Minimal firewall for end user

Минимальный firewall для конечного пользователя Исходить будем из того, что хост конечного пользователя, как правило, всегда лишь инициирует сетевые соединения (например, когда в браузере открывается некоторая WEB-страница), но, при этом, такой хост никак не должен обслуживать входящие соединения — то есть, не является ни сервером, ни роутером.

comment: option can only be used once — WHY?

1 iptables-restore v1.6.0: comment: option “–comment” can only be used once. Вообще говоря, возможно, что для некоторых модулей netfilter, повтор опции действительно может быть нежелательным, но вот повторы именно –comment вполне были бы «в тему»: -A INPUT -j ACCEPT -m comment –comment “MySQL” -p tcp –dport 3306 –comment “from backend:” -s 192.168.10.100 Пример, конечно, слегка надуман, […]

transparent huge pages witch hunt

Охота на ведьм THP Во множестве различных ресурсов, имеющих мало-мальское отношение к системному администрированию Linux, можно встретить безаппеляционное «transparent huge pages нужно отключить». Это есть в рекомендациях (и хрен бы с ними, рекомендациями, — есть даже в скриптах!) Percona, это есть на сайте Redis: “… Make sure to disable Linux kernel feature transparent huge pages, […]

Beware of LVM-2’s lvs nasty output habbits

Если вам когда-нибудь потребуется получить список LVM-томов без их атрибутов (размеров и пр.), обратившись к документации за нужными ключами, вы запишете что-то в таком духе: sudo lvs –noheadings -o lv_name ИмяГруппы К сожалению, этот тривиальнейший вариант не без граблей: если имена LVM-томов разной длины, то короткие будут дополнены пробелами.

GNU grep strikes again — annotate your output

Если вам приходилось когда-нибудь добавлять метки в текстовый поток, то, вероятно, вы оцените опцию «–label» grep. Скорее всего, пригодится она вам вкупе с «-H»: cat /etc/hosts | grep -H –label=MyLabelHere . Пример применения: sudo vzlist -H1 | \ xargs -rI: sh -c \ ‘sudo vzctl exec : ip ad | grep -H –label=: . ‘ […]

bcache stat in CLI

while cat /sys/block/bcache0/bcache/{dirty_data,stats_{five_minute,hour,day}/cache_hit_ratio} | xargs; do sleep 60; done формат вывода будет такой: 0 5 7 7 0 4 6 7 0 4 6 7 0 4 6 7 — первое значение это dirty data, в данном случае, «грязи» не было вовсе. 😉 Остальные — cache_hit_ratio за 5 минут, час и день. Другой пример: 210M […]

Никогда не пользовался NETMAP

— про который в man’е сказано: This target allows you to statically map a whole network of addresses onto another network of addresses.  It can only be used from rules in the nat table. на самом деле даже интересно стало — а есть ли какое-нибудь отличие от того же DNAT, в случае, если мэпится один-в-один […]