• Настройка MikroTik для обхода санкций

    Мне по работе постоянно нужно обращаться к запрещённым для России сайтам, например сайт NXP Semiconductors, на котором куча документации, при обращении с российского IP выдаёт 403. И так много где. Поскольку до технологического суверенитета нам ещё далековато (хотя на российских сайтах тоже попадается полезная информация), а каждый раз включать для этого телепорт в Нарнию надоело, решил настроить на роутере. Итак, что мы имеем:

    • роутер MikroTik RB4011 без Wi-Fi (для всех остальных всё будет так же, но нагрузка будет выше намного и не факт, что он её осилит);
    • обычный российский домашний интернет с белым постоянным айпишником;
    • VDS с белым айпишником (хотя в принципе необязательно белым) в Нарнии, на которой VPN-клиент до дома и MASQUERADE NAT из VPN-сети наружу. В принципе неважно, в какую сторону это будет работать. Как это настроить — тема другой статьи. Сегодня мы чисто про роутер.

    Исходное положение — у роутера есть интернет с внешним постоянным IP, соединение с VDS-кой установлено, внутренний IP-шник 192.168.14.1, VPN IP VDS-ки 192.168.45.1. DNS гугловый 8.8.8.8.

    Также условимся, что у нас есть два списка сайтов — «список разрешённых сайтов», который идёт через обычный российский интернет, и всё остальное, которое идёт через Нарнию.

    1. Создаём 2 address-list с помощью меню IP/Firewall/Address list. В первом пишем сюда свой локальный внутренний IP (например 192.168.14.17) и называем его foreign-internet, во втором — какой-нибудь адрес, который строго требуется открывать через Россию (например gosuslugi.ru, которые не открываются из Нарнии, на момент написания статьи их IPv4-адреса 213.59.254.7 и 213.59.253.7, можно добавлять подсетью, например 213.59.0.0/16), и назовём его russia-only
    2. Создадим правило для перенаправления трафика. Меню IP/Firewall/Mangle. [ ! ] — означает «не» в клеточке слева от поля ввода. Что нужно включить:
      • Enabled
      • Chain=Prerouting
      • Dst-Address=[ ! ] 192.168.0.0/16
      • Src. Address-List = foreign-internet
      • Dst. Address-List = [ ! ] russia-only
      • Action = route
      • Route Dst. = 192.168.45.1
    3. Запоминаем номер правила в списке (в моём случае это 3)
    4. Добавляем в System/Scheduler правило со скриптом следующего содержания и запуском раз в секунду:
      :local HOST 192.168.45.1
      :if ([/ping $HOST count=1] = 0) do={
      :log error "HOST $HOST is not responding to ping request, disabling freedom rule …"
      /ip/firewall/mangle/disable 3
      } else {
      :log warning "HOST $HOST ping is ok, enabling freedom rule …";
      /ip/firewall/mangle/enable 3
      }

    Готово! Вы великолепны.

    Это работает так. Все хосты, внесённые в список foreign-internet, получают доступ к сети через Нарнию, и всякие сайты типа NXP, Analog Devices, Нельзяграм, Лицокнига и тд начинают нормально работать. Если нужно, чтобы какой-то хост работал только через Россию (для быстродействия или потому, что из Нарнии он недоступен) — добавляем его в список russia-only. Если Нарния отвалится — все пойдут через обычный российский интернет. Если восстановится — всё вернётся. Обо всём остальном позаботится роутер.

  • nivc_lifehacks

    Это всё, что возьму я с собой.

    — Юра «Музыкант» Шевчук, ДДТ

    Лайфхаки с внутреннего портала одной некогда великой организации.

    Команда для формирования ISO из папки
    mkisofs -o ../ISONAME.iso -V DISC-LABEL -P "AO OLOLO" -joliet-long -l -force-rr -R -D .

    Неожиданное поведение Астры при смене времени на хосте.
    Ситуация — нужно произвести расчёты в целях тестирования. Свежих данных нет, считаю старыми, для этого отодвигаю время на хосте на месяц назад удалённо. Сижу, работаю дальше, возникает необходимость перезагрузить компьютер. Пишу sudo reboot, жду… минуту нет, две, пять…

    С мыслями «что-то пошло не так» иду к машине. А она циклично ребутится. В консоли — unexpected inconsistency on /, last superblock mount is in future, please run fsck manually и спрашивает логин/пароль.
    У рута пароля нет. Логин пользователя из sudoers не принимает, хочет рута. Редактор параметров загрузки ядра тоже не работает. ¯\_(ツ)_/¯
    Что делать, кроме исправления времени обратно вперёд? Проблема на самом деле абзац. Выключили питание при севшей батарейке биоса, и что, лапки кверху и работать не будем? Непорядок.

    Решение простое — подключить диск к другому компьютеру, /etc/default/rcS, в конце его параметр. Делаем FSCKFIX=yes, закрываем, перезагружаемся, вуаля. Причём это касается и других дебианоподобных систем, во всяком случае у убунты этот параметр тоже отключен.

    VLAN в Astra Linux.
    Для подключения к стенду нужно быть в одном broadcast domain с ним. Пробросили мне VLAN 300, а как его настроить — хз.

    В /etc/network/interfaces пишем:

    auto lo eth0.300
    iface eth0.300 inet static
    address 192.168.x.y
    netmask 255.255.255.0
    gateway 192.168.x.y
    vlan_raw_device eth0

    reboot и всё каласо 🙂

    Разблокировка пользователя в ALD (и не только).
    Если много-много-много раз неправильно набрать пароль пользователя, то сервер согласится, что пароль маоцзедун войти в систему под этим пользователем больше не получится. Гуёвая логинилка будет говорить, что пароль неверный. Войдём в консоль и увидим:
    duty-main login: arm-admin
    Account locked due to 100500 failed logins.

    При этом на уровне ALD никаких блокировок не установлено.
    Решение проблемы:
    # pam_tally --user=username --reset'

    Монтирование FTP-каталога в локальную файловую систему в Astra Linux.
    Задача — примонтировать папку со сборочной машины в локальную ФС виртуалки, чтобы не копировать туда репозиторий каждый раз.
    $ sudo curlftpfs -o nonempty,allow_other files/repo/astra/1.5 /srv/ftp/repo/astra/1.5/

    Строка в /etc/fstab может выглядеть так:
    curlftpfs#files/repo/astra/1.5/ /srv/ftp/repo/astra/1.5/ fuse allow_other,nonempty 0 0

    Про постгрес и аудит.
    — Сколько памяти занимает Chrome?
    — Сколько найдёт…
    По умолчанию постгрес астры ведёт аудит и пишет в логи каждый выполненный запрос. При очень интенсивной работе с БД (при работе опрашивающих оборудование агентов, например), этот аудит очень быстро съедает всё место, до которого может дотянуться.
    Нужно найти в /etc/postgresql/9.4/main/postgresql.conf строку:
    ac_audit_mode = ''internal'' # rbt audit mode. Possible values are
    и поставить её в none.
    Например, так:
    sed -i /etc/postgresql/9.4/main/postgresql.conf -e "s/ac_audit_mode\s=\s'internal'/ac_audit_mode = 'none'/"

    Конфигурация платы PCL-746
    Положение DIP-переключателей на платах рассчитывается следующим образом.
    Адрес платы состоит из 10 бит. Назовём их А0…А9.
    Записывается он следующим образом:
    Три младших бита (А0, А1, А2) — всегда нули.
    Семь битов А3…А9 задаются DIP-переключателями инвертированно. То есть биту 1 соответствует положение переключателя «OFF», биту 0 — соответственно «ON»; кроме того, самому старшему биту (А9) соответствует самый правый переключатель (с самым большим номером), а самому младшему (А3) — самый левый. Это немного неинтуитивно, на мой взгляд, логичнее было бы всё сделать наоборот. Ну да ладно, пусть разработчику платы икнётся. 🙂
    Можно, кстати, перевернуть плату кверх ногами, тогда все положения переключателей будут правильные («ON» — 1, «OFF» — 0) и будут в правильном порядке отвечать за 7 старших бит адреса.
    Таким образом, положение DIP-переключателей для адреса, например, 100h, определяется так:
    1. Переводим 100h в двоичное представление. Получается 1 00000 000.
    2. Отбрасываем последние три нуля. Остаётся 1 000 00.
    3. Дополняем число нулями слева до 7 знаков, если надо. Получается 0 1000 00.
    4. Инвертируем. Получается 1 0 111 11
    5. «Переворачиваем» число зеркально слева направо. Получается 1111101. Это и есть требуемая конфигурация переключателя, соответствующая адресу 100h.

    Таким образом, рассчитанные положения перемычек адресации выглядят так:
    Порт 1 (RS-485) Адрес 0x218, DIP-переключатель 0011110
    Порт 2 (RS-232) Адрес 0x220, DIP-переключатель 1101110

    Если Астра не запоминает разрешение экрана…
    Столкнулись с проблемой.
    Ситуация: Астра грузится, но в разрешении 640х480 по центру FullHD монитора с чёрными полями по краям. Настраиваешь в настройках — встаёт штатное разрешение монитора (в нашем случае — 1920х1080), но после перезагрузки опять 640х480. При загрузке других современных линуксов с флешек и тому подобного ситуация аналогичная.
    Ярослав Борисович настроил в xorg.conf ручное разрешение, но это помогло частично. Окно входа стало то же 640х480, но уже не во весь монитор, а маленьким окошком в уголке. Мышь давала себя двигать по всему монитору. После долгого красноглазия обратили внимание на то, что в программе настройки монитора два видеовыхода указано — VGA-1 и LVDS-1. Второй я уже после нашёл на плате распаянным — видимо для подключения матрицы напрямую. А потом, наблюдая за Linux Mintом, запущенным с флешки, я обратил внимание, что в левом верхнем углу, за пределами основного монитора, и есть кусочек размером 640х480, размеры которого берёт Linux (причём любой, не только Астра) для основного монитора. Проблема в том, что оно не знало, что LVDS-1 на самом деле ни к чему не подключен; кроме того она считала его основным монитором.
    Видеоядро на этой плате Intel 8086:a001 (встроенное в ядро CPU Intel Atom Processor Integrated Graphics Controller).
    Такое поведение системы лечится дописыванием опций ядра video=LVDS-1:d video=VGA-1:e в переменную GRUB_CMDLINE_LINUX_DEFAULT в /etc/default/grub и запуском команды update-grub. В нашем случае переменная стала выглядеть так:
    GRUB_CMDLINE_LINUX_DEFAULT="quiet splash video=LVDS-1:d video=VGA-1:e"
    Таким образом этот интерфейс полностью отключается.

    Veracrypt и монтирование томов.
    Если при монтировании криптоконтейнера в VeraCrypt возникает ошибка «device-mapper: resume ioctl on truecrypt* failed: invalid argument», то нужно в настройках установить галку «Do not use kernel cryptographic services».
    На Kubuntu 14.04.2 LTS с ядром 3.16.0-50-generic без этой галки VeraCrypt не работает.

    Удалённый скриншот на Астре.
    xwd -root -display :0 ./screendump.file
    convert ./screendump.file ./scree.bmp
    этот вариант хорош тем, что не требует момент форвардить иксы + можно чисто из под терминала под любой ОС получить полный (или частичный) скриншот экрана

    AstraLinux и форвардинг иксов (боян).
    По умолчанию в Астре форвардинг X-приложений не работает (помимо проблем с MITSHM, см. ниже).
    Для того, чтобы заработал, нужно в конфиг-файл /etc/ssh/sshd_config
    добавить строку X11UseLocalhost no и выдать команду /etc/init.d/ssh restart
    После этого при переподключении всё заработает.

    Некорректное отображение Qt4 приложений через ssh на Astra Linux.
    При подключении по ssh к хосту с Astra Linux и запуске любого Qt4 приложения, отрисовывается только панель заголовка и пустое окно без каких-либо элементов.
    Это как-то связано с использованием Qt4 расширения X11 MIT-SHM (MIT Shared Memory Extension), о чём свидетельствуют многочисленные ошибки в консоли при запуске.
    На данный момент удалось решить проблему, запретив Qt4 использовать это расширение, добавив на хосте переменную окружения «QT_X11_NO_MITSHM=1».
    По идее это должно сказаться на скорости отрисовки, но я пока не заметил побочных эффектов.
    Если кто-нибудь знает более правильный способ, прошу отписать в комментариях.

  • Удаление каталога .git из дерева проекта

    find . -name .git -exec rm -rvf {} +

  • Быстрое вычисление MD5SUM для каталога.

    find -type f \( -not -name "md5sum.txt" \) -exec md5sum '{}' \; > md5sum.txt