В закладки!

Для остальных — маленькое HOWTO на тему проксирования UDP multicast по протоколу HTTP:
Решение реализуется с помощью udpxy и 2х строк в rc.conf. Для начала проверим активирована ли поддержка мультикаст на интерфейсе:

# ifconfig net0 | grep MULTICAST
net0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500

Ставим udpxy:

# cd /usr/ports/net/udpxy/ && make install clean

Добавляем в rc.conf флаги запуска, стартуем и проверяем что порт слушается:

# cat /etc/rc.conf | grep udpxy
udpxy_enable="YES"
udpxy_flags="-m net0 -p 4022 -S -c 6"
# /usr/local/etc/rc.d/udpxy start
Starting udpxy.
# sockstat | grep udpxy
root     udpxy      56048 5  tcp4   *:4022                *:*

Флаги запуска:
* -m — имя интерфейса мультикаст-каналов
* -p — TCP порт для HTTP запросов к приложению
* -c — максимальное количество клиентов, обслуживаемых одновременно
* -l — записывать журнал приложения в указанный файл
* -S — передавать статистику о клиентских соединениях
Далее берем плейлист, который нам дал провайдер и изменяем под наши нужды:

# head tv_all.m3u
#EXTM3U
#EXTINF:0,1 - Channel 5 (Ukraine)
udp://@239.100.0.1:5004
#EXTINF:0,2 - 1+1 international (H264)
udp://@239.100.0.10:5004
#EXTINF:0,3 - UR1
udp://@239.100.0.101:5004
#EXTINF:0,4 - RADIO ERA
udp://@239.100.0.102:5004
#EXTINF:0,5 - L.Radio
# cat tv_all.m3u | sed -e 's@udp://\@@http://berezhinskiy.name:4022/udp/@' > TV.m3u

Естественно, заменяем http://berezhinskiy.name:4022 на свои ip:port, запускаем VLC/winamp/wmp и проверяем работоспособность. Если что не фурычит — смотрим лог и гуглим :)
Если вы оставили опцию -S в флагах запуска, — статистика будет доступна по адресу http://ip:port/status

В закладки!

В закладки!

# -*- coding: utf8 -*-

__author__    = "Yaroslav Berezhinskiy"
__copyright__ = "Copyright (C) 2011 Yaroslav Berezhinskiy"

import os
import atexit
import sys
import time
from signal import SIGTERM 

#===========================================================================
# "Итерация свойственна человеку, рекурсия божественна."
# Видно, у Б-га стек длинный. А мы останемся людьми.
#===========================================================================

class Daemon():
    pidfile = 'pidfile.pid'
    stdin='/dev/null'
    stdout='/dev/null'

    def daemonize(self):
        pid = os.fork()
        if pid == 0:
            os.setsid()
            pid = os.fork()
            if pid == 0:
                os.chdir(".")
                os.umask(0)
            else:
                sys.exit(0)
        else:
            sys.exit(0)

        atexit.register(self.delpid)

        pid = str(os.getpid())
        file(self.pidfile,'w+').write("%s\n" % pid)
        return pid

    def descriptors(self):
        sys.stdout.flush()
        sys.stderr.flush()
        si = file(self.stdin, 'r')
        so = file(self.stdout, 'a+')
        os.dup2(si.fileno(), sys.stdin.fileno())
        os.dup2(so.fileno(), sys.stdout.fileno())

    def delpid(self):
        os.remove(self.pidfile)

    def start(self,interactive=False):
        if interactive:
            print "Starting program in interactive mode"
            self.run()
            return

        try:
            pf = file(self.pidfile,'r')
            pid = int(pf.read().strip())
            pf.close()
        except IOError:
            pid = None

        if pid:
            message = "Daemon already running? (pid=%s)\n"
            sys.stderr.write(message % pid)
            sys.exit(1)

        pid = self.daemonize()
        print "Starting daemon."
        self.descriptors()
        self.run()

    def stop(self):
        try:
            pf = file(self.pidfile,'r')
            pid = int(pf.read().strip())
            pf.close()
        except IOError:
            pid = None

        if not pid:
            message = "Daemon not running? (check %s)\n"
            sys.stderr.write(message % self.pidfile)
            return

        print "Stopping daemon.\nWaiting for PID: %s" % pid
        try:
            while 1:
                os.kill(pid, SIGTERM)
                time.sleep(0.1)
        except OSError, err:
            err = str(err)
            if err.find("No such process") > 0:
                if os.path.exists(self.pidfile):
                    os.remove(self.pidfile)
            else:
                print str(err)
                sys.exit(1)

    def restart(self):
        self.stop()
        self.start()

    def run(self):
        print >> sys.stderr, "ERROR: Daemon not started\nYou need to override run() method in your subclass!"
        sys.exit(1)

Дальше нам нужно подключить модуль, написать подкласс для Daemon() и переопределить в нем метод run().
Пример рабочего кода:

#!/usr/bin/env python
# -*- coding: utf8 -*-

import sys
import time
import daemon

class MyDaemon(daemon.Daemon):
    def __init__(self):
        #---------------------------- Override default PID file in Daemon() class
        daemon.Daemon.pidfile = "my_pidfile.pid"

    def run(self):
        while 1:
            time.sleep(1)

my_daemon = MyDaemon()

if len(sys.argv) >= 2:
    if 'start' == sys.argv[1]:
        my_daemon.start()
    elif 'stop' == sys.argv[1]:
        my_daemon.stop()
    elif 'restart' == sys.argv[1]:
        my_daemon.restart()
    else:
        print "Unknown command"
        sys.exit(2)
    sys.exit(0)

PROFIT

Также есть поддержка работы в интерактивном режиме. При передаче значения interactive=True в метод start(), модуль не будет форкать процесс и уводить его в фон, что может быть весьма полезно при отладке кода:

        my_daemon.start(interactive=True)

В закладки!

#!/bin/bash

getPID() {
    pids=( )
    par_pids=(`ps -ef | grep $1 | grep -v grep | awk '{print $3}' | xargs`)
    real_pids=(`ps -ef | grep $1 | grep -v grep | awk '{print $2}' | xargs`)

    if [[ ${#real_pids[*]} -eq 1 ]]; then
        if [[ $2 = "parent" ]]; then
            pids=(${real_pids[@]})
        elif [[ $2 = "child" ]]; then
            # No such child for $1 process
            pids=( 0 )
            return 1
        fi
    else
        for (( i = 0; i < ${#par_pids[*]}; i++ ))
        do
            for (( z = 0; z < ${#real_pids[*]}; z++ ))
            do
                if [[ ${par_pids[$i]} = ${real_pids[$z]} ]]; then
                    if [[ $2 = "parent" ]]; then
                        pids=(${pids[@]} ${par_pids[$i]})
                    elif [[ $2 = "child" ]]; then
                        pids=(${pids[@]} ${real_pids[$i]})
                    fi
                fi
            done
        done
    fi

    pids=(`echo ${pids[@]} | tr " " "\n" | sort -u | xargs`)
    return 0
}

getPID chrome parent
echo "Parents: ${pids[@]}"
getPID chrome child
echo "Childs: ${pids[@]}"

Вывод скрипта на моей бубунте для браузера Chrome:

$ ./get_pid.sh
Parents: 19212 19217
Childs: 19215 19238 19240 19244 19246 19250 19254 19258 19261 19264 19267 19273 19276 19281 19301 19334 19339 19346 19351 19367 19404

В закладки!

awk 'BEGIN{all=0;count=0;max=0;min=1000;} {input=int($1);all=all+input;++count;if (min>=input && input!=0){min=input}; if (input>=max){max=input};}END{print all/count " " min " " max}'

Пример вывода команды для подсчета размера возвращаемого обьекта в логах апача:

$ egrep "\s+200\s+" access.log.1 | awk 'BEGIN{all=0;count=0;max=0;min=1000;} {input=int($10);all=all+input;++count;if (min>=input && input!=0){min=input}; if (input>=max){max=input};}END{print all/count " " min " " max}'
794.36 152 2150

В закладки!

В закладки!

• Использование инфраструктуры crypto(9): при наличии аппаратной криптографической поддержки, geli автоматически использует ее.

• Поддержка разнообразных криптоалгоритмов.

• Поддержка шифрованного корневого раздела.

• Поддержка двух независимых ключей шифрования (например, »основного ключа» и »ключа компании»).

• Высокая скорость работы geli за счет простого криптования сектор-сектор.

• Поддержка криптования файловых систем случайным одноразовым ключом — например, для разделов подкачки или временных файловых систем.

Приступим. Собираем ядро со следующими опциями:

options         GEOM_ELI
device          crypto

Если не хотим собирать ядро — подгружем модулем и добавляем в /boot/loader.conf

# kldload geom_eli
# echo "geom_eli_load=\"YES\"" >> /boot/loader.conf

Отмонтируем будущий крипто-раздел, НЕ забыв сбэкапить все данные, ибо нам прийдется их уничтожить.

# umount /dev/ad4s1g
umount: unmount of /dev/ad4s1g failed: Device busy

Если видим такое, используем флаг -f. Далее нам необходмио сгенерировать ключ, которым будет подписан раздел. Делаем просто:

# dd if=/dev/random of=/usr/local/etc/keys/my.key bs=1 count=256
# chmod 600 /usr/local/etc/keys/my.key

Этим действием мы создали ключ длинной 256 bit.
Дальше инициализируем раздел и подписываем ключом:
-I 256 — используем ключ длинной 256 bit
-P — шифруем раздел без пароля. Если убрать эту опцию будет запрошен пароль при каждой попытке монтирования. Советую не использовать пароль, если вы шифруете системные диски, которые монтируются при загрузке.
-K — путь к ключу
/dev/ad4s1g — путь к девайсу

# geli init -P -l 256 -s 4096 -K /usr/local/etc/keys/my.key /dev/ad4s1g

Мы только что инициализировали шифрованый раздел и подписали его нашим ключом. Напомню, что по умолчанию GELI использует алгоритм шифрования AES, если вам по каким-либо причинам нужно использовать другой алгоритм, это можно сделать добавив опцию -e. Включена поддержка алгоритмов AES, Blowfish, Camellia, а также морально и технически устаревшего 3DES.
Присоединяем раздел:

# geli attach -p -k /etc/geli/server.key /dev/ad4s1g

После этого мы должны увидеть наш криптованый девайс:

# ls -l /dev/ad4s1g*
crw-r-----  1 root  operator    0,  90  2 фев 20:50 /dev/ad4s1g
crw-r-----  1 root  operator    0, 139  2 фев 20:50 /dev/ad4s1g.eli

Девайс имеет приставку .eli и любые обращения к этому девайсу будут пропущены через криптомашину и осядут в /dev/ad4s1g уже в шифрованном виде.
Следующий шаг может быть пропущен, но если мы подходим к защите наших данных серьезно, мы обязаны его выполнить. Сейчас мы будем заполнять поверхность диска случайными данными. Обьясню для чего это нужно. Во-первых, — после того, как мы инициализировали шифрованый девайс, новые данные на него будут писаться уже в шифрованном виде, однако те данные, которые были на нем ранее еще можно вытащить. Во-вторых, — эту процедуру необходимо проделать, даже если вы шифруете новенький винт/флешку etc. Если кто-то захочет посмотреть на кол-во данных на винчестере — он увидит под зявязку забытый веник. Процедура может занять достаточно большое кол-во времени, по сему, запускаем и идем пить чай или спать:

# dd if=/dev/random of=/dev/ad4s1g.eli bs=1M

Как известно уилита DD не славится своей информативностью во время выполнения заданий. Для исправления ситуации предлагаю следующий workaround:

# killall -INFO dd

После этой команды dd единоразово выдаст в стдаут немного информации.
После этого, мы наконец-то можем создать новую ФС и примонтировать девайс:

# newfs /dev/ad4s1g.eli
# mkdir /cryptFS
# mount /dev/ad4s1g.eli /cryptFS

Поздравляю. Девайс готов к использованию. Для отмонтирования выполняем последовательно:

# umount /dev/ad4s1g.eli
# geli detach /dev/ad4s1g.eli

На последок, по доброй традиции оптимизируем процесс сетапа, монтирования и размонтирования разделов, путем стругания очередного скрипта. Листинг я приводить не буду, ибо скрип получился не маленький (150 строк), но обьясню ключевые моменты. Качаем скрипт и делаем его исполняемым:

# fetch http://myjournal.org.ua/wp-content/uploads/2010/02/crypt.sh
# chmod +x crypt.sh

Дальше редактируем в скрипте переменные:
mount_path — папка для монтирования
key — созданный нами ранее ключ (можем закоментировать эту опцию, тогда при монтировании или сетапе вас об этом спросят)
chowner - этому овнеру будет разрешено писать в крипто-папку
device - путь к девайсу (без приставки .eli)
Также вы можете закоментировать вообще все переменные, тогда скрипт будет каждый раз вас спрашивать, а овнером будет назначен root:wheel. Сделаем ссылку на скрипт и попытаемся смонтировать и отмонтировать диск:

# ln -s /path/to/crypt.sh /bin/crypt
# crypt -m
*** Mount /dev/ad4s1g
*** Device mount to folder /storage/samba/home/Encryption
# crypt -u
*** Umount /dev/ad4s1g
# crypt -u
*** Device /dev/ad4s1g already umount. Use /bin/crypt -m for mount.

Также, если лень инициализировать, форматировать и создавать ключи руками, коментим все переменные и запускаем:

# crypt -s
Enter full path to device [/dev/ad4s1g]: /dev/ad4s1g
Enter full path to key or type create for new key: /storage/samba/home/keys/berezhinskiy.key

+---------------------------------------+
|              WARNING!!!               |
| This operation will destroy all data  |
|          on selected slice            |
+---------------------------------------+
*** Device: /dev/ad4s1g

Confirm this action [yes|no]: yes
*** Starting encrypt device /dev/ad4s1g
*** Umount /dev/ad4s1g
*** Signature device key
*** Creating newfs from /dev/ad4s1g
Do you want to mount the disk now? [yes|no]: yes
Path for mount encryption device [/home/crypt]: /storage/samba/home/Encryption
*** Mount /dev/ad4s1g
*** Device mount to folder /storage/samba/home/Encryption

Вот и все. В следующей статье на эту тему я расскажу о том, как зашифровать все системные разделы и грузить ключ с usb flash, а может быть и бутиться мы будем тоже с флешки :)

В закладки!

В закладки!

Я живу в Киеве, пользуюсь услугами провайдера Corbina Telecom (не путайте с Русской Corbin’ой), чем вполне доволен. За 20$ в месяц я имею неплохой канал шириной 100Mbit по «Украине» и 25Mbit в «мир». Есть у меня балконная домашняя зверушка, которая шуршит кулерами и работает в режиме 24/7. Используется для разных полезных и не очень целей: гейт для локалки, прокся, впн, файлопомойка, хостинг (в том числе хостит MyJournal.org.ua) etc. Заморочился я как-то вопросом статистики аптайма моего канала. Вот что с этого вышло:

Открываем наш любимый mcedit/vim/ee/nano/notepad/word/photoshop o_O и рисуем скрипт:

#!/bin/sh

###################################################
#                                                 #
#    Scripts for monitoring internet-link         #
#    Usage in cron:                               #
#    1 * * * * /path/to/script >/dev/null 2>&1    #
#                                                 #
###################################################

#-------------------------------------------------#
#                  VARIABLE                       #
#-------------------------------------------------#

existip=192.5.5.241             # NS Internet Systems Consortium (ns.isc.org)
pid_file=/var/run/internet.pid  # Lock file
log_file=/var/log/internet.log  # Log file
dhcp=yes                        # Use dhcp?
dhcp_if=net0                    # DHCP external interface

#-------------------------------------------------#
#                    BODY                         #
#-------------------------------------------------#

nr=""
ni=""
my_name=$0
pid=$$

if [ ! -f $log_file ];then
        touch $log_file
        echo " +------------------------------------------" >> $log_file
        echo " | A new file is created " `date "+%Y-%m-%d"` >> $log_file
        echo " +------------------------------------------" >> $log_file
fi

if [ -f $pid_file ];then
    old_pid=`cat ${pid_file}`
    result=`ps aux | grep "${old_pid}" | grep "${my_name}"`
        if [ "${result}" ]; then
            exit 255
        fi
fi

echo ${pid} > ${pid_file}

while !(test $ni);do
    if !(/sbin/ping -c 2 ${existip}) >/dev/null 2>&1;then
        if !(test $nr);then
            nr=1
            timeobr=`date "+%H:%M:%S"`
        fi
        if [ ${dhcp} = yes ];then
            killall dhclient >/dev/null 2>&1
            sleep 1
            /sbin/dhclient $dhcp_if >/dev/null 2>&1
            sleep 3
        else
            sleep 3
        fi
    else
        if (test $nr);then
            echo `date "+%Y-%m-%d`" Internet was absent from $timeobr to "`date "+%H:%M:%S"` >> $log_file
        fi
        ni=1
    fi
done

if [ -f ${pid_file} ]; then
    rm ${pid_file}
fi

Скрипт пингует указанный вами адрес, если он не доступен предполагает что канал умер, запоминает время падения, пишет пид в файл и входит в цикл, до тех пор пока не запингуется снова. После успешного пинга отписывает в лог-файл что, дескать, интернетов небыло со стольки-то до стольки-то, после чего стирает пид и завершает работу до следующего старта. Пихаем в крон для запуска каждую минуту:

1 * * * * /usr/local/etc/scripts/internet.sh >/dev/null 2>&1

…Прошел годик-полтора и лог файл вырос в несколько тыщ строк, читать их стало, мягко говоря, затруднительно, да и пропускать незначительные подения какнала в 20-30 секунд стало тоже напряжно. Избавляемся от головной боли. Берем в руки перл и стругаем скрипт:

#!/usr/bin/perl

###################################################
#                                                 #
#    Scripts for parsing internet-down log file   #
#    Usage:                                       #
#    /path/to/script YYYY MM                      #
#                                                 #
###################################################

#-------------------------------------------------#
#                  VARIABLE                       #
#-------------------------------------------------#

$logfile="/var/log/internet.log"; # Path to log file

#-------------------------------------------------#
#                    BODY                         #
#-------------------------------------------------#

open(INTERNET, "<$logfile") || die("$0: could not open file: $!");

print "------------+------------------------+\n";
print ("Date        |\tHOUR\tMIN\tSEC  |\n");
print "------------+------------------------+\n";

while (<INTERNET>){
    $str = $_;
    if ( $srt = ~ /(\d{4}-\d{2}-\d{2}).*(\d{2}:\d{2}:\d{2}).*(\d{2}:\d{2}:\d{2})/ ) {
        my $date = $1;
        my $time1 = $2;
        my $time2 = $3;

        ($year, $month, $day)=split('-',$date);
        ($from_hour, $from_min, $from_sec)=split(':',$time1);
        ($to_hour, $to_min, $to_sec)=split(':',$time2);

        $from_main = $from_hour*3600+$from_min*60+$from_sec;
        $to_main = $to_hour*3600+$to_min*60+$to_sec;
        $downtime = ($to_main - $from_main);
        if ( $downtime > 30 and $year == $ARGV[0] and $month == $ARGV[1]){
            $downtime_all = $downtime_all+$downtime;
            $unit = "seconds";
            if ( $downtime < 3600) {
                $hour = 0;
                $min = int($downtime/60);
                $sec = $downtime-$min*60;
            }
            if ( $downtime > 3600) {
                $hour = int($downtime/3600);
                $minsec = $downtime-$hour*3600;
                $min = int($minsec/60);
                $sec = $downtime-($hour*3600+$min*60);
            }
                $sec = sprintf("%02d",$sec);
                $min = sprintf("%02d",$min);
                $hour = sprintf("%02d",$hour);
                print "$date  |\t$hour\t$min\t$sec   |\n";
        }
    }
}
if ( $downtime_all < 3600 ) {
    $hour = 0;
    $min = int($downtime_all/60);
    $sec = $downtime_all-$min*60;
}
if ( $downtime_all > 3600 ) {
    $hour = int($downtime_all/3600);
    $minsec = $downtime_all-$hour*3600;
    $min = int($minsec/60);
    $sec = $downtime_all-($hour*3600+$min*60);
}
$sec = sprintf("%02d",$sec);
$min = sprintf("%02d",$min);
$hour = sprintf("%02d",$hour);
print "------------+------------------------+\n";
print "All downtime:\t$hour\t$min\t$sec   |\n";
print "------------+------------------------+\n";

Скрипт парсит наш лог-файл, и выводит время даунтайма в красивом и понятном виде. Рекомендую к пользованию в скриптах статистики. Запуск и вывод:

# ./downtime.pl 2010 01
------------+------------------------+
Date        |   HOUR    MIN     SEC  |
------------+------------------------+
2010-01-02  |   00      00      45   |
2010-01-05  |   00      09      14   |
2010-01-06  |   00      14      05   |
2010-01-06  |   00      00      54   |
2010-01-10  |   00      00      33   |
2010-01-11  |   00      00      34   |
2010-01-11  |   00      00      33   |
------------+------------------------+
All downtime:   00      26      38   |
------------+------------------------+

Подводим итоги. За весь 2009 год у меня небыло интернета по вине провайдера почти 67 часов. Тоесть процент даунтайма меньше 1%, чему я, безусловно, рад. Спасибо за хорошую теническую работу.

UDP Не сочтите за рекламу. Мне действительно приятно, что Украина хоть немного пытается соответствовать мировым стандартам, приятно что витуха лежит в гофре, приятно видеть аккуратные шкафчики для свичей в подьездах, приятно знать что в шкафчиках управляемые свичи, а не барахло с радиорынка…
Но нам еще расти и расти до того момента, пока мы начнем понимать что главный в Вашем «бизнесе», дорогой провайдер — Клиент, а значит отношение должно быть соответствующее.

В закладки!

# top | grep natd
42549 root          1  45    0  9408K  2856K select   0:01  7.78% natd

Мало того, что natd светит адреса внутренних хостов, так он еще нехило потребляет системные ресурсы. Решено было переходить на «ядерный» нат. Добавляем в конфиг ядра опции для поддержки ipfw и ipfw nat:

options         IPFIREWALL
options         IPFIREWALL_FORWARD
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=1000
options         IPFIREWALL_NAT
options         LIBALIAS
options         IPDIVERT
options         DUMMYNET

Далее:

# cd /usr/src
# make buildkernel KERNCONF=NEW_MY_CONF
....
# make installkernel KERNCONF=NEW_MY_CONF

Ребутимся и редактируем скрипт ipfw. Коментим те строки, где были правила divert и заменяем на правила ipfw nat:

#       ${fwcmd} add divert natd all from any to any via ${inet_if}
#       ${fwcmd} add divert natd all from any to any via lo0

         ${fwcmd} nat 1 config ip ${inet_ip} log same_ports unreg_only
         ${fwcmd} add nat 1 all from ${lan_net} to any
         ${fwcmd} add nat 1 all from any to ${inet_ip}

, где ${inet_if} — интерфейс смотрящий «наружу», ${lan_net} — внутренняя сеть (192.168.0.1/24), ${inet_ip} — внешняя пиха.
unreg_only говорит ipfw натить только частные сети
same_ports пытается оставлять те же номера портов
Дальше нам нужно остановить нат:

# /etc/rc.d/natd stop

Дальше комментируем все строки связанные с natd в /etc/rc.conf и перегружаем правила ipfw. Проверяем работу kernel nat и наслаждаемся всеми его преимуществами.

P.S. Для того, чтобы пробросить порт внутрь локальной сети, конфигурация ipfw nat должна выглядеть так:

        ${fwcmd} nat 1 config ip ${inet_ip} unreg_only same_ports log redirect_port tcp 192.168.0.17:80 80
        ${fwcmd} add nat 1 all from ${lan_net} to any
        ${fwcmd} add nat 1 all from any to ${inet_ip}

Это будет означать что мы прокидываем все входящие tcp пакеты адресованные 80 порту на внешнем IP на 80 порт машины с адресом 192.168.0.17

В закладки!

# fdisk -I /dev/da0

Создаем label для размеченного раздела:

# bsdlabel -w -B /dev/da0s1

Форматируем раздел:

# newfs -f 8192 -b 65536 -U -o time /dev/da0s1a

Монтируем созданный раздел в каталог /mnt

# mount /dev/da0s1a /mnt

Теперь нам нужно скопировать содержимое образа FreeBSD на нашу флешку и отмонтировать накопитель. Для этих целей я использую DVD образ с сайта freebsd.org

# tar -C /mnt -xzf 7.2-RC2-i386-dvd1.iso.gz
# umount /mnt

Спешу вас поздравить. Процесс создания загрузочного диска завершен. Теперь переходим к фазе установки ОС, где нам предстоит проделать еще несколько нехитрых операций.
Выставляем в BIOS загрузку с USB-HDD и начинаем грузиться. Несколько дальнейших операций я буду сопровожать скриншотами из терминала. Тут будут описаны только те шаги, которые отличаются от стандартной установки системы. После загрузки выбираем локацию и переходим в меню Configure:

В Configure выбираем fdisk, на системном диске (у меня это ad2) создаем freebsd-слайс и делаем его загрузочным. Далее инсталятор перейдет к диску ad0. Ничего с ним не делаем! это наша флешка! Просто нажимаем q для выхода из fdisk:

Топаем в Label:

Размечаем системный диск ad2 стандартным для Вас образом. Далее в списке партиций мы видим нашу флешку (ad0s1a), выделяем её и жмем M для того, чтобы задать для нее точку монтирования. Пишем там /mnt:

Следующий шаг — указание источника для установки. В окне с просьбой «Choose Installation Media» выбираем 7 пункт: File System (установка с файловой системы). И вводим путь к каталогу с дистрибутивом freebsd, который находится на нашей флешке:

Ждем окончания процесса инсталляции:

Поздравляю! Вы только что установили freebsd с USB Flash драйва. Теперь осталось написать скрип для автоматизации процесса создания загрузочной флешки:

#!/bin/sh

echo -n "Enter flash drive name [da0]: "
read drive_name

if [ -n ${drive_name} ] ; then
    drive_name=da0
fi

fdisk -I /dev/${drive_name}
bsdlabel -w -B /dev/${drive_name}s1
newfs -f 8192 -b 65536 -U -o time /dev/${drive_name}s1a
mount /dev/da0s1a /mnt
tar -C /mnt -xzf $1
umount /mnt

Запускаем так:

# crate_usb_boot.sh 7.2-RC2-i386-dvd1.iso.gz

, где 7.2-RC2-i386-dvd1.iso.gz путь к скаченому дистрибутиву.

P.S. По окончании инсталляции убираем в BIOS’e загрузку с USB-HDD, но флешку не вынимаем. После загрузки ОС не забываем отредактировать файл /etc/fstab, убрав из него строку с монтированием флешки в /mnt. Теперь можем извлечь накопитель и ребутнуться в нормальном режиме.

В закладки!

Вот что говорит нам о протоколе ARP педивикия:

ARP (англ. Address Resolution Protocol — протокол разрешения адресов) — протокол канального уровня (англ. Data Link layer), предназначенный для преобразования IP-адресов (адресов сетевого уровня) в MAC-адреса (адреса канального уровня) в сетях TCP/IP.

Более простыми словами можно сказать что ARP отвечает за соответствие пары IP-MAC.  ARP данные образуют кеш (таблицу) примерно такого вида:

(84.234.56.5) at 00:e0:4c:7e:e1:0c on net0
(192.168.0.1) at 00:e0:4c:5a:dd:e6 on lan0
(192.168.0.10) at 00:1c:bf:c6:b1:b7 on lan0

Таблица может быть динамической или статической. В случае динамического ARP-кеша, новые пары добавляются в него автоматически, путем ответа на широковещательный ARP-запрос. В противном случае на широковещательный запрос ответ не генерируется, а записи в таблицу нужно вносить руками. Чем нам может быть полезна статическая таблица?

1) как средство защиты от подмены ip адресов;
2) инструмент для бана хостов по MAC-адресу;
3) защита от вручную сконфигурированных параметров сети;

Разберем по пунктам.

1) Средство защиты от подмены ip адресов.
Вы администратор небольшой локальной сети, трафик на Вашем предприятии не анлимный и стоит денег. Каждый месяц Вы носите отчеты по использованию трафика работниками шефу. Отчеты генерируются по ip адресам сотрудников, ip жестко привязаны к MAC-адресам и прописаны на DHCP сервере. Так бы и жили долго и счастливо, …если бы не младший бухгалтер Вася. Вася, как оказалось в последствии, очень любил французские мелодрамы, но интернетов у него дома небыло, а брать фильмы в прокате — жаба давила.  И тут один далекий знакомый Василия рассказал ему как можно и фильмы смотреть, и деньги экономить. На следующий день, когда все разошлись на обед, Василий полез… Полез в свойства протокола TCP/IP и присвоил себе ip адрес главбуха… Окрыленный своей победой, Василий начал качать гигабайты мелодрам… В конце-концов, шеф списывает с З/П главбуха сумму, эквивалентную потраченным гигабайтам. А потом шум… гам… главбух орет: » Не может быть! Это не я! Я не качала! И вообще не люблю я французские фильмы!!!»… шеф тычит в нее Вашим отчетом о потраченном трафике… одним словом, дурдом. Вопрос решать надо и шеф нанимает для расследования консалтинговую компанию «Нет проблем». В ходе расследования «Нет проблем» находит в кеше браузера Василия следы пребывания на искомых сайтах. А дальше все просто: Вы (из-за своей некомпетенции) и Василий (из-за своего жлобства) делят поровну долги за перерасход трафика и оплачивают работу компании «Нет проблем».
Все было бы иначе, если бы Вы использовали статическую ARP-таблицу. После подмены Василием ip адреса, шлюз не пустил бы его в интернеты из-за несоответствия пары IP-MAC. Тут стоит оговорится что это далеко не панацея от подмены адреса, так как MAC тоже может быть заменен на фальшивый, но не верю я что Василий справился бы с этой задачей.

2) инструмент для бана хостов по MAC-адресу.
Если Вы любитель отстроить и забыть — это может Вам пригодится. Ибо больше не надо перегружать правила фаервола или рестартовать сквид. Можно приспособить под эти нужды статическую ARP-таблицу. Достаточно заменить в ней правильный MAC-адрес на не соответствующий адаптеру и забаненый юзер не пройдет дальше локальной сети.

3) защита от вручную сконфигурированных параметров сети.
Если с первыми двумя примерами все достаточно ясно, то тут могут появится вопросы. Уточнение: тут пойдет речь не о «подмене» ip, а о банальном проникновении в сеть изнутри с целью посканить, поспуфить и выведать сурьезные коммерческие тайны. Что может помешать нам вручную указать IP не использующийся в локальной сети вообще? Верно. Статическая ARP-таблица. Тут у внимательного читателя должен возникнуть вопрос: «Каким образом она может помешать, если IP, который поставит злоумышленник, вообще нет в сети». А кто Вам сказал что его нет? В этом и заключается хитрость — он есть. Фактически в сети может присутствовать сколь угодно мало хостов, вплоть до двух, но наша статическая таблица будет содержать все 255 возможных записей для каждого IP, в каждой подсети. Реальные IP адреса будут иметь свои реальные MAC’и, а остальные IP свои поддельные. В таком случае при попытке указать любой IP вручную, ОС расскажет Вам о том, что этот IP в данный момент занят и использовать его нельзя.

От теории к практике

Для того, чтобы увидеть ARP таблицу, достаточно ввести в терминале:

#arp -an
? (192.168.0.1) at 00:00:00:00:00:00 on lan0 permanent published [ethernet]
? (192.168.0.2) at 00:00:00:00:00:00 on lan0 permanent published [ethernet]
? (192.168.0.3) at 00:00:00:00:00:00 on lan0 permanent published [ethernet]
? (192.168.0.4) at 00:00:00:00:00:00 on lan0 permanent published [ethernet]

Параметр -n говорит ARP’у о том, что не надо резолвить DNS имена хостов. Для того, чтобы очистить таблицу:

#arp -da
192.168.0.1 (192.168.0.1) deleted
192.168.0.2 (192.168.0.2) deleted
192.168.0.3 (192.168.0.3) deleted
192.168.0.4 (192.168.0.4) deleted

Внести запись в таблицу о новой паре, а также забанить по MAC, для примера, написав нулевой. Не забываем, если arp-запись уже существует, сначала ее нужно удалить, и только потом добавлять новую. Ключа для изменения уже существующей, увы, нет:

#arp -d 192.168.0.2
#arp -s 192.168.0.2 00:00:00:00:00:00 pub

Необходимо учитывать что ARP-таблица существует в памяти до первой перезагрузки. Такое положение вещей нас совсем не устраивает, если мы собираемся внедрять защиту от «вручную» выставленных IP. По этому — рисуем скрипт для автоматического обновления ARP-кеша, который и назовем ArpGuard.sh:

#!/bin/sh
#
# Variable
#
config="/usr/local/etc/arpguard.conf"
#
# Functions
#
Usage ()
{
echo "Usage: `basename $0` {command}"
echo ""
echo "Command:"
echo "--------"
echo "start              - clear all arp records and load mac-list"
echo "stop               - clear all arp records"
echo "restart            - Such as start (for compatiblity)"
echo "status             - lists all arp records"
echo "deny {ip}          - deny access for specify ip-addr"
echo "clear {ip}         - clear arp record for specify ip-addr"
echo "info {ip}          - print info for specify ip-addr"
echo "owner {key}        - search for keyword in mac-list's comments"
echo "fill {net} {i} {k} - fill mac-list by null-records from net.i to net.k"
}
#
CheckArg ()
{
        if [ -z "$1" ]; then
            Usage
            exit 1
        fi
}
#
# Start script
#
echo "ArpGuard/fbsd v.2.0"
#
case $1 in
start)
        printf " * Clearing all arp records..."
        arp -da > /dev/null 2>&1
        printf "                                        [ Ok ]\n"
        printf " * Loading mac-list..."
        arp -f ${config} > /dev/null 2>&1
        printf "                                                [ Ok ]\n"
        ;;
stop)
        printf " * Clearing all arp records..."
        arp -da > /dev/null 2>&1
        printf "                                        [ Ok ]\n"
        ;;
restart)
        printf " * Clearing all arp records..."
        arp -da > /dev/null 2>&1
        printf "                                        [ Ok ]\n"
        printf " * Loading mac-list..."
        arp -f ${config} > /dev/null 2>&1
        printf "                                                [ Ok ]\n"
        ;;
status)
        arp -an
        ;;
deny)
        CheckArg "$2"
        printf " * Deny access for ip-address $2..."
        arp -d $2 > /dev/null 2>&1
        arp -s $2 00:00:00:00:00:00 pub > /dev/null 2>&1
        printf "                        [ Ok ]\n"
        ;;
clear)
        CheckArg "$2"
        printf " * Clearing record for ip-address $2..."
        arp -d $2 > /dev/null 2>&1
        printf "                [ Ok ]\n"
        ;;
info)
        CheckArg "$2"
        arp $2
        comment=`cat ${config} | grep -E "^$2[ ]" | awk '{print $5}'`
        echo "Owner: ${comment}"
        ;;
owner)
        CheckArg "$2"
        grep -i $2 ${config}
        ;;
fill)
        CheckArg "$4"
        printf " * Filling mac-list by null-records for $2.$3 - $4..."
        echo "## $2.`expr "$3" "-" "1"` - $2.`expr "$4" "+" "1"`   <UNKNOWN>" >> ${config}
        echo "#" >> ${config}
        i="$3"
        while [ "${i}" -le "$4" ]
        do
            number1=`/usr/bin/jot -r 1 10 99`
            number2=`/usr/bin/jot -r 1 10 99`
            echo "$2.${i}       00:00:${number1}:00:${number2}:00  pub  # <<nobody>>" >> ${config}
            i=`expr "${i}" "+" "1"`
        done
        echo "#" >> ${config}
        printf "        [ Ok ]\n"
        ;;
*)
        Usage
        ;;
esac
#
exit 0

Далее кладем ArpGuard.sh в /usr/local/etc/rc.d и делаем для него конфиг:

#./ArpGuard.sh fill 192.168.0 1 255

Редактируем /usr/local/etc/arpguard.conf Пишем там соответствующие IP адресу MAC’и. После # для удобства пишем хозяина пихи.
Есть задумка включить в скрипт кусок кода, который будет парсить dhcpd.conf, и автоматом расставлять в arpguard.conf если кто-то напишет — присылайте, дополню.
Теперь про параметры запуска:
start — очищает ARP-таблицу и загружает ее из конфига
stop — очищает ARP-таблицу
restart — тоже самое, что и start
status — выводит текущую ARP-таблицу
deny {ip} — запрещает доступ указанному IP
clear {ip} — удаляет указанный IP из таблицы
info {ip} — показывает информацию о указанном IP
owner {comment} — ищет запись в комментариях конфига (владельца)
fill {net} {start} {end} — создает конфу и заполняет ее пихами и рандомными маками
После того как мы отредактировали конфиг, запускаем:

#/usr/local/etc/rc.d/ArpGuard.sh start

Пробуем ставить руками IP, радуемся что не можем и идем пить чай.

P.S. Еще раз хочу оговориться и заострить Ваше внимание на том, что статическая ARP таблица может быть полезна как дополнительное средство для обеспечения безопастности. Изложеный мной подход вполне способен оградить Вас от интересующихся «школьников» и продвинутого «офисного планктона», но он никак не помешает целенаправленной атаке на Вашу сеть. Для полноценной защиты от несанкционированного доступа необходимо использовать целый комплекс средств и действий, но это тема уже совсем другой статьи :)

В закладки!

# mdconfig -a -t vnode -f filename.iso -n 0
# mount_cd9660 /dev/md0 /path/to/folder

Соответственно размонтировать и уничтожить диск можно так:

# umount /path/to/folder
# mdconfig -d -u 0

Для удобства использования на десктопе можно настругать простенький скрипт:

#!/bin/sh

file_name="$2"
folder="$3"
mdcnf=/sbin/mdconfig
mntcd=/sbin/mount_cd9660
umnt=/sbin/umount

# Скрипт монтирования ISO
case "$1" in
        start)
                ${mdcnf} -a -t vnode -f ${file_name} -n 0
                ${mntcd} /dev/md0 ${folder}
                echo "ISO mounted"
                ;;
        stop)
                ${umnt} ${folder}
                ${mdcnf} -d -u 0
                echo "ISO umounted"
                ;;
        *)
                exit 64
                ;;
esac

Запуск и остановка:

# ./mnt_iso.sh start Leo4All.iso /mnt
ISO mounted
# ./mnt_iso.sh stop /mnt
ISO umounted
#

В закладки!

В закладки!