freebsd

od czasu pierwszych nieśmiałych prób optymalizacji stosu TCP we FreeBSD 4.x, przeglądam od czasem do czasem aktualne standardowe ustawienia w /etc/sysctl.conf i lubię je trochę podrasować. w międzyczasie, wiele z nich zdążyło się poważnie zmienić, zmieniły się też (we FreeBSD wręcz zostały modularne) całe algorytmy zarządzania stosem TCP/IP, ale bazujący na kodzie FreeBSD MacOSX jest troszkę bardziej konserwatywny. na swoich MacOSach mój /etc/sysctl.conf wygląda zatem tak: net.inet.tcp.mssdflt=1460 net.inet.tcp.minmss=536 net.inet.tcp.win_scale_factor=5 net.inet.tcp.randomize_ports=1 net....

ponieważ dosyć często instaluje serwery i wirtualki z FreeBSD, zwykle wiąże się to z pewnym zestawem minimalnych czynności na “czystym” systemie. o ile część portów instaluje się oczywiście per przypadek, np. bird czy routinator, jest pewien zestaw podstawowych czynności które i tak wykonuje na świeżym systemie zawsze. a zatem, na początek upewnijmy się, że korzystamy z najnowszych portów i zainstalujmy program pkg: sed -i '' s/quarterly/latest/g /etc/pkg/FreeBSD.conf pkg upgrade mój osobisty zestaw portów:...

jeśli musisz spakować wiele rzeczy, wykorzystanie potężnej ilości rdzeni i wątków nowoczesnych CPU wydaje się oczywiste, chyba że… narzędzia, których używasz, w ogóle nie biorą pod uwagę dostępności takiego luksusu. i wszystko co robisz, robisz w oparciu o jeden rdzeń/wątek. ponieważ spędzam ostatnio dużo czasu głównie w środowisku FreeBSD i MacOS, narzędzia których zwykle używam uruchamiam z linii poleceń terminala. tak więc, dla każdego użycia gzip - spróbuj użyć pigz, a dla bzip2 - programu pbzip2....

jeśli podobnie jak ja, uwielbiacie korporacje, które wolą kłamać wam w żywe oczy jakoby rzekomo wcale Was nie śledziły w internecie, jesteście w stanie zainwestować dużo swojego czasu żeby utrudnić im życie. kolejnym pomysłem Google’a jest FLoC - Federated Learning of Cohorts. wspaniała koncepcja, która pomimo zarzekania się, że zwiększa prywatność - najprawdopodobniej jeszcze bardziej ją zmniejszy. warto przede wszystkim nie używać Google Chrome. użyj Brave, Firefoxa - i sprawdź ustawienia bezpieczeństwa i prywatności (w szczególności DoH, który domyślnie uruchomiony obchodzi Twoje własne serwery DNS!...

jeden z prostszych problemów do rozwiązania w momencie gdy pracujecie z FreeBSD zainstalowanym kiedyś na za małym dysku, jest rekompilowanie systemu. chodzi oczywiście o przestrzeń dyskową. w moim przypadku starusieński system który zaczął jeszcze jako i386 w okolicach chyba wersji 6 na dysku 20GB w którymś momencie doszedł do ściany i w okolicach 11 dalej się tak nie dało. w międzyczasie maszyna fizyczna zamieniła się w wirtualną, więc dodanie dysku nie stanowi już problemu....

FreeBSD zmigrował właśnie do git i o ile podręcznik jest jeszcze poprawiany, możesz wykonać migrację źródeł na swoją rękę. po pierwsze, przesuń oryginalne źródła (jeśli je masz), do osobnego katalogu. jeśli używasz też własnej konfiguracji jądra - je trzeba będzie też gdzieś przechować. mv /usr/src /usr/src.old kolejnym krokiem jest doinstalowanie git - domyślnie nie jest jeszcze częścią systemu: pkg install git ostatnim krokiem jest sklonowanie repozytorium. ja osobiście śledzę aktualne drzewo -STABLE....

ostatnio podczas przeglądania logów na kontrolerze WLAN, zauważyłem, że od czasu do czasu nie widać odpowiedzi do stacji z serwera DHCP. trochę się zdziwiłem, bo domownicy nie narzekają - a narzekaliby od razu. postanowiłem sprawę sprawdzić po kolei na wszystkich elementach sieci. pierwsze podejrzenie padło na przełączniki. dlaczego? skoro generalnie wszystko działa, nikt nie narzeka (a narzekają bardzo szybko) prawdopodobnie chodzi o dropy na interfejsach. komunikaty wskazywały bowiem na bardzo rzadkie występowanie problemu....

jak zapewne nie trudno zauważyć, nastąpiła przeprowadzka. zamiast przeprowadzać się na WordPressa, postanowiłem pójść trochę ambitniej i postawiłem na platformę Hugo, wspieraną przez Go… i statyczne generowanie stron. Hugo wspiera i18n, więc dostarcza priorytetowej funkcjonalności, a po drugie - takie rozwiązanie uwalnia mnie od ciągłego dłubania w PHP i SQLu :)

…gdy wszyscy się na Ciebie czają. parę tygodni temu odświeżyłem FreeBSD na którym stoi mój prywatny serwer pocztowy. od pewnego czasu ilość spamu po prostu rosła. stary spamassassin nieco nie dawał już sobie rady z poprawnym markowaniem. enter spamd z projektu OpenBSD. uaktualniony postfix ma wbudowany serwer realizujący greylisting działający dosyć dobrze. osobiście delikatnie go dopasowałem zwiększając znacznie czas, który musi upłynąć od ostatniej próby dostarczenia maila (1200 sekund, czyli 20 minut):...

moja stara biedna karta 9211-8i w serwerze na którym trzymam NAS cache jednak postanowiła odejść. wsadzona ’na szybko’ karta 9261-8i nie chciała mi nawet FreeNASa zbootować… i nie mogłem dojść czemu. kręciłem się wokół problemów przy bootowaniu: mfi0: COMMAND 0xfffffe000150dc08 TIMEOUT AFTER 59 SECONDS mfi0: COMMAND 0xfffffe000150dc90 TIMEOUT AFTER 59 SECONDS mfi0: COMMAND 0xfffffe000150dc18 TIMEOUT AFTER 59 SECONDS run_interrupt_driven_hooks: still waiting after 60 seconds for xpt_config fora pokazują abstrakcyjne rozwiązania (‘wyłącz kontroler Firewire’, albo ‘w ogóle kontroler ATA!...

FreeNAS to specjalna edycja mocno stuningowanego FreeBSD (niekoniecznie najnowszego), z dodatkowym interfejsem WWW do świadczenia usług typowych dla NAS. musiałem ostatnio w pośpiechu migrować swojego NASa Synology 1815+, który po prostu pewnego dnia powiedział ’nie’. na nic zdały się resety, magiczne zabiegi oraz fora w internecie. ku mojemu zdziwieniu, na nic również zdał się kontakt z serwisem - ponieważ sprzęt został kupiony trzy lata temu, serwis w zasadzie wysłał mnie na drzewo....

ogarnięcie nowej rzeczywistości (w szczególności na nowym miejscu) nie jest proste. wszystko jest jeszcze bardzo świeże, a jednocześnie tak doskonale znane :) wiecie może, że prowizorki trzymają się świetnie latami a zaczynają od prostego ’tylko na chwilę’? no właśnie :) tak czy inaczej, grudniowe początki zaczęły się od prawdziwego horroru związanego z podniesieniem mojego serwera pocztowego z FreeBSD 9-STABLE (właśnie się zEoLował) do 11-STABLE. tradycyjny make buildworld; make kernel KERNCONF=server; mergemaster -FiU; make installworld; reboot nie dało rady, z jakiegoś powody (WTF?...

właśnie migruje swoje środowisko “widoczne publicznie” na FreeBSD 10.1-STABLE z ostatnich maszyn, na których była jeszcze 9’ka. dotarło do mnie właśnie, że moja przygoda z FreeBSD zaczęła się w okolicach wersji 4.1 (jeszcze widziałem gdzieś płytki z 3.4) jakieś… 14 lat temu? było to zaraz po tym, jak upgrade glibc na Slackware spowodował totalną zapaść wszystkiego co się rusza, poza bootem samego jądra. jakiż świat dzisiaj jest inny - docker króluje, tworzenie kolejnych wirtualnych instancji jest tanie (brakuje tylko nowych publicznych adresów IPv4) a samo FreeBSD domyślnie zawiera już dzisiaj VIMAGE… starzeje się :)...

jakiś czas temu zamieniłem w domu BINDa na Unbound, w związku ze zmianą domyślnego serwera DNS w FreeBSD (tak, mam w domu swój serwer DNS i serwuje z niego odpowiedzi na wszystkie zapytania; stoi sobie na wirtualce). właściwie, mam teraz cztery ;) za czasów BINDa korzystałem z wielu skryptów dopisujących strefy zawierające przekierowanie do 127.0.0.1 dla domen serwujących reklamy. za czasów Unbounda…. zupełnie o tym zapomniałem. w związku z ostatnimi ciekawymi doniesieniami o tzw....

ciekawe ulepszenie do transportu ruchu w sesjach HTTP zaproponowane jakiś czas temu przez Google zaczyna powoli zdobywać popularność. co prawda nie używam przeglądarki Chrome, ale w Firefoxie od wersji 11 jest możliwość włączenia tego protokołu (about:config -> network.http.spdy.enable=true). po stronie serwera warto odpalić sobie mod_spdy dla APache (na razie testowo), a w samym Firefoxie doinstalować rozszerzenie SPDY dla Firefoxa pokazujące czy SPDY faktycznie działa. efekt? jest szybciej, bardziej równolegle. warto? możliwe....

…właśnie po raz kolejny mnie to uderzyło. przed chwilą w ramach pewnych eksperymentów potrzebowałem zdefiniować dużo tysięcy (bardzo dużo) kolejek korzystając z ALTQ. niestety, bardzo szybko w trakcie parsowania pf.conf pfctl zameldował, że: pfctl: DIOCADDALTQ: Cannot allocate memory wystarczy jednak w tych trzech plikach: /usr/include/altq/altq_hfsc.h /usr/src/sbin/pfctl/missing/altq/altq_hfsc.h /usr/src/sys/contrib/altq/altq/altq_hfsc.h zmienić stałą #define HFSC_MAX_CLASSES 64 na żądaną wartość, przebudować kernel i wszystko działa jak powinno.

jak co roku zespół inżynierów Cisco opiekuje się kwestiami związanymi z zabezpieczeniem dostępu sieciowego dla całej infrastruktury Wielkiej Orkiestry Świątecznej Pomocy. w tym roku postanowiliśmy eksperymentalnie uruchomić również dostęp po IPv6 - niestety nie udało się przenieść całości rozwiązania na IPv6 (w przyszłym roku powinno to być już możliwe), ale wszyscy dysponujący dostępem do IPv6 mogą oglądać strony Orkiestry za pomocą adresu ipv6.wosp.org.pl. całość jak widać poniżej pracuje na reverse proxy realizowanym na Apache, FreeBSD i serwerze MCS Cisco :)...

zbliża się koniec roku - wszystkich którzy wykorzystują (jak ja) FreeBSD wszędzie tam gdzie potrzebna jest niezawodność, wydajność, bezpieczeństwo i skalowalność, sugeruję udać się na stronę fundacji i wesprzeć kolejne projekty swoimi pieniędzmi. http://www.freebsdfoundation.org/donate/

bardzo ciekawa opisująca co pojawi się FreeBSD 8, które coraz bardziej zbliża się do wydania.

na froncie dużych przepustowości trwa walka (choć nieco rozproszona) o osiągnięcie wydajności dużych dedykowanych platform routujących na sprzęcie dostępnym w sklepie i rozmaitego rodzaju dystrybucjach linuksa czy wersjach BSD. ciekawy dokument pojawił się po ostatnim kongresie Linuksa w Hamburgu. pokazuje, że z jednej strony dobrze dobrana płyta główna i wielordzeniowy CPU to klucz do wydajności w przepychaniu pakietów >10Gbit/s, ale z drugiej strony że realna (pod normalnym ruchem, z funkcjami) wydajność takiej konstrukcji nadal ograniczona jest do maksymalnie 1Mpps (miliona pakietów na sekundę)....

moja prezentacja z MeetBSD 2006 dotycząca monitoringu sieci za pomocą narzędzi dostępnych w systemach BSD znajduje się na stronie z prezentacjami. dodatkowo, wrzuciłem tam też prezentację z odbywającego się dzień wcześniej spotkania instruktorów Akademii Cisco.

moje slajdy z prezentacji SecureCon 2006 są już na stronie z prezentacjami.

już w czwartek rusza Cisco Expo 2006, w warszawskim hotelu Gromada. będę miał okazję w trakcie dwóch dni wypełnionych sesjami opowiedzieć o nowościach w BGP a także o wykorzystaniu mechanizmu NetFlow. natomiast 25.xi rusza meetBSD 2006, drugiego dnia opowiem o wykorzystaniu narzędzi dostępnych w systemach BSD do monitoringu i rozwiązywania problemów w sieci.

jeszcze dzisiaj będę miał okazję poopowiadać (pogawędzić?) o routingu dynamicznym w systemach Open Source na spotkaniu warszawskiego PLUG. jeśli masz czas pojawić się o 18:15 - zapraszam.

już w tą sobotę odbędzie się OS Camp 2006 - nietypowe spotkanie jak na typowe konferencje, na którym uciec będzie można od slajdów, a noc spędzić pod gołym niebem (oczywiście, namioty mile widziane ;) ). natomiast w październiku będę miał okazję wystąpić na konferencji SecureCon 2006, która jak sama nazwa wskazuje skupi się na bezpieczeństwie. Cisco Systems jest jednym ze sponsorów, ale tylko jedna z dwóch moich prelekcji dotyczyć będzie ściśle naszych rozwiązań bezpieczeństwa....

parę dni temu zakończyła się konferencja SuCon. Z materiałami można zapoznać się tutaj, ale ja polecam szczególnie prezentację Henninga Brauera, który po doskonałym pf’ie, zabrał się za demon BGP i porządki w stosie sieciowym OpenBSD. idzie mu to doskonale, mam cichą nadzieję, że porządki zostaną wykonane również we FreeBSD i doczekamy się portu bgpd, tak, jak pojawił się najpierw port pf’a, a później import do systemu podstawowego.

przez następne dwa-trzy tygodnie nie będzie wielu aktualizacji. przygotowuje się do przeprowadzki serwera z Białegostoku do Warszawy. starego, wysłużonego IBMa PII-233 zastąpi nowiutki x306 tego samego producenta. jeśli wszystko pójdzie dobrze, nie zauważycie nawet różnicy. w tym czasie postaram się dopracować nową wersję nieoficjalnego Cisco FAQ PL plus parę innych nowych rzeczy.

niech mi wolno będzie zacytować NetCrafta jeśli chodzi o najbardziej stabilne firmy hostingowe: Seven of the top nine sites run on FreeBSD. The exceptions are Datapipe, which is doing a fine job of promoting the reliability of Windows 2003, and German hosting company komplex.net which runs on Linux. nie żebym chciał się kłócić, który system jest najlepszy do hostowania ;)