Задать вопрос
  • Какая скорость работы с диском вашего VDS?

    Laroy
    @Laroy
    atlex.ru

    msk-f7 (виртуальный хостинг)
    Диск с данными клиентов:
    Запись — 536870912 bytes (537 MB) copied, 2.76765 seconds, 194 MB/s
    Чтение — 536870912 bytes (537 MB) copied, 2.39112 seconds, 225 MB/s

    Диск с базами:
    Запись — 536870912 bytes (537 MB) copied, 2.43823 seconds, 220 MB/s
    Чтение — 536870912 bytes (537 MB) copied, 1.70459 seconds, 315 MB/s

    — msk-f8 (виртуальный хостинг) — новый сервер SSD диски
    Диск с данными клиентов:
    Запись — 536870912 bytes (537 MB) copied, 2.51475 s, 213 MB/s
    Чтение — 536870912 bytes (537 MB) copied, 1.17622 s, 456 MB/s

    Диск с базами:
    Запись — 536870912 bytes (537 MB) copied, 2.9881 s, 180 MB/s
    Чтение — 536870912 bytes (537 MB) copied, 1.11688 s, 481 MB/s

    — Виртуалки: везде софтовый рейд 10, самые слабые 512 ОЗУ 1 ядро

    В Чехии
    Запись — 536870912 bytes (537 MB) copied, 2.81114 s, 191 MB/s
    Чтение — 536870912 bytes (537 MB) copied, 3.69322 s, 145 MB/s

    В Москве
    Запись — 536870912 bytes (537 MB) copied, 7.07279 s, 75.9 MB/s
    Чтение — 536870912 bytes (537 MB) copied, 3.61423 s, 149 MB/s
    Ответ написан
    1 комментарий
  • Iptables и подмена ip?

    icoz
    @icoz
    Допустим, что на роутере 2 интерфейса следующего вида:
    eth0 — интернет, имеет адрес ****/24 — неважно
    eth1 — локалка, имеет адрес 192.168.1.1/24
    Удаленный комп имеет адрес 1.2.3.4
    Локальный комп имеет адрес 192.168.1.22
    Локальный виртуальный комп имеет адрес 192.168.1.77

    Сперва надо добавить дополнительный адрес к eth1, который будет обслуживать роутер:
    ip addr add 192.168.1.77/24 dev eth1
    или
    ifconfig eth1 add 192.168.1.77

    Роутинг от удаленного к локальному:
    iptables -t nat -A PREROUTING -s 1.2.3.4 -i eth0 -j DNAT --to-destination 192.168.1.22
    iptables -t filter -A FORWARD -s 1.2.3.4 -d 192.168.1.22 -j ACCEPT
    iptables -t nat -A POSTROUTING -s 1.2.3.4 -j SNAT --to-source 192.168.1.77

    Роутинг к удаленному от локального:
    iptables -t nat -A PREROUTING -d 192.168.1.77 -i eth1 -j DNAT --to-destination 1.2.3.4
    iptables -t filter -A FORWARD -d 1.2.3.4 -s 192.168.1.22 -j ACCEPT
    POSTROUTING — не нужен, ибо и так есть NAT, настроенный самим роутером

    ИМХО, должно так работать. Если что — пишите какие ошибки, будем разбираться.
    Ответ написан
    2 комментария
  • Iptables и подмена ip?

    icoz
    @icoz
    Только у удаленного компа айпи белый?
    Ответ написан
    3 комментария
  • Iptables и подмена ip?

    icoz
    @icoz
    Эх. Придётся чуть подождать. Щас накидаю примерно.
    Ответ написан
    1 комментарий
  • Iptables и подмена ip?

    merlin-vrn
    @merlin-vrn
    Ну что, у меня получилось так сделать. Рассказываю.

    Пусть у нас есть локалка, которая получает в интернет доступ через роутер.
    на роутере два интерфейса:
    • eth0 — интернет, имеет адрес 192.0.2.55/24 (такой адрес выдал провайдер, у провайдера шлюз 192.0.2.1)
    • eth1 — локалка, имеет адрес 192.168.1.1/24 (так было по умолчанию. менять не стали.) — серый


    Роутер делает трансляцию адресов (белый адрес только у него). На нём есть маршруты:
    192.168.1.0/24 dev eth1 src 192.168.1.1
    192.0.2.0/24 dev eth0 src 192.0.2.55
    default via 192.0.2.1
    

    и одно правило трансляции (это всё, что нужно для того, чтобы интернет появился в локалке): либо так
    iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

    либо так
    iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 192.0.2.55


    В локалке есть компьютер, скажем, с адресом
    192.168.1.22/24

    и маршрутами
    192.168.1.0/24 dev eth0 src 192.168.1.22
    default via 192.168.1.1
    

    и на нём работает интернет.

    Мы хотим подключиться к компьютеру с адреса 192.0.2.66 (извне) так, чтобы компьютер думал, будто мы на самом деле подключаемся с 192.168.1.77.

    На роутере добавляем трансляцию назначения:
    iptables -t nat -A PREROUTING -s 192.0.2.66 -i eth0 -j DNAT --to-destination 192.168.1.22

    чтобы все пакеты с нужного адреса завернуть на компьютер (а были они направлены роутеру, которому не нужны)

    iptables -t filter -A FORWARD -s 192.0.2.66 -d 192.168.1.22 -j ACCEPT

    чтобы разрешить прохождение всех таких пакетов

    iptables -t nat -A POSTROUTING -s 192.0.2.66 -j SNAT --to-source 192.168.1.77

    чтобы адрес источника в пакетах заменять на поддельный.

    С точки зрения компьютера, 192.168.1.77 находится в локалке, ему не нужен роутер, чтобы послать туда пакет. Поэтому ответов мы не увидим — всё закончится тем, что компьютер получит приветственный пакет извне с нужными нам адресами и начнёт искать (arp who-has) на какой физический адрес отправлять ответы. Поскольку такого физического адреса нет, то ему никто и не ответит.

    Решить эту проблему можно двумя способами. Либо можно назначить этот адрес роутеру: (на роутере)
    ip addr add 192.168.1.77/24 dev eth1

    теперь у роутера два адреса. Когда компьютер будет искать, кому бы отправить ответ, отзовётся роутер. Пакет подхватится conntrackом, будут сделаны обратные преобразования адресов и ответ пойдёт куда надо.

    Либо можно сказать компьютеру, чтобы он конкретно до этого адреса ходил через роутер: (на компьютере)
    ip route add 192.168.1.77 via 192.168.1.1

    Есть и кардинальное решение. Пусть поддельный адрес будет в другой сети, не в локалке: 192.168.2.77/24; тогда никаких дополнительных проблем решать не придётся, а на роутере просто изменится аргумент в последнем --to-source.
    Ответ написан
    5 комментариев
  • Iptables и подмена ip?

    Ingtar
    @Ingtar
    Насколько я знаю, это делается функцией SNAT (source NAT) в цепочке prerouting таблицы nat
    Ответ написан
    3 комментария
  • Могут ли песочницы антивирусов изолировать код драйвера?

    ntkt
    @ntkt
    Потомственный рыцарь клавиатуры и паяльника
    Нет. Об изоляции там речи не идет.
    Теоретически это возможно, но будет медленно, нестабильно и нерентабельно.
    Борьбу на одном уровне привилегий с врагом средства безопасности всегда проигрывают. Если вредоносный код уже в ring0 — пиши пропало.
    Решение — уйти на уровень ниже и поместить средства безопасности в гипервизор. Но это уже совсем другая история.
    Ответ написан
    Комментировать
  • Помогите подобрать преобразование «Ìàðèíà → Марина» с помощью iconv+php

    DimaLondon
    @DimaLondon
    Извиняюсь за оффтоп.
    Гораздо интересным преобразованием было бы преобразование «Валера → Марина».
    С дальнейшим использованием по назначению xD
    Ответ написан
    Комментировать
  • Помогите подобрать преобразование «Ìàðèíà → Марина» с помощью iconv+php

    Anonym
    @Anonym
    Программирую немного )
    <offtop>
    преобразование «Ìàðèíà → Марина»
    define('Ìàðèíà', 'Марина');
    

    </offtop>
    Ответ написан
    Комментировать