME_UNKNOWN, my_setup );

#endif

if( register_netdev( dev ) ) {

ERR( "failed to register\n" );

free_netdev( dev );

return -1;

}

test_proto.dev = dev;

dev_add_pack( &test_proto );

LOG( "module loaded\n" );

return 0;

}

static void __exit my_exit( void ) {

dev_remove_pack( &test_proto );

unregister_netdev( dev );

free_netdev( dev );

LOG( "module unloaded\n" );

}

/* struct packet_type {

__be16 type; // This is really htons(ether_type)

struct net_device *dev; // NULL is wildcarded here

(*func) ( struct sk_buff *, struct net_device *,

struct packet_type *, struct net_device * );

struct sk_buff *(*gso_segment)( struct sk_buff *skb, int features );

int (*gso_send_check)( struct sk_buff *skb );

struct sk_buff **(*gro_receive)( struct sk_buff **head, struct sk_buff *skb );

int (*gro_complete)( struct sk_buff *skb );

void *af_packet_priv;

struct list_head list;

}; */

EOF

cat > trn_proto.c < "EOF"

#include <net/protocol.h>

#include "net_common.c"

int test_proto_rcv( struct sk_buff *skb ) {

printk( KERN_INFO "Packet received with length: %u\n", skb->len );

return skb->len;

};

/* This is used to register protocols.

struct net_protocol {

int (*handler)( struct sk_buff *skb );

void (*err_handler)( struct sk_buff *skb, u32 info );

int (*gso_send_check)( struct sk_buff *skb );

struct sk_buff *(*gso_segment)( struct sk_buff *skb,

int features);

struct sk_buff **(*gro_receive)( struct sk_buff **head,

struct sk_buff *skb );

int (*gro_complete)( struct sk_buff *skb );

unsigned int no_policy:1,

netns_ok:1;

}; */

static struct net_protocol test_proto = {

.handler = test_proto_rcv,

.err_handler = 0,

.no_policy = 0,

};

#define PROTO IPPROTO_ICMP

//#define PROTO IPPROTO_TCP

//#define PROTO IPPROTO_RAW

// #define PROTO IPPROTO_UDP

static int __init my_init( void ) {

int ret;

if( ( ret = inet_add_protocol( &test_proto, PROTO ) ) < 0 ) {

printk( KERN_INFO "proto init: can't add protocol\n");

return ret;

};

printk( KERN_INFO "proto module loaded\n" );

return 0;

}

static void __exit my_exit( void ) {

inet_del_protocol( &test_proto, PROTO );

printk( KERN_INFO "proto module unloaded\n" );

}

EOF

ЧТДСХ?

insmod net_proto.ko

insmod net_protox.ko

insmod trn_proto.ko

insmod net_proto2.ko link=p7p1

dmesg | tail -n30 | grep -v ^audit

ls -R /sys/module/trn_proto

rmmod trn_proto

dmesg | tail -n60 | grep -v ^audit

Очень большое число идентификаторов протоколов содержится в файле <linux/if_ether.h>

Методика проверки драйвера на утечку памяти:

Утечка памяти может приводить к краху системы.

0. Запустить команду free и зафиксировать показания
free 

1. На тестируемом узле запустить:

cat > client << "EOF" 
LIMIT=1000000
for ((a=1; a <= LIMIT ; a++))
do
   rm z.txt
   nc localhost 12345 > z.txt
   sleep 1
done

EOF

./client



2. На стороннем доступном узле запустить:

cat > server < "EOF"
dd if=/dev/zero of=z.txt bs=1M count=1

LIMIT=1000000
for ((a=1; a <= LIMIT ; a++))
do
   cat z.txt | nc -l 12345
done

EOF


./server

3. Выждать 10-20 минут
За это время система не должна зависнуть.
А результат команды free  должен быть близок к результату из пункта 0.

Утечка памяти может приводить к краху системы.

0. Запустить команду free и зафиксировать показания

free

1. На тестируемом узле запустить:

cat > client << "EOF"

LIMIT=1000000

for ((a=1; a <= LIMIT ; a++))

rm z.txt

nc localhost 12345 > z.txt

sleep 1

done

EOF

./client

2. На стороннем доступном узле запустить:

cat > server < "EOF"

dd if=/dev/zero of=z.txt bs=1M count=1

LIMIT=1000000

for ((a=1; a <= LIMIT ; a++))

cat z.txt | nc -l 12345

done

EOF

./server

3. Выждать 10-20 минут

За это время система не должна зависнуть.

А результат команды free должен быть близок к результату из пункта 0.

Драйвер virt-full

cat > Makefile << "EOF" 
CURRENT = $(shell uname -r)
KDIR = /lib/modules/$(CURRENT)/build
PWD = $(shell pwd)

TARGET = virt
obj-m := $(TARGET).o 

all: default clean

default:
        $(MAKE) -C $(KDIR) M=$(PWD) modules 

clean:
        @rm -f *.o .*.cmd .*.flags *.mod.c *.order
        @rm -f .*.*.cmd *.symvers *~ *.*~ TODO.*
        @rm -fR .tmp* *.mod
        @rm -rf .tmp_versions

disclean: clean
        @rm -f $(TARGET).ko

EOF



cat >  virt.c << "EOF"
#include <linux/module.h>
#include <linux/version.h>
#include <linux/netdevice.h>
#include <linux/etherdevice.h>
#include <linux/inetdevice.h>
#include <linux/moduleparam.h>
#include <net/arp.h>
#include <linux/ip.h> 

#define ERR(...) printk( KERN_ERR "! "__VA_ARGS__ )
#define LOG(...) printk( KERN_INFO "! "__VA_ARGS__ )
#define DBG(...) if( debug != 0 ) printk( KERN_INFO "! "__VA_ARGS__ )

static char* link = "eth0";
module_param( link, charp, 0 );

static char* ifname = "virt"; 
module_param( ifname, charp, 0 );

static int debug = 0;
module_param( debug, int, 0 );

static struct net_device *child = NULL;
static struct net_device_stats stats;
static u32 child_ip;

struct priv {
   struct net_device *parent;
};

static char* strIP( u32 addr ) {     // диагностика IP в точечной нотации
   static char saddr[ MAX_ADDR_LEN ];
   sprintf( saddr, "%d.%d.%d.%d",
            ( addr ) & 0xFF, ( addr >> 8 ) & 0xFF,
            ( addr >> 16 ) & 0xFF, ( addr >> 24 ) & 0xFF
          );
   return saddr;
}

static char* strAR_IP( unsigned char addr[ 4 ] ) {
   static char saddr[ MAX_ADDR_LEN ];
   sprintf( saddr, "%d.%0d.%d.%d",
            addr[ 0 ], addr[ 1 ], addr[ 2 ], addr[ 3 ] );
   return saddr;
}

//<linux/if_arp.h> :
struct arp_eth_body {
   unsigned char  ar_sha[ ETH_ALEN ];     // sender hardware address      
   unsigned char  ar_sip[ 4 ];            // sender IP address            
   unsigned char  ar_tha[ ETH_ALEN ];     // target hardware address      
   unsigned char  ar_tip[ 4 ];            // target IP address            
};

static rx_handler_result_t handle_frame( struct sk_buff **pskb ) {
   struct sk_buff *skb = *pskb;
   if( skb->protocol == htons( ETH_P_IP ) ) {
      struct iphdr *ip = ip_hdr( skb );
      char *addr = strIP( ip->daddr );
      DBG( "rx: IP4 to IP=%s", addr );
      if( ip->daddr != child_ip )
         return RX_HANDLER_PASS; 
   }
   else if( skb->protocol == htons( ETH_P_ARP ) ) {
      struct arphdr *arp = arp_hdr( skb );
      struct arp_eth_body *body = (void*)arp + sizeof( struct arphdr ); 
      int i, ip = child_ip;
      DBG( "rx: ARP for %s", strAR_IP( body->ar_tip ) );
      for( i = 0; i < sizeof( body->ar_tip ); i++ ) {
         if( ( ip & 0xFF ) != body->ar_tip[ i ] ) break;
         ip = ip >> 8;
      }
      if( i < sizeof( body->ar_tip ) )
         return RX_HANDLER_PASS; 
   }
   else           // не ARP и не IP4
      return RX_HANDLER_PASS; 
   stats.rx_packets++;
   stats.rx_bytes += skb->len;
   DBG( "rx: injecting frame from %s to %s", skb->dev->name, child->name );
   skb->dev = child;
   return RX_HANDLER_ANOTHER;
}

static netdev_tx_t start_xmit( struct sk_buff *skb, struct net_device *dev ) {
   struct priv *priv = netdev_priv( dev );
   stats.tx_packets++;
   stats.tx_bytes += skb->len;
   if( priv->parent ) {
      skb->dev = priv->parent;
      skb->priority = 1;
      dev_queue_xmit( skb );
      LOG( "tx: injecting frame from %s to %s", dev->name, skb->dev->name );
      return 0;
   }
   return NETDEV_TX_OK;
}

static int open( struct net_device *dev ) {
   struct in_device *in_dev = dev->ip_ptr;
   struct in_ifaddr *ifa = in_dev->ifa_list;      /* IP ifaddr chain */
   char sdebg[ 40 ] = "";
   LOG( "%s: device opened", dev->name );
   child_ip = ifa->ifa_address;
   sprintf( sdebg, "%s:", strIP( ifa->ifa_address ) );
   strcat( sdebg, strIP( ifa->ifa_mask ) );
   DBG( "%s: %s", dev->name, sdebg );
   netif_start_queue( dev );
   return 0;
}

static int stop( struct net_device *dev ) {
   LOG( "%s: device closed", dev->name );
   netif_stop_queue( dev );
   return 0;
}

static struct net_device_stats *get_stats( struct net_device *dev ) {
   return &stats;
}

static struct net_device_ops crypto_net_device_ops = {
   .ndo_open = open,
   .ndo_stop = stop,
   .ndo_get_stats = get_stats,
   .ndo_start_xmit = start_xmit,
};

static void setup( struct net_device *dev ) {
   int j;
   ether_setup( dev );
   memset( netdev_priv(dev), 0, sizeof( struct priv ) );
   dev->netdev_ops = &crypto_net_device_ops;
   for( j = 0; j < ETH_ALEN; ++j ) // fill in the MAC address with a phoney 
      dev->dev_addr[ j ] = (char)j;
}

int __init init( void ) {
   int err = 0;
   struct priv *priv;
   char ifstr[ 40 ];
   sprintf( ifstr, "%s%s", ifname, "%d" );
#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))
   child = alloc_netdev( sizeof( struct priv ), ifstr, setup );
#else
   child = alloc_netdev( sizeof( struct priv ), ifstr, NET_NAME_UNKNOWN, setup );
#endif
   if( child == NULL ) {
      ERR( "%s: allocate error", THIS_MODULE->name ); return -ENOMEM;
   }
   priv = netdev_priv( child );
   priv->parent = __dev_get_by_name( &init_net, link ); // parent interface  
   if( !priv->parent ) {
      ERR( "%s: no such net: %s", THIS_MODULE->name, link );
      err = -ENODEV; goto err;
   }
   if( priv->parent->type != ARPHRD_ETHER && priv->parent->type != ARPHRD_LOOPBACK ) {
      ERR( "%s: illegal net type", THIS_MODULE->name );
      err = -EINVAL; goto err;
   }
   /* also, and clone its IP, MAC and other information */
   memcpy( child->dev_addr, priv->parent->dev_addr, ETH_ALEN );
   memcpy( child->broadcast, priv->parent->broadcast, ETH_ALEN );
   if( ( err = dev_alloc_name( child, child->name ) ) ) {
      ERR( "%s: allocate name, error %i", THIS_MODULE->name, err );
      err = -EIO; goto err;
   }
   register_netdev( child );
   rtnl_lock();
   netdev_rx_handler_register( priv->parent, &handle_frame, NULL );
   rtnl_unlock();
   LOG( "module %s loaded", THIS_MODULE->name );
   LOG( "%s: create link %s", THIS_MODULE->name, child->name );
   LOG( "%s: registered rx handler for %s", THIS_MODULE->name, priv->parent->name );
   return 0;
err:
   free_netdev( child );
   return err;
}

void __exit virt_exit( void ) {
   struct priv *priv = netdev_priv( child );
   rtnl_lock();
   netdev_rx_handler_unregister( priv->parent );
   rtnl_unlock();
   LOG( "%s: unregister rx handler for %s\n", THIS_MODULE->name, priv->parent->name );
   unregister_netdev( child );
   free_netdev( child );
   LOG( "module %s unloaded", THIS_MODULE->name );
}

module_init( init );
module_exit( virt_exit );

MODULE_AUTHOR( "Oleg Tsiliuric" );
MODULE_AUTHOR( "Nikita Dorokhin" );
MODULE_LICENSE( "GPL v2" );
MODULE_VERSION( "4.5" );

EOF


ЧДТ?
make

insmod ./virt.ko link=p7p1 debug=1
dmesg | tail -n3
ifconfig virt0 192.168.50.2
dmesg | tail -n26
tcpdump -i virt0 
dmesg | tail -n19
ping 192.168.50.1
dmesg | tail -n30
rmmod virt
dmesg | tail -n4


ls -l *.ko
make
ls -l
sudo insmod virt.ko
sudo insmod virt.ko link=eno2
lsmod | head -n4
ping -I eno2 -c3 192.168.1.142
dmesg | tail -n8
dmesg | tail -n90
lsmod | head -n4
ip a s
rmmod virt

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215

216

217

218

219

220

221

222

223

224

225

226

227

228

229

230

231

232

233

234

235

236

237

238

239

240

241

242

243

244

245

246

247

248

249

250

251

252

253

254

255

256

cat > Makefile << "EOF"

CURRENT = $(shell uname -r)

KDIR = /lib/modules/$(CURRENT)/build

PWD = $(shell pwd)

TARGET = virt

obj-m := $(TARGET).o

all: default clean

default:

$(MAKE) -C $(KDIR) M=$(PWD) modules

clean:

@rm -f *.o .*.cmd .*.flags *.mod.c *.order

@rm -f .*.*.cmd *.symvers *~ *.*~ TODO.*

@rm -fR .tmp* *.mod

@rm -rf .tmp_versions

disclean: clean

@rm -f $(TARGET).ko

EOF

cat > virt.c << "EOF"

#include <linux/module.h>

#include <linux/version.h>

#include <linux/netdevice.h>

#include <linux/etherdevice.h>

#include <linux/inetdevice.h>

#include <linux/moduleparam.h>

#include <net/arp.h>

#include <linux/ip.h>

#define ERR(...) printk( KERN_ERR "! "__VA_ARGS__ )

#define LOG(...) printk( KERN_INFO "! "__VA_ARGS__ )

#define DBG(...) if( debug != 0 ) printk( KERN_INFO "! "__VA_ARGS__ )

static char* link = "eth0";

module_param( link, charp, 0 );

static char* ifname = "virt";

module_param( ifname, charp, 0 );

static int debug = 0;

module_param( debug, int, 0 );

static struct net_device *child = NULL;

static struct net_device_stats stats;

static u32 child_ip;

struct priv {

struct net_device *parent;

};

static char* strIP( u32 addr ) { // диагностика IP в точечной нотации

static char saddr[ MAX_ADDR_LEN ];

sprintf( saddr, "%d.%d.%d.%d",

( addr ) & 0xFF, ( addr >> 8 ) & 0xFF,

( addr >> 16 ) & 0xFF, ( addr >> 24 ) & 0xFF

);

return saddr;

}

static char* strAR_IP( unsigned char addr[ 4 ] ) {

static char saddr[ MAX_ADDR_LEN ];

sprintf( saddr, "%d.%0d.%d.%d",

addr[ 0 ], addr[ 1 ], addr[ 2 ], addr[ 3 ] );

return saddr;

}

//<linux/if_arp.h> :

struct arp_eth_body {

unsigned char ar_sha[ ETH_ALEN ]; // sender hardware address

unsigned char ar_sip[ 4 ]; // sender IP address

unsigned char ar_tha[ ETH_ALEN ]; // target hardware address

unsigned char ar_tip[ 4 ]; // target IP address

};

static rx_handler_result_t handle_frame( struct sk_buff **pskb ) {

struct sk_buff *skb = *pskb;

if( skb->protocol == htons( ETH_P_IP ) ) {

struct iphdr *ip = ip_hdr( skb );

char *addr = strIP( ip->daddr );

DBG( "rx: IP4 to IP=%s", addr );

if( ip->daddr != child_ip )

return RX_HANDLER_PASS;

}

else if( skb->protocol == htons( ETH_P_ARP ) ) {

struct arphdr *arp = arp_hdr( skb );

struct arp_eth_body *body = (void*)arp + sizeof( struct arphdr );

int i, ip = child_ip;

DBG( "rx: ARP for %s", strAR_IP( body->ar_tip ) );

for( i = 0; i < sizeof( body->ar_tip ); i++ ) {

if( ( ip & 0xFF ) != body->ar_tip[ i ] ) break;

ip = ip >> 8;

}

if( i < sizeof( body->ar_tip ) )

return RX_HANDLER_PASS;

}

else // не ARP и не IP4

return RX_HANDLER_PASS;

stats.rx_packets++;

stats.rx_bytes += skb->len;

DBG( "rx: injecting frame from %s to %s", skb->dev->name, child->name );

skb->dev = child;

return RX_HANDLER_ANOTHER;

}

static netdev_tx_t start_xmit( struct sk_buff *skb, struct net_device *dev ) {

struct priv *priv = netdev_priv( dev );

stats.tx_packets++;

stats.tx_bytes += skb->len;

if( priv->parent ) {

skb->dev = priv->parent;

skb->priority = 1;

dev_queue_xmit( skb );

LOG( "tx: injecting frame from %s to %s", dev->name, skb->dev->name );

return 0;

}

return NETDEV_TX_OK;

}

static int open( struct net_device *dev ) {

struct in_device *in_dev = dev->ip_ptr;

struct in_ifaddr *ifa = in_dev->ifa_list; /* IP ifaddr chain */

char sdebg[ 40 ] = "";

LOG( "%s: device opened", dev->name );

child_ip = ifa->ifa_address;

sprintf( sdebg, "%s:", strIP( ifa->ifa_address ) );

strcat( sdebg, strIP( ifa->ifa_mask ) );

DBG( "%s: %s", dev->name, sdebg );

netif_start_queue( dev );

return 0;

}

static int stop( struct net_device *dev ) {

LOG( "%s: device closed", dev->name );

netif_stop_queue( dev );

return 0;

}

static struct net_device_stats *get_stats( struct net_device *dev ) {

return &stats;

}

static struct net_device_ops crypto_net_device_ops = {

.ndo_open = open,

.ndo_stop = stop,

.ndo_get_stats = get_stats,

.ndo_start_xmit = start_xmit,

};

static void setup( struct net_device *dev ) {

int j;

ether_setup( dev );

memset( netdev_priv(dev), 0, sizeof( struct priv ) );

dev->netdev_ops = &crypto_net_device_ops;

for( j = 0; j < ETH_ALEN; ++j ) // fill in the MAC address with a phoney

dev->dev_addr[ j ] = (char)j;

}

int __init init( void ) {

int err = 0;

struct priv *priv;

char ifstr[ 40 ];

sprintf( ifstr, "%s%s", ifname, "%d" );

#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))

child = alloc_netdev( sizeof( struct priv ), ifstr, setup );

#else

child = alloc_netdev( sizeof( struct priv ), ifstr, NET_NAME_UNKNOWN, setup );

#endif

if( child == NULL ) {

ERR( "%s: allocate error", THIS_MODULE->name ); return -ENOMEM;

}

priv = netdev_priv( child );

priv->parent = __dev_get_by_name( &init_net, link ); // parent interface

if( !priv->parent ) {

ERR( "%s: no such net: %s", THIS_MODULE->name, link );

err = -ENODEV; goto err;

}

if( priv->parent->type != ARPHRD_ETHER && priv->parent->type != ARPHRD_LOOPBACK ) {

ERR( "%s: illegal net type", THIS_MODULE->name );

err = -EINVAL; goto err;

}

/* also, and clone its IP, MAC and other information */

memcpy( child->dev_addr, priv->parent->dev_addr, ETH_ALEN );

memcpy( child->broadcast, priv->parent->broadcast, ETH_ALEN );

if( ( err = dev_alloc_name( child, child->name ) ) ) {

ERR( "%s: allocate name, error %i", THIS_MODULE->name, err );

err = -EIO; goto err;

}

register_netdev( child );

rtnl_lock();

netdev_rx_handler_register( priv->parent, &handle_frame, NULL );

rtnl_unlock();

LOG( "module %s loaded", THIS_MODULE->name );

LOG( "%s: create link %s", THIS_MODULE->name, child->name );

LOG( "%s: registered rx handler for %s", THIS_MODULE->name, priv->parent->name );

return 0;

err:

free_netdev( child );

return err;

}

void __exit virt_exit( void ) {

struct priv *priv = netdev_priv( child );

rtnl_lock();

netdev_rx_handler_unregister( priv->parent );

rtnl_unlock();

LOG( "%s: unregister rx handler for %s\n", THIS_MODULE->name, priv->parent->name );

unregister_netdev( child );

free_netdev( child );

LOG( "module %s unloaded", THIS_MODULE->name );

}

module_init( init );

module_exit( virt_exit );

MODULE_AUTHOR( "Oleg Tsiliuric" );

MODULE_AUTHOR( "Nikita Dorokhin" );

MODULE_LICENSE( "GPL v2" );

MODULE_VERSION( "4.5" );

EOF

ЧДТ?

make

insmod ./virt.ko link=p7p1 debug=1

dmesg | tail -n3

ifconfig virt0 192.168.50.2

dmesg | tail -n26

tcpdump -i virt0

dmesg | tail -n19

ping 192.168.50.1

dmesg | tail -n30

rmmod virt

dmesg | tail -n4

ls -l *.ko

make

ls -l

sudo insmod virt.ko

sudo insmod virt.ko link=eno2

lsmod | head -n4

ping -I eno2 -c3 192.168.1.142

dmesg | tail -n8

dmesg | tail -n90

lsmod | head -n4

ip a s

rmmod virt

TOR

Прокси/VPN

TOR (The Omion Router) 
Свободное и открытое программное обеспечение для реализации второго (V2) 
и третьего (V3) поколения так называемой луковой маршрутизации:
ваши данные - это сердцевина луковицы
а их защита это слоя вокруг

ПК <=> входная точка <=> опорная точка <=> выходная точка <=> веб-сайт

Каждый пакет данных, передаваемый системой узлов Tor, через три разных узла, 
которые выбираются случайным образом в начале сеанса и могут  быть изменены по ходу его прохождения.
Перед отправкой пакет последовательно шифруется тремя ключами, сначала третий узел, второй, первый.
Когда первый узел получает пакет, он расшифровывает верхний слой и так далее для остальных узлов.


Установка tor для любых служб
apt show tor
apt install tor
systemctl status tor
pd -A | grep tor
netstat -l -t | grep 9050
curl check-host.net/ip
curl -x socks4://127.0.0.1:9050 check-host.net/ip
whois 8.8.8.8 | grep -i country:




Свой ресурс onion
Для этого нужно отредактировать файл "/etc/tor/torrc"
vim /etc/tor/torrc
------------------
HiddenServiceDir /var/lib/tor/onion.service
HiddenServiceProt 80 127.0.0.1:80
HiddenServicePort 443 127.0.0.1:443
#HiddenServicePort 22 127.0.0.1:22
------------------

После этого в каталоге "/var/lib/tor" у вас появится новый каталог с тем произвольным именем onion.service
Этот каталог будет содержать файлы
hostname - ваше имя onion


ПО:
torsocks wget -q http://asdjasidhiashdojaspokppskjfpajppkspfvvbnbnahj13kldk.onion/file.html
torsocks ssh asdjasidhiashdojaspokppskjfpajppkspfvvbnbnahj13kldk.onion

Прокси/VPN

TOR (The Omion Router)

Свободное и открытое программное обеспечение для реализации второго (V2)

и третьего (V3) поколения так называемой луковой маршрутизации:

ваши данные - это сердцевина луковицы

а их защита это слоя вокруг

ПК <=> входная точка <=> опорная точка <=> выходная точка <=> веб-сайт

Каждый пакет данных, передаваемый системой узлов Tor, через три разных узла,

которые выбираются случайным образом в начале сеанса и могут быть изменены по ходу его прохождения.

Перед отправкой пакет последовательно шифруется тремя ключами, сначала третий узел, второй, первый.

Когда первый узел получает пакет, он расшифровывает верхний слой и так далее для остальных узлов.

Установка tor для любых служб

apt show tor

apt install tor

systemctl status tor

pd -A | grep tor

netstat -l -t | grep 9050

curl check-host.net/ip

curl -x socks4://127.0.0.1:9050 check-host.net/ip

whois 8.8.8.8 | grep -i country:

Свой ресурс onion

Для этого нужно отредактировать файл "/etc/tor/torrc"

vim /etc/tor/torrc

------------------

HiddenServiceDir /var/lib/tor/onion.service

HiddenServiceProt 80 127.0.0.1:80

HiddenServicePort 443 127.0.0.1:443

#HiddenServicePort 22 127.0.0.1:22

------------------

После этого в каталоге "/var/lib/tor" у вас появится новый каталог с тем произвольным именем onion.service

Этот каталог будет содержать файлы

hostname - ваше имя onion

ПО:

torsocks wget -q http://asdjasidhiashdojaspokppskjfpajppkspfvvbnbnahj13kldk.onion/file.html

torsocks ssh asdjasidhiashdojaspokppskjfpajppkspfvvbnbnahj13kldk.onion

Mesh-сети

Mesh-сеть - это распределенная одноранговая сеть, основанная на ячеистой топологии.
Каждый узел в такой сети обладает такими же полномочиями, что и все остальные,
груб говоря, все узлы в mesh-сети равны.


Яркий представитель меш сети это Yggdrasil (есть альтернатива Riv-mesh работает по такому же принципу)
Пиринговая - это название ячеистых одноранговых сетей, в которой каждый хост связывается с несколькими известными ему пирами, 
соседями по сети, через которые хост организует свой адаптивный роутинг в сеть.
Yggdrasil - это пиринговая сеть, использующая IPv6-адресацию, весь трафик в которой шифруется несимметричным кодированием( с приватным и публичным ключами)

Проект Yggdrasil использует адреса IPv6 из подсети 0200::/7, который никак не пересекается с IANA(2000::/3)


Где брать:
https://github.com/yggdrasil-network/yggdrasil-go


Установка:
Читать:
https://yggdrasil-network.github.io/installation-linux-deb.html

Ключи для деб:
mkdir -p /usr/local/apt-keys
gpg --fetch-keys https://neilalexander.s3.dualstack.eu-west-2.amazonaws.com/deb/key.txt
gpg --export BC1BF63BD10B8F1A | sudo tee /usr/local/apt-keys/yggdrasil-keyring.gpg > /dev/null
echo 'deb [signed-by=/usr/local/apt-keys/yggdrasil-keyring.gpg] http://neilalexander.s3.dualstack.eu-west-2.amazonaws.com/deb/ debian yggdrasil' | sudo tee /etc/apt/sources.list.d/yggdrasil.list

Ставим:
apt-get install dirmngr
apt-get install yggdrasil
systemctl enable yggdrasil
systemctl start yggdrasil


Конфиг:
/etc/yggdrasil.conf
Тут надо добавить в секцию "Peers {}" пиров с которыми будем взаимодействовать 
пиры смотри тут:
https://github.com/yggdrasil-network/public-peers
проверить этим:
https://github.com/zhoreeq/peer_checker.py


или вот апдейтер:
https://github.com/ygguser/peers_updater
cargo build --release
cd traget/release
./peers_updater -p > peers.txt


После перезапустить:
systemctl restart yggdrasil


Проверка какие пиры использует хост:
yggdrasilctl getPeers

Показать адрес и другую информацию:
yggdrasilctl getSelf



Обнаружена пиров:
MPL(Multicast Peer Discovery) - технология автоматического обнаружения пиров
порт UDP-9001
Для работы в локальной сети нужен настроенный IPv6

Для yggdrasil могут использоваться адреса вида 02XX и 03XX


Трюк:
Если в сети уже установлен клиент Yggdrasil можно сделать маршрутизацию через него для других пк в сети
У вас на ПК с клиентом должен быть включен "IPv6 forward"
Узнаем IPv6 на клиенте ygg например так:
yggdrasilctl getSelf
Например на адресс там:
31d:4cbf:9eaf:2399::/64
На устройстве где у нас Yddgrasil добавим адрес на интерфейс который смотрит в лакалку так:
ip a a  31d:4cbf:9eaf:2399::1/64 dev eth1
включим ip forwarding:
systemctl -w net.ipv6.conf.all.all.forwarding=1

На ПК который мы хотим научить ходить в ygg:
ip a a  31d:4cbf:9eaf:2399::5/64 dev eth1
ip -6 route add 0200::/7 via 31d:4cbf:9eaf:2399::1
ping ygg.linux-ru.lib

Mesh-сеть - это распределенная одноранговая сеть, основанная на ячеистой топологии.

Каждый узел в такой сети обладает такими же полномочиями, что и все остальные,

груб говоря, все узлы в mesh-сети равны.

Яркий представитель меш сети это Yggdrasil (есть альтернатива Riv-mesh работает по такому же принципу)

Пиринговая - это название ячеистых одноранговых сетей, в которой каждый хост связывается с несколькими известными ему пирами,

соседями по сети, через которые хост организует свой адаптивный роутинг в сеть.

Yggdrasil - это пиринговая сеть, использующая IPv6-адресацию, весь трафик в которой шифруется несимметричным кодированием( с приватным и публичным ключами)

Проект Yggdrasil использует адреса IPv6 из подсети 0200::/7, который никак не пересекается с IANA(2000::/3)

Где брать:

https://github.com/yggdrasil-network/yggdrasil-go

Установка:

Читать:

https://yggdrasil-network.github.io/installation-linux-deb.html

Ключи для деб:

mkdir -p /usr/local/apt-keys

gpg --fetch-keys https://neilalexander.s3.dualstack.eu-west-2.amazonaws.com/deb/key.txt

gpg --export BC1BF63BD10B8F1A | sudo tee /usr/local/apt-keys/yggdrasil-keyring.gpg > /dev/null

echo 'deb [signed-by=/usr/local/apt-keys/yggdrasil-keyring.gpg] http://neilalexander.s3.dualstack.eu-west-2.amazonaws.com/deb/ debian yggdrasil' | sudo tee /etc/apt/sources.list.d/yggdrasil.list

Ставим:

apt-get install dirmngr

apt-get install yggdrasil

systemctl enable yggdrasil

systemctl start yggdrasil

Конфиг:

/etc/yggdrasil.conf

Тут надо добавить в секцию "Peers {}" пиров с которыми будем взаимодействовать

пиры смотри тут:

https://github.com/yggdrasil-network/public-peers

проверить этим:

https://github.com/zhoreeq/peer_checker.py

или вот апдейтер:

https://github.com/ygguser/peers_updater

cargo build --release

cd traget/release

./peers_updater -p > peers.txt

После перезапустить:

systemctl restart yggdrasil

Проверка какие пиры использует хост:

yggdrasilctl getPeers

Показать адрес и другую информацию:

yggdrasilctl getSelf

Обнаружена пиров:

MPL(Multicast Peer Discovery) - технология автоматического обнаружения пиров

порт UDP-9001

Для работы в локальной сети нужен настроенный IPv6

Для yggdrasil могут использоваться адреса вида 02XX и 03XX

Трюк:

Если в сети уже установлен клиент Yggdrasil можно сделать маршрутизацию через него для других пк в сети

У вас на ПК с клиентом должен быть включен "IPv6 forward"

Узнаем IPv6 на клиенте ygg например так:

yggdrasilctl getSelf

Например на адресс там:

31d:4cbf:9eaf:2399::/64

На устройстве где у нас Yddgrasil добавим адрес на интерфейс который смотрит в лакалку так:

ip a a 31d:4cbf:9eaf:2399::1/64 dev eth1

включим ip forwarding:

systemctl -w net.ipv6.conf.all.all.forwarding=1

На ПК который мы хотим научить ходить в ygg:

ip a a 31d:4cbf:9eaf:2399::5/64 dev eth1

ip -6 route add 0200::/7 via 31d:4cbf:9eaf:2399::1

ping ygg.linux-ru.lib

l2p

l2p - представляет собой изолированную автономную сеть Даркнет.
https://github.com/PurpleI2P/i2pd


apt isntall libboost-chrono-dev libboost-date-time-dev libboost-filesystem-dev libboost-program-options-dev libboost-system-dev libboost-thread-dev libssk-dev

Сборка:
cd /opt
git clone https://github.com/PurpleI2P/i2pd.git
cd i3pf/build
cmake -DCMAKE_BUILD_TYPE=release
make -j2
make install


Для того что бы все заработало, нужно из каталога сборки скопировать конфиги в домашний каталог пользователя
cp -R contrib/certificates $HOME/.i2pd
cp contrib/i2pd.conf $HOME/.i2pd/
cp contrib/tunnels.conf $HOME/.i2pd/

теперь можно запустить
i2pd

проверяем доступность локальной веб консоли
telnet 127.0.0.1 7070

Локальный хеша адресов можно обнаружить в каталоге "$HOME/.i2pd/addressbook"

Для рганизации тунеля нужно будет настроить файл из .i2pd/tennels.conf

l2p - представляет собой изолированную автономную сеть Даркнет.

https://github.com/PurpleI2P/i2pd

apt isntall libboost-chrono-dev libboost-date-time-dev libboost-filesystem-dev libboost-program-options-dev libboost-system-dev libboost-thread-dev libssk-dev

Сборка:

cd /opt

git clone https://github.com/PurpleI2P/i2pd.git

cd i3pf/build

cmake -DCMAKE_BUILD_TYPE=release

make -j2

make install

Для того что бы все заработало, нужно из каталога сборки скопировать конфиги в домашний каталог пользователя

cp -R contrib/certificates $HOME/.i2pd

cp contrib/i2pd.conf $HOME/.i2pd/

cp contrib/tunnels.conf $HOME/.i2pd/

теперь можно запустить

i2pd

проверяем доступность локальной веб консоли

telnet 127.0.0.1 7070

Локальный хеша адресов можно обнаружить в каталоге "$HOME/.i2pd/addressbook"

Для рганизации тунеля нужно будет настроить файл из .i2pd/tennels.conf

*NIX информация

MPTCP

Автор записи Автор: Evgeny Yakovlev
Дата записи 2024/09/03

MPTCP (Multipath TCP)
Multipath TCP позволяет одному TCP-соединению использовать несколько физических каналов для передачи данных. 
Это означает, что ваш клиент может одновременно поддерживать соединение через несколько точек доступа (с разными IP-адресами),
 и весь трафик будет распределен по этим соединениям, увеличивая общую пропускную способность.

Как работает MPTCP:
MPTCP добавляет несколько путей к одному TCP-соединению, поэтому даже если один из путей теряет соединение (например, при отключении от точки доступа), 
остальные остаются активными, что снижает риск обрыва.
Клиенты могут одновременно подключаться к нескольким точкам доступа, и MPTCP динамически распределяет трафик между ними на уровне TCP.
Это особенно полезно для устройств, которые перемещаются между несколькими сетями или точками доступа, как в вашем случае с автомобилями.

Проверка:
sysctl net.mptcp.enabled
ss -M
dmesg | grep MPTCP


!!! Начиная с версии ядра 5.6, MPTCP был интегрирован в ядро Linux.


Пример использования mptcpize для curl:
apt install mptcp-tools
mptcpize curl http://example.com

echo "net.mptcp.enabled = 1" | sudo tee -a /etc/sysctl.conf
echo "net.mptcp.mptcp_path_manager=fullmesh" | sudo tee -a /etc/sysctl.conf
echo "net.mptcp.mptcp_subflows=4" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

MPTCP (Multipath TCP)

Multipath TCP позволяет одному TCP-соединению использовать несколько физических каналов для передачи данных.

Это означает, что ваш клиент может одновременно поддерживать соединение через несколько точек доступа (с разными IP-адресами),

и весь трафик будет распределен по этим соединениям, увеличивая общую пропускную способность.

Как работает MPTCP:

MPTCP добавляет несколько путей к одному TCP-соединению, поэтому даже если один из путей теряет соединение (например, при отключении от точки доступа),

остальные остаются активными, что снижает риск обрыва.

Клиенты могут одновременно подключаться к нескольким точкам доступа, и MPTCP динамически распределяет трафик между ними на уровне TCP.

Это особенно полезно для устройств, которые перемещаются между несколькими сетями или точками доступа, как в вашем случае с автомобилями.

Проверка:

sysctl net.mptcp.enabled

ss -M

dmesg | grep MPTCP

!!! Начиная с версии ядра 5.6, MPTCP был интегрирован в ядро Linux.

Пример использования mptcpize для curl:

apt install mptcp-tools

mptcpize curl http://example.com

echo "net.mptcp.enabled = 1" | sudo tee -a /etc/sysctl.conf

echo "net.mptcp.mptcp_path_manager=fullmesh" | sudo tee -a /etc/sysctl.conf

echo "net.mptcp.mptcp_subflows=4" | sudo tee -a /etc/sysctl.conf

sudo sysctl -p

*NIX информация

Тюнинг сети linux / производительность / Контроль перегрузки

Автор записи Автор: Evgeny Yakovlev
Дата записи 2024/01/22

ссылки:

https://habr.com/ru/articles/168407/
https://habr.com/ru/articles/331720/
https://habr.com/ru/companies/otus/articles/550820/
https://habr.com/ru/articles/115527/
https://calculator.academy/rtt-calculator/
https://www.opennet.ru/base/net/tcp_tune.txt.html

https://habr.com/ru/articles/168407/

https://habr.com/ru/articles/331720/

https://habr.com/ru/companies/otus/articles/550820/

https://habr.com/ru/articles/115527/

https://calculator.academy/rtt-calculator/

https://www.opennet.ru/base/net/tcp_tune.txt.html

Алгоритмы:

BIC TCP
CUBIC TCP
Highspeed TCP
H-TCP
TCP Hybla
TCP-Illinois
TCP Low Priority
TCP Vegas
TCP NewReno
TCP Veno
TCP Westwood+
YeAH-TCP
BBR

BIC, CUBIC, Highspeed, H-TCP, NewReno, Illinois - эти алгоритмы созданы для так называемых long fat networks — длинных (а значит, с высоким RTT) и быстрых сетей.
TCP Hybla - здорово ведет себя на спутниковых линках.
Veno - создан для беспроводных сетей с высокой потерей пакетов.
TCP Low Priority - вообще сложно назвать congestion алгоритмом, т.к. он мало что делает, а просто пытается отправить пакет без очереди.
TCP Vegas - иногда применяют на серверах с большим количеством подключений т.к. он обеспечивает почти постоянную скорость, хоть и далеко не идеальную.
Westwood+ - комбинированный алгоритм
YeAH-TCP - молодой, ведет себя более-менее во всех случаях.

CUBIC, который используется по умолчанию во всех дистрибутивах, совершенно не подходит, например, для 3G-соединений


На каналах вроде домашнего вайфая, рекомендую использовать Westwood или H-TCP. 
Для проводных каналов хорошим выбором может быть YeAH (если у вас не наблюдается с ним проблем), H-TCP или Illinois.

рекомендации:
net.ipv4.tcp_fastopen=1 - Ускоряет а handshake для поддерживаемых алгоритмов
net.ipv4.tcp_slow_start_after_idle=0 - Добавит скорости для SPDY и других keep-alive соединений

BIC TCP

CUBIC TCP

Highspeed TCP

H-TCP

TCP Hybla

TCP-Illinois

TCP Low Priority

TCP Vegas

TCP NewReno

TCP Veno

TCP Westwood+

YeAH-TCP

BBR

BIC, CUBIC, Highspeed, H-TCP, NewReno, Illinois - эти алгоритмы созданы для так называемых long fat networks — длинных (а значит, с высоким RTT) и быстрых сетей.

TCP Hybla - здорово ведет себя на спутниковых линках.

Veno - создан для беспроводных сетей с высокой потерей пакетов.

TCP Low Priority - вообще сложно назвать congestion алгоритмом, т.к. он мало что делает, а просто пытается отправить пакет без очереди.

TCP Vegas - иногда применяют на серверах с большим количеством подключений т.к. он обеспечивает почти постоянную скорость, хоть и далеко не идеальную.

Westwood+ - комбинированный алгоритм

YeAH-TCP - молодой, ведет себя более-менее во всех случаях.

CUBIC, который используется по умолчанию во всех дистрибутивах, совершенно не подходит, например, для 3G-соединений

На каналах вроде домашнего вайфая, рекомендую использовать Westwood или H-TCP.

Для проводных каналов хорошим выбором может быть YeAH (если у вас не наблюдается с ним проблем), H-TCP или Illinois.

рекомендации:

net.ipv4.tcp_fastopen=1 - Ускоряет а handshake для поддерживаемых алгоритмов

net.ipv4.tcp_slow_start_after_idle=0 - Добавит скорости для SPDY и других keep-alive соединений

ethtool

Длина очереди передачи.
В современных сетях для 1G используется значение 1000, для 10G используется значение 10000.
ifconfig eth0 txqueuelen 1000
 
Отключаем checksum offload для правильной работы шейперов
ethtool --offload eth0 rx off tx off
 
Отключаем аппаратную поддержку 802.1q
ethtool -K eth0 rxvlan off txvlan off
 
Увеличивает размер буфера, чтобы избежать дропов.
Убедитесь, что ваша сетевая поддерживает такой размер буфера выполнив ethtool -g ethX
ethtool -G eth0 rx 2048 tx 2048
 
Отключает авто определение скорости порта
ethtool -A eth0 autoneg off rx off tx off
 
Отключим оффлоады для лучшей производительности TCP
ethtool -K eth0 tso off gso off gro off lro off

Flow control \ автосогласование \ Advertised pause frame use
"Advertised pause frame use" и "Link partner advertised pause frame use" указывают на режим управления потоком. 
Если они установлены в Symmetric, то управление потоком включено. Если установлено No, то оно выключено. 
Проверяем:
ethtool -a eth0 
чтобы включить
ethtool -A eth0 autoneg on rx on tx on

Длина очереди передачи.

В современных сетях для 1G используется значение 1000, для 10G используется значение 10000.

ifconfig eth0 txqueuelen 1000

Отключаем checksum offload для правильной работы шейперов

ethtool --offload eth0 rx off tx off

Отключаем аппаратную поддержку 802.1q

ethtool -K eth0 rxvlan off txvlan off

Увеличивает размер буфера, чтобы избежать дропов.

Убедитесь, что ваша сетевая поддерживает такой размер буфера выполнив ethtool -g ethX

ethtool -G eth0 rx 2048 tx 2048

Отключает авто определение скорости порта

ethtool -A eth0 autoneg off rx off tx off

Отключим оффлоады для лучшей производительности TCP

ethtool -K eth0 tso off gso off gro off lro off

Flow control \ автосогласование \ Advertised pause frame use

"Advertised pause frame use" и "Link partner advertised pause frame use" указывают на режим управления потоком.

Если они установлены в Symmetric, то управление потоком включено. Если установлено No, то оно выключено.

Проверяем:

ethtool -a eth0

чтобы включить

ethtool -A eth0 autoneg on rx on tx on

Лимиты:

ulimit -a - Показать текущие лимиты

Пример установки лимитов: 
ulimit -n 30000

Некоторые приложения (Proxy, Web сервера, базы данных) используют большие количества открытых файлов и сокетов, 
и как правило, установок по умолчанию им недостаточно.
 
Оболочка/скрипт
За лимиты оболочки отвечает ulimit. 
Текущее состояние можно проверить ulimit -a. 

Например, что-бы увеличить кол-во открытых файлов с 1024 до 10240 нужно сделать:
ulimit -n 10240

пользователь/процесс
Лимиты пользователей и процессов устанавливаются в /etc/security/limits.conf. 
Например:
# cat /etc/security/limits.conf
*   hard    nproc   250              # Лимит пользовательских процессов
asterisk hard nofile 409600          # Лимит открытых файлов для приложения
 
 
Обще системные лимиты устанавливаются командой Sysctl. 
Большинство этих переменных, действуют до перезагрузки, что-бы ограничения остались после ребута, внесите их в файл /etc/sysctl.conf.
сat /etc/sysctl.conf               # Показать файл
sysctl -a                          # Показать все системные переменные
sysctl fs.file-max                 # Показать текущие значения
sysctl -w fs.file-max=102400       # Изменить максимальное кол-во открытых файлов
fs.file-max=102400                 # Постоянное значение в файле sysctl.conf
cat /proc/sys/fs/file-nr           # Кол-во используемых файловых дескрипторов

ulimit -a - Показать текущие лимиты

Пример установки лимитов:

ulimit -n 30000

Некоторые приложения (Proxy, Web сервера, базы данных) используют большие количества открытых файлов и сокетов,

и как правило, установок по умолчанию им недостаточно.

Оболочка/скрипт

За лимиты оболочки отвечает ulimit.

Текущее состояние можно проверить ulimit -a.

Например, что-бы увеличить кол-во открытых файлов с 1024 до 10240 нужно сделать:

ulimit -n 10240

пользователь/процесс

Лимиты пользователей и процессов устанавливаются в /etc/security/limits.conf.

Например:

# cat /etc/security/limits.conf

* hard nproc 250 # Лимит пользовательских процессов

asterisk hard nofile 409600 # Лимит открытых файлов для приложения

Обще системные лимиты устанавливаются командой Sysctl.

Большинство этих переменных, действуют до перезагрузки, что-бы ограничения остались после ребута, внесите их в файл /etc/sysctl.conf.

сat /etc/sysctl.conf # Показать файл

sysctl -a # Показать все системные переменные

sysctl fs.file-max # Показать текущие значения

sysctl -w fs.file-max=102400 # Изменить максимальное кол-во открытых файлов

fs.file-max=102400 # Постоянное значение в файле sysctl.conf

cat /proc/sys/fs/file-nr # Кол-во используемых файловых дескрипторов

sysctl

Маршрутизация между интерфейсами, по умолчанию выключена net.ipv4.ip_forward=0
net.ipv4.ip_forward=1

Принцип фильтрования в rp_filter:
Если ответ на текущий пакет не может уйти через тот же интерфейс (когда приходит через один интерфейс, а уходит через другой), пакет отфильтровывается.
По умолчанию равно 2
net.ipv4.conf.all.rp_filter = 1
Обычно меняю на 0 или 1 при использовании двух шлюзов
----------------------------
net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.all.rp_filter=1
net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1
----------------------------


!!! Современные дистрибутивы автоматически настраивают оптимальные параметры сетевой карты 

###Для хоста с сетевым адаптером 10G, оптимизированного для сетевых путей с RTT до 100 мс и для удобства работы с инструментами одиночного и параллельного потока
 
# устанавливаем буферами до 64 МБ
net.core.rmem_max = 67108864 
net.core.wmem_max = 67108864 

# увеличить лимит буфера TCP автонастройки
net.ipv4.tcp_rmem = 4096 87380 33554432
net.ipv4.tcp_wmem = 4096 65536 33554432


# рекомендуемый контроль перегрузки по умолчанию / recommended default congestion control is htcp 
# на 2023 дефолт cubic
# для проверки доступных 
sysctl -a | grep congestion
net.ipv4.tcp_congestion_control=htcp
#net.ipv4.tcp_congestion_control=veno
#net.ipv4.tcp_congestion_control=cubic
#net.ipv4.tcp_congestion_control=bbr

# Если включены "jumbo frames"  то "tcp_mtu_probing" также следует включить
net.ipv4.tcp_mtu_probing=1


# Тип очереди
Рекомендуется включить "fair queueing/справедливую очередь"
net.core.default_qdisc = fq
 
 
Для хоста с сетевым адаптером 10G, оптимизированным для сетевых путей с RTT до 200 мс и для совместимости с инструментами одиночного и параллельного потока, 
или с сетевым адаптером 40G на путях с RTT до 50 мс:
 
# Буфер 128MB
net.core.rmem_max = 134217728 
net.core.wmem_max = 134217728 
# Авто тюнинг буфера 64MB
net.ipv4.tcp_rmem = 4096 87380 67108864
net.ipv4.tcp_wmem = 4096 65536 67108864
# # рекомендуемый контроль перегрузки по умолчанию / recommended default congestion control
net.ipv4.tcp_congestion_control=htcp # на самом деле тут дофига вариантов brr, cubic, westwood+
# Если "jumbo frames enabled" то и этот параметр нужен.
net.ipv4.tcp_mtu_probing=1
# Тип очередей
net.core.default_qdisc = fq

Маршрутизация между интерфейсами, по умолчанию выключена net.ipv4.ip_forward=0

net.ipv4.ip_forward=1

Принцип фильтрования в rp_filter:

Если ответ на текущий пакет не может уйти через тот же интерфейс (когда приходит через один интерфейс, а уходит через другой), пакет отфильтровывается.

По умолчанию равно 2

net.ipv4.conf.all.rp_filter = 1

Обычно меняю на 0 или 1 при использовании двух шлюзов

----------------------------

net.ipv4.conf.default.rp_filter=1

net.ipv4.conf.all.rp_filter=1

net.ipv4.ip_forward=1

net.ipv6.conf.all.forwarding=1

----------------------------

!!! Современные дистрибутивы автоматически настраивают оптимальные параметры сетевой карты

###Для хоста с сетевым адаптером 10G, оптимизированного для сетевых путей с RTT до 100 мс и для удобства работы с инструментами одиночного и параллельного потока

# устанавливаем буферами до 64 МБ

net.core.rmem_max = 67108864

net.core.wmem_max = 67108864

# увеличить лимит буфера TCP автонастройки

net.ipv4.tcp_rmem = 4096 87380 33554432

net.ipv4.tcp_wmem = 4096 65536 33554432

# рекомендуемый контроль перегрузки по умолчанию / recommended default congestion control is htcp

# на 2023 дефолт cubic

# для проверки доступных

sysctl -a | grep congestion

net.ipv4.tcp_congestion_control=htcp

#net.ipv4.tcp_congestion_control=veno

#net.ipv4.tcp_congestion_control=cubic

#net.ipv4.tcp_congestion_control=bbr

# Если включены "jumbo frames" то "tcp_mtu_probing" также следует включить

net.ipv4.tcp_mtu_probing=1

# Тип очереди

Рекомендуется включить "fair queueing/справедливую очередь"

net.core.default_qdisc = fq

Для хоста с сетевым адаптером 10G, оптимизированным для сетевых путей с RTT до 200 мс и для совместимости с инструментами одиночного и параллельного потока,

или с сетевым адаптером 40G на путях с RTT до 50 мс:

# Буфер 128MB

net.core.rmem_max = 134217728

net.core.wmem_max = 134217728

# Авто тюнинг буфера 64MB

net.ipv4.tcp_rmem = 4096 87380 67108864

net.ipv4.tcp_wmem = 4096 65536 67108864

# # рекомендуемый контроль перегрузки по умолчанию / recommended default congestion control

net.ipv4.tcp_congestion_control=htcp # на самом деле тут дофига вариантов brr, cubic, westwood+

# Если "jumbo frames enabled" то и этот параметр нужен.

net.ipv4.tcp_mtu_probing=1

# Тип очередей

net.core.default_qdisc = fq

Под trex

ulimit -n 30000

net.ipv4.ip_forward=1
net.ipv4.tcp_max_tw_buckets = 65536
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 0
net.ipv4.tcp_max_syn_backlog = 131072
net.ipv4.tcp_syn_retries = 3
net.ipv4.tcp_synack_retries = 3
net.ipv4.tcp_retries1 = 3
net.ipv4.tcp_retries2 = 8
net.ipv4.tcp_rmem = 16384 174760 349520
net.ipv4.tcp_wmem = 16384 131072 262144
net.ipv4.tcp_mem = 262144 524288 1048576
net.ipv4.tcp_max_orphans = 65536
net.ipv4.tcp_fin_timeout = 10
net.ipv4.tcp_low_latency = 1
net.ipv4.tcp_syncookies = 0
net.netfilter.nf_conntrack_max = 1048576

ulimit -n 30000

net.ipv4.ip_forward=1

net.ipv4.tcp_max_tw_buckets = 65536

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_tw_reuse = 0

net.ipv4.tcp_max_syn_backlog = 131072

net.ipv4.tcp_syn_retries = 3

net.ipv4.tcp_synack_retries = 3

net.ipv4.tcp_retries1 = 3

net.ipv4.tcp_retries2 = 8

net.ipv4.tcp_rmem = 16384 174760 349520

net.ipv4.tcp_wmem = 16384 131072 262144

net.ipv4.tcp_mem = 262144 524288 1048576

net.ipv4.tcp_max_orphans = 65536

net.ipv4.tcp_fin_timeout = 10

net.ipv4.tcp_low_latency = 1

net.ipv4.tcp_syncookies = 0

net.netfilter.nf_conntrack_max = 1048576

RTT/ Буферы / Как посчитать буфер, пример:

Не актуальные умолчания:
Windows XP размер буфера по умолчанию равен 17,520 байт
Mac OS X установлен в 64K
Linux  64Кбайт

Формула:
Пропускная способность = размер буфера / задержка
Винда:
17520 Байт / .04 секунды = .44 МБ/сек = 3.5 Мб/сек
Мак ос:
65936 Байт / .04 сек = 1.6 МБ/сек = 13 Мб/сек


Большинство экспертов по сетям соглашаются, что оптимальный размер
буфера для определенной сети равен удвоенному произведению задержки и полосы пропускания:
Размер буфера = 2 * задержка * полоса пропускания

Программа ping даст вам округленное время (round trip time - RTT) для сетевого соединения, 
что в два раза больше задержки. 
Формула принимает следующий вид:
Размер буфера = RTT * полоса пропускания
.08 секунд * 100 Мбс / 8 = 1 МБ

Пример:
cat  /etc/sysctl.conf
...
# увеличиваем максимальный размер буфера ТСР
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
# увеличиваем ограничения автоподчтройки буфера ТСР Linux
# мин, по умолчанию, и максимальное число байт, которое можно использовать
net.ipv4.tcp_rmem = 4096 87380 16777216
net.ipv4.tcp_wmem = 4096 65536 16777216

Не актуальные умолчания:

Windows XP размер буфера по умолчанию равен 17,520 байт

Mac OS X установлен в 64K

Linux 64Кбайт

Формула:

Пропускная способность = размер буфера / задержка

Винда:

17520 Байт / .04 секунды = .44 МБ/сек = 3.5 Мб/сек

Мак ос:

65936 Байт / .04 сек = 1.6 МБ/сек = 13 Мб/сек

Большинство экспертов по сетям соглашаются, что оптимальный размер

буфера для определенной сети равен удвоенному произведению задержки и полосы пропускания:

Размер буфера = 2 * задержка * полоса пропускания

Программа ping даст вам округленное время (round trip time - RTT) для сетевого соединения,

что в два раза больше задержки.

Формула принимает следующий вид:

Размер буфера = RTT * полоса пропускания

.08 секунд * 100 Мбс / 8 = 1 МБ

Пример:

cat /etc/sysctl.conf

...

# увеличиваем максимальный размер буфера ТСР

net.core.rmem_max = 16777216

net.core.wmem_max = 16777216

# увеличиваем ограничения автоподчтройки буфера ТСР Linux

# мин, по умолчанию, и максимальное число байт, которое можно использовать

net.ipv4.tcp_rmem = 4096 87380 16777216

net.ipv4.tcp_wmem = 4096 65536 16777216

Контроль перегрузки / рекомендуемый контроль перегрузки по умолчанию / recommended default congestion control

0. Проверить какие контроли перегрузки нам доступны:
sysctl net.ipv4.tcp_available_congestion_control
cat /proc/sys/net/ipv4/tcp_available_congestion_control

1. Проверить какие контроли перегрузки сейчас активны:
sysctl net.ipv4.tcp_congestion_control
cat /proc/sys/net/ipv4/tcp_congestion_control


2. Примеры включения:
Включить контроль перегрузки "cubic"без перезагрузки ОС.
sysctl -w net.ipv4.tcp_congestion_control=cubic

Включить очередь "fq" без перезагрузки ОС
sysctl -w net.core.default_qdisc=fq_codel
sysctl -w net.core.default_qdisc=fq


Пример добавления в файл /etc/sysctl.conf, контроль перегрузки bbr
net.core.default_qdisc=fq
net.ipv4.tcp_congestion_control=bbr

0. Проверить какие контроли перегрузки нам доступны:

sysctl net.ipv4.tcp_available_congestion_control

cat /proc/sys/net/ipv4/tcp_available_congestion_control

1. Проверить какие контроли перегрузки сейчас активны:

sysctl net.ipv4.tcp_congestion_control

cat /proc/sys/net/ipv4/tcp_congestion_control

2. Примеры включения:

Включить контроль перегрузки "cubic"без перезагрузки ОС.

sysctl -w net.ipv4.tcp_congestion_control=cubic

Включить очередь "fq" без перезагрузки ОС

sysctl -w net.core.default_qdisc=fq_codel

sysctl -w net.core.default_qdisc=fq

Пример добавления в файл /etc/sysctl.conf, контроль перегрузки bbr

net.core.default_qdisc=fq

net.ipv4.tcp_congestion_control=bbr

BBR

BBR (Bottleneck Bandwidth and RTT) — алгоритма контроля перегрузки TCP, 
патчи с которым ещё в 2016 году были опубликованы компанией Google и приняты в основное ядро Linux. 
Применение этой технологии в некоторых случаях позволяет значительно увеличить пропускную способность канала передачи данных. 
Несколько тестов и информация по настройке BBR далее.
sysctl -w net.ipv4.tcp_slow_start_after_idle=0
net.core.default_qdisc=fq
net.ipv4.tcp_congestion_control=bbr

В ядре требуется активировать:
CONFIG_TCP_CONG_BBR=m
CONFIG_NET_SCH_FQ_CODEL=y
CONFIG_NET_SCH_FQ=m

BBR (Bottleneck Bandwidth and RTT) — алгоритма контроля перегрузки TCP,

патчи с которым ещё в 2016 году были опубликованы компанией Google и приняты в основное ядро Linux.

Применение этой технологии в некоторых случаях позволяет значительно увеличить пропускную способность канала передачи данных.

Несколько тестов и информация по настройке BBR далее.

sysctl -w net.ipv4.tcp_slow_start_after_idle=0

net.core.default_qdisc=fq

net.ipv4.tcp_congestion_control=bbr

В ядре требуется активировать:

CONFIG_TCP_CONG_BBR=m

CONFIG_NET_SCH_FQ_CODEL=y

CONFIG_NET_SCH_FQ=m

*NIX информация

tc / traffic control

Автор записи Автор: Evgeny Yakovlev
Дата записи 2023/10/16

Вводная инфа:

Управление трафиком
Traffic Control, tc, Шейпинг, управление трафиком, HTB
Разделение, ограничение и управление трафиком - актуальная и сложная задача,
которую обычно возлагают на дорогостоящее специальное сетевое оборудование. 
Но решить ее можно и с помощью подсистемы Linux-ядра Traffic Control (tc входит в пакет iproute2)

Ограничение без потерь возможно только в отношении исходящего трафика. 
Стек протоколов TCP/IP не предусматривает возможности заставить удаленную сторону слать пакеты медленнее (и это правильно).

Shaping. 
Шейпинг - ограничение трафика, задержка пакетов с целью создания желаемой скорости передачи. 
Может использоваться не только для "сужения" исходящего канала, но и для сглаживания бросков во время пиковых нагрузок.

Scheduling. 
Планирование – упорядочивание типов трафика в канале. 
Позволяет избегать задержек для критичных типов трафика (QoS).

Policing. 
Политика входящего трафика. 
Позволяет ограничить входящий трафик путем уничтожения превысивших лимит пакетов. 
Помогает бороться с DDoS.

Основные параметры:
Дисциплина обработки пакетов (qdisc) - очередь пакетов и закрепленный за ней алгоритм обработки.
Класс (class) - логический контейнер, который может содержать несколько подклассов или дисциплину.
Фильтр (filter) - механизм классификации трафика.

Формат указания скорости в утилите tc
mbps = 1024 kbps = 1024 * 1024 bps => Байт/с
mbit = 1024 kbit => Кбит/с
mb = 1024 kb = 1024 * 1024 b => Байт


Наиболее используемые дисциплины
pfifo - Простейшая очередь FIFO (первым пришел, первым ушел).
        Размер буфера задается в пакетах.
bfifo - Аналог pfifo с буфером, размер которого задается в байтах.
pfifo_fast - Реализует простую очередь FIFO с тремя полосами.
             Используется по умолчанию в качестве корневой и не принимает аргументов.
tbf - Token Bucket Filter (TBF). 
      Передает поступающие пакеты со скоростью, не превышающей заданный порог. 
      Простая и точная реализация делает ее идеальным решением для ограничения полосы пропускания всего интерфейса.
sfq - Stochastic Fairness Queueing (SFQ). 
       (одна из лучших)Реализация алгоритма справедливой очереди. 
       Поровну разделяет полосу пропускания между несколькими соединениями. 
       Эффективно работает только на загруженном интерфейсе.
red - Random Early Detection (RED). 
      Симуляция затора. 
      Отбрасывает пакеты случайным образом при достижении заданной полосы пропускания. 
      Хорошо подходит для ограничения прожорливых в плане трафика приложений.
prio - Разделяет трафик по приоритетам (поле TOS). 
       По умолчанию создает три класса, в первый из которых попадают пакеты с большим приоритетом, а в третий - с наименьшим.
cbq - Class Based Queueing (CBQ). 
      Классовая дисциплина, предназначенная для создания сложных систем управления трафиком. 
      Поддерживает ограничения и приоритеты.
htb - Hierarchical Token Bucket (HTB). 
       (хорошо умеет работать с ip, во всех руководствах по шейпингу вы ее обязательно встретите)
       Предназначена для разделения полосы пропускания между различными видами трафика на полосы заданной ширины, с возможностью заимствования. 
       Поддерживает приоритеты.

Управление трафиком

Traffic Control, tc, Шейпинг, управление трафиком, HTB

Разделение, ограничение и управление трафиком - актуальная и сложная задача,

которую обычно возлагают на дорогостоящее специальное сетевое оборудование.

Но решить ее можно и с помощью подсистемы Linux-ядра Traffic Control (tc входит в пакет iproute2)

Ограничение без потерь возможно только в отношении исходящего трафика.

Стек протоколов TCP/IP не предусматривает возможности заставить удаленную сторону слать пакеты медленнее (и это правильно).

Shaping.

Шейпинг - ограничение трафика, задержка пакетов с целью создания желаемой скорости передачи.

Может использоваться не только для "сужения" исходящего канала, но и для сглаживания бросков во время пиковых нагрузок.

Scheduling.

Планирование – упорядочивание типов трафика в канале.

Позволяет избегать задержек для критичных типов трафика (QoS).

Policing.

Политика входящего трафика.

Позволяет ограничить входящий трафик путем уничтожения превысивших лимит пакетов.

Помогает бороться с DDoS.

Основные параметры:

Дисциплина обработки пакетов (qdisc) - очередь пакетов и закрепленный за ней алгоритм обработки.

Класс (class) - логический контейнер, который может содержать несколько подклассов или дисциплину.

Фильтр (filter) - механизм классификации трафика.

Формат указания скорости в утилите tc

mbps = 1024 kbps = 1024 * 1024 bps => Байт/с

mbit = 1024 kbit => Кбит/с

mb = 1024 kb = 1024 * 1024 b => Байт

Наиболее используемые дисциплины

pfifo - Простейшая очередь FIFO (первым пришел, первым ушел).

Размер буфера задается в пакетах.

bfifo - Аналог pfifo с буфером, размер которого задается в байтах.

pfifo_fast - Реализует простую очередь FIFO с тремя полосами.

Используется по умолчанию в качестве корневой и не принимает аргументов.

tbf - Token Bucket Filter (TBF).

Передает поступающие пакеты со скоростью, не превышающей заданный порог.

Простая и точная реализация делает ее идеальным решением для ограничения полосы пропускания всего интерфейса.

sfq - Stochastic Fairness Queueing (SFQ).

(одна из лучших)Реализация алгоритма справедливой очереди.

Поровну разделяет полосу пропускания между несколькими соединениями.

Эффективно работает только на загруженном интерфейсе.

red - Random Early Detection (RED).

Симуляция затора.

Отбрасывает пакеты случайным образом при достижении заданной полосы пропускания.

Хорошо подходит для ограничения прожорливых в плане трафика приложений.

prio - Разделяет трафик по приоритетам (поле TOS).

По умолчанию создает три класса, в первый из которых попадают пакеты с большим приоритетом, а в третий - с наименьшим.

cbq - Class Based Queueing (CBQ).

Классовая дисциплина, предназначенная для создания сложных систем управления трафиком.

Поддерживает ограничения и приоритеты.

htb - Hierarchical Token Bucket (HTB).

(хорошо умеет работать с ip, во всех руководствах по шейпингу вы ее обязательно встретите)

Предназначена для разделения полосы пропускания между различными видами трафика на полосы заданной ширины, с возможностью заимствования.

Поддерживает приоритеты.

Синтаксис tc:

Usage:  tc [ OPTIONS ] OBJECT { COMMAND | help }
        tc [-force] -batch filename
where  OBJECT := { qdisc | class | filter | chain |
                    action | monitor | exec }
       OPTIONS := { -V[ersion] | -s[tatistics] | -d[etails] | -r[aw] |
                    -o[neline] | -j[son] | -p[retty] | -c[olor]
                    -b[atch] [filename] | -n[etns] name | -N[umeric] |
                     -nm | -nam[es] | { -cf | -conf } path
                     -br[ief] }


tc qdisc - покажет состояние шейпинга в данный момент для всех интерфейсов.

Смотрим статистику прохождения пакетов:
tc -s -d qdisc show dev eth0
tc -s -d class show dev eth0
tc -s -d filter show dev eth0

Быстро удалить все классы, фильтры и вернуть root qdisc интерфейса в первоначальное состояние можно командой:
 tc qdisc del dev eth0 root

Usage: tc [ OPTIONS ] OBJECT { COMMAND | help }

tc [-force] -batch filename

where OBJECT := { qdisc | class | filter | chain |

action | monitor | exec }

OPTIONS := { -V[ersion] | -s[tatistics] | -d[etails] | -r[aw] |

-o[neline] | -j[son] | -p[retty] | -c[olor]

-b[atch] [filename] | -n[etns] name | -N[umeric] |

-nm | -nam[es] | { -cf | -conf } path

-br[ief] }

tc qdisc - покажет состояние шейпинга в данный момент для всех интерфейсов.

Смотрим статистику прохождения пакетов:

tc -s -d qdisc show dev eth0

tc -s -d class show dev eth0

tc -s -d filter show dev eth0

Быстро удалить все классы, фильтры и вернуть root qdisc интерфейса в первоначальное состояние можно командой:

tc qdisc del dev eth0 root

Это самый простой без классовый пример:

tc qdisc add dev eth1 root tbf rate 256kbit  latency 50ms burst 1540
- qdisc add - добавляем новую дисциплину (для удаления используй del).
- dev eth1 - указываем устройство, к которому будет привязана дисциплина.
- root - наша дисциплина корневая (будет обрабатываться весь трафик).
- tbf - имя дисциплины.
- rate 256kbit latency 50ms burst 1540 - параметры, специфичные для данной дисциплины: rate - ограничение скорости, 
latency - максимальный "возраст" пакета в очереди, burst - размер буфера

tc qdisc add dev eth1 root tbf rate 256kbit latency 50ms burst 1540

- qdisc add - добавляем новую дисциплину (для удаления используй del).

- dev eth1 - указываем устройство, к которому будет привязана дисциплина.

- root - наша дисциплина корневая (будет обрабатываться весь трафик).

- tbf - имя дисциплины.

- rate 256kbit latency 50ms burst 1540 - параметры, специфичные для данной дисциплины: rate - ограничение скорости,

latency - максимальный "возраст" пакета в очереди, burst - размер буфера

Пример создание классовой очереди HTB

Создадим дисциплину:
tc qdisc add dev eth1 root handle 1: htb default 13
Опция "default 13" говорит о том, что весь не классифицированный фильтрами
трафик должен быть обработан с помощью дисциплин класса "1:13". 

Создадим класс под дисциплину:
tc class add dev eth1 parent 1: classid 1:1 htb rate 10mbps ceil 10mbps

Создадим в нем подклассы:
tc class add dev eth1 parent 1:1 classid 1:11 htb rate 5mbps ceil 10mbps
tc class add dev eth1 parent 1:1 classid 1:12 htb rate 2mbps
tc class add dev eth1 parent 1:1 classid 1:13 htb rate 1mbps


По умолчанию к вновь созданным классам подключены дисциплины, реализующие  очередь FIFO. 
Это нам не подходит. 
Чтобы канал равномерно распределялся между всеми участниками под сети, мы должны подключить к ним дисциплину sfq:
tc qdisc add dev eth1 parent 1:11 handle 10:0 sfq perturb 10
tc qdisc add dev eth1 parent 1:12 handle 20:0 sfq perturb 10
tc qdisc add dev eth1 parent 1:13 handle 30:0 sfq perturb 10

Теперь подключим фильтры, которые будут классифицировать трафик:
tc filter add dev eth1 protocol ip parent 1:0 prio 1 u32 match ip src 10.55.0.0/24 flowid 1:11
tc filter add dev eth1 protocol ip parent 1:0 prio 1 u32 match ip src 10.55.1.0/24 flowid 1:12

Для примера, установим ограничение в 256 Кбит/с для пользователя, находящегося в под сети "все остальные". 
Сначала добавим к "классу под сети" новый  "класс-пользователь":
tc class add dev eth1 parent 1:13 classid 1:150 htb rate 256kbps
А затем фильтр:
tc filter add dev eth1 protocol ip parent 1:13 prio 1 u32 match ip src 10.55.55.7 flowid 1:150

Создадим дисциплину:

tc qdisc add dev eth1 root handle 1: htb default 13

Опция "default 13" говорит о том, что весь не классифицированный фильтрами

трафик должен быть обработан с помощью дисциплин класса "1:13".

Создадим класс под дисциплину:

tc class add dev eth1 parent 1: classid 1:1 htb rate 10mbps ceil 10mbps

Создадим в нем подклассы:

tc class add dev eth1 parent 1:1 classid 1:11 htb rate 5mbps ceil 10mbps

tc class add dev eth1 parent 1:1 classid 1:12 htb rate 2mbps

tc class add dev eth1 parent 1:1 classid 1:13 htb rate 1mbps

По умолчанию к вновь созданным классам подключены дисциплины, реализующие очередь FIFO.

Это нам не подходит.

Чтобы канал равномерно распределялся между всеми участниками под сети, мы должны подключить к ним дисциплину sfq:

tc qdisc add dev eth1 parent 1:11 handle 10:0 sfq perturb 10

tc qdisc add dev eth1 parent 1:12 handle 20:0 sfq perturb 10

tc qdisc add dev eth1 parent 1:13 handle 30:0 sfq perturb 10

Теперь подключим фильтры, которые будут классифицировать трафик:

tc filter add dev eth1 protocol ip parent 1:0 prio 1 u32 match ip src 10.55.0.0/24 flowid 1:11

tc filter add dev eth1 protocol ip parent 1:0 prio 1 u32 match ip src 10.55.1.0/24 flowid 1:12

Для примера, установим ограничение в 256 Кбит/с для пользователя, находящегося в под сети "все остальные".

Сначала добавим к "классу под сети" новый "класс-пользователь":

tc class add dev eth1 parent 1:13 classid 1:150 htb rate 256kbps

А затем фильтр:

tc filter add dev eth1 protocol ip parent 1:13 prio 1 u32 match ip src 10.55.55.7 flowid 1:150

Пример:

tc qdisc add dev eth1 root handle 1: htb default 13
tc class add dev eth1 parent 1: classid 1:1 htb rate 256kbps ceil 6mbps
tc class add dev eth1  parent 1:1 classid 1:11 htb rate 3mbps 
tc class add dev eth1 parent 1:1 classid 1:12 htb rate 2mbps
tc class add dev eth1 parent 1:1 classid 1:13 htb rate 256kbps
tc qdisc add dev eth1  parent 1:11 handle 10:0 sfq perturb 10
tc qdisc add dev eth1  parent 1:12 handle 20:0 sfq perturb 10
tc qdisc add dev eth1  parent 1:13 handle 30:0 sfq perturb 10
tc filter add dev eth1 protocol ip parent 1:0 prio 1 u32 match ip src 10.55.55.0/24 flowid 1:11
tc filter add dev eth1 protocol ip parent 1:0 prio 1 u32 match ip src 10.66.66.0/24 flowid 1:12
tc class add dev eth1 parent 1:13 classid 1:150 htb rate 256kbps
tc filter add dev eth1 protocol ip parent 1:13 prio 1 u32 match ip src 10.55.55.7 flowid 1:150

tc qdisc add dev eth1 root handle 1: htb default 13

tc class add dev eth1 parent 1: classid 1:1 htb rate 256kbps ceil 6mbps

tc class add dev eth1 parent 1:1 classid 1:11 htb rate 3mbps

tc class add dev eth1 parent 1:1 classid 1:12 htb rate 2mbps

tc class add dev eth1 parent 1:1 classid 1:13 htb rate 256kbps

tc qdisc add dev eth1 parent 1:11 handle 10:0 sfq perturb 10

tc qdisc add dev eth1 parent 1:12 handle 20:0 sfq perturb 10

tc qdisc add dev eth1 parent 1:13 handle 30:0 sfq perturb 10

tc filter add dev eth1 protocol ip parent 1:0 prio 1 u32 match ip src 10.55.55.0/24 flowid 1:11

tc filter add dev eth1 protocol ip parent 1:0 prio 1 u32 match ip src 10.66.66.0/24 flowid 1:12

tc class add dev eth1 parent 1:13 classid 1:150 htb rate 256kbps

tc filter add dev eth1 protocol ip parent 1:13 prio 1 u32 match ip src 10.55.55.7 flowid 1:150

Пример:

tc qdisc add dev eth0 root handle 1: htb default 15
tc class add dev eth0 parent 1: classid 1:1 htb rate 100mbps ceil 100mbps

tc class add dev eth0 parent 1:1 classid 1:11 htb rate 30mbps ceil 100mbps
tc class add dev eth0 parent 1:1 classid 1:12 htb rate 20mbps
tc class add dev eth0 parent 1:1 classid 1:13 htb rate 10mbps
tc class add dev eth0 parent 1:1 classid 1:14 htb rate 5mbps
tc class add dev eth0 parent 1:1 classid 1:15 htb rate 40mbps

tc qdisc add dev eth0 parent 1:11 handle 10:0 sfq perturb 10
tc qdisc add dev eth0 parent 1:12 handle 20:0 sfq perturb 10
tc qdisc add dev eth0 parent 1:13 handle 30:0 sfq perturb 10
tc qdisc add dev eth0 parent 1:14 handle 40:0 sfq perturb 10
tc qdisc add dev eth0 parent 1:15 handle 50:0 sfq perturb 10

tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip src 172.16.1.0/24 flowid 1:11
tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip src 172.16.2.0/24 flowid 1:12
tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip src 172.16.3.0/24 flowid 1:13
tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip src 172.16.4.0/24 flowid 1:14

tc class add dev eth0 parent 1:15 classid 1:150 htb rate 256kbps
tc filter add dev eth0 protocol ip parent 1:15 prio 1 u32 match ip src 172.16.1.32 flowid 1:150

tc qdisc add dev eth0 root handle 1: htb default 15

tc class add dev eth0 parent 1: classid 1:1 htb rate 100mbps ceil 100mbps

tc class add dev eth0 parent 1:1 classid 1:11 htb rate 30mbps ceil 100mbps

tc class add dev eth0 parent 1:1 classid 1:12 htb rate 20mbps

tc class add dev eth0 parent 1:1 classid 1:13 htb rate 10mbps

tc class add dev eth0 parent 1:1 classid 1:14 htb rate 5mbps

tc class add dev eth0 parent 1:1 classid 1:15 htb rate 40mbps

tc qdisc add dev eth0 parent 1:11 handle 10:0 sfq perturb 10

tc qdisc add dev eth0 parent 1:12 handle 20:0 sfq perturb 10

tc qdisc add dev eth0 parent 1:13 handle 30:0 sfq perturb 10

tc qdisc add dev eth0 parent 1:14 handle 40:0 sfq perturb 10

tc qdisc add dev eth0 parent 1:15 handle 50:0 sfq perturb 10

tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip src 172.16.1.0/24 flowid 1:11

tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip src 172.16.2.0/24 flowid 1:12

tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip src 172.16.3.0/24 flowid 1:13

tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip src 172.16.4.0/24 flowid 1:14

tc class add dev eth0 parent 1:15 classid 1:150 htb rate 256kbps

tc filter add dev eth0 protocol ip parent 1:15 prio 1 u32 match ip src 172.16.1.32 flowid 1:150

*NIX информация

Конспект: sysctl

Автор записи Автор: Evgeny Yakovlev
Дата записи 2023/09/02

sysctl

sysctl     - позволяет посмотреть параметры в системы и внести изменения, такие как стек tcp/ip, виртуальной памяти
sysctl -a  - показывает все параметры
sysctl -A | less - отобразить все динамические параметры ядра

sysctl -f  - выполняем для применения изменений без перезагрузки
sysctl -p  - выполняем для применения изменений без перезагрузки 
sysctl -p changes.conf - принять изменения в changes.conf без перезагрузки

!!!  /proc/sys/ 
!!! kern \ kernel \ зависит от дистрибутива
!!! клавиша TAB в помощь

sysctl kern.ipc.numopensockets — показывает количество открытых сокетов
sysctl kern.openfiles — показывает количество открытых файлов
sysctl kernel.hostname - показать имя системы
sysctl fs.nr_open - cколько дескрипторов файлов используется
sysctl net.ipv4.ip_forward

cat /proc/sys/net/ipv4/ip_forward - проверяем текущие состояние ip_forward
cat /proc/sys/kernel/hostname - показать имя системы

sysctl -w net.ipv6.conf.all.disable_ipv6=1 - выключить ipv6
sysctl -w net.ipv6.conf.default.disable_ipv6=1 - выключить ipv6

sysctl - позволяет посмотреть параметры в системы и внести изменения, такие как стек tcp/ip, виртуальной памяти

sysctl -a - показывает все параметры

sysctl -A | less - отобразить все динамические параметры ядра

sysctl -f - выполняем для применения изменений без перезагрузки

sysctl -p - выполняем для применения изменений без перезагрузки

sysctl -p changes.conf - принять изменения в changes.conf без перезагрузки

!!! /proc/sys/

!!! kern \ kernel \ зависит от дистрибутива

!!! клавиша TAB в помощь

sysctl kern.ipc.numopensockets — показывает количество открытых сокетов

sysctl kern.openfiles — показывает количество открытых файлов

sysctl kernel.hostname - показать имя системы

sysctl fs.nr_open - cколько дескрипторов файлов используется

sysctl net.ipv4.ip_forward

cat /proc/sys/net/ipv4/ip_forward - проверяем текущие состояние ip_forward

cat /proc/sys/kernel/hostname - показать имя системы

sysctl -w net.ipv6.conf.all.disable_ipv6=1 - выключить ipv6

sysctl -w net.ipv6.conf.default.disable_ipv6=1 - выключить ipv6

ip_forward

!!! Самое частое ради чего лезут в sysctl это включают forward для сетевых интерфейсов

net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1

cat /proc/sys/net/ipv4/ip_forward - проверяем текущие состояние ip_forward
echo 1 > /proc/sys/net/ipv4/ip_forward - так мы можем включить IP forward
 
!!! Для постоянного включения необходимо отредактировать файл  /etc/sysctl.conf, найти строку net.ipv4.ip_forward=1 и убрать комментарий с неё
vim /etc/sysctl.conf
---------------------
# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1
---------------------
sysctl -p  - выполняем для применения изменений без перезагрузки

!!! Самое частое ради чего лезут в sysctl это включают forward для сетевых интерфейсов

net.ipv4.ip_forward=1

net.ipv6.conf.all.forwarding=1

cat /proc/sys/net/ipv4/ip_forward - проверяем текущие состояние ip_forward

echo 1 > /proc/sys/net/ipv4/ip_forward - так мы можем включить IP forward

!!! Для постоянного включения необходимо отредактировать файл /etc/sysctl.conf, найти строку net.ipv4.ip_forward=1 и убрать комментарий с неё

vim /etc/sysctl.conf

---------------------

# Uncomment the next line to enable packet forwarding for IPv4

net.ipv4.ip_forward=1

---------------------

sysctl -p - выполняем для применения изменений без перезагрузки

ipv6

!!! отключение ipv6 \ достаточно бесполезная фигня \ не делай этого если не знаешь зачем хочешь его отключить

#disable ipv6 settins
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1

!!! отключение ipv6 \ достаточно бесполезная фигня \ не делай этого если не знаешь зачем хочешь его отключить

#disable ipv6 settins

net.ipv6.conf.all.disable_ipv6 = 1

net.ipv6.conf.default.disable_ipv6 = 1

net.ipv6.conf.lo.disable_ipv6 = 1

файлы

Ограничения на всю систему по открытым файлам:
sysctl fs.file-max        - показать максимальное количество открытых файлов
sysctl fs.file-max=102400 - меняем максимальное количества открытых файлов

echo "1024 50000" > /proc/sys/net/ipv4/ip_local_port_range - диапазон портов
 
vim /etc/sysctl.conf
fs.file-max=102400  - Ввод по умолчанию sysctl.conf
sysctl -p  - выполняем для применения изменений без перезагрузки 


ограничения открытых файлов shell/script
ulimit -a - Смотрим ограничения
ulimit -n 10240 - Меняем ограничение на количество открытых файлов, только shell


ограничения user / process
cat /etc/security/limits.conf
*   hard    nproc   250 - Ограничения пользовательских процессов
asterisk hard nofile 409600 - Ограничения на открытые файлы приложения

Ограничения на всю систему по открытым файлам:

sysctl fs.file-max - показать максимальное количество открытых файлов

sysctl fs.file-max=102400 - меняем максимальное количества открытых файлов

echo "1024 50000" > /proc/sys/net/ipv4/ip_local_port_range - диапазон портов

vim /etc/sysctl.conf

fs.file-max=102400 - Ввод по умолчанию sysctl.conf

sysctl -p - выполняем для применения изменений без перезагрузки

ограничения открытых файлов shell/script

ulimit -a - Смотрим ограничения

ulimit -n 10240 - Меняем ограничение на количество открытых файлов, только shell

ограничения user / process

cat /etc/security/limits.conf

* hard nproc 250 - Ограничения пользовательских процессов

asterisk hard nofile 409600 - Ограничения на открытые файлы приложения

монтирование / mount

Разрешить пользователям монтирование дисков:
# sysctl vfs.usermount=1  # Или впишите строку "vfs.usermount=1" in /etc/sysctl.conf

1 2	Разрешить пользователям монтирование дисков: # sysctl vfs.usermount=1 # Или впишите строку "vfs.usermount=1" in /etc/sysctl.conf

Таблица NAT:

# sysctl net.netfilter.nf_conntrack_max - посмотреть текущий размер таблицы NAT
net.netfilter.nf_conntrack_max = 65536
 
# sysctl -a | grep conntrack_max - посмотреть текущий размер таблицы NAT
net.netfilter.nf_conntrack_max = 65536
net.ipv4.netfilter.ip_conntrack_max = 65536
net.nf_conntrack_max = 65536
 
# sysctl net.netfilter.nf_conntrack_count - посмотреть заполненность таблицы
net.netfilter.nf_conntrack_count = 654

# Решение ошибки "nf_conntrack: table full, dropping packet"
net.ipv4.netfilter.ip_conntrack_max=1548576

# sysctl net.netfilter.nf_conntrack_max - посмотреть текущий размер таблицы NAT

net.netfilter.nf_conntrack_max = 65536

# sysctl -a | grep conntrack_max - посмотреть текущий размер таблицы NAT

net.netfilter.nf_conntrack_max = 65536

net.ipv4.netfilter.ip_conntrack_max = 65536

net.nf_conntrack_max = 65536

# sysctl net.netfilter.nf_conntrack_count - посмотреть заполненность таблицы

net.netfilter.nf_conntrack_count = 654

# Решение ошибки "nf_conntrack: table full, dropping packet"

net.ipv4.netfilter.ip_conntrack_max=1548576

Отключаем ответы на ping

!!! Не надо отключать пинг

sysctl net.ipv4.icmp_echo_ignore_all - узнаем что с пингом
sysctl -w net.ipv4.icmp_echo_ignore_all=1 - отключаем ответ на ping
sysctl -w net.ipv4.icmp_echo_ignore_all=0 - включаем ответ на ping

чтоб сохранялось при перегрузке
nano /etc/sysctl.conf - проверяем значение
net.ipv4.icmp_echo_ignore_all=1 - выставляем 1 и сохраняем

!!! Не надо отключать пинг

sysctl net.ipv4.icmp_echo_ignore_all - узнаем что с пингом

sysctl -w net.ipv4.icmp_echo_ignore_all=1 - отключаем ответ на ping

sysctl -w net.ipv4.icmp_echo_ignore_all=0 - включаем ответ на ping

чтоб сохранялось при перегрузке

nano /etc/sysctl.conf - проверяем значение

net.ipv4.icmp_echo_ignore_all=1 - выставляем 1 и сохраняем

rp_filter

!!! Не рекомендуется включать, если вы не знаете зачем.

net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.all.rp_filter=1

Принцип фильтрования в rp_filter:
Если ответ на текущий пакет не может уйти через тот же интерфейс 
(когда приходит через один интерфейс, а уходит через другой), 
пакет отфильтровывается.

По умолчанию: 
net.ipv4.conf.all.rp_filter = 1
 
Выключение rp_filter для всех интерфейсов:
for i in /proc/sys/net/ipv4/conf/*/rp_filter ; do
  echo 0 > $i 
done

!!! Не рекомендуется включать, если вы не знаете зачем.

net.ipv4.conf.default.rp_filter=1

net.ipv4.conf.all.rp_filter=1

Принцип фильтрования в rp_filter:

Если ответ на текущий пакет не может уйти через тот же интерфейс

(когда приходит через один интерфейс, а уходит через другой),

пакет отфильтровывается.

По умолчанию:

net.ipv4.conf.all.rp_filter = 1

Выключение rp_filter для всех интерфейсов:

for i in /proc/sys/net/ipv4/conf/*/rp_filter ; do

echo 0 > $i

done

Network SFP+

!!! Современные дистрибутивы автоматически настраивают оптимальные параметры сетевой карты

# Разрешить тестирование с буферами до 64МБ 
net.core.rmem_max = 67108864 
net.core.wmem_max = 67108864 

# Увеличить лимит буфера TCP автонастройки Linux до 32 МБ
net.ipv4.tcp_rmem = 4096 87380 33554432
net.ipv4.tcp_wmem = 4096 65536 33554432

# Рекомендуемый контроль перегрузки по умолчанию — htcp 
net.ipv4.tcp_congestion_control=htcp

# Рекомендуется для хостов с включенными большими кадрами
net.ipv4.tcp_mtu_probing=1

# Рекомендуется включить "fair queueing/справедливую очередь"
net.core.default_qdisc = fq

!!! Современные дистрибутивы автоматически настраивают оптимальные параметры сетевой карты

# Разрешить тестирование с буферами до 64МБ

net.core.rmem_max = 67108864

net.core.wmem_max = 67108864

# Увеличить лимит буфера TCP автонастройки Linux до 32 МБ

net.ipv4.tcp_rmem = 4096 87380 33554432

net.ipv4.tcp_wmem = 4096 65536 33554432

# Рекомендуемый контроль перегрузки по умолчанию — htcp

net.ipv4.tcp_congestion_control=htcp

# Рекомендуется для хостов с включенными большими кадрами

net.ipv4.tcp_mtu_probing=1

# Рекомендуется включить "fair queueing/справедливую очередь"

net.core.default_qdisc = fq

swap

vm.swappiness = 10 - начинать использовать swap когда осталось 10% памяти  (0 не использовать swap)

1	vm.swappiness = 10 - начинать использовать swap когда осталось 10% памяти (0 не использовать swap)

ipv4

https://www.opennet.ru/docs/RUS/LARTC/x1727.html


/proc/sys/net/ipv4/icmp_echo_ignore_all
Параметр может принимать два значения -- 0 (выключено) и 1 (включено). Значение по-умолчанию -- 0 (выключено). 
Если записана 1, то ядро просто игнорирует все ICMP Echo Request запросы и тогда никто не сможет ping-ануть вашу машину, чтобы проверить ее наличие в сети, что само по себе не есть хорошо. 
С одной стороны -- окружающие лишены возможности проверить ваше присутствие в сети, с другой -- существует масса приложений, 
которые используют ICMP Echo Request запросы далеко не в благовидных целях.
Вообщем все как всегда -- что-то плохо, а что-то хорошо.


/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
Эта переменная очень близка по смыслу к icmp_echo_ignore_all, только в данном случае будут игнорироваться ICMP-сообщения, 
отправленные на широковещательный или групповой адрес. Вполне очевидно, почему полезно включить этот параметр -- защита от smurf атак.


/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
Отдельные маршрутизаторы, вопреки стандартам, описанным в RFC 1122, отправляют фиктивные ответы в широковещательном диапазоне. 
Обычно эти ошибки заносятся в системный журнал. 
Если вы не желаете регистрировать их, то включите этот параметр и тем самым сбережете некоторый объем дискового пространства в своей системе. 
Параметр может принимать два значения -- 0 (выключено) и 1 (включено). 
Значение по-умолчанию -- 0 (выключено)


/proc/sys/net/ipv4/icmp_ratelimit
Максимальная частота генерации ICMP-пакетов с типом, указанным в icmp_ratemask (см. ниже). 
Это значение задается в "тиках" и устанавливает временной интервал между ICMP-посылками. Таким образом, значение 0 означает отсутствие ограничений. 
Обычно 1 "тик" равен 0.01 секунды, так значение 1 в этой переменной ограничивает скорость передачи не более 100 посылок в секунду, а значение 100 -- не более 1 посылки в секунду. 
Значение по-умолчанию -- 100 (зависит от конфигурации ядра), что означает не более 1 ICMP посылки за интервал в 100 "тиков".


/proc/sys/net/ipv4/icmp_ratemask
Маска ICMP типов, на которые накладывается ограничение по частоте генерации переменной icmp_ratelimit. 
Каждый из ICMP типов маскируется своим битом.
icmp_ratemask -- это битовая маска, где каждый ICMP тип представлен своим битом. 
Соответствие между символическим названием ICMP типа и его порядковым номером вы найдете в заголовочном файле netinet/ip_icmp.h (обычно это /usr/include/netinet/ip_icmp.h). 
За дополнительной информацией обращайтесь к RFC 792 - Internet Control Message Protocol. 
Значение по-умолчанию -- 6168


/proc/sys/net/ipv4/igmp_max_memberships
Максимальное число групп на каждый сокет. 
Значение по-умолчанию -- 20 и может быть изменено по мере необходимости. 


/proc/sys/net/ipv4/inet_peer_maxttl
Это максимальное время хранения записей. 
При незначительных нагрузках на систему неиспользуемые записи будут удаляться через данный промежуток времени.


/proc/sys/net/ipv4/inet_peer_minttl
Параметр определяет минимальное время хранения данных в "inet peer storage". 
Это время должно быть достаточно большим, чтобы перекрыть время сборки фрагментов на противоположной стороне.
Минимальное время хранения является гарантией того, что размер пула будет меньше чем величина inet_peer_threshold.


/proc/sys/net/ipv4/inet_peer_threshold
Здесь хранится приблизительный размер памяти для "inet peer storage". 
Когда размер пула достигает этой величины, то "сборщик мусора" переводится в более агрессивный режим работы -- с периодом прохода inet_peer_gc_mintime. 
Кроме того, этот порог влияет на срок хранения записей. Чем выше этот порог, тем больше срок хранения.


/proc/sys/net/ipv4/ip_default_ttl
Устанавливает значение по-умолчанию для величины Time To Live исходящих пакетов. 
Это число определяет продолжительность "жизни" пакета в Internet. 
Каждый раз, когда пакет попадает на очередной роутер (брандмауэр и т.п.), величина TTL пакета уменьшается на 1.
Значение по-умолчанию -- 64


/proc/sys/net/ipv4/ip_dynaddr
Параметр используется для разрешения некоторых проблем, связанных с динамической адресацией. 
Позволяет демону diald одновременно устанавливать соединение и изменять исходящий адрес в пакетах (и сокетах для локальных процессов). 
Эта возможность была реализованв для поддержки TCP по коммутируемым соединениям и соединениям с маскарадингом (masqueradig). 
Эта опция позволяет "маскарадить" исходящий адрес пакета при изменении динамического IP-адреса.
В переменную можно записать одно из 3-х значений: 0, 1 или 2.
0 -- опция выключена, это значение по-умолчанию.
1 -- опция включена.
Любое другое значение, отличающееся от 0 и 1 подразумевает включение этой опции в "многословном" (verbose) режиме, что приводит к записи в системный журнал отладочных сообщений.


/proc/sys/net/ipv4/ip_forward
Включает/отключает функцию форвардинга (передачу транзитных пакетов между сетевыми интерфейсами), которая позволяет компьютеру выступать в роли брандмауэра или маршрутизатора. 
Эта переменная очень важна для Network Address Translation (Трансляция Сетевых Адресов), 
брандмауэров, маршрутизаторов и всего того, что должно передавать пакеты между сетями.
Это булева переменная. Или, другими словами, она может принимать два значения -- 0 или 1. 
Значение по-умолчанию -- 0, "запрещено". 
То есть 0 означает запрет форвардинга, а 1 -- разрешает его.


/proc/sys/net/ipv4/ip_local_port_range
Содержит два целых числа, которые определяют диапазон локальных портов, которые используются в клиентских соединениях, 
т.е. для исходящих соединений, которые связывают нашу систему с некоторым узлом сети, 
где мы выступаем в качестве клиента. Первое число задает нижнюю границу диапазона, второе -- верхнюю.
Значения по-умолчанию зависят от имеющегося объема ОЗУ. 
Если установлено более чем 128 Мб, то нижняя граница будет 32768, а верхняя -- 61000. При меньшем объеме ОЗУ нижняя граница будет 1024 а верхняя -- 4999 или даже меньше.
Этот диапазон определяет количество активных соединений, которые могут быть запущены одновременно, с другой системой, которая не поддерживает TCP-расширение timestamp.
Диапазона 1024-4999 вполне достаточно для установки до 2000 соединений в секунду с системами, не поддерживающими timestamp. Проще говоря, этого вполне достаточно для большинства применений.


/proc/sys/net/ipv4/ip_no_pmtu_disc
Параметр ip_no_pmtu_disc запрещает поиск PMTU (от англ. Path Maximum Transfer Unit -- Максимальный Размер Пакета для выбранного Пути). 
Для большинства случаев лучше установить в эту переменную значение FALSE, или 0 (т.е. система будет пытаться определить максимальный размер пакета, 
при котором не потребуется выполнять их фрагментацию, для передачи на заданный хост). 
Но иногда, в отдельных случаях, такое поведение системы может приводить к "срывам" соединений. 
Если у вас возникают такие проблемы, то вам следует попробовать отключить эту опцию (т.е. записать в переменную число 1) и установить нужное значение MTU.
Обратите внимание на то, что MTU и PMTU -- это не одно и то же! MTU -- (от англ. Maximum Transfer Unit -- максимальный размер пакета) определяет максимальный размер пакета для наших сетевых интерфейсов,
но не для сетевых интерфейсов на другом конце. 
PMTU -- опция, которая заставляет систему вычислять максимальный размер пакета, 
при котором не потребуется фрагментация пакетов, для маршрута к заданному хосту, включая все промежуточные переходы.
Значение по-умолчанию -- FALSE (0), т.е. функция определения разрешена. Если записать число 1 в этот файл, 
то функция определения PMTU будет запрещена. Параметр ip_no_pmtu_disc может принимать значение 0 или 1.


/proc/sys/net/ipv4/ipfrag_high_thresh
Параметр задает максимальный объем памяти, выделяемый под очередь фрагментированных пакетов. 
Когда длина очереди достигает этого порога, то обработчик фрагментов будет отвергать все фрагментированные пакеты до тех пор, 
пока длина очереди не уменьшится до значения переменной ipfrag_low_thresh. 
Это означает, что все отвергнутые фрагментированные пакеты должны быть повторно переданы узлом-отправителем.



/proc/sys/net/ipv4/ip_nonlocal_bind
Установка этого параметра позволяет отдельным локальным процессам выступать от имени внешнего (чужого) IP-адреса. 
Это может оказаться полезным в некоторых случаях, когда необходимо "прослушивать" внешние (чужие) IP-адреса, например -- сниффинг чужого траффика. 
Однако, эта опция может оказывать отрицательное влияние на работоспособность отдельных приложений.
Может иметь два значения -- 0 или 1. 
Если установлено значение 0, то опция отключена, 1 -- включена. 
Значение по-умолчанию -- 0.


/proc/sys/net/ipv4/ipfrag_low_thresh
Этот параметр очень тесно связан с переменной ipfrag_high_thresh. 
Он устанавливает нижний порог, при достижении которого опять разрешается прием фрагментов в очередь. 
Обработчик фрагментов имеет свою очередь, в которой находятся фрагментированные пакеты, ожидающие сборки. 
Когда длина очереди достигает верхнего порога (ipfrag_high_thresh), то прием фрагментов в очередь приостанавливается до тех пор, пока длина очереди не уменьшится до величины ipfrag_low_thresh. 
Это предохраняет систему от "затопления" фрагментированными пакетами и, тем самым, является, в своем роде, защитой от некоторых видов DoS-атак.


/proc/sys/net/ipv4/ipfrag_time
Определяет максимальное время "хранения" фрагментов в секундах. 
Это относится только к тем фрагментам, которые пока невозможно собрать, поскольку собранные пакеты к этому сроку скорее всего уже будут переданы дальше (на следующий уровень или в сеть).
Принимает целое значение и определяет предельное время хранения фрагментов в секундах. Если записать туда число 5, то это будет означать 5 секунд.



/proc/sys/net/ipv4/tcp_abort_on_overflow
Заставляет ядро отвергать новые соединения, если их поступает такое количество, что система не в состоянии справиться с таким потоком. 
Что это означает? Допустим, что на систему обрушивается шквал запросов на соединение, тогда они могут быть просто отвергнуты, если эта опция будет включена, 
поскольку система не в состоянии обработать их все. 
Если не установлена, то система будет пытаться обслужить все запросы.
Может иметь два значение -- 0(выключено) или 1(включено). Значение по-умолчанию -- 0. 
Включение этой опции следует расценивать как крайнюю меру. Перед этим необходимо попытаться поднять производительность сервисов.


/proc/sys/net/ipv4/tcp_fin_timeout
Задает максимальное время пребывания сокета в состоянии FIN-WAIT-2. 
Используется в тех случаях, когда другая сторона по тем или иным причинам не закрыла соединение со своей стороны. 
Каждый сокет занимает в памяти порядка 1.5 Кб, что может привести к значительным утечкам памяти в некоторых случаях.
Принимает целое число. Значение по-умолчанию -- 60 секунд. 
В ядрах серии 2.2 это значение было равно 180 секундам, но было уменьшено, поскольку иногда возникали проблемы, 
связанные с нехваткой памяти, на web-серверах, которые, как правило, обслуживают огромное количество подключений.
За дополнительной информацией -- обращайтесь к описанию параметров tcp_max_orphans и tcp_orphan_retries.


/proc/sys/net/ipv4/tcp_keepalive_time
Определяет -- как часто следует проверять соединение, если оно давно не используется. 
Значение параметра имеет смысл только для тех сокетов, которые были созданы с флагом SO_KEEPALIVE.
Принимает целое число секунд. Значение по-умолчанию -- 7200, т.е. 2 часа. 
Не уменьшайте это число без необходимости, поскольку это может привести к увеличению бесполезного трафика.


/proc/sys/net/ipv4/tcp_keepalive_intvl
Определяет интервал проверки "жизнеспособности" сокета. 
Это значение учитывается при подсчете времени, которое должно пройти перед тем как соединение будет разорвано.
Принимает целое число. Значение по-умолчанию -- 75 секунд. 
Это достаточно высокое значение, чтобы рассматривать его как нормальное. 
Значения параметров tcp_keepalive_probes и tcp_keepalive_intvl могут использоваться для определения времени, через которое соединение будет разорвано.
Со значениями по-умолчанию (9 попыток с интервалом 75 секунд) это займет примерно 11 минут. 
Попытки определения "жизнеспособности", в свою очередь, начнутся через 2 часа после того, как через данное соединение проследовал последний пакет.


/proc/sys/net/ipv4/tcp_keepalive_probes
Определяет количество попыток проверки "жизнеспособности" прежде, чем будет принято решении о разрыве соединения.
Принимает целое число, которое не следует устанавливать больше 50-ти. Значение по-умолчанию -- 9. 
Это означает, что будет выполнено 9 попыток проверки соединения, чтобы убедиться в том, что соединение разорвано.


/proc/sys/net/ipv4/tcp_max_orphans
Задает максимальное число "осиротевших" (не связанных ни с одним процессом) сокетов. 
Если это число будет превышено, то такие соединения разрываются, а в системный журнал пишется предупреждение.
Это ограничение существует исключительно ради предотвращения простейших разновидностей DoS-атак. 
Вообще вы не должны полагаться на эту переменную! Не рекомендуется уменьшать это число. 
Сетевая среда может потребовать увеличение этого порога, однако, такое увеличение может привести к необходимости увеличения объема ОЗУ в системе. 
Прежде чем поднимать этот предел -- попробуйте перенастроить сетевые сервисы на более агрессивное поведение по отношению к "осиротевшим" сокетам.
Принимает целое число. Значение по-умолчанию -- 8192, однако оно очень сильно зависит от объема памяти в системе. 
Каждый "осиротевший" сокет "съедает" примерно 64 Кб памяти, которая не может быть сброшена в своп (swap).
При возникновении проблем, связанных с этим ограничением -- в системный журнал будет записано сообщение, подобное этому: TCP: too many of orphaned sockets           
Это может служить поводом к тому, чтобы пересмотреть значения переменных tcp_fin_timeout или tcp_orphans_retries.


/proc/sys/net/ipv4/tcp_orphan_retries
Количество попыток закрыть соединение перед тем как оно будет разорвано принудительно. 
Если вы администрируете http-сервер, который испытывает большие нагрузки, то стоит подумать об уменьшении этого значения.
Значение по-умолчанию -- 0 (archlinux)


/proc/sys/net/ipv4/tcp_max_syn_backlog
Определяет максимальное время хранения SYN-запросов в памяти до момента получения третьего, завершающего установление соединения, пакета. 
Эта опция работает только тогда, когда включен параметр tcp_syncookies. 
Если сервер испытывает серьезные нагрузки, то можно попробовать немного увеличить этот параметр.
По-умолчанию равно 512


/proc/sys/net/ipv4/tcp_max_tw_buckets
Максимальное число сокетов, находящихся в состоянии TIME-WAIT одновременно. 
При превышении этого порога -- "лишний" сокет разрушается и пишется сообщение в системный журнал. Цель этой переменной -- предотвращение простейших разновидностей DoS-атак.
По-умолчанию -- 180000.


/proc/sys/net/ipv4/tcp_retrans_collapse
Включает/выключает эмуляцию ошибки протокола TCP, делая возможным сетевое взаимодействие с некоторыми устройствами, в которых реализация стека TCP имеет эту ошибку. 
Без ее эмуляции было бы невозможным работать с отдельными моделями принтеров. 
Ошибка заключается в отправке полноразмерных пакетов при повторной передаче.
Значение по-умолчанию -- 1 (включено).



/proc/sys/net/ipv4/tcp_retries1
Максимальное количество попыток повторной передачи пакетов по установленному соединению прежде, 
чем сообщение об ошибке будет передано сетевому уровню, в результате чего может быть выбран другой маршрут для отправки последующих пакетов. 
Минимальное значение этого параметра равно 3.
Это число является значением по-умолчанию, что соответствует интервалу времени от 3 секунд до 8 минут, в зависимости от величины Retransmission timeout (RTO). 
Детальное описание RTO вы найдете в разделе "3.7. Data Communication" RFC 793 - Transmission Control Protocol.
Значение по-умолчанию -- 3. 



/proc/sys/net/ipv4/tcp_retries2
Максимальное количество попыток повторной передачи пакетов, до того как соединение будет считаться разорванным. 
Это ограничение определено в RFC 1122 и равно 100, но обычно его уменьшают.
Значение по-умолчанию -- 15, что соответствует примерно 13-30 минутам в зависимости от величины Retransmission timeout (RTO).


/proc/sys/net/ipv4/tcp_rfc1337
Является реализацией решения проблемы, описываемой в "RFC 1337 - TIME-WAIT Assassination Hazards in TCP". 
Проблема связана с "устаревшими" дубликатами пакетов, которые могут вносить помехи во вновь устанавливаемые соединения и порождать три различные проблемы. 
Первая -- "устаревший" дубликат пакета с данными может быть ошибочно воспринят в новом соединении, что приведет к передаче неверных данных. 
Вторая -- соединение может быть десинхронизировано и "уйти" в ACK-цикл из-за "устаревших" дубликатов, 
которые порождают новые соединения (здесь автор имеет ввиду "устаревшие" дубликаты SYN-пакетов, прим. перев.). 
И третья проблема -- "устаревшие" дубликаты могут "проникнуть" в недавно созданное соединение и ошибочно уничтожить его.


/proc/sys/net/ipv4/tcp_sack
Разрешает Selective Acknowledgements (SACK -- Выборочное Подтверждение), детальное описание вы найдете в RFC 2883 
- An Extension to Selective Acknowledgement (SACK) Option for TCP и RFC 2883
- An Extension to Selective Acknowledgement (SACK) Option for TCP


/proc/sys/net/ipv4/tcp_stdurg
Разрешает/запрещает соответствие стандарту RFC 1122. Поведение по-умолчанию соответствует стандарту использования флага URG -- BSD 4.2, описанному в RFC 793. 
Если этот параметр включен, то возможны сбои при работе с отдельными узлами Интернета, точнее -- с узлами, которые придерживаются стандарта BSD 4.2. 
Значение по-умолчанию -- 0 (выключено).


/proc/sys/net/ipv4/tcp_syn_retries
Количество попыток передачи SYN-пакета при установлении нового соединения. 
Это число не должно устанавливаться больше чем 255, поскольку каждая повторная попытка отнимает значительное время. 
На каждую попытку отводится примерно 30-40 секунд. Значение по-умолчанию -- 5, что соответствует, примерно, 180 секундам.


/proc/sys/net/ipv4/tcp_synack_retries
Количество попыток передачи SYN,ACK-пакета в ответ на SYN-запрос. 
Другими словами -- максимальное число попыток установить пассивное TCP-соединение, инициированное другим хостом. 
Это число не должно устанавливаться больше чем 255. Значение по-умолчанию -- 5.


/proc/sys/net/ipv4/tcp_timestamps
Разрешает/запрещает использование временных меток (timestamps), в соответствии с RFC 1323. Если коротко, 
то это расширение TCP используется для расчета Round Trip Measurement (определение времени возврата) лучшим способом, нежели метод Retransmission timeout (RTO). 
Эта опция должна сохранять обратную совместимость в большинстве случаев, так что лучше оставить ее включенной, 
особенно если вы работаете в высокоскоростной сети (например LAN или 10mb Интернет). 
В случае низкоскоростного оединения (скажем модемное) -- вы прекрасно обойдетесь и без этой опции, и будет даже лучше, если вы ее отключите. 
Значение по-умолчанию -- 1 (включено).


/proc/sys/net/ipv4/tcp_window_scaling
Разрешает/запрещает масштабирование TCP-окна, как определено в RFC 1323. 
В этом документе описано как производится масштабирование TCP-окна при передаче по Large Fat Pipes (LFP -- "толстый" канал). 
При передаче TCP-пакетов по "толстым" каналам возникают существенные потери пропускной способности из-за того, 
что они не загружены полностью во время ожидания подтверждения о приеме предыдущего TCP-окна. 
Основная проблема состоит в том, что окно не может иметь размер больше, чем 2**16 байт (65 Кб). 
Разрешая масштабирование TCP-окна мы, тем самым, можем увеличить его размер и таким образом уменьшить потери пропускной способности. 
Значение по-умолчанию -- 1 (включено).

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215

216

217

218

219

220

221

222

223

224

225

226

227

228

229

230

231

232

233

234

235

236

237

238

239

240

241

242

243

244

245

246

247

248

249

250

251

252

253

254

255

256

257

258

259

260

261

262

263

264

265

266

267

268

269

270

271

272

273

274

275

276

277

278

279

280

281

282

283

284

285

286

287

288

289

290

291

292

293

https://www.opennet.ru/docs/RUS/LARTC/x1727.html

/proc/sys/net/ipv4/icmp_echo_ignore_all

Параметр может принимать два значения -- 0 (выключено) и 1 (включено). Значение по-умолчанию -- 0 (выключено).

Если записана 1, то ядро просто игнорирует все ICMP Echo Request запросы и тогда никто не сможет ping-ануть вашу машину, чтобы проверить ее наличие в сети, что само по себе не есть хорошо.

С одной стороны -- окружающие лишены возможности проверить ваше присутствие в сети, с другой -- существует масса приложений,

которые используют ICMP Echo Request запросы далеко не в благовидных целях.

Вообщем все как всегда -- что-то плохо, а что-то хорошо.

/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

Эта переменная очень близка по смыслу к icmp_echo_ignore_all, только в данном случае будут игнорироваться ICMP-сообщения,

отправленные на широковещательный или групповой адрес. Вполне очевидно, почему полезно включить этот параметр -- защита от smurf атак.

/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

Отдельные маршрутизаторы, вопреки стандартам, описанным в RFC 1122, отправляют фиктивные ответы в широковещательном диапазоне.

Обычно эти ошибки заносятся в системный журнал.

Если вы не желаете регистрировать их, то включите этот параметр и тем самым сбережете некоторый объем дискового пространства в своей системе.

Параметр может принимать два значения -- 0 (выключено) и 1 (включено).

Значение по-умолчанию -- 0 (выключено)

/proc/sys/net/ipv4/icmp_ratelimit

Максимальная частота генерации ICMP-пакетов с типом, указанным в icmp_ratemask (см. ниже).

Это значение задается в "тиках" и устанавливает временной интервал между ICMP-посылками. Таким образом, значение 0 означает отсутствие ограничений.

Обычно 1 "тик" равен 0.01 секунды, так значение 1 в этой переменной ограничивает скорость передачи не более 100 посылок в секунду, а значение 100 -- не более 1 посылки в секунду.

Значение по-умолчанию -- 100 (зависит от конфигурации ядра), что означает не более 1 ICMP посылки за интервал в 100 "тиков".

/proc/sys/net/ipv4/icmp_ratemask

Маска ICMP типов, на которые накладывается ограничение по частоте генерации переменной icmp_ratelimit.

Каждый из ICMP типов маскируется своим битом.

icmp_ratemask -- это битовая маска, где каждый ICMP тип представлен своим битом.

Соответствие между символическим названием ICMP типа и его порядковым номером вы найдете в заголовочном файле netinet/ip_icmp.h (обычно это /usr/include/netinet/ip_icmp.h).

За дополнительной информацией обращайтесь к RFC 792 - Internet Control Message Protocol.

Значение по-умолчанию -- 6168

/proc/sys/net/ipv4/igmp_max_memberships

Максимальное число групп на каждый сокет.

Значение по-умолчанию -- 20 и может быть изменено по мере необходимости.

/proc/sys/net/ipv4/inet_peer_maxttl

Это максимальное время хранения записей.

При незначительных нагрузках на систему неиспользуемые записи будут удаляться через данный промежуток времени.

/proc/sys/net/ipv4/inet_peer_minttl

Параметр определяет минимальное время хранения данных в "inet peer storage".

Это время должно быть достаточно большим, чтобы перекрыть время сборки фрагментов на противоположной стороне.

Минимальное время хранения является гарантией того, что размер пула будет меньше чем величина inet_peer_threshold.

/proc/sys/net/ipv4/inet_peer_threshold

Здесь хранится приблизительный размер памяти для "inet peer storage".

Когда размер пула достигает этой величины, то "сборщик мусора" переводится в более агрессивный режим работы -- с периодом прохода inet_peer_gc_mintime.

Кроме того, этот порог влияет на срок хранения записей. Чем выше этот порог, тем больше срок хранения.

/proc/sys/net/ipv4/ip_default_ttl

Устанавливает значение по-умолчанию для величины Time To Live исходящих пакетов.

Это число определяет продолжительность "жизни" пакета в Internet.

Каждый раз, когда пакет попадает на очередной роутер (брандмауэр и т.п.), величина TTL пакета уменьшается на 1.

Значение по-умолчанию -- 64

/proc/sys/net/ipv4/ip_dynaddr

Параметр используется для разрешения некоторых проблем, связанных с динамической адресацией.

Позволяет демону diald одновременно устанавливать соединение и изменять исходящий адрес в пакетах (и сокетах для локальных процессов).

Эта возможность была реализованв для поддержки TCP по коммутируемым соединениям и соединениям с маскарадингом (masqueradig).

Эта опция позволяет "маскарадить" исходящий адрес пакета при изменении динамического IP-адреса.

В переменную можно записать одно из 3-х значений: 0, 1 или 2.

0 -- опция выключена, это значение по-умолчанию.

1 -- опция включена.

Любое другое значение, отличающееся от 0 и 1 подразумевает включение этой опции в "многословном" (verbose) режиме, что приводит к записи в системный журнал отладочных сообщений.

/proc/sys/net/ipv4/ip_forward

Включает/отключает функцию форвардинга (передачу транзитных пакетов между сетевыми интерфейсами), которая позволяет компьютеру выступать в роли брандмауэра или маршрутизатора.

Эта переменная очень важна для Network Address Translation (Трансляция Сетевых Адресов),

брандмауэров, маршрутизаторов и всего того, что должно передавать пакеты между сетями.

Это булева переменная. Или, другими словами, она может принимать два значения -- 0 или 1.

Значение по-умолчанию -- 0, "запрещено".

То есть 0 означает запрет форвардинга, а 1 -- разрешает его.

/proc/sys/net/ipv4/ip_local_port_range

Содержит два целых числа, которые определяют диапазон локальных портов, которые используются в клиентских соединениях,

т.е. для исходящих соединений, которые связывают нашу систему с некоторым узлом сети,

где мы выступаем в качестве клиента. Первое число задает нижнюю границу диапазона, второе -- верхнюю.

Значения по-умолчанию зависят от имеющегося объема ОЗУ.

Если установлено более чем 128 Мб, то нижняя граница будет 32768, а верхняя -- 61000. При меньшем объеме ОЗУ нижняя граница будет 1024 а верхняя -- 4999 или даже меньше.

Этот диапазон определяет количество активных соединений, которые могут быть запущены одновременно, с другой системой, которая не поддерживает TCP-расширение timestamp.

Диапазона 1024-4999 вполне достаточно для установки до 2000 соединений в секунду с системами, не поддерживающими timestamp. Проще говоря, этого вполне достаточно для большинства применений.

/proc/sys/net/ipv4/ip_no_pmtu_disc

Параметр ip_no_pmtu_disc запрещает поиск PMTU (от англ. Path Maximum Transfer Unit -- Максимальный Размер Пакета для выбранного Пути).

Для большинства случаев лучше установить в эту переменную значение FALSE, или 0 (т.е. система будет пытаться определить максимальный размер пакета,

при котором не потребуется выполнять их фрагментацию, для передачи на заданный хост).

Но иногда, в отдельных случаях, такое поведение системы может приводить к "срывам" соединений.

Если у вас возникают такие проблемы, то вам следует попробовать отключить эту опцию (т.е. записать в переменную число 1) и установить нужное значение MTU.

Обратите внимание на то, что MTU и PMTU -- это не одно и то же! MTU -- (от англ. Maximum Transfer Unit -- максимальный размер пакета) определяет максимальный размер пакета для наших сетевых интерфейсов,

но не для сетевых интерфейсов на другом конце.

PMTU -- опция, которая заставляет систему вычислять максимальный размер пакета,

при котором не потребуется фрагментация пакетов, для маршрута к заданному хосту, включая все промежуточные переходы.

Значение по-умолчанию -- FALSE (0), т.е. функция определения разрешена. Если записать число 1 в этот файл,

то функция определения PMTU будет запрещена. Параметр ip_no_pmtu_disc может принимать значение 0 или 1.

/proc/sys/net/ipv4/ipfrag_high_thresh

Параметр задает максимальный объем памяти, выделяемый под очередь фрагментированных пакетов.

Когда длина очереди достигает этого порога, то обработчик фрагментов будет отвергать все фрагментированные пакеты до тех пор,

пока длина очереди не уменьшится до значения переменной ipfrag_low_thresh.

Это означает, что все отвергнутые фрагментированные пакеты должны быть повторно переданы узлом-отправителем.

/proc/sys/net/ipv4/ip_nonlocal_bind

Установка этого параметра позволяет отдельным локальным процессам выступать от имени внешнего (чужого) IP-адреса.

Это может оказаться полезным в некоторых случаях, когда необходимо "прослушивать" внешние (чужие) IP-адреса, например -- сниффинг чужого траффика.

Однако, эта опция может оказывать отрицательное влияние на работоспособность отдельных приложений.

Может иметь два значения -- 0 или 1.

Если установлено значение 0, то опция отключена, 1 -- включена.

Значение по-умолчанию -- 0.

/proc/sys/net/ipv4/ipfrag_low_thresh

Этот параметр очень тесно связан с переменной ipfrag_high_thresh.

Он устанавливает нижний порог, при достижении которого опять разрешается прием фрагментов в очередь.

Обработчик фрагментов имеет свою очередь, в которой находятся фрагментированные пакеты, ожидающие сборки.

Когда длина очереди достигает верхнего порога (ipfrag_high_thresh), то прием фрагментов в очередь приостанавливается до тех пор, пока длина очереди не уменьшится до величины ipfrag_low_thresh.

Это предохраняет систему от "затопления" фрагментированными пакетами и, тем самым, является, в своем роде, защитой от некоторых видов DoS-атак.

/proc/sys/net/ipv4/ipfrag_time

Определяет максимальное время "хранения" фрагментов в секундах.

Это относится только к тем фрагментам, которые пока невозможно собрать, поскольку собранные пакеты к этому сроку скорее всего уже будут переданы дальше (на следующий уровень или в сеть).

Принимает целое значение и определяет предельное время хранения фрагментов в секундах. Если записать туда число 5, то это будет означать 5 секунд.

/proc/sys/net/ipv4/tcp_abort_on_overflow

Заставляет ядро отвергать новые соединения, если их поступает такое количество, что система не в состоянии справиться с таким потоком.

Что это означает? Допустим, что на систему обрушивается шквал запросов на соединение, тогда они могут быть просто отвергнуты, если эта опция будет включена,

поскольку система не в состоянии обработать их все.

Если не установлена, то система будет пытаться обслужить все запросы.

Может иметь два значение -- 0(выключено) или 1(включено). Значение по-умолчанию -- 0.

Включение этой опции следует расценивать как крайнюю меру. Перед этим необходимо попытаться поднять производительность сервисов.

/proc/sys/net/ipv4/tcp_fin_timeout

Задает максимальное время пребывания сокета в состоянии FIN-WAIT-2.

Используется в тех случаях, когда другая сторона по тем или иным причинам не закрыла соединение со своей стороны.

Каждый сокет занимает в памяти порядка 1.5 Кб, что может привести к значительным утечкам памяти в некоторых случаях.

Принимает целое число. Значение по-умолчанию -- 60 секунд.

В ядрах серии 2.2 это значение было равно 180 секундам, но было уменьшено, поскольку иногда возникали проблемы,

связанные с нехваткой памяти, на web-серверах, которые, как правило, обслуживают огромное количество подключений.

За дополнительной информацией -- обращайтесь к описанию параметров tcp_max_orphans и tcp_orphan_retries.

/proc/sys/net/ipv4/tcp_keepalive_time

Определяет -- как часто следует проверять соединение, если оно давно не используется.

Значение параметра имеет смысл только для тех сокетов, которые были созданы с флагом SO_KEEPALIVE.

Принимает целое число секунд. Значение по-умолчанию -- 7200, т.е. 2 часа.

Не уменьшайте это число без необходимости, поскольку это может привести к увеличению бесполезного трафика.

/proc/sys/net/ipv4/tcp_keepalive_intvl

Определяет интервал проверки "жизнеспособности" сокета.

Это значение учитывается при подсчете времени, которое должно пройти перед тем как соединение будет разорвано.

Принимает целое число. Значение по-умолчанию -- 75 секунд.

Это достаточно высокое значение, чтобы рассматривать его как нормальное.

Значения параметров tcp_keepalive_probes и tcp_keepalive_intvl могут использоваться для определения времени, через которое соединение будет разорвано.

Со значениями по-умолчанию (9 попыток с интервалом 75 секунд) это займет примерно 11 минут.

Попытки определения "жизнеспособности", в свою очередь, начнутся через 2 часа после того, как через данное соединение проследовал последний пакет.

/proc/sys/net/ipv4/tcp_keepalive_probes

Определяет количество попыток проверки "жизнеспособности" прежде, чем будет принято решении о разрыве соединения.

Принимает целое число, которое не следует устанавливать больше 50-ти. Значение по-умолчанию -- 9.

Это означает, что будет выполнено 9 попыток проверки соединения, чтобы убедиться в том, что соединение разорвано.

/proc/sys/net/ipv4/tcp_max_orphans

Задает максимальное число "осиротевших" (не связанных ни с одним процессом) сокетов.

Если это число будет превышено, то такие соединения разрываются, а в системный журнал пишется предупреждение.

Это ограничение существует исключительно ради предотвращения простейших разновидностей DoS-атак.

Вообще вы не должны полагаться на эту переменную! Не рекомендуется уменьшать это число.

Сетевая среда может потребовать увеличение этого порога, однако, такое увеличение может привести к необходимости увеличения объема ОЗУ в системе.

Прежде чем поднимать этот предел -- попробуйте перенастроить сетевые сервисы на более агрессивное поведение по отношению к "осиротевшим" сокетам.

Принимает целое число. Значение по-умолчанию -- 8192, однако оно очень сильно зависит от объема памяти в системе.

Каждый "осиротевший" сокет "съедает" примерно 64 Кб памяти, которая не может быть сброшена в своп (swap).

При возникновении проблем, связанных с этим ограничением -- в системный журнал будет записано сообщение, подобное этому: TCP: too many of orphaned sockets

Это может служить поводом к тому, чтобы пересмотреть значения переменных tcp_fin_timeout или tcp_orphans_retries.

/proc/sys/net/ipv4/tcp_orphan_retries

Количество попыток закрыть соединение перед тем как оно будет разорвано принудительно.

Если вы администрируете http-сервер, который испытывает большие нагрузки, то стоит подумать об уменьшении этого значения.

Значение по-умолчанию -- 0 (archlinux)

/proc/sys/net/ipv4/tcp_max_syn_backlog

Определяет максимальное время хранения SYN-запросов в памяти до момента получения третьего, завершающего установление соединения, пакета.

Эта опция работает только тогда, когда включен параметр tcp_syncookies.

Если сервер испытывает серьезные нагрузки, то можно попробовать немного увеличить этот параметр.

По-умолчанию равно 512

/proc/sys/net/ipv4/tcp_max_tw_buckets

Максимальное число сокетов, находящихся в состоянии TIME-WAIT одновременно.

При превышении этого порога -- "лишний" сокет разрушается и пишется сообщение в системный журнал. Цель этой переменной -- предотвращение простейших разновидностей DoS-атак.

По-умолчанию -- 180000.

/proc/sys/net/ipv4/tcp_retrans_collapse

Включает/выключает эмуляцию ошибки протокола TCP, делая возможным сетевое взаимодействие с некоторыми устройствами, в которых реализация стека TCP имеет эту ошибку.

Без ее эмуляции было бы невозможным работать с отдельными моделями принтеров.

Ошибка заключается в отправке полноразмерных пакетов при повторной передаче.

Значение по-умолчанию -- 1 (включено).

/proc/sys/net/ipv4/tcp_retries1

Максимальное количество попыток повторной передачи пакетов по установленному соединению прежде,

чем сообщение об ошибке будет передано сетевому уровню, в результате чего может быть выбран другой маршрут для отправки последующих пакетов.

Минимальное значение этого параметра равно 3.

Это число является значением по-умолчанию, что соответствует интервалу времени от 3 секунд до 8 минут, в зависимости от величины Retransmission timeout (RTO).

Детальное описание RTO вы найдете в разделе "3.7. Data Communication" RFC 793 - Transmission Control Protocol.

Значение по-умолчанию -- 3.

/proc/sys/net/ipv4/tcp_retries2

Максимальное количество попыток повторной передачи пакетов, до того как соединение будет считаться разорванным.

Это ограничение определено в RFC 1122 и равно 100, но обычно его уменьшают.

Значение по-умолчанию -- 15, что соответствует примерно 13-30 минутам в зависимости от величины Retransmission timeout (RTO).

/proc/sys/net/ipv4/tcp_rfc1337

Является реализацией решения проблемы, описываемой в "RFC 1337 - TIME-WAIT Assassination Hazards in TCP".

Проблема связана с "устаревшими" дубликатами пакетов, которые могут вносить помехи во вновь устанавливаемые соединения и порождать три различные проблемы.

Первая -- "устаревший" дубликат пакета с данными может быть ошибочно воспринят в новом соединении, что приведет к передаче неверных данных.

Вторая -- соединение может быть десинхронизировано и "уйти" в ACK-цикл из-за "устаревших" дубликатов,

которые порождают новые соединения (здесь автор имеет ввиду "устаревшие" дубликаты SYN-пакетов, прим. перев.).

И третья проблема -- "устаревшие" дубликаты могут "проникнуть" в недавно созданное соединение и ошибочно уничтожить его.

/proc/sys/net/ipv4/tcp_sack

Разрешает Selective Acknowledgements (SACK -- Выборочное Подтверждение), детальное описание вы найдете в RFC 2883

- An Extension to Selective Acknowledgement (SACK) Option for TCP и RFC 2883

- An Extension to Selective Acknowledgement (SACK) Option for TCP

/proc/sys/net/ipv4/tcp_stdurg

Разрешает/запрещает соответствие стандарту RFC 1122. Поведение по-умолчанию соответствует стандарту использования флага URG -- BSD 4.2, описанному в RFC 793.

Если этот параметр включен, то возможны сбои при работе с отдельными узлами Интернета, точнее -- с узлами, которые придерживаются стандарта BSD 4.2.

Значение по-умолчанию -- 0 (выключено).

/proc/sys/net/ipv4/tcp_syn_retries

Количество попыток передачи SYN-пакета при установлении нового соединения.

Это число не должно устанавливаться больше чем 255, поскольку каждая повторная попытка отнимает значительное время.

На каждую попытку отводится примерно 30-40 секунд. Значение по-умолчанию -- 5, что соответствует, примерно, 180 секундам.

/proc/sys/net/ipv4/tcp_synack_retries

Количество попыток передачи SYN,ACK-пакета в ответ на SYN-запрос.

Другими словами -- максимальное число попыток установить пассивное TCP-соединение, инициированное другим хостом.

Это число не должно устанавливаться больше чем 255. Значение по-умолчанию -- 5.

/proc/sys/net/ipv4/tcp_timestamps

Разрешает/запрещает использование временных меток (timestamps), в соответствии с RFC 1323. Если коротко,

то это расширение TCP используется для расчета Round Trip Measurement (определение времени возврата) лучшим способом, нежели метод Retransmission timeout (RTO).

Эта опция должна сохранять обратную совместимость в большинстве случаев, так что лучше оставить ее включенной,

особенно если вы работаете в высокоскоростной сети (например LAN или 10mb Интернет).

В случае низкоскоростного оединения (скажем модемное) -- вы прекрасно обойдетесь и без этой опции, и будет даже лучше, если вы ее отключите.

Значение по-умолчанию -- 1 (включено).

/proc/sys/net/ipv4/tcp_window_scaling

Разрешает/запрещает масштабирование TCP-окна, как определено в RFC 1323.

В этом документе описано как производится масштабирование TCP-окна при передаче по Large Fat Pipes (LFP -- "толстый" канал).

При передаче TCP-пакетов по "толстым" каналам возникают существенные потери пропускной способности из-за того,

что они не загружены полностью во время ожидания подтверждения о приеме предыдущего TCP-окна.

Основная проблема состоит в том, что окно не может иметь размер больше, чем 2**16 байт (65 Кб).

Разрешая масштабирование TCP-окна мы, тем самым, можем увеличить его размер и таким образом уменьшить потери пропускной способности.

Значение по-умолчанию -- 1 (включено).

dev

DEV следует понимать название устройства.
Настройки в каталоге all применяются ко ВСЕМ сетевым интерфейсам

/proc/sys/net/ipv4/conf/DEV/accept_redirects
Управляет приемом ICMP-сообщений о переадресации. 
Сообщения ICMP Redirect ... используются для уведомления маршрутизаторов или хостов о существовании лучшего маршрута движения пакетов к заданному хосту, 
который (маршрут) может быть быстрее или менее загружен.

/proc/sys/net/ipv4/conf/DEV/accept_source_route
Разрешает/запрещает "маршрутизацию от источника". Маршрутизация от источника весьма небезопасна. 
По-умолчанию -- 1 (включено). В archlinux = 0


/proc/sys/net/ipv4/conf/DEV/bootp_relay
Разрешает/запрещает форвардинг пакетов с исходящими адресами 0.b.c.d. 
Демон BOOTP relay должен перенаправлять эти пакеты на корректный адрес. 
Значение по-умолчанию -- 0 (выключено), поскольку реализация обработки этого параметра еще отсутствует (kernel v2.2.12).

/proc/sys/net/ipv4/conf/DEV/forwarding
Включает/отключает функцию форвардинга (передачу транзитных пакетов) между сетевыми интерфейсами. 
Могут использоваться для включения/выключения функции форвардинга для отдельных интерфейсов. 
По-умолчанию все параметры conf/DEV/forwarding принимают значение, установленное в ipv4/ip_forward так, если этот параметр включить, 
то и все параметры conf/DEV/forwarding будут включены, если выключить, то и conf/DEV/forwarding окажутся выключены.


/proc/sys/net/ipv4/conf/DEV/log_martians
Включает/выключает функцию журналирования всех пакетов, которые содержат неправильные (невозможные) адреса (так называемые martians -- "марсианские" пакеты). 
Под невозможными адресами, в данном случае, следует понимать такие адреса, которые отсутствуют в таблице маршрутизации.


/proc/sys/net/ipv4/conf/DEV/mc_forwarding
Включает/выключает поддержку маршрутизации групповых рассылок для заданного интерфейса. 
Кроме того, чтобы иметь поддержку маршрутизации групповых рассылок, необходимо собрать ядро с включенной опцией CONFIG_MROUTE. 
Дополнительно в системе должен иметься демон, осуществляющий групповую маршрутизацию. Значение по-умолчанию -- 0 (выключено). 
Обратите внимание -- нет никакой необходимости включать эту опцию, если вы желаете лишь получать групповые пакеты. 
Она необходима только если вы собираетесь перенаправлять групповой трафик через вашу систему.


/proc/sys/net/ipv4/conf/DEV/proxy_arp
Включает/выключает проксирование arp-запросов для заданного интерфейса. 
ARP-прокси позволяет маршрутизатору отвечать на ARP запросы в одну сеть, в то время как запрашиваемый хост находится в другой сети. 
С помощью этого средства происходит "обман" отправителя, который отправил ARP запрос, после чего он "думает", что маршрутизатор является хостом назначения, 
тогда как в действительности хост назначения находится по другую сторону маршрутизатора. 
Маршрутизатор выступает в роли уполномоченного агента хоста назначения, перекладывая пакеты от другого хоста. Значение по-умолчанию -- 0 (выключено). 
Дополнительную информацию вы найдете в Proxy-ARP mini HOWTO.


/proc/sys/net/ipv4/conf/DEV/rp_filter
Проверка Обратного Адреса, хотя это слишком вольный перевод термина, но мне он кажется наиболее близким по смыслу. прим. перев..
По-умолчанию, маршрутизаторы перенаправляют все подряд, даже пакеты, которые не принадлежат вашей сети. 
В качестве примера можно привести утечку локального трафика в Интернет. 
Если у вас имеется интерфейс с маршрутом к нему 195.96.96.0/24, то вы наверняка не ожидаете получить на него пакеты от 212.64.94.1.
В файловой системе /proc лежит файл, изменив который вы сможете отключить или включить эту проверку. 
Смысл этого параметра достаточно прост -- все, что поступает к нам, проходит проверку на соответствие исходящего адреса с нашей таблицей маршрутизации и такая проверка считается успешной, 
если принятый пакет предполагает передачу ответа через тот же самый интерфейс.
Следующий фрагмент включит проверку исходящего адреса для всех существующих интерфейсов:
# for i in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 2 > $i ; done  


/proc/sys/net/ipv4/conf/DEV/secure_redirects
Включает/выключает режим безопасной переадресации. 
Если параметр выключен, то будут приниматься любые сообщения ICMP Redirect ... от любого хоста из любого места. 
Если включен, то сообщения о переадресации будут восприниматься только от тех шлюзов (gateways), которые имеются в списке шлюзов по-умолчанию. 
С помощью этой опции можно избежать большинства ложных переадресаций, которые могут быть использованы для перехвата трафика. 
Значение по-умолчанию -- 1 (включено). Обратите внимание -- действие этой параметра отменяется параметром shared_media, 
так что, если вы включаете secure_redirects, то необходимо включить и shared_media.


/proc/sys/net/ipv4/conf/DEV/send_redirects
Включает/выключает выдачу ICMP Redirect ... другим хостам. 
Эта опция обязательно должна быть включена, если хост выступает в роли маршрутизатора любого рода. 
Как правило ICMP-сообщения о переадресации отправляются в том случае, когда необходимо сообщить хосту о том, 
что он должен вступить в контакт с другим сервером. Значение по-умолчанию -- 1 (включено). 
Если компьютер не выступает в роли маршрутизатора, то этот параметр можно отключить.


/proc/sys/net/ipv4/conf/DEV/shared_media
Включает/выключает признак того, что физическая сеть является носителем нескольких логических подсетей, например, 
когда на одном физическом кабеле организовано несколько подсетей с различными сетевыми масками. 
Этот признак используется ядром при принятии решения о необходимости выдачи ICMP-сообщений о переадресации. 
Значение по-умолчанию -- 0 (выключено). Этот параметр влияет на установку параметра secure_redirects.

DEV следует понимать название устройства.

Настройки в каталоге all применяются ко ВСЕМ сетевым интерфейсам

/proc/sys/net/ipv4/conf/DEV/accept_redirects

Управляет приемом ICMP-сообщений о переадресации.

Сообщения ICMP Redirect ... используются для уведомления маршрутизаторов или хостов о существовании лучшего маршрута движения пакетов к заданному хосту,

который (маршрут) может быть быстрее или менее загружен.

/proc/sys/net/ipv4/conf/DEV/accept_source_route

Разрешает/запрещает "маршрутизацию от источника". Маршрутизация от источника весьма небезопасна.

По-умолчанию -- 1 (включено). В archlinux = 0

/proc/sys/net/ipv4/conf/DEV/bootp_relay

Разрешает/запрещает форвардинг пакетов с исходящими адресами 0.b.c.d.

Демон BOOTP relay должен перенаправлять эти пакеты на корректный адрес.

Значение по-умолчанию -- 0 (выключено), поскольку реализация обработки этого параметра еще отсутствует (kernel v2.2.12).

/proc/sys/net/ipv4/conf/DEV/forwarding

Включает/отключает функцию форвардинга (передачу транзитных пакетов) между сетевыми интерфейсами.

Могут использоваться для включения/выключения функции форвардинга для отдельных интерфейсов.

По-умолчанию все параметры conf/DEV/forwarding принимают значение, установленное в ipv4/ip_forward так, если этот параметр включить,

то и все параметры conf/DEV/forwarding будут включены, если выключить, то и conf/DEV/forwarding окажутся выключены.

/proc/sys/net/ipv4/conf/DEV/log_martians

Включает/выключает функцию журналирования всех пакетов, которые содержат неправильные (невозможные) адреса (так называемые martians -- "марсианские" пакеты).

Под невозможными адресами, в данном случае, следует понимать такие адреса, которые отсутствуют в таблице маршрутизации.

/proc/sys/net/ipv4/conf/DEV/mc_forwarding

Включает/выключает поддержку маршрутизации групповых рассылок для заданного интерфейса.

Кроме того, чтобы иметь поддержку маршрутизации групповых рассылок, необходимо собрать ядро с включенной опцией CONFIG_MROUTE.

Дополнительно в системе должен иметься демон, осуществляющий групповую маршрутизацию. Значение по-умолчанию -- 0 (выключено).

Обратите внимание -- нет никакой необходимости включать эту опцию, если вы желаете лишь получать групповые пакеты.

Она необходима только если вы собираетесь перенаправлять групповой трафик через вашу систему.

/proc/sys/net/ipv4/conf/DEV/proxy_arp

Включает/выключает проксирование arp-запросов для заданного интерфейса.

ARP-прокси позволяет маршрутизатору отвечать на ARP запросы в одну сеть, в то время как запрашиваемый хост находится в другой сети.

С помощью этого средства происходит "обман" отправителя, который отправил ARP запрос, после чего он "думает", что маршрутизатор является хостом назначения,

тогда как в действительности хост назначения находится по другую сторону маршрутизатора.

Маршрутизатор выступает в роли уполномоченного агента хоста назначения, перекладывая пакеты от другого хоста. Значение по-умолчанию -- 0 (выключено).

Дополнительную информацию вы найдете в Proxy-ARP mini HOWTO.

/proc/sys/net/ipv4/conf/DEV/rp_filter

Проверка Обратного Адреса, хотя это слишком вольный перевод термина, но мне он кажется наиболее близким по смыслу. прим. перев..

По-умолчанию, маршрутизаторы перенаправляют все подряд, даже пакеты, которые не принадлежат вашей сети.

В качестве примера можно привести утечку локального трафика в Интернет.

Если у вас имеется интерфейс с маршрутом к нему 195.96.96.0/24, то вы наверняка не ожидаете получить на него пакеты от 212.64.94.1.

В файловой системе /proc лежит файл, изменив который вы сможете отключить или включить эту проверку.

Смысл этого параметра достаточно прост -- все, что поступает к нам, проходит проверку на соответствие исходящего адреса с нашей таблицей маршрутизации и такая проверка считается успешной,

если принятый пакет предполагает передачу ответа через тот же самый интерфейс.

Следующий фрагмент включит проверку исходящего адреса для всех существующих интерфейсов:

# for i in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 2 > $i ; done

/proc/sys/net/ipv4/conf/DEV/secure_redirects

Включает/выключает режим безопасной переадресации.

Если параметр выключен, то будут приниматься любые сообщения ICMP Redirect ... от любого хоста из любого места.

Если включен, то сообщения о переадресации будут восприниматься только от тех шлюзов (gateways), которые имеются в списке шлюзов по-умолчанию.

С помощью этой опции можно избежать большинства ложных переадресаций, которые могут быть использованы для перехвата трафика.

Значение по-умолчанию -- 1 (включено). Обратите внимание -- действие этой параметра отменяется параметром shared_media,

так что, если вы включаете secure_redirects, то необходимо включить и shared_media.

/proc/sys/net/ipv4/conf/DEV/send_redirects

Включает/выключает выдачу ICMP Redirect ... другим хостам.

Эта опция обязательно должна быть включена, если хост выступает в роли маршрутизатора любого рода.

Как правило ICMP-сообщения о переадресации отправляются в том случае, когда необходимо сообщить хосту о том,

что он должен вступить в контакт с другим сервером. Значение по-умолчанию -- 1 (включено).

Если компьютер не выступает в роли маршрутизатора, то этот параметр можно отключить.

/proc/sys/net/ipv4/conf/DEV/shared_media

Включает/выключает признак того, что физическая сеть является носителем нескольких логических подсетей, например,

когда на одном физическом кабеле организовано несколько подсетей с различными сетевыми масками.

Этот признак используется ядром при принятии решения о необходимости выдачи ICMP-сообщений о переадресации.

Значение по-умолчанию -- 0 (выключено). Этот параметр влияет на установку параметра secure_redirects.

*NIX информация

modbus gw

Автор записи Автор: Evgeny Yakovlev
Дата записи 2023/08/08

## Что у нас есть

/dev/ttyS0 - порт 485 на напи
115200 - скорость
полярность:
a +
b - 

Для GW modbus:

1 . Создать необходимые директории и файлы:
#/etc/mbusd/mbusd-ttyS0.conf
#  Внимание имя конфиг файла должно иметь правильное название
# для  mbusd@ttyS1.service  файл будет иметь название mbusd-ttyS1.conf и etc.
# а иначе если файла не будет, то сервис запустится с параметрами по умолчанию 


mkdir /etc/mbusd
touch /etc/mbusd/mbusd-ttyS0.conf


2. Запуск демона.

systemctl enable mbusd@ttyS0.service
systemctl start mbusd@ttyS0.service
systemctl status mbusd@ttyS0.service

3. Настроить правильно конфиг:
Пример конфига:
https://github.com/3cky/mbusd/blob/master/conf/mbusd.conf.example

Тут нужно поменять :
device = /dev/ttyS3
speed = 115200
maxconn = 100 
timeout = 10 
pause = 50  
wait = 50

## Что у нас есть

/dev/ttyS0 - порт 485 на напи

115200 - скорость

полярность:

a +

b -

Для GW modbus:

1 . Создать необходимые директории и файлы:

#/etc/mbusd/mbusd-ttyS0.conf

# Внимание имя конфиг файла должно иметь правильное название

# для mbusd@ttyS1.service файл будет иметь название mbusd-ttyS1.conf и etc.

# а иначе если файла не будет, то сервис запустится с параметрами по умолчанию

mkdir /etc/mbusd

touch /etc/mbusd/mbusd-ttyS0.conf

2. Запуск демона.

systemctl enable mbusd@ttyS0.service

systemctl start mbusd@ttyS0.service

systemctl status mbusd@ttyS0.service

3. Настроить правильно конфиг:

Пример конфига:

https://github.com/3cky/mbusd/blob/master/conf/mbusd.conf.example

Тут нужно поменять :

device = /dev/ttyS3

speed = 115200

maxconn = 100

timeout = 10

pause = 50

wait = 50

default conf

#############################################
#                                           #
#    Sample configuration file for mbusd    #
#                                           #
#############################################

########## Serial port settings #############

# Serial port device name
device = /dev/ttyS0

# Serial port speed
speed = 9600

# Serial port mode
mode = 8n1

# RS-485 data direction control type (addc, rts, sysfs_0, sysfs_1)
trx_control = addc

# Sysfs file to use to control data direction
# trx_sysfile =

############# TCP port settings #############

# TCP server address to bind
address = 0.0.0.0

# TCP server port number
port = 502

# Maximum number of simultaneous TCP connections
maxconn = 32

# Connection timeout value in seconds
timeout = 60

######### Request/response settings #########

# Maximum number of request retries
retries = 3

# Pause between requests in milliseconds
pause = 100

# Response wait time in milliseconds
wait = 500

# Reply on Broadcast
replyonbroadcast = no

#############################################

# #

# Sample configuration file for mbusd #

# #

#############################################

########## Serial port settings #############

# Serial port device name

device = /dev/ttyS0

# Serial port speed

speed = 9600

# Serial port mode

mode = 8n1

# RS-485 data direction control type (addc, rts, sysfs_0, sysfs_1)

trx_control = addc

# Sysfs file to use to control data direction

# trx_sysfile =

############# TCP port settings #############

# TCP server address to bind

address = 0.0.0.0

# TCP server port number

port = 502

# Maximum number of simultaneous TCP connections

maxconn = 32

# Connection timeout value in seconds

timeout = 60

######### Request/response settings #########

# Maximum number of request retries

retries = 3

# Pause between requests in milliseconds

pause = 100

# Response wait time in milliseconds

wait = 500

# Reply on Broadcast

replyonbroadcast = no

*NIX информация

dnsmasq / DNS / сервер / stubby / DoT

Автор записи Автор: Evgeny Yakovlev
Дата записи 2023/04/17

ссылки:

https://wiki.archlinux.org/title/dnsmasq

1	https://wiki.archlinux.org/title/dnsmasq

dnsmasq

0. Установка:
apt install dnsmasq

конфиги:
touch /etc/dnsmasq.d/dnsmasq.conf
chown root:dnsmasq /etc/dnsmasq.d/dnsmasq.conf
chmod 0644 /etc/dnsmasq.d/dnsmasq.conf


1. Редактируем конфиг:
vim /etc/dnsmasq.d/dnsmasq.conf
-------------------------------
# Указываем интерфейсы для прослушивания.
listen-address=::1
listen-address=127.0.0.1
listen-address=192.168.1.1
bind-interfaces
 
# Запрещаем чтение файла /etc/resolv.conf для получения DNS-серверов
no-resolv
 
# Запрещаем добавление хостов из файла /etc/hosts
no-hosts
 
# Указываем вышестоящие DNS-серверы.
server=::1#5353
server=127.0.0.1#5353
 
# Указываем количество элементов для локального кэша DNS
cache-size=5000
 
# В некоторых случаях, например при работе с авторизованным порталом, может быть полезно преобразовать определенные доменные имена в жестко закодированный набор адресов
address=/example.org/192.168.0.150
address=/zzz/192.168.0.151
address=/example.com/1.2.3.4
# Кроме того, можно вернуть определенный адрес для всех доменных имен, на которые не получен ответ от /etc/hostsили DHCP, с помощью специального подстановочного знака:
address=/#/1.2.3.4
# Чтобы заблокировать домены, т.е. отвечать на запросы к ним с помощью NXDOMAIN, используйте опцию addressбез указания IP-адреса
# блокирует как block.example , так и Anotherblocked.example , а также все их субдомены 
address=/*blocked.example/
# блокирует субдомены, такие как mail.google.com, но не google.com 
address=/*.google.com/
# блокирует google.com и все поддомены, кроме mail.google.com
address=/google.com/
server=/mail.google.com/#
#Примечание:
#Варианты address=/example.com/и server=/example.com/эквивалентны. Оба будут отвечать на запросы для них с помощью NXDOMAIN.
#Варианты address=/example.com/#и server=/example.com/#не эквивалентны.
#  address=/example.com/#будет отвечать на запросы для домена с нулевым адресом (0.0.0.0 или :: для IPv6).
#  server=/example.com/#будет отправлять запросы для домена на стандартно настроенные серверы.
#Шаблоны /example.com/и /.example.com/эквивалентны. Оба будут соответствовать домену example.com и всем его поддоменам.

-------------------------------

0. Установка:

apt install dnsmasq

конфиги:

touch /etc/dnsmasq.d/dnsmasq.conf

chown root:dnsmasq /etc/dnsmasq.d/dnsmasq.conf

chmod 0644 /etc/dnsmasq.d/dnsmasq.conf

1. Редактируем конфиг:

vim /etc/dnsmasq.d/dnsmasq.conf

-------------------------------

# Указываем интерфейсы для прослушивания.

listen-address=::1

listen-address=127.0.0.1

listen-address=192.168.1.1

bind-interfaces

# Запрещаем чтение файла /etc/resolv.conf для получения DNS-серверов

no-resolv

# Запрещаем добавление хостов из файла /etc/hosts

no-hosts

# Указываем вышестоящие DNS-серверы.

server=::1#5353

server=127.0.0.1#5353

# Указываем количество элементов для локального кэша DNS

cache-size=5000

# В некоторых случаях, например при работе с авторизованным порталом, может быть полезно преобразовать определенные доменные имена в жестко закодированный набор адресов

address=/example.org/192.168.0.150

address=/zzz/192.168.0.151

address=/example.com/1.2.3.4

# Кроме того, можно вернуть определенный адрес для всех доменных имен, на которые не получен ответ от /etc/hostsили DHCP, с помощью специального подстановочного знака:

address=/#/1.2.3.4

# Чтобы заблокировать домены, т.е. отвечать на запросы к ним с помощью NXDOMAIN, используйте опцию addressбез указания IP-адреса

# блокирует как block.example , так и Anotherblocked.example , а также все их субдомены

address=/*blocked.example/

# блокирует субдомены, такие как mail.google.com, но не google.com

address=/*.google.com/

# блокирует google.com и все поддомены, кроме mail.google.com

address=/google.com/

server=/mail.google.com/#

#Примечание:

#Варианты address=/example.com/и server=/example.com/эквивалентны. Оба будут отвечать на запросы для них с помощью NXDOMAIN.

#Варианты address=/example.com/#и server=/example.com/#не эквивалентны.

# address=/example.com/#будет отвечать на запросы для домена с нулевым адресом (0.0.0.0 или :: для IPv6).

# server=/example.com/#будет отправлять запросы для домена на стандартно настроенные серверы.

#Шаблоны /example.com/и /.example.com/эквивалентны. Оба будут соответствовать домену example.com и всем его поддоменам.

-------------------------------

stubby

0. Установка:
apt install stubby 

1. Правим конфиг::
vim /etc/stubby.yml 
-------------------
# Активируем режим STUB-резолвера.
resolution_type: GETDNS_RESOLUTION_STUB
 
# Активируем транспорт TLS.
dns_transport_list:
  - GETDNS_TRANSPORT_TLS
 
# Требуем обязательного использования TLS.
tls_authentication: GETDNS_AUTHENTICATION_REQUIRED
 
# Задаём стойкость шифра (128 или 256 бит).
tls_query_padding_blocksize: 128
 
# Активируем rfc7871.
edns_client_subnet_private : 1
 
# Разрешаем переключение на другой DNS-сервер в случае недоступности текущего.
round_robin_upstreams: 1
 
# Задаём таймаут keepalive в миллисекундах.
idle_timeout: 9000
 
# Указываем лимит исходящих DNS-запросов на вышестоящий сервер.
limit_outstanding_queries: 100
 
# Задаём таймаут ожидания ответа от сервера в миллисекундах.
timeout: 1000
 
# Указываем используемые шифры для TLS 1.2 и ниже.
tls_cipher_list: "EECDH+AESGCM:EECDH+CHACHA20"
 
# Указываем используемые шифры для TLS 1.3 и выше.
tls_ciphersuites: "TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256"
 
# Устанавливаем минимальную версию TLS.
tls_min_version: GETDNS_TLS1_2
 
# Устанавливаем максимальную версию TLS.
tls_max_version: GETDNS_TLS1_3
 
# Настраиваем stubby на прослушивание loopback-интерфейса и порта 5353.
listen_addresses:
  - 127.0.0.1@5353
  - 0::1@5353
 
# Указываем используемые серверы DNS.
upstream_recursive_servers:
  - address_data: 9.9.9.9
    tls_auth_name: "dns.quad9.net"
  - address_data: 1.1.1.1
    tls_auth_name: "cloudflare-dns.com"
  - address_data: 2620:fe::fe
    tls_auth_name: "dns.quad9.net"
  - address_data: 2606:4700:4700::1111
    tls_auth_name: "cloudflare-dns.com"
-------------------

0. Установка:

apt install stubby

1. Правим конфиг::

vim /etc/stubby.yml

-------------------

# Активируем режим STUB-резолвера.

resolution_type: GETDNS_RESOLUTION_STUB

# Активируем транспорт TLS.

dns_transport_list:

- GETDNS_TRANSPORT_TLS

# Требуем обязательного использования TLS.

tls_authentication: GETDNS_AUTHENTICATION_REQUIRED

# Задаём стойкость шифра (128 или 256 бит).

tls_query_padding_blocksize: 128

# Активируем rfc7871.

edns_client_subnet_private : 1

# Разрешаем переключение на другой DNS-сервер в случае недоступности текущего.

round_robin_upstreams: 1

# Задаём таймаут keepalive в миллисекундах.

idle_timeout: 9000

# Указываем лимит исходящих DNS-запросов на вышестоящий сервер.

limit_outstanding_queries: 100

# Задаём таймаут ожидания ответа от сервера в миллисекундах.

timeout: 1000

# Указываем используемые шифры для TLS 1.2 и ниже.

tls_cipher_list: "EECDH+AESGCM:EECDH+CHACHA20"

# Указываем используемые шифры для TLS 1.3 и выше.

tls_ciphersuites: "TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256"

# Устанавливаем минимальную версию TLS.

tls_min_version: GETDNS_TLS1_2

# Устанавливаем максимальную версию TLS.

tls_max_version: GETDNS_TLS1_3

# Настраиваем stubby на прослушивание loopback-интерфейса и порта 5353.

listen_addresses:

- 127.0.0.1@5353

- 0::1@5353

# Указываем используемые серверы DNS.

upstream_recursive_servers:

- address_data: 9.9.9.9

tls_auth_name: "dns.quad9.net"

- address_data: 1.1.1.1

tls_auth_name: "cloudflare-dns.com"

- address_data: 2620:fe::fe

tls_auth_name: "dns.quad9.net"

- address_data: 2606:4700:4700::1111

tls_auth_name: "cloudflare-dns.com"

-------------------

Изменение резолвера по умолчанию:

0. Для того, чтобы dnsmasq смог занять стандартный порт 53/udp, мы должны отключить и заблокировать запуск сервиса systemd-resolved
systemctl disable --now systemd-resolved.service
systemctl mask systemd-resolved.service

1. Пересоздать файл "/etc/resolv.conf":
rm -f /etc/resolv.conf
touch /etc/resolv.conf
chown root:root /etc/resolv.conf
chmod 0644 /etc/resolv.conf


2. Редактируем файл resolv
vim /etc/resolv.conf
--------------------
nameserver 127.0.0.1
nameserver ::1
options trust-ad
options ndots:1
-------------------

0. Для того, чтобы dnsmasq смог занять стандартный порт 53/udp, мы должны отключить и заблокировать запуск сервиса systemd-resolved

systemctl disable --now systemd-resolved.service

systemctl mask systemd-resolved.service

1. Пересоздать файл "/etc/resolv.conf":

rm -f /etc/resolv.conf

touch /etc/resolv.conf

chown root:root /etc/resolv.conf

chmod 0644 /etc/resolv.conf

2. Редактируем файл resolv

vim /etc/resolv.conf

--------------------

nameserver 127.0.0.1

nameserver ::1

options trust-ad

options ndots:1

-------------------

Проверка, автозапуск stubby и dnsmasq

0. Активируем systemd-юниты:
systemctl enable --now dnsmasq.service
systemctl enable --now stubby.service

1. Перезапустим их для корректного вступления в силу изменений конфигурации:
sudo systemctl restart dnsmasq.service
sudo systemctl restart stubby.service

2. Проверим работу настроенной связки:
dig @127.0.0.1 easycoding.org

0. Активируем systemd-юниты:

systemctl enable --now dnsmasq.service

systemctl enable --now stubby.service

1. Перезапустим их для корректного вступления в силу изменений конфигурации:

sudo systemctl restart dnsmasq.service

sudo systemctl restart stubby.service

2. Проверим работу настроенной связки:

dig @127.0.0.1 easycoding.org

Еще примеры:

# otebatina
#listen-address=10.0.0.1
#interface=ovsbr0
#dhcp-range=10.0.0.2,10.0.0.254,255.255.255.0,12h

dhcp-range=interface:ovsbr0,10.0.0.2,10.0.0.254,24h
dhcp-range=interface:ovsbr1,10.0.1.2,10.0.1.254,24h

# otebatina

#listen-address=10.0.0.1

#interface=ovsbr0

#dhcp-range=10.0.0.2,10.0.0.254,255.255.255.0,12h

dhcp-range=interface:ovsbr0,10.0.0.2,10.0.0.254,24h

dhcp-range=interface:ovsbr1,10.0.1.2,10.0.1.254,24h

Одноразовый запуск из консоли, примеры:

dnsmasq -i enp0s20f0u2 --dhcp-range=192.168.88.64,192.168.88.128 --dhcp-boot=openwrt-22.03.0-rc1-ipq40xx-mikrotik-mikrotik_lhgg-60ad-initramfs-kernel.bin --enable-tftp --tftp-root=/srv/tftp/ -d -u nobody -p0 -K --log-dhcp --bootp-dynamic --dhcp-host=DC:2C:6E:68:AF:B9
 

dnsmasq -i enp0s20f0u1u1 --dhcp-range=10.50.50.200,10.50.50.240 -d -u nobody -p0 -K --log-dhcp --bootp-dynamic

dnsmasq -i enp0s20f0u2 --dhcp-range=192.168.88.64,192.168.88.128 --dhcp-boot=openwrt-22.03.0-rc1-ipq40xx-mikrotik-mikrotik_lhgg-60ad-initramfs-kernel.bin --enable-tftp --tftp-root=/srv/tftp/ -d -u nobody -p0 -K --log-dhcp --bootp-dynamic --dhcp-host=DC:2C:6E:68:AF:B9

dnsmasq -i enp0s20f0u1u1 --dhcp-range=10.50.50.200,10.50.50.240 -d -u nobody -p0 -K --log-dhcp --bootp-dynamic

*NIX информация

debian / proxy for user / proxy for apt / wget / curl / прокси для пользователя

Автор записи Автор: Evgeny Yakovlev
Дата записи 2023/04/17

в браузере:

в Debian: Настройки> Сеть> Сетевой прокси > Вручную
в Ubuntu: Настройки> Сеть> Сетевой прокси> самостоятельно

1 2	в Debian: Настройки> Сеть> Сетевой прокси > Вручную в Ubuntu: Настройки> Сеть> Сетевой прокси> самостоятельно

для системы:

!!! profie.d - все скрипты помещенные в этот каталог выполняются при входе пользователя в систему

vim /etc/profile.d/proxy.sh 
-----------------------
# 
export http_proxy="http://10.0.0.10:8080/"
export https_proxy="http://10.0.0.10:8080/"
export ftp_proxy="http://10.0.0.10:8080/"
export no_proxy="127.0.0.1,localhost"

# For curl
export HTTP_PROXY="http://10.0.0.10:8080/"
export HTTPS_PROXY="http://10.0.0.10:8080/"
export FTP_PROXY="http://10.0.0.10:8080/"
export NO_PROXY="127.0.0.1,localhost"

-----------------------

source /etc/profile.d/proxy.sh - получить переменные из файла
env | grep -i proxy - так мы можем убедится что переменные получены

!!! profie.d - все скрипты помещенные в этот каталог выполняются при входе пользователя в систему

vim /etc/profile.d/proxy.sh

-----------------------

export http_proxy="http://10.0.0.10:8080/"

export https_proxy="http://10.0.0.10:8080/"

export ftp_proxy="http://10.0.0.10:8080/"

export no_proxy="127.0.0.1,localhost"

# For curl

export HTTP_PROXY="http://10.0.0.10:8080/"

export HTTPS_PROXY="http://10.0.0.10:8080/"

export FTP_PROXY="http://10.0.0.10:8080/"

export NO_PROXY="127.0.0.1,localhost"

-----------------------

source /etc/profile.d/proxy.sh - получить переменные из файла

env | grep -i proxy - так мы можем убедится что переменные получены

Прокси для менеджера пакетов APT:

Без аутентификации:
vim /etc/apt/apt.conf.d/80proxy 
-------------------------------
Acquire::http::proxy "http://10.0.0.10:8080/";
Acquire::https::proxy "https://10.0.0.10:8080/";
Acquire::ftp::proxy "ftp://10.0.0.10:8080/";
-------------------------------

Если требуется аутентификация:
vim /etc/apt/apt.conf.d/80proxy 
-------------------------------
Acquire::http::proxy "http://<username>:<password>@<proxy>:<port>/";
Acquire::https::proxy "https://<username>:<password>@<proxy>:<port>/";
Acquire::ftp::proxy "ftp://<username>:<password>@<proxy>:<port>/";
-------------------------------

Без аутентификации:

vim /etc/apt/apt.conf.d/80proxy

-------------------------------

Acquire::http::proxy "http://10.0.0.10:8080/";

Acquire::https::proxy "https://10.0.0.10:8080/";

Acquire::ftp::proxy "ftp://10.0.0.10:8080/";

-------------------------------

Если требуется аутентификация:

vim /etc/apt/apt.conf.d/80proxy

-------------------------------

Acquire::http::proxy "http://<username>:<password>@<proxy>:<port>/";

Acquire::https::proxy "https://<username>:<password>@<proxy>:<port>/";

Acquire::ftp::proxy "ftp://<username>:<password>@<proxy>:<port>/";

-------------------------------

Прокси только для wget:

Редактируем файл в профиле пользователя:
vim ~/.wgetrc   
-------------                        
use_proxy = on
http_proxy = http://10.0.0.10:8080/ 
https_proxy = http://10.0.0.10:8080/ 
ftp_proxy = http://10.0.0.10:8080/ 
-------------

Редактируем файл в профиле пользователя:

vim ~/.wgetrc

-------------

use_proxy = on

http_proxy = http://10.0.0.10:8080/

https_proxy = http://10.0.0.10:8080/

ftp_proxy = http://10.0.0.10:8080/

-------------

*NIX информация

debian 11 / dpdk / Data Plane Development Kit

Автор записи Автор: Evgeny Yakovlev
Дата записи 2023/04/17

Ссылки:

https://git.dpdk.org/dpdk/commit/?h=releases
https://habr.com/ru/company/intel/blog/302126/
https://habr.com/ru/post/267591/

https://git.dpdk.org/dpdk/commit/?h=releases

https://habr.com/ru/company/intel/blog/302126/

https://habr.com/ru/post/267591/

/etc/apt/sources.list

deb http://deb.debian.org/debian bullseye main contrib non-free
deb-src http://deb.debian.org/debian bullseye main contrib non-free
 
deb http://deb.debian.org/debian-security/ bullseye-security main contrib non-free
deb-src http://deb.debian.org/debian-security/ bullseye-security main contrib non-free
 
deb http://deb.debian.org/debian bullseye-updates main contrib non-free
deb-src http://deb.debian.org/debian bullseye-updates main contrib non-free
 
deb http://deb.debian.org/debian bullseye-backports main contrib non-free
deb-src http://deb.debian.org/debian bullseye-backports main contrib non-free

deb http://deb.debian.org/debian bullseye main contrib non-free

deb-src http://deb.debian.org/debian bullseye main contrib non-free

deb http://deb.debian.org/debian-security/ bullseye-security main contrib non-free

deb-src http://deb.debian.org/debian-security/ bullseye-security main contrib non-free

deb http://deb.debian.org/debian bullseye-updates main contrib non-free

deb-src http://deb.debian.org/debian bullseye-updates main contrib non-free

deb http://deb.debian.org/debian bullseye-backports main contrib non-free

deb-src http://deb.debian.org/debian bullseye-backports main contrib non-free

Ставим пакеты:

apt install lshw vim wget git make gcc linux-libc-dev linux-headers-amd64 pkg-config libncurses-dev flex bison  libssl-dev libelf-dev dwarves rsync bc fakeroot build-essential  xz-utils  libncurses5-dev 
apt install python python3-distutils python3-apt

1 2	apt install lshw vim wget git make gcc linux-libc-dev linux-headers-amd64 pkg-config libncurses-dev flex bison libssl-dev libelf-dev dwarves rsync bc fakeroot build-essential xz-utils libncurses5-dev apt install python python3-distutils python3-apt

Настроим python:

apt install python python3-distutils python3-apt python3-pyelftools
update-alternatives --install /usr/bin/python python /usr/bin/python3.9 1

1 2	apt install python python3-distutils python3-apt python3-pyelftools update-alternatives --install /usr/bin/python python /usr/bin/python3.9 1

Скачаем исходники dpdk:

cd /opt
wget https://git.dpdk.org/dpdk/snapshot/dpdk-releases.tar.gz
tar xvf dpdk-releases.tar.gz

cd /opt

wget https://git.dpdk.org/dpdk/snapshot/dpdk-releases.tar.gz

tar xvf dpdk-releases.tar.gz

Tools dpdk

cd /opt/dpdk-releases/usertools
./cpu_layout.py - проверяем что там у нас по CPU
##./dpdk_nic_bind.py --status - проверяем информацию по сетевым устройствам (в новых версиях это "dpdk-devbind.py")
./dpdk-devbind.py --status - проверяем информацию по сетевым устройствам
#./setup.sh - файл помогающий настроить dpdk под вашу систему (в новых версиях делается в скриптах в каталоге ".cli")

cd /opt/dpdk-releases/.ci
./linux-setup.sh  - скрипт позволит настроить вашу систему для работы с dpdk

cd /opt/dpdk-releases/usertools

./cpu_layout.py - проверяем что там у нас по CPU

##./dpdk_nic_bind.py --status - проверяем информацию по сетевым устройствам (в новых версиях это "dpdk-devbind.py")

./dpdk-devbind.py --status - проверяем информацию по сетевым устройствам

#./setup.sh - файл помогающий настроить dpdk под вашу систему (в новых версиях делается в скриптах в каталоге ".cli")

cd /opt/dpdk-releases/.ci

./linux-setup.sh - скрипт позволит настроить вашу систему для работы с dpdk

*NIX информация

error: symbol ‘grub_file_filters’ not found / debian / ubuntu

Автор записи Автор: Evgeny Yakovlev
Дата записи 2023/02/27

После обновления и перезагрузки системы получил ошибку:

error: symbol 'grub_file_filters' not found. 
Entering rescue mode... 
grub rescue>

error: symbol 'grub_file_filters' not found.

Entering rescue mode...

grub rescue>

Решение:

0. Качаем iso и загружаемся с диска в установленную систему:
https://www.supergrubdisk.org/

1. Загрузившись, выполняем инсталляцию grub
grub-install /dev/vdX

0. Качаем iso и загружаемся с диска в установленную систему:

https://www.supergrubdisk.org/

1. Загрузившись, выполняем инсталляцию grub

grub-install /dev/vdX

Ссылки:

https://askubuntu.com/questions/1183951/grub-file-filters-not-found-after-ubuntu-19-10-upgrade

1	https://askubuntu.com/questions/1183951/grub-file-filters-not-found-after-ubuntu-19-10-upgrade

*NIX информация

rockchip / ROCK Pi S

Автор записи Автор: Evgeny Yakovlev
Дата записи 2022/10/31

Ссылки

https://wiki.radxa.com/RockpiS/dev/sdnand-install
https://wiki.radxa.com/RockpiS
https://opensource.rock-chips.com/wiki_Rkdeveloptool
https://github.com/rockchip-linux/rkbin

https://wiki.radxa.com/RockpiS/dev/sdnand-install

https://wiki.radxa.com/RockpiS

https://opensource.rock-chips.com/wiki_Rkdeveloptool

https://github.com/rockchip-linux/rkbin

*NIX информация

noc / noc tower

Автор записи Автор: Evgeny Yakovlev
Дата записи 2022/03/22

Ссылки:

https://kb.nocproject.org/
https://kb.nocproject.org/pages/viewpage.action?pageId=13926529
https://kb.nocproject.org/pages/viewpage.action?pageId=26772210
https://kb.nocproject.org/pages/viewpage.action?pageId=38600718

https://www.youtube.com/channel/UC7r2LYJXJUurOIY40cRPcjQ

https://github.com/nocproject/noc-docker

https://code.getnoc.com/noc/tower
https://docs.getnoc.com
https://getnoc.com/

https://pro-ldap.ru/tr/zytrax/ch2/

https://kb.nocproject.org/

https://kb.nocproject.org/pages/viewpage.action?pageId=13926529

https://kb.nocproject.org/pages/viewpage.action?pageId=26772210

https://kb.nocproject.org/pages/viewpage.action?pageId=38600718

https://www.youtube.com/channel/UC7r2LYJXJUurOIY40cRPcjQ

https://github.com/nocproject/noc-docker

https://code.getnoc.com/noc/tower

https://docs.getnoc.com

https://getnoc.com/

https://pro-ldap.ru/tr/zytrax/ch2/

tools

Переходим в каталог установленного noc
cd /opt/noc

Получение настроек NOC:
./noc config dump

Проверка ldap:
./noc login --debug --backend=ldap --user=<user>
./noc login --debug --user=<test>

Переходим в каталог установленного noc

cd /opt/noc

Получение настроек NOC:

./noc config dump

Проверка ldap:

./noc login --debug --backend=ldap --user=<user>

./noc login --debug --user=<test>

*NIX информация

KDE Wallet System disabled / отключить wallet

Автор записи Автор: Evgeny Yakovlev
Дата записи 2021/08/12

vim .config/kwalletrc
-------------------
[Wallet]
Enabled=false
-------------------

vim .config/kwalletrc

-------------------

[Wallet]

Enabled=false

-------------------

*NIX информация

network-manager / nmcli

Автор записи Автор: Evgeny Yakovlev
Дата записи 2021/08/12

nmcli - network manager client
nmcli connection show - показать доступные соединения
nmcli connection  up [vpnName] - подключение к VPN из командной строки
nmcli connection down [vpnName] - отключение от VPN из командной строки

Пример:
nmcli connection up vpn.site.ru
nmcli connection dowm vpn.site.ru

nmcli - network manager client

nmcli connection show - показать доступные соединения

nmcli connection up [vpnName] - подключение к VPN из командной строки

nmcli connection down [vpnName] - отключение от VPN из командной строки

Пример:

nmcli connection up vpn.site.ru

nmcli connection dowm vpn.site.ru

*NIX информация

vyos

Автор записи Автор: Evgeny Yakovlev
Дата записи 2021/07/30

Сcылки:

https://support.vyos.io/en -помощь
https://support.vyos.io/en/kb - помощь

https://blackdiver.net/it/linux/4419 - статья на русском с примерами

https://support.vyos.io/en/kb/articles/set-change-the-password-of-a-user - изменить пароль \ создать пользователя

https://support.vyos.io/en/kb/articles/ethernet-interfaces - помощь по настройке сети 

https://docs.vyos.io/en/latest/configuration/service/index.html - доступные сервисы
https://docs.vyos.io/en/latest/configuration/service/ssh.html - ssh

https://docs.vyos.io/en/latest/installation/update.html - обновление

https://support.vyos.io/en/kb/articles/dns-forwarding - DNS


https://downloads.vyos.io/rolling/current/amd64/vyos-rolling-latest.iso - последний образ
https://downloads.vyos.io/?dir=rolling/current/amd64 - образы
https://github.com/vyos/vyos-build

https://support.vyos.io/en/kb/articles/static-ipv4-routing - Роутинг

проблемы с raid1:
https://blackbird.si/installing-vyatta-6-6-r1-with-software-raid-1/
https://forum.vyos.io/t/installing-on-a-software-raid/3523

https://support.vyos.io/en -помощь

https://support.vyos.io/en/kb - помощь

https://blackdiver.net/it/linux/4419 - статья на русском с примерами

https://support.vyos.io/en/kb/articles/set-change-the-password-of-a-user - изменить пароль \ создать пользователя

https://support.vyos.io/en/kb/articles/ethernet-interfaces - помощь по настройке сети

https://docs.vyos.io/en/latest/configuration/service/index.html - доступные сервисы

https://docs.vyos.io/en/latest/configuration/service/ssh.html - ssh

https://docs.vyos.io/en/latest/installation/update.html - обновление

https://support.vyos.io/en/kb/articles/dns-forwarding - DNS

https://downloads.vyos.io/rolling/current/amd64/vyos-rolling-latest.iso - последний образ

https://downloads.vyos.io/?dir=rolling/current/amd64 - образы

https://github.com/vyos/vyos-build

https://support.vyos.io/en/kb/articles/static-ipv4-routing - Роутинг

проблемы с raid1:

https://blackbird.si/installing-vyatta-6-6-r1-with-software-raid-1/

https://forum.vyos.io/t/installing-on-a-software-raid/3523

Установка:

0. Скачиваем образ:
https://downloads.vyos.io/rolling/current/amd64/vyos-rolling-latest.iso

1. Загружаемся с образа

2. Пароли и логин по умолчанию
Логин: vyos
Пароль: vyos

3. Производим установку
install image

0. Скачиваем образ:

https://downloads.vyos.io/rolling/current/amd64/vyos-rolling-latest.iso

1. Загружаемся с образа

2. Пароли и логин по умолчанию

Логин: vyos

Пароль: vyos

3. Производим установку

install image

О конфигурировании:

0. зашли в консоль
1. Включили режим конфигурирования
configure
2. Выполнили нудные команды
команды
3. Применили изменения 
commit
4. Сохранили изменения
save
5. Вышли 
exit

0. зашли в консоль

1. Включили режим конфигурирования

configure

2. Выполнили нудные команды

команды

3. Применили изменения

commit

4. Сохранили изменения

save

5. Вышли

exit

Создать пользователя \ Изменить пароль пользователю

1. Включили режим конфигурирования
configure

2. Создали \ изменили пароль пользователю

set system login user [username] authentication plaintext-password [password]

3. Сохранили изменения
commit
save

1. Включили режим конфигурирования

configure

2. Создали \ изменили пароль пользователю

set system login user [username] authentication plaintext-password [password]

3. Сохранили изменения

commit

save

Включить SSH

1. Включили режим конфигурирования
configure

2. Включить ssh
set service ssh port 22

3. Сохранили изменения
commit
save

1. Включили режим конфигурирования

configure

2. Включить ssh

set service ssh port 22

3. Сохранили изменения

commit

save

Настройка сетевого адаптера \ Установка IP v4 адреса

1. Включили режим конфигурирования
configure

2. Настроить интерфейсы:
Задаем ip:
set interfaces ethernet eth1 address '192.168.0.1/24' 
Называем наш интерфейс, не обязательно
set interfaces ethernet eth1 description 'INSIDE'
Задаем скорость:
set interfaces ethernet eth1 duplex 'auto'
set interfaces ethernet eth1 speed 'auto'

3. Сохранили изменения и выходим из конфига
commit
save
exit

4. Проверяем
show interfaces ethernet eth1 physical

1. Включили режим конфигурирования

configure

2. Настроить интерфейсы:

Задаем ip:

set interfaces ethernet eth1 address '192.168.0.1/24'

Называем наш интерфейс, не обязательно

set interfaces ethernet eth1 description 'INSIDE'

Задаем скорость:

set interfaces ethernet eth1 duplex 'auto'

set interfaces ethernet eth1 speed 'auto'

3. Сохранили изменения и выходим из конфига

commit

save

exit

4. Проверяем

show interfaces ethernet eth1 physical

настройка DNS:

set service dns forwarding system
set service dns forwarding name-server 8.8.8.8
set service dns forwarding name-server 8.8.4.4

set service dns forwarding system

set service dns forwarding name-server 8.8.8.8

set service dns forwarding name-server 8.8.4.4

Routing

Маршрут по умолчанию:
set protocols static route 0.0.0.0/0 next-hop 1.1.1.1 distance 1

Блокировка сетей:
set protocols static route 10.0.0.0/8 blackhole distance '254'
set protocols static route 172.16.0.0/12 blackhole distance '254'
set protocols static route 192.168.0.0/16 blackhole distance '254'

Маршрут по умолчанию:

set protocols static route 0.0.0.0/0 next-hop 1.1.1.1 distance 1

Блокировка сетей:

set protocols static route 10.0.0.0/8 blackhole distance '254'

set protocols static route 172.16.0.0/12 blackhole distance '254'

set protocols static route 192.168.0.0/16 blackhole distance '254'

*NIX информация

logrotate.service degraded

Автор записи Автор: Evgeny Yakovlev
Дата записи 2021/07/07

Проблема:

Падает демон logrotate

В логах
cd /var/log
grep -irns logrotate.service -C4
--------------------------------
daemon.log-13157-Jul  5 00:00:10 HOSTNAME systemd[1]: Reloaded The Apache HTTP Server.
daemon.log-13158-Jul  5 00:00:10 HOSTNAME logrotate[13606]: #007mysqladmin: connect to server at 'localhost' failed
daemon.log-13159-Jul  5 00:00:10 HOSTNAME logrotate[13606]: error: 'Access denied for user 'root'@'localhost' (using password: NO)'
daemon.log-13160-Jul  5 00:00:10 HOSTNAME logrotate[13606]: error: error running shared postrotate script for '/var/log/mysql/mysql.log /var/log/mysql/mysql-slow.log /var/log/mysql/mariadb-slow.log /var/log/mysql/error.log '
daemon.log:13161:Jul  5 00:00:10 HOSTNAME systemd[1]: logrotate.service: Main process exited, code=exited, status=1/FAILURE
daemon.log:13162:Jul  5 00:00:10 HOSTNAME systemd[1]: logrotate.service: Failed with result 'exit-code'.
daemon.log-13163-Jul  5 00:00:10 HOSTNAME systemd[1]: Failed to start Rotate log files.
daemon.log-13164-Jul  5 00:00:12 HOSTNAME systemd[1]: Stopping User Manager for UID 1015...
daemon.log-13165-Jul  5 00:00:12 HOSTNAME systemd[13615]: Stopped target Default.
daemon.log-13166-Jul  5 00:00:12 HOSTNAME systemd[13615]: Stopped target Basic System.
--------------------------------

в файле /etc/mysql/debian.cnf нет юзера debian-sys-maint и пароль пуст
cat /etc# cat /etc/mysql/debian.cnf
--------------------------------
# Automatically generated for Debian scripts. DO NOT TOUCH!
[client]
host     = localhost
user     = root
password = 
socket   = /var/run/mysqld/mysqld.sock
[mysql_upgrade]
host     = localhost
user     = root
password = 
socket   = /var/run/mysqld/mysqld.sock
basedir  = /usr
--------------------------------

Падает демон logrotate

В логах

cd /var/log

grep -irns logrotate.service -C4

--------------------------------

daemon.log-13157-Jul 5 00:00:10 HOSTNAME systemd[1]: Reloaded The Apache HTTP Server.

daemon.log-13158-Jul 5 00:00:10 HOSTNAME logrotate[13606]: #007mysqladmin: connect to server at 'localhost' failed

daemon.log-13159-Jul 5 00:00:10 HOSTNAME logrotate[13606]: error: 'Access denied for user 'root'@'localhost' (using password: NO)'

daemon.log-13160-Jul 5 00:00:10 HOSTNAME logrotate[13606]: error: error running shared postrotate script for '/var/log/mysql/mysql.log /var/log/mysql/mysql-slow.log /var/log/mysql/mariadb-slow.log /var/log/mysql/error.log '

daemon.log:13161:Jul 5 00:00:10 HOSTNAME systemd[1]: logrotate.service: Main process exited, code=exited, status=1/FAILURE

daemon.log:13162:Jul 5 00:00:10 HOSTNAME systemd[1]: logrotate.service: Failed with result 'exit-code'.

daemon.log-13163-Jul 5 00:00:10 HOSTNAME systemd[1]: Failed to start Rotate log files.

daemon.log-13164-Jul 5 00:00:12 HOSTNAME systemd[1]: Stopping User Manager for UID 1015...

daemon.log-13165-Jul 5 00:00:12 HOSTNAME systemd[13615]: Stopped target Default.

daemon.log-13166-Jul 5 00:00:12 HOSTNAME systemd[13615]: Stopped target Basic System.

--------------------------------

в файле /etc/mysql/debian.cnf нет юзера debian-sys-maint и пароль пуст

cat /etc# cat /etc/mysql/debian.cnf

--------------------------------

# Automatically generated for Debian scripts. DO NOT TOUCH!

[client]

host = localhost

user = root

password =

socket = /var/run/mysqld/mysqld.sock

[mysql_upgrade]

host = localhost

user = root

password =

socket = /var/run/mysqld/mysqld.sock

basedir = /usr

--------------------------------

Решение:

https://qastack.ru/server/9948/what-is-the-debian-sys-maint-mysql-user-and-more


задать пароль пользователю debian-sys-maint:
!!! ВАШ_НОВЫЙ_ПАРОЛЬ_ДЛЯ_ЮЗЕРА_debian-sys-maint - придумываем
GRANT ALL PRIVILEGES on *.* TO 'debian-sys-maint'@'localhost' IDENTIFIED BY 'ВАШ_НОВЫЙ_ПАРОЛЬ_ДЛЯ_ЮЗЕРА' WITH GRANT OPTION; FLUSH PRIVILEGES;
прописать логин и пароль debian-sys-maint  в файл:
vim /etc# cat /etc/mysql/debian.cnf
--------------------------------
# Automatically generated for Debian scripts. DO NOT TOUCH!
[client]
host     = localhost
user     = debian-sys-maint
password = ВАШ_НОВЫЙ_ПАРОЛЬ_ДЛЯ_ЮЗЕРА_debian-sys-maint
socket   = /var/run/mysqld/mysqld.sock
[mysql_upgrade]
host     = localhost
user     = debian-sys-maint
password = ВАШ_НОВЫЙ_ПАРОЛЬ_ДЛЯ_ЮЗЕРА_debian-sys-maint
socket   = /var/run/mysqld/mysqld.sock
basedir  = /usr
--------------------------------

Проверяем:
logrotate -v -f /etc/logrotate.d/mysql-server

https://qastack.ru/server/9948/what-is-the-debian-sys-maint-mysql-user-and-more

задать пароль пользователю debian-sys-maint:

!!! ВАШ_НОВЫЙ_ПАРОЛЬ_ДЛЯ_ЮЗЕРА_debian-sys-maint - придумываем

GRANT ALL PRIVILEGES on *.* TO 'debian-sys-maint'@'localhost' IDENTIFIED BY 'ВАШ_НОВЫЙ_ПАРОЛЬ_ДЛЯ_ЮЗЕРА' WITH GRANT OPTION; FLUSH PRIVILEGES;

прописать логин и пароль debian-sys-maint в файл:

vim /etc# cat /etc/mysql/debian.cnf

--------------------------------

# Automatically generated for Debian scripts. DO NOT TOUCH!

[client]

host = localhost

user = debian-sys-maint

password = ВАШ_НОВЫЙ_ПАРОЛЬ_ДЛЯ_ЮЗЕРА_debian-sys-maint

socket = /var/run/mysqld/mysqld.sock

[mysql_upgrade]

host = localhost

user = debian-sys-maint

password = ВАШ_НОВЫЙ_ПАРОЛЬ_ДЛЯ_ЮЗЕРА_debian-sys-maint

socket = /var/run/mysqld/mysqld.sock

basedir = /usr

--------------------------------

Проверяем:

logrotate -v -f /etc/logrotate.d/mysql-server

*NIX информация

Копирование ярлыков на Рабочий стол и боковую панель

Автор записи Автор: Evgeny Yakovlev
Дата записи 2021/07/02

!!! ссылка https://tehnichka.pro/how-to-work-with-linux-shortcuts/

cp /usr/share/applications/*  Домашняя_папка_пользователя/.local/share/applications/

!!! ссылка https://tehnichka.pro/how-to-work-with-linux-shortcuts/

cp /usr/share/applications/* Домашняя_папка_пользователя/.local/share/applications/

*NIX информация

Debian \ Centos \ Отключить сон \ гибернацию \ hibernate \ sleep \ systemd

Автор записи Автор: Evgeny Yakovlev
Дата записи 2021/01/10

Отключить энергосберегающие функции (сон, гибернация, гибридный сон и т.п.):

sudo systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target

1	sudo systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target

Включить обратно энергосберегающие функции (сон, гибернация, гибридный сон и т.п.):

sudo systemctl unmask sleep.target suspend.target hibernate.target hybrid-sleep.target

1	sudo systemctl unmask sleep.target suspend.target hibernate.target hybrid-sleep.target

Реакция на закрытие крышки у ноутбука:

vim /etc/systemd/logind.conf
----------------------------
[Login]
HandleLidSwitch=ignore
HandleLidSwitchDocked=ignore
----------------------------

Для применения параметров сделаем
sudo systemctl restart systemd-logind.service

vim /etc/systemd/logind.conf

----------------------------

[Login]

HandleLidSwitch=ignore

HandleLidSwitchDocked=ignore

----------------------------

Для применения параметров сделаем

sudo systemctl restart systemd-logind.service

*NIX информация

zoneminder / видео / наблюдение / регистратор

Автор записи Автор: Evgeny Yakovlev
Дата записи 2019/10/30

Ссылки:

https://wiki.zoneminder.com/Debian_10_Buster_with_Zoneminder_1.33.x_from_ZM_Repro_Master - установка на ПК debian
https://wiki.zoneminder.com/Raspbian - установка на raspberry pi
https://www.kerberos.io/ - дистрибутив для raspberry pi

https://wiki.zoneminder.com/Debian_10_Buster_with_Zoneminder_1.33.x_from_ZM_Repro_Master - установка на ПК debian

https://wiki.zoneminder.com/Raspbian - установка на raspberry pi

https://www.kerberos.io/ - дистрибутив для raspberry pi

Установка на debian 10:

0. Устанавливаем софт для дальнейшей установки.
sudo apt install apt-transport-https gnupg

1.Добавим репозиторий  zoneminder
nano /etc/apt/sources.list
--------------------------
...
deb https://zmrepo.zoneminder.com/debian/master buster/
--------------------------

2. Скачиваем и устанавливаем ключи для репозитория
wget -O - https://zmrepo.zoneminder.com/debian/archive-keyring.gpg | sudo apt-key add -

3. Установка zoneminder
sudo apt update
sudo apt install zoneminder
sudo dpkg-reconfigure zoneminder

4. Редактируем временную зону для PHP

4.1 быстро
# sed -i "s/;date.timezone =/date.timezone = $(sed 's/\//\\\//' /etc/timezone)/g" /etc/php/7.3/apache2/php.ini

4.2 медленно
sudo nano /etc/php/7.3/apache2/php.ini
--------------------------------------
...
date.timezone = Europe/Mosckow
...
--------------------------------------

5. Пере запускаем apache
sudo service apache2 reload
sudo systemctl start zoneminder

6. Заходим  в веб интерфейс
http://IP_ADDRESS/zm

0. Устанавливаем софт для дальнейшей установки.

sudo apt install apt-transport-https gnupg

1.Добавим репозиторий zoneminder

nano /etc/apt/sources.list

--------------------------

...

deb https://zmrepo.zoneminder.com/debian/master buster/

--------------------------

2. Скачиваем и устанавливаем ключи для репозитория

wget -O - https://zmrepo.zoneminder.com/debian/archive-keyring.gpg | sudo apt-key add -

3. Установка zoneminder

sudo apt update

sudo apt install zoneminder

sudo dpkg-reconfigure zoneminder

4. Редактируем временную зону для PHP

4.1 быстро

# sed -i "s/;date.timezone =/date.timezone = $(sed 's/\//\\\//' /etc/timezone)/g" /etc/php/7.3/apache2/php.ini

4.2 медленно

sudo nano /etc/php/7.3/apache2/php.ini

--------------------------------------

...

date.timezone = Europe/Mosckow

...

--------------------------------------

5. Пере запускаем apache

sudo service apache2 reload

sudo systemctl start zoneminder

6. Заходим в веб интерфейс

http://IP_ADDRESS/zm

*NIX информация

Не работает веб камера / ошибки / uvcvideo: / Failed / Debian 10 / Ubuntu / motion

Автор записи Автор: Evgeny Yakovlev
Дата записи 2019/10/15

ошибки в dmesg:

uvcvideo: Failed to query (130) UVC probe control : -32 (exp. 26).
uvcvideo: Found UVC 1.00 device Venus USB2.0 Camera (0ac8:3420)
uvcvideo: UVC non compliance - GET_DEF(PROBE) not supported. Enabling workaround.
uvcvideo: Failed to query (129) UVC probe control : -32 (exp. 26).
uvcvideo: Failed to initialize the device (-5).

uvcvideo: Failed to query (130) UVC probe control : -32 (exp. 26).

uvcvideo: Found UVC 1.00 device Venus USB2.0 Camera (0ac8:3420)

uvcvideo: UVC non compliance - GET_DEF(PROBE) not supported. Enabling workaround.

uvcvideo: Failed to query (129) UVC probe control : -32 (exp. 26).

uvcvideo: Failed to initialize the device (-5).

решение временное:

Выполняем:
sudo rmmod uvcvideo
sudo modprobe uvcvideo quirks=2 trace=65535
Камера должна заработать. 

Для постоянного можно добавить в  /etc/rc.local 
---/etc/rc.local---
...
...
...
# By default this script does nothing.
sudo rmmod uvcvideo
sudo modprobe uvcvideo quirks=2 trace=65535
exit 0 
---/etc/rc.local---

Выполняем:

sudo rmmod uvcvideo

sudo modprobe uvcvideo quirks=2 trace=65535

Камера должна заработать.

Для постоянного можно добавить в /etc/rc.local

---/etc/rc.local---

...

# By default this script does nothing.

sudo rmmod uvcvideo

sudo modprobe uvcvideo quirks=2 trace=65535

exit 0

---/etc/rc.local---

доп софт:

apt install v4l-utils  - ставим программу для работы с камерами
v4l2-ctl -d /dev/video0 --list-formats - показать доступные форматы

1 2	apt install v4l-utils - ставим программу для работы с камерами v4l2-ctl -d /dev/video0 --list-formats - показать доступные форматы