pf

pfsense(ゲートウェイ)を介してiptablesファイアウォールのすべてのNATトラフィックを許可する方法
pf

pfsense(ゲートウェイ)を介してiptablesファイアウォールのすべてのNATトラフィックを許可する方法

iptablesファイアウォール(マシン1)と2つのインターフェース(machine-2:int-1)と(machine-2:int-2)を持つcentos 7ベースのゲートウェイ(マシン2)があります。これは提供された固定IPの1つです。 LAN[/28]ISPへ。これで設定が正常に機能し、machine-1:LAN-subnetsはiptablesベースのNATを実行しており、machine-1:LAN-subnet-intのゲートウェイはmachine-2's:int-2です。 NATed IP ゲートウェイへのすべてのパスは、iptables ファイ...

Admin

XDPが出口にないのはなぜですか?
pf

XDPが出口にないのはなぜですか?

複数のソースを確認しましたが、LinuxはXDPエクスポートをサポートしていないことがわかりました。 私はxdpが元のパケットから何を変更できるか、そしてtcを除いて何を変更できないかを正確に知りたいと思います。 XDPエクスポートの質問の場合ユースケース:マルチキャスト。 (他のユースケースもあります。)ユースケースでXDPエクスポートがサポートされていない理由を推論する方法です。 (何を推論できますか?) xdpが開始セクションにありますが、終了セクションにはないことがわかります。しかし、なぜ?先ほどのMACアドレスを悪意を持って修正し、ネットワーククラ...

Admin

eBPFスタックトレースのコマンドポインタに同じIPが2回あり、関係のない奇妙なIPを持つeBPFプログラムが含まれているのはなぜですか?
pf

eBPFスタックトレースのコマンドポインタに同じIPが2回あり、関係のない奇妙なIPを持つeBPFプログラムが含まれているのはなぜですか?

eBPFプログラムからカーネルスタックトレースを取得すると、重複して奇妙なエントリが表示されます。誰かがこれを説明できますか? まず、関連するeBPFプログラムの断片から始めましょう。次のようにスタックトレースグラフを宣言します。 struct { __uint(type, BPF_MAP_TYPE_STACK_TRACE); __type(key, u32); __type(value, stack); __uint(max_entries, 1 << 14); } stacks SEC(".maps"); 後...

Admin

freebsdのブラックリストが常にSSHタイムアウトを防ぐわけではありません。
pf

freebsdのブラックリストが常にSSHタイムアウトを防ぐわけではありません。

毎分、ログに次の内容が表示されます。 sshd[####]: fatal: Timeout before authentication for 118.26.194.190 何百ものがあり、これは何時間も起こっています。 # grep 118.26.194.190 /var/log/console.log | wc 238 4284 32368 だから、なぜ動作しないのかを調べるために「blacklistd」を見ています。 # blacklistctl dump -a | grep 118.26.194.190 118.26.194.190/3...

Admin

BFD OSPF設定(FRR 3.0.4)
pf

BFD OSPF設定(FRR 3.0.4)

以前のバージョンのFRR(v.3.0.4)をインストールしましたが、ospf bfdが機能しない理由はわかりません。 正しくオンにする方法は?以前のバージョンの FRR のユーザーガイド文書が見つかりませんでした。 構成: SW1# show version FRRouting 3.0.4 (). Copyright 1996-2005 Kunihiro Ishiguro, et al. configured with: '--build=x86_64-linux-gnu' '--host=arm-linux-gnueabi' '--prefix...

Admin

RAMを使用する場合、アプリケーションはtmpfsよりも優先されます(スワッピングを含む)?
pf

RAMを使用する場合、アプリケーションはtmpfsよりも優先されます(スワッピングを含む)?

長すぎる。/ tmpがtmpfsとしてマウントされている場合、スワップがある場合はスワップに優先順位がありますか? tmpfsはアプリケーションの前にスワップを開始しますか? 専門 私は32G RAM(Debian)と32Gスワップスペースを備えたノートパソコンを持っています。 / tmpをマウントするためにtmpfsを使用する予定です。 ただし、交換が必要な場合はシステムの動作が心配です。何を最初に交換する必要がありますか?私はアプリケーションのRAM使用量がtmpfsよりも優先されると思います(つまり、tmpfsが最初にスワップすると思います)。ただし、...

Admin

pfSense(FreeBSD 14.0) - Prometheus ノードのエクスポートでロギングエラーが発生する - ロギングの修正または抑制
pf

pfSense(FreeBSD 14.0) - Prometheus ノードのエクスポートでロギングエラーが発生する - ロギングの修正または抑制

pfSenseでPrometheusノードのエクスポートを有効にしましたが、15秒ごとに次のログエラーが発生します。 Feb 15 09:53:57 vault node_exporter[25559]: ts=2024-02-15T08:53:57.164Z caller=collector.go:169 level=error msg="collector failed" name=uname duration_seconds=1.9687e-05 err="cannot allocate memory" Feb 15 09:53:57 vault no...

Admin

PFファイアウォール:アクティブなSSH接続を持つクライアントにのみ他のポートへのアクセスを制限します。
pf

PFファイアウォール:アクティブなSSH接続を持つクライアントにのみ他のポートへのアクセスを制限します。

以前は、内部ネットワークへの公開アクセスを安全に制御するためにBSDを採用した大規模な組織で働いていました。この方法には、ユーザーがファイアウォールサーバーへの認証されたSSH接続を確立し、組織ネットワーク内の他のすべてのポート/ IPへのアクセスを許可することが含まれます。重要なのは、これが伝統的なポート転送ではないということです。一方、SSH認証が確立されると、多くのパブリックIPにアクセスできます。 これで、通常の環境とmacOSの両方でpfファイアウォールを使用してこのルールを複製する方法についてのガイドラインを探しています。 pfファイアウォールを...

Admin

Dockerの/var/run永続性
pf

Dockerの/var/run永続性

次のように構成された(Debian)DockerコンテナのPIDファイルで問題が発生しました。--restart always 問題をまとめてみてください。 apache2コンテナからサービスを開始します。 init サービスは PID ファイルを生成します。/var/run/apache2/apache2.pid 私のdocker killコンテナがホストの不適切なシャットダウン(電気的故障)をシミュレートし、サービスが異常終了したため、PIDファイルはまだ存在していました。 コンテナを再起動し(ホストの再起動シミュレーション)、apache2サービスを...

Admin

tmpfsでuser_xattrを有効にする方法はありますか?
pf

tmpfsでuser_xattrを有効にする方法はありますか?

cachefilesdCIFS共有ファイルをRAMディスクにキャッシュしようとしていますが、キャッシュディレクトリcachefilesdファイルシステムのサポートが必要ですuser_xattr。tmpfsデフォルトではありません。有効にする方法はありますか? ...

Admin

一時データの削除または暗号化戦略
pf

一時データの削除または暗号化戦略

LVMにLUKSがあるUbuntu 22.04システムがあり、スワップ領域とデータボリュームが暗号化されています(/data)。これは最終的にRAMが制限されている(2GBまたは4GB)、適切なディスク容量(> = 50GB)を持つVPSで実行されます。また、tmpデータを暗号化するか、少なくともシャットダウン後も維持されないことを確認する必要があります(VPSプロバイダのディスクバックアップファイルに機密情報がないことを確認するため)。 質問1:ちょうどシンボリックリンク/var/tmpで接続できますか/data/var/tmp?それとも、システムは...

Admin

컨테이너 외부의 포트만 거부하기 위해 systemd 리소스 관리를 사용할 수 있나요?
pf

컨테이너 외부의 포트만 거부하기 위해 systemd 리소스 관리를 사용할 수 있나요?

최신 Fedora 39에서는 루트 없는 컨테이너용 podman을 설정하고 /etc/systemd/system/user-1000.slice.d/user-resources.conf를 생성하여 사용자가 바인딩할 수 있는 포트를 제한했습니다. [Slice] SocketBindAllow = 12345 SocketBindDeny = any 이제 예상대로 사용자는 포트 20202에 바인딩할 수 없습니다. 예를 들면 다음과 같습니다. $ nc -4 -lp 20202 Ncat: bind to 0.0.0.0...

Admin

ループバックインターフェイスのXDP汎用トランスポートパケットが廃棄されました。
pf

ループバックインターフェイスのXDP汎用トランスポートパケットが廃棄されました。

xdpを介してUDPパケットを送信しようとします(受信は正しく機能します)、UDPがパケットを処理する前にパケットが破棄されます。 カーネル: Linux fedora 6.5.12-300.fc39.x86_64 #1 SMP PREEMPT_DYNAMIC Mon Nov 20 22:44:24 UTC 2023 x86_64 GNU/Linux PRETTY_NAME="Fedora Linux 39 (ワークステーション版) 私のxdpプログラムとソケットが使用されますxdpgeneric。 パケットが送信されるのを見て、tcpdumpip_rcvb...

Admin

ドライブを再フォーマットしなくても、ファイルシステムの種類を異なる方法で識別または変更できますか?
pf

ドライブを再フォーマットしなくても、ファイルシステムの種類を異なる方法で識別または変更できますか?

EXT4でフォーマットされたSamsungQVO USB SSDを実行すると、これはsudo fdisk -lAPFSとして認識されます。 Device Start End Sectors Size Type /dev/sda2 409640 3907029127 3906619488 1.8T Apple APFS 他のEXT4ドライブからデータをコピーしてRaspi5オペレーティングシステムで使用するために、ディスクは以前はmacOSからAPFSにフォーマットされていた、そしてLinuxシステムではEXT4にフォーマ...

Admin