Posts

krótka obserwacja z labowania - jeśli chcesz logować informacje (choćby via Syslog), a interfejs zarządzający umieściłeś w osobnym VRFie (dobry pomysł), konfiguracja VRFu odbywa się w dwóch, a właściwie trzech (jeśli policzyć definicję VRFu) miejscach. jeśli zapomnisz o którymś, logowanie nie zadziała. po pierwsze, stwórzmy definicję VRFu zarządzającego i skonfigurujmy prawidłowo interfejs zarządzający: ! vrf definition MGMNT rd 444:444 ! opcjonalne, ale dla porządku dodaję ! address-family ipv4 exit-address-family ! address-family ipv6 exit-address-family ! ..teraz interfejs: ...

od czasu pierwszych nieśmiałych prób optymalizacji stosu TCP we FreeBSD 4.x, przeglądam od czasem do czasem aktualne standardowe ustawienia w /etc/sysctl.conf i lubię je trochę podrasować. w międzyczasie, wiele z nich zdążyło się poważnie zmienić, zmieniły się też (we FreeBSD wręcz zostały modularne) całe algorytmy zarządzania stosem TCP/IP, ale bazujący na kodzie FreeBSD MacOSX jest troszkę bardziej konserwatywny. na swoich MacOSach mój /etc/sysctl.conf wygląda zatem tak: net.inet.tcp.mssdflt=1460 net.inet.tcp.minmss=536 net.inet.tcp.win_scale_factor=5 net.inet.tcp.randomize_ports=1 net.inet.tcp.blackhole=2 net.inet.tcp.icmp_may_rst=0 net.inet.udp.blackhole=1 net.inet.ip.redirect=0 nie ma tu żadnej magii, być może pomoże Ci to trochę lepiej wykorzystać swoje łącze. w zasadzie są to zmiany dosyć bezpieczne, ale warto zawsze skonsultować znaczenie poszczególnych wartości zanim się je zastosuje. ...

ponieważ dosyć często instaluje serwery i wirtualki z FreeBSD, zwykle wiąże się to z pewnym zestawem minimalnych czynności na “czystym” systemie. o ile część portów instaluje się oczywiście per przypadek, np. bird czy routinator, jest pewien zestaw podstawowych czynności które i tak wykonuje na świeżym systemie zawsze. a zatem, na początek upewnijmy się, że korzystamy z najnowszych portów i zainstalujmy program pkg: sed -i '' s/quarterly/latest/g /etc/pkg/FreeBSD.conf pkg upgrade mój osobisty zestaw portów: ...

jeśli musisz spakować wiele rzeczy, wykorzystanie potężnej ilości rdzeni i wątków nowoczesnych CPU wydaje się oczywiste, chyba że… narzędzia, których używasz, w ogóle nie biorą pod uwagę dostępności takiego luksusu. i wszystko co robisz, robisz w oparciu o jeden rdzeń/wątek. ponieważ spędzam ostatnio dużo czasu głównie w środowisku FreeBSD i MacOS, narzędzia których zwykle używam uruchamiam z linii poleceń terminala. tak więc, dla każdego użycia gzip - spróbuj użyć pigz, a dla bzip2 - programu pbzip2. ...

Mirek Maj zaprosił mnie dzisiaj do podcastu fundacji bezpieczna cyberprzestrzeń aby skomentować ostatni “komunikat pełnomocnika rządu ds. cyberbezpieczeństwa”. pozwolę sobie to oświadczenie przytoczyć w całości bo nie jest długie: W związku z rosnącym zagrożeniem atakami typu DDoS (niedostępność usługi) CSIRT GOV przekazał na przełomie lutego i marca bieżącego roku wytyczne dotyczące działań wyprzedzających mających na celu minimalizację skutków ewentualnego cyberataku. W związku z kolejnymi informacjami, które wpłynęły do instytucji odpowiedzialnych za cyberbezpieczeństwo, w dniu 23 marca do instytucji administracji państwowej i operatorów infrastruktury krytycznej została przekazana rekomendacja dotycząca wdrożenia ww. wytycznych, tj. zablokowania ruchu z wybranych krajów. Blokada powinna obowiązywać do 27 marca, przy czym, jeżeli zaistnieją ku temu przesłanki, może zostać wydłużona. ...

BGP Blackholing wrócił - małymi kroczkami (‘better done than perfect’). zapraszam na stronę z aktualną “instrukcją obsługi”. miłego blackholowania!

miłym dodatkiem do ostatnich wersji obrazów IOS-XE jest wartość maksymalna ilości przefiksów rozgłoszonych w procesie BGP: rtr-edge#sh bgp ipv4 unicast summary [...] 6807 received paths for inbound soft reconfiguration BGP activity 1126906/107856 prefixes, 1337822/171863 paths, scan interval 60 secs 878960 networks peaked at 15:02:09 Jan 29 2022 CET (22:53:01.065 ago) [...] rtr-edge#sh bgp ipv6 unicast summary [...] BGP using 102467162 total bytes of memory BGP activity 1126898/107856 prefixes, 1337806/171843 paths, scan interval 60 secs 140720 networks peaked at 05:46:19 Jan 29 2022 CET (1d08h ago) [...] będąc zalogowanym przez CLI nie przeoczysz teraz różnego rodzaju anomalii… bo w systemach monitoringu, którymi oczywiście obserwujesz swój router, te informacje już masz, prawda? ...

jedna ze starych (ale przydatnych) sztuczek, która została nawet swego czasu udokumentowana to zasymulowanie kombinacji CTRL+BREAK na nowych PeCetach (i Macach) żeby dostać się do ROMMONu. zamiast walczyć z SecureCRT na MacOSie, miałem okazję przypomnieć ją sobie wczoraj, starając się wyzerować szybko router. generalnie, cała procedura polega na tym, że: rozłączasz terminal od urządzenia wyłączasz urządzenie ustawiasz terminal na 1200 (tak, tysiąc dwieście) baud, 8N1 i brak kontroli przepływu (ang. flow control) włączasz urządzenie naciskasz SPACJĘ przez jakieś 10-15 sekund (zwykle do momentu, aż terminal wyrzuci na ekran jakieś śmieci) przekonfigurujesz sobie terminal na 9600 8N1 i… jesteś w ROMMONie tak, jestem stary. ...

dałem się Michałowi namówić i wygląda na to, że zostanę autorem rozdziału w książce o podstawach bezpieczeństwa IT. tematem będzie (jakżeby inaczej) bezpieczeństwo routingu - tego takiego lokalnego oraz globalnego. będzie trochę wprowadzenia dla osób, które codziennie tematem się nie zajmują, ale będzie też mięso dla tych, którzy chcą zobaczyć co i jak można zrobić, żeby przejść od podstaw zupełnych do podstaw praktycznych. oczywiście, to nie jest moje ostatnie słowo. ale najpierw powiedzmy ‘a’ ;) ...

od czasu do czasu zdarza mi się polecić jakąś konkretną rzecz - pisałem kiedyś np. o słuchawkach Bose QC 35 i tym jak bez sensu było opierać się chwalącym je kolegom (dzięki Gaweł!). oraz ciągle piszę o FreeBSD, czasami też o Cisco ;) ale do rzeczy - gdy już wrócimy do podróżowania, niebalanym tematem dla każdego technologicznego geeka, a za takiego się uważam, jest plecak. wiem, “ale ty jesteś dyrektorem” a plecak jest bardzo “niedyrektorski”. cóż, nie dbam o tytuły i lubię robić rzeczy, które mają sens a nie zastanawiać się jak mój aktualny tytuł pasuje do tego co noszę. co więcej, zawsze szanowałem pracę fizyczną i po całym dniu siedzenia na spotkaniach, słuchaniu prezentacji, manewrowania zawartościami arkusza kalkulacyjnego czy w końcu zdobywania świata, lubię oddać się niewielkiemu (lub nieco większemu) “dłubaniu”. ...