网络 – Ferrets家的Wordpress

起因

家里的Proxmox母机开了VXLAN的SDN，但是由于vxlan隧道需要吃掉几十个字节作为包的头，导致vxlan的子网里面必须将mtu缩小至1450（母机之间互联用的是1500），但是每次开虚拟机就要手动改mtu这个非常的不友好。

在网上搜索手动指定mtu，文章全部都是使用静态的ip地址，在进一步搜索的时候，发现需要修改Linux的dhcpclient配置，在配置文件里面看到，在客户端发送dhcp请求的时候，是包含接口mtu信息的。

这样就有趣了。

那是不是DHCP服务器可以指定客户端的接口mtu呢？那就不需要我一个一个手动修改了。

进行一番搜索之后，果然发现DHCP里面指定了一个option 26，可以定义接口mtu。而RouterOS也支持自定义dhcp options，官方的wiki里面有关于option的写法。

开搞

配置过程中充满了曲折，我尝试在winbox里面添加option，根据教程，我尝试在value里面填入1400，报错，然后尝试填入0x5aa（1450的十六进制值），也不行。然后我发现，填值据然要加上单引号，于是填入‘1450’，过了。

然而事情并不顺利，我在客户端通过DHCP拿到一个奇怪的mtu，43525。当时我就蒙圈了，这啥情况？

于是我胡乱填了更多的值，得到了更多奇奇怪怪大的一批的mtu值。着实搞不明白，然后仔细看了一下winbox中给的rawvalue，看着怎么这么眼熟，好家伙，这不是把字节的顺序给反过来了吗!

我再确认一下整个活

确认之后，就可以根据需要的raw value反推需要填的值。我们需要 05 aa ，就将 aa 05转换成十进制，得出43525，填入之后得到正确的raw value。

经测试，能够正常获取到1450的mtu。

报告Bug

这明显是有问题啊，我就去给mikrotik提了个请求，得到回复说马上就修。

继续阅读官方wiki

后来仔细阅读了一下官方的wiki，里面提到确实可以用0x来输入十六进制的值，也不用用单引号括住。那为啥我输入0x5aa报错？再来一次的时候发现……0x05aa是完全没问题的，但是0x5aa就不行。

看着顺眼多了。后续等官方修复这个Bug之后或许可以换回去’1450’，这样就更直观了。

在openwrt路由上运行shairplay作为远程音箱

2020年12月27日 by Ferrets Leave a Comment

参考：

因为手里空闲着一条漫步者的M16，现在我又用着iPhone，就想尝试一下airplay，没想道意外的简单，这里做个简单的记录。

首先，使用opkg更新软件包缓存

opkg update

然后，安装kmod-usb-audio:

opkg install kmod-usb-audio

这将安装usb声卡的驱动，如无意外，就可以看到/dev/audio的出现，这意味着系统能够正常识别到声卡。如果没认出来，那可能是系统尚不支持声卡，推荐换一只，毕竟重新移植驱动这种事情还是比较麻烦的，如果官方没有Linux驱动那就更没希望了。

下一步就是安装shairplay：同样非常简单，因为有对应的luci管理界面，顺便装上。

opkg install luci-app-shairplay

接着就可以去网页进行管理了：

这里只要简单的修改一下Airport Name，AO Driver选择alsa，然后勾选上enabled，保存并应用即可。

下一步就能在播放器上选择Airport后，点击播放就能听到音箱响起来啦～

建立私有docker镜像源

2020年10月7日 by Ferrets Leave a Comment

参考：https://linuxhint.com/setup_own_docker_image_repository/

最近非常着迷docker和kubernetes这玩意，感觉完全就是未来发展方向，于是决定好好研究一番。

有时候服务器处于内网环境，不好上网扒镜像，又或者说，由于一些众所周知的原因，从docker hub扒镜像会非常的缓慢，所以，我觉得有必要建立一个本地的docker镜像源。

建立方法

建立方法很简单，docker官方提供了一个镜像方便人们建立私有的镜像源。

根据参考文档，可以直接用一条命令来将服务跑起来，就像这样：

docker container run -d -p 5000:5000 --name registry -v<br> ~/docker/registry:/var/lib/registry registry

不过我个人推荐使用yaml文件+docker compose，方便日后维护，也习惯一下这种方式，为以后上kubernetes做准备。我就弄了一个，内容如下：

[[email protected] ~]# cat repo.yaml 
version: "2.4"
services:
  private_docker_repo:
    image: library/registry:latest
    ports:
      - "5000:5000"
    restart: unless-stopped
    volumes:
      - /storage:/var/lib/registry

然后，只要用

docker-compose -f repo.yaml up -d

就可以将服务跑起来了。-f参数是用来指定yaml文件，如果使用了docker-compose.yml作为文件名，可以省略掉。不过推荐自定义文件名，这样就可以将很多yaml放在同一个文件夹了。

日后如果registry镜像有更新，或者是修改什么设置，只要修改好配置文件，再pull一次和up一次即可，docker-compose会处理好更新的。

例子中，我的给机器挂了个100G的盘，挂在了/storage，到时候，数据会存在这里。

DNS修改

然后就是处理dns或者hosts，根据参考文档来看，不做也行，不过做了的话，可以少打几只字。( =ω=)

推荐做dns强制解析，那就不需要和原文一样去修改hosts。以后镜像源迁移、或者是docker母机增加减少之类的就不需要每次都处理hosts文件了。

举个例子，我修改DNS，将pdr（private docker registry)解析为镜像源服务器地址。

在docker母机上增加源

默认情况下，docker只会从docker hub拉镜像，要指定似有的源，就要修改一下配置文件。配置文件是/etc/docker/daemon.json，如果没有的话，就新建一个，添加以下内容：

{
"insecure-registries": ["pdr:5000", "192.168.11.207:5000"]
}

然后，重启docker。（对，是要重启docker的，所有容器都会重启）然后就可以在客户端使用这个似有源了。

对于在私有源上的镜像，用法和官方源差不多，只不过用户名变成了“服务器ip:端口”，于是，镜像名称格式如下：

IP:PORT/IMAGE_NAME:TAG_NAME

比如说，mariadb，在docker hub上，镜像的名称就是mariadb，或者其他用户的话就是xxx/mariadb（xxx是用户名）。但是在私有源上，就是192.168.11.207:5000/mariadb，或者在处理了dns或者hosts之后，可以用pdr:5000/mariadb。（看，可以少打很多个字！）

至此，似有镜像源搭建完成！

至于镜像源里面有什么镜像和有什么tag这个我暂时还没发现，暂时只发现在/storage/docker/registry/v2/repositories能看到有啥镜像。根据官方文档的说明：可以使用 http://服务器IP:5000/v2/_catalog 查看都有什么image。

列出镜像

做了个小脚本，放在docker-compose文件挂载的目录里面，我的是/storage，然后就可以直接列出镜像和列出指定镜像的tag了

#!/bin/bash
case $1 in
	"")
		ls -l docker/registry/v2/repositories/ | grep "drwx" | awk '{print $9}'
		;;
	*)
		ls -l docker/registry/v2/repositories/$1/_manifests/tags/ | grep "drwx" | awk '{print $9}'
		;;
esac

效果如下图

背景

因为家里的宽带是找电信要了公网IP地址的，所以互联网可以直接访问到我作为出口的RouterOS，而众所周知，互联网上扫描机不知何几，被盯上了的话也是一件相当麻烦的事。

起因

之前在玩RouterOS上的防火墙的时候，发现有一个动作，叫做“add src to address list”，能够将包的源地址添加到某个列表中。俺寻思了一下，发现这能够很好的抵挡扫描机，思路是这样的：

防火墙策略

建立防火墙策略，指定一些经常被扫描的目的端口，然后，防火墙的动作是将包的源地址添加到一个叫做sniffer的地址列表中，设定有效时间为30天，然后，让防火墙直接丢弃来自这些地址的包，这样如果某个机器尝试扫描我的出口，触发了这个机制，那这个机器就会直接被ban掉30天。

命令行的话，添加起来是这样的：

/ip firewall filter add action=drop chain=input comment="drop sniffer" in-interface=China-Telecom src-address-list=sniffer
/ip firewall filter add action=add-src-to-address-list address-list=sniffer address-list-timeout=30d chain=input comment="mark sniffer" dst-port=22,23,876,3306,3389,137,139,445,5001,6379,27017 in-interface=China-Telecom log=yes log-prefix=sniffer protocol=tcp
/ip firewall filter add action=add-src-to-address-list address-list=sniffer address-list-timeout=30d chain=input comment="mark sniffer" dst-port=22,23,876,3306,3389,137,139,445,5001,6379,27017 in-interface=China-Telecom log=yes log-prefix=sniffer protocol=udp
/ip firewall filter add action=add-src-to-address-list address-list=sniffer address-list-timeout=30d chain=input comment="mark sniffer" dst-port=2323,5555,80,81,37215,8000,8080,8081,8291,8443,53 in-interface=China-Telecom log=yes log-prefix=sniffer protocol=tcp
/ip firewall filter add action=add-src-to-address-list address-list=sniffer address-list-timeout=30d chain=input comment="mark sniffer" dst-port=2323,5555,80,81,37215,8000,8080,8081,8291,8443 in-interface=China-Telecom log=yes log-prefix=sniffer protocol=udp
/ip firewall filter add action=drop chain=input comment="drop sniffer" in-interface=China-Telecom src-address-list=sniffer

然后放着一阵子，就会在address list里面看到大量的IP地址。

继续改进

如果想要更加全面的保护，可以选择在防火墙上添加允许一些正常的策略，比如说，允许每秒不超过20个echo-request的icmp包啊之类的，然后在防火墙的末尾，加一条策略，将其他未知的包，都当作扫描机处理，一律有杀错无放过。

但是有时候，ban了对方的ip，也就意味着无法访问对方的IP地址，因为回包会被防火墙丢弃。这时候就要额外的添加一条策略，插在丢弃sniffer的策略的前面：

action是accept就可以了。这样如果是主动对外访问的话，回的包要么是related，要么是established，这样就可以正常访问被ban掉的ip。至于说udp访问可能没有这个状态标记……先暂时忽略吧，出现问题再继续改进。

Windows Server作为Mikrotik设备管理员的3A服务器

2020年7月6日 by Ferrets Leave a Comment

在使用了Mikrotik的RouterOS作为出口路由使用了相当一段时间之后，我彻底成为了ROS的粉丝，现在手里有一个x86的小机和一直RB750Gr3分别在家里和出租屋做出口路由。

虽然设备不多，管理员也就我一个，根本没有3A什么的出场的机会，只不过嘛，生命在于折腾，研究研究不是也很好嘛。

安装NAPS服务器并配置

首先，安装网络访问策略服务器（NAPS），这可以用来作为Radius服务器。通过服务器管理器添加角色与功能，一路下一步，在角色一页勾选上“网络策略与访问服务”，然后继续下一步直至安装完毕为止。我因为懒得卸掉重装，后面的就没继续截图了。

安装完NPS之后，就可以开始配置。当然，首先，是添加用户组，并将用户添加到组，顺便确认一下用户的拨入属性由NAPS控制。

然后，去网络策略服务器，添加radius客户端。允许ROS使用NPS作为radius服务器。IP地址写ROS使用的源地址，机密随意只要和ROS设备上一样即可。

下一步是新建网络策略，填写策略名称之后，服务类型选择未指定。

然后下一步里面，指定匹配那个Mikrotik管理员组；这时候可以限定NAS标识符或者限定被叫站ID（前者默认是ROS的system identity，后者默认是radius客户端的IP地址）。

选择匹配策略的授权访问。至于身份验证方法，暂时知道ROS使用的mschapv2，以后会不会改就不知道了。至于约束，默认下一步。

到了配置设置的一步，把默认的两个标准删掉，手动添加Service-Type，值为Login，虽然默认的似乎也能用。

然后就是精华所在：在“供应商特定”一项里面，手动添加一个属性，属性是Vendor-Specific，添加。添加一个属性，供应商为“14988”，符合RFC规格，然后配置属性。供应商分配的属性号为3，属性格式为字符串，属性值就是用户组的名字。系统默认最高权限的组的名字是full，我这里填的就是full。

然后禁用BAP（因为感觉没什么乱用，似乎不禁用也行），下一步，完成。Windows Server这边就OK了。

配置ROS

首先，选好ROS的系统名称，保证能够匹配到NAPS上的那个过滤策略。

然后，在ROS上配置Radius客户端。Service选择login就行，address填NAPS的地址，Secret就是刚才在NAPS添加Radius客户端的机密，同时，建议指定一下源地址，特别是ROS有多个接口IP地址的时候。

下一步，在system-users中启用AAA登录，Default Group选择最低权限的一个，那就行了。

最后验证一下，大功告成！

一、开篇

首先，我使用的是debian的linux，版本是stretch，其他发行版的话只能作为参考，无法照搬。

然后上参考：https://blog.csdn.net/politefish/article/details/4444417

在网上搜无盘系统，全部都是指导怎么启动安装器的，这个我之前已经做过了，没什么问题，但是如何做一个能直接运行的linux，倒还是第一次。上边这边文章里面洋洋撒撒一大串，不过还是指引了我找到了比较核心的内容。

二、组件部署

首先PXE启动系统我这边就不说了，参考有很多，比如说这个、这个，还有这个。总所周之，PXE启动linux需要3个组件，一个DHCP服务器，一个tftp服务器，还有一个NFS服务器。因为我家的路由器系统都比较的有好，DHCP服务器方面都支持设置PXE的引导，所以不需要额外的架设一个DHCP服务器。

tftp服务器和NFS服务器我是使用我家的一台QNAP的NAS来做的，性能和整合度不错，由于是同一份文件的不同共享，所以就不需要每次更新了kernel之后还需要单独将kernel拷贝到tftp服务器去了。

首先是tftp服务器，先把tftp服务器开起来，指向目标，限制好来源

然后参考这个，把所需的文件放到目标

看起来像是这样：

PXE ├── debian │ └── #这里放Debian的系统 ├── ldlinux.c32 ├── libcom32.c32 ├── libutil.c32 ├── pxelinux.0 ├── pxelinux.cfg │ └── default └── vesamenu.c32

再然后就是NFS系统，在系统中调整NFS分享，让/PXE能够以NFS的形式挂载，这就可以了，如何建立NFS服务器并且建立共享，这里不多说。

三、系统安装

然后先安装好基本系统，再回来修改default的配置文件

参考了网上搜出来的文章，我发现他用的方法就是使用debootstrap来安装系统。嗯？看着眼熟，不就是我当年做过的事情吗？哎呀，这就容易了嘛。

这里我选择的方法是用containerstation跑个LXC容器，将文件夹挂载到容器中。如果手边只有windows的机器，可以选择上虚拟机，然后挂载NFS共享。

假设将目标挂载到/mnt，就可以使用这样的方式来安装基本的debian系统

debootstrap –arch=amd64 stretch /mnt/ http://ftp.cn.debian.org/debian/

然后稍作等待，你就获得了一个debian系统了。当然，推荐使用同一个架构的CPU，因为这样接下来的后续安装就会方便很多。

chroot到新系统之后就可以向刚安装的系统一样去做后期的调整了。注意至少有一下这么几个

1.修改root的密码

2.新增用户

以下几个我是当时做了的配置但看起来并不是必须的，酌情参考

3.修改fstab和mtab，详细看参考链接，但是我登录系统之后看mount表完全不是那么一回事

4.配置网络，参考链接里面还是用的eth0，但是我登录系统后看到的接口都不是eth0而是en0了，又是一个过期的文档

5.调整时区，这个最好做一下，还有用timedatectl set-local-rtc 1 设置将RTC时钟设为本地时间而不是UTC时间，避免和windows来回切的时候导致windows时间混乱

然后把你想安装的东西都安装上。duang，系统就安装好了。

四、调整PXE启动配置

最后回来调整一下PXE的启动文件，这里是最精华的地方：

DEFAULT vesamenu.c32 PROMPT 0 MENU TITLE Home PXE-Boot Server label Diskless Debian MENU LABEL Diskless Debian KERNEL debian/vmlinuz append vga=normal initrd=debian/initrd.img ramdisk_size=14332 root=/dev/nfs nfsroot=NFS服务器地址:/PXE/debian rw -- TEXT HELP Starts the Diskless Debian ENDTEXT

需要注意的是，这里是系统的根目录下存在两个指向boot的链接，所以kernel和initrd才是这个位置，至于其他的参数，我暂时还没了解到如何使用，先保留着，看以后是否再需要优化。

配置完成后，就可以启动主机，然后选择从LAN启动了，启动之后，可以看到根目录是从nfs服务器挂载的。

增大mysql/mariadb的最大连接数

2018年3月9日 by Ferrets Leave a Comment

最近在部署一个大型的zabbix监控，遭遇了mysql连接数不足的情况，在增加mysql的最大连接数的过程中，发现还是有点繁琐的，于是在这里记录下来。

参考：https://pjstrnad.com/mariadb-raise-number-of-connections/

首先，去编辑/etc/my.cnf，或者相应的mysql服务器配置文件。

在[mysqld]一节下方增加以下内容：

open_files_limit=12000
max_connections=10000

对应的两个参数可以根据实际需要修改。此时重启mysql服务器，发现设置并未生效，或者说生效了一半，只增加到了214，原因是systemd本身存在限制导致的。
接下来修改/etc/security/limits.conf，如果没有，就新建一个，插入以下内容。

mysql soft nofile 4096
mysql hard nofile 10240

然后创建systemd启动文件的配置

mkdir -p /etc/systemd/system/mariadb.service.d
vi /etc/systemd/system/mariadb.service.d/limits.conf

然后插入以下内容

[Service]
LimitNOFILE=infinity

完成后就可以重启MySQL服务器了

systemctl daemon-reload
systemctl restart mariadb

又发现一个神器—个人CalDAV/CardDAV服务器

2017年8月18日 by Ferrets Leave a Comment

主页在这里：http://radicale.org/

显着无聊，在LEDE的软件源里面到处找有什么有趣的服务，结果发现了一个叫做radicale的个人CalDAV/CardDAV服务器，直接装了跑起来之后总有点问题，于是稍微研究了一下，大概是由缺失了htpasswd的原因导致的，抓log也没报任何错误，但就是没法正常工作。最后还是去官网直接看部署过程才终于搞起来。

软件使用python编写，最新的版本使用python3，目前就我所知，软件包的需求最少也有python3、pip、htpasswd，及其所有所需软件包。功能上非常简陋，但核心的功能一个不漏，源码包不到100K，还自带一个简陋的web控制页面，可以用来新增文件夹。

安装过程就和官网所说，非常简单，最少只需要2条命令就能跑起来，不过想要用得好一点就还是需要进行一些配置。

先安装radicale

python3 -m pip install --upgrade radicale

然后pip就会搞定全部的需求，官方同时推荐对密码使用bcrypt进行加密，如果使用bcrypt加密，同时使用pip安装bcrypt。同时，根据不同的发行版，把htpasswd装上，LEDE由于没有将htpasswd从apache中拆出来，所以我就把apache装上就可以用了。

好了，服务器已经安装完，进入配置环节，radicale会自动尝试从“/etc/radicale/config、~/.config/radicale/config或者是尝试从系统变量中读取RADICALE_CONFIG来找到配置文件，所以直接放在/etc/radicale/config就好，当然，可以直接加参数来运行，不过我觉得没有多少人会每次都加上一堆参数来运行的吧（笑）。

创建好配置文件，就向里面填入以下内容：

[auth]
type = htpasswd
htpasswd_filename = /path/to/users
htpasswd_encryption = plain
delay = 1

[server]
hosts = 0.0.0.0:5232
max_connections = 20
max_content_length = 10000000
timeout = 10
daemon = True
pid = /var/run/radicale.pid
ssl = True
certificate = /path/to/cert
key = /path/to/key
realm = Radicale - Password Required

[storage]
filesystem_folder = /path/to/storage

[rights]
type = authenticated

根据个人需求，可以酌情修改，比如说想要规模大一点，可以对权限进行更加详细的设定，比如说哪些人能读哪些人能写，参考这里。
同时可以根据需要，抓取更加详尽的log，可以参考这里。
在这个例子里面，我就参考LEDE默认的那个，直接用plain存储用户名和密码，同时使用SSL对通信进行加密，证书的做法有太多，这里就不详述。
users文件可以使用htpasswd来创建，大概的格式就是用户名:密码，如果用明文的话可以直接编辑users文件来修改密码。

创建好用户名和密码之后，可以尝试使用浏览器来访问https://your.domain:5232/，会自动跳转到一个非常简陋的web控制页面能够创建、编辑、删除包括地址簿、日历、todo清单等文件夹，根据我的测试来说暂时是没法在客户端创建这些文件夹的，所以现在web控制页面建好，然后就可以到客户端添加详细的条目了。

在使用动态ip的情况下使用tunnelbroker

2017年4月13日 by Ferrets Leave a Comment

最近我家不知为啥，pppoe拨号基本上每天晚上都会断一次，而重连之后由于ip地址变更，6to4的tunnel就中断了，一次两次就算了，每天都一次的话就不能靠手动，等靠自动化来维护。

参考：

https://wiki.mikrotik.com/wiki/Manual:Scripting-examples

https://gist.github.com/pklaus/960672

最开始是打算看看RouterOS能不能在接口启动之后触发运行一次脚本，但是ppp的profile里面的那个up down的scripts触发并没有效果（或许是我用法不对？）于是只能换一种思路，定时检查ip有没有变更，如果变更了，就触发一次配置更新。

两个脚本大概是这样：

脚本check_ip_change：检查ip有没有出现变更：

:global currentIP;
:local newIP [/ip address get [find interface="wan"] address];
:if ($newIP != $currentIP) do={
 /system script run update_sit;
 :set currentIP $newIP;
}

脚本update_sit：执行更新interface属性以及向tunnelbroker通知客户端节点地址变更：

local ipaddr
local users "someuser"
local key "somekey"
local tunnelid "sometunnelid"
:set ipaddr [/ip address get [/ip address find interface=wan] address]
:set ipaddr [:pick $ipaddr 0 ([len $ipaddr] -3)]
/interface 6to4 set sit1 local-address=$ipaddr
/tool fetch url="https://$users:[email protected]/nic/update?hostname=$tunnelid&myip=$ipaddr" mode=https keep-result=no

然后定制每分钟执行一次check_ip_change，然后在下次ip地址变更之后，就可以在1分钟内完成自动修复了。

Ferrets家的Wordpress

网络

通过DHCP指定mtu

起因

开搞