8 листопада 2019 р.

pfsense синхронізація pf таблиці snort2c на інший firewall

Є фаєрвол pfsense (192.168.0.2) з встановленим пакунком snort.
Snort аналізує проток даних що приходить від мережевого інтерфейсу котрий під'єднаний до mirror port мережевого комутатора HP 2920.
Програма Snort аналізує мережевий потік що йде від ISP. На основі правил, отриманих за підписками, snort блокує IP адреси заносячи їх до відповідної таблиці фаєрволу pf - 'snort2c'.
Так як для аналізу мережевого потоку використовується не основний фаєрвол, а інший сервер, то за таблицею 'snort2c' нічого реально не блокується.
Фаєрвол pfsense запущено у віртуальній машині сервера PROXMOX у приватній підмережі 192.168.0.0/24.
Діаграма підключень

Для реального блокування IP адрес (ipv4, ipv6), необхідно передати інформацію про заблоковані IP адреси на інший сервер з FreeBSD (192.168.0.1) додаючи адреси до локальної таблиці 'snort2c' фаєрволу pf, і також зупиняючи усі з'єднання що існували з цими IP адресами.

1 листопада 2019 р.

Нотатка. Як обмежити швидкість реплікації ZFS

За звичай швидкість треба максимальна, але інколи треба не навантажити "живу" систем у і скопіювати данні. Як це зробити ?
Шейпінгом на рівні мережевих протоколів, щось не то... хоча і можливо.
За звичай реплікація zfs виконується через потоки, zfs send | zfs recv, або віддалений варіант zfs send | ssh -e ... zfs recv.
Тому додамо щось між двома потоками. 
На вихід прийде  cstream - direct data streams, with bandwidth limiting, FIFO, audio, duplication and extended reporting support.
Підгледів у proxmos:
pvesm export zpool:vm-111-disk-2 zfs - -with-snapshots 1 -snapshot __replicate_111-1_1572565050__ -base __replicate_111-1_1572548430__ | /usr/bin/cstream -t 5000000 | /usr/bin/ssh -e none -o 'BatchMode=yes' -o 'HostKeyAlias=s1' root@10.1.0.1 -- pvesm import zpool:vm-111-disk-2 zfs - -with-snapshots 1 -base __replicate_111-1_1572548430__ 
| /usr/bin/cstream -t 5000000 | 
Таким чином zfs send | cstream -t 5000000 | zfs recv , обмежить швидкість реплікації до 5МB/s.

30 жовтня 2019 р.

Нотатка: Proxmox заміна диску у пулі ZFS

Використвую Proxmox VE
Пул  ZFS  Mirror вийшов з ладу один з дисків, як замінити ?

1) Replace the physical failed/offline drive, /dev/sdc

Initialize Disk
2) From the WebUI, Servername -> Disks -> Initialize Disk with GPT (/dev/sdc)
or fdisk /dev/sdc, -g, -w.

Copy the partition table from /dev/sdb to /dev/sdc
3) sgdisk --replicate=/dev/sdc /dev/sdb

Ensure the GUIDs are randomized
4) sgdisk --randomize-guids /dev/sdc

Then replace the disk in the ZFS pool,
5) zpool replace rpool /dev/sdc1

За матеріалами:
https://forum.proxmox.com/threads/zfs-disk-replacement.41230/

9 жовтня 2019 р.

Нотатки. Тестування iSCSI Mutltipath. Windows Server 2019, FreeNAS


Маю Windows Server 2019 для Hyper-V.
Вирішив протестувати  iSCSI Mutltipath на двох 1Gb мережевих адаптерах  що під'єднанні до сервера FreeNAS з iSCSI службою.
Результат, завантажуються два інтерфейси з загальним коефіцієнтом десь 1.4.
FreeNAS служба iSCSI з використанням ZVOL на пулі ZFS Z2, з шести дисків SATA 3.
Приклади налаштування iSCSI Mutltipath Using MPIO with the Windows Server iSCSI Initiator - Petri, FreeNAS iSCSI Configuration for MPIO - Virtualization Howto



24 вересня 2019 р.

Split united interlaced video (.dv4) to frames and compose interlaced video x264,x265(hvec)

Є  відеофайлу з відео реєстратора  (AVtech DVR). Вихідне ім'я у нього .dv4 (Bosch Security Systems CCTV Video File) для його програвання є рідний програвач VideoPlayer.exe.
Задача зробити програвання відео з DVR відеореєстратора формату .dv4, засобами opensource.

За аналізом MedioInfo, це відео формату AVC (x264), прогресивний:
Загальна інформація
Повна назва                              : video.dv4
Формат                                   : AVC
Формат/Відомості                         : Advanced Video Codec
Розмір файлу                             : 55.6 МіБ
FileExtension_Invalid                    : avc h264 264

Відео
Формат                                   : AVC
Формат/Відомості                         : Advanced Video Codec
Профіль формату                          : Baseline@L3
Налаштування формату                     : 1 Ref Frames
Налаштування формату, CABAC              : Ні
Налаштування формату, RefFrames          : 1 кадр
Ширина кадру                             : 720 пікс.
Висота кадру                             : 576 пікс.
Співвідношення сторін екрану             : 5:4
Простір кольору                          : YUV
Субдискретизація хроматичності           : 4:2:0
Бітова глибина                           : 8 біт
Тип сканування                           : Прогресивний

Тому для програвання підходить програвач  ffplay з пакунку ffmpeg.
ffplay -i video.dv4
Але так як ресторатор записує відео у черезрядковому форматі (interlaced), то відео записано об'єднаному форматі по вертикалі, де перше поле (А) зверху, друге поле (В) знизу.
Оригінальне відео

20 вересня 2019 р.

Зберігання зображення з dvr до хмари з nextcloud через webdav

Є задача скидати копію зображень з відеореєстратора системи безпеки у хмару.
Є роутер  TP-Link TL-WR1043N/ND v2 з OpenWrt 18.06.2.
Є власна віддалена хмара на основі nextcloud (owncloud).
У хмарі створюємо користувача для вивантажування зображень, і авторизуємося.
У openwrt будемо отримувати доступ до хмари через webdav.

10 вересня 2019 р.

Windows 10, version 1903, Windows Sanbox - Українською є "Ізольоване програмне середовище Windows".

Маючи Windows 10 Pro, і оновившись до version 1903 прочитав новини : що є нова можливість використовувати вбудовану "Sanbox".
Але сходу не зміг ввімкнути цю можливість користуючись англомовними ресурсами.
Деякі ресурси написали що в українській версії не запускався Sandbox у свій час.
То вирішив перевірити і сам. Так я знайшов що в українській версії Windows 10 Pro (1903 збірка 18362.295) Sandbox засукається, а засіб "Windows Sandbox" у перекладі є "Ізольоване програмне середовище Windows".
"Ізольоване програмне середовище Windows" - Windows Sandbox
Всередині тимчасової віртуальної машини запускається не активована Windows 10 Enterprise 1903 з англомовним інтересом.

Додатково можна трохи налаштувати "Windows Sandbox" через створений текстовий  конфігураційний файл .wsb. Наприклад:

<Configuration>
<MappedFolders>
   <MappedFolder>
     <HostFolder>C:\temp</HostFolder>
     <ReadOnly>true</ReadOnly>
   </MappedFolder>
   <MappedFolder>
     <HostFolder>C:\CodingProjects</HostFolder>
     <ReadOnly>false</ReadOnly>
   </MappedFolder>
</MappedFolders>
<LogonCommand>
   <Command>C:\users\wdagutilityaccount\desktop\CodingProjects\VSCodeInstall.cmd</Command>
</LogonCommand>
<VGpu>default</VGpu> 
<Networking>default</Networking> 
</Configuration>

Для запуску "Windows Sandbox" з урахуванням  конфігураційного файлу потрібно подвійним кліком натиснути на конфігураційний файл у провіднику.

Посилання на спільні теки ("temp","CodingProjects") будуть на робочому столі, і автоматично запуститься скрипт "CodingProjects\VSCodeInstall.cmd", а тека "temp" буде тільки для читання.

#Windows10Sandbox #Windows10


1 серпня 2019 р.

FreeBSD. Mosquitto. Mosquitto-Auth-Plugin. LDAP


Mosquitto (http://mosquitto.org)
Mosquitto-Auth-Plugin (https://github.com/jpmens/mosquitto-auth-plug#ldap-auth)

1. Install Mosquitto from ports
$cd /usr/ports/net/mosquitto/
$make config
$make install
$ls -d /usr/ports/net/mosquitto/work/mosquitto-*
/usr/ports/net/mosquitto/work/mosquitto-1.5.8 (remember it)
2. Install openldap client from ports
$cd /usr/ports/net/openldap24-client
$make config
$make install
$make clean 
3. Check openssl lib
$openssl version
OpenSSL 1.0.2o-freebsd  27 Mar 2018
4. Compile Mosquitto from git
$pkg install git
$cd ~ 
$git clone git://github.com/jpmens/mosquitto-auth-plug.git
$cd mosquitto-auth-plug/
4.1. edit config.mk
cp config.mk.in config.mk
MOSQUITTO_SRC = /usr/ports/net/mosquitto/work/mosquitto-1.5.8
OPENSSLDIR = /usr/bin
BACKEND_MYSQL ?= no
BACKEND_LDAP ?= yes 
Copmile path on config.mk or Makefile
CFG_LDFLAGS =-L/usr/local/lib
CFG_CFLAGS =-I/usr/local/include
or edit Makefile
BE_CFLAGS = -I/usr/local/include
BE_LDFLAGS = -L/usr/local/lib/
or run comadns for replace
sed 's#MOSQUITTO_SRC =#MOSQUITTO_SRC = /usr/ports/net/mosquitto/work/mosquitto-1.5.8#' config.mk.in > config.mk 
sed -i "" 's#OPENSSLDIR = /usr#OPENSSLDIR = /usr/bin#' config.mk
sed -i "" 's#BACKEND_MYSQL ?= yes#BACKEND_MYSQL ?= no#' config.mk 
sed -i "" 's#BACKEND_LDAP ?= no#BACKEND_LDAP ?= yes#' config.mk 
sed -i "" 's#CFG_LDFLAGS =#CFG_LDFLAGS =-L/usr/local/lib#' config.mk  
sed -i "" 's#CFG_CFLAGS =#CFG_CFLAGS =-I/usr/local/include#' config.mk
sed -i "" 's#BE_CFLAGS =#BE_CFLAGS = -I/usr/local/include#' Makefile     
sed -i "" 's#BE_LDFLAGS =#BE_LDFLAGS = -L/usr/local/lib/#' Makefile 
4.2 Compile
$pkg install gmake 
$qmake
FreeBSD compile Mosquitto-Auth-Plugin

23 липня 2019 р.

Цікавий аналіз змісту апаратний ключів



«Чому всім можна, а мені не можна?» Або реверс API і отримуємо дані з eToken / Хабр

за матеріалами (2016): Hormiga (habr.com):
Я спробував все ЗКЗІ, до яких зміг дотягнутися: Кріпто-Ком, Кріпто-Pro, Message-Pro, Сигнатура і навіть Верба. Всі ці ключі успішно пройшли копіювання і працювали.

Але як же так? Хіба не повинні ключі бути невитягуваними з токена? Відповідь криється в специфікаціях eToken: справа в тому, що незнімний ключ дійсно є, але служить він тільки для криптоперетворень за допомогою алгоритму RSA. Жодне з розглянутих ЗКЗІ ... ні, ось так: жодне з ЗКЗІ, схвалених ФСБ для використання на території РФ (буцімто) не використовує RSA, а всі вони використовують криптоперетворень на основі ГОСТ- *, тому eToken - не більше ніж флешка з паролем і хитромудрим інтерфейсом. 


Перевірю на своєму eToken-Java 72K



Коли забув ти рідну мову, біднієш духом ти щодня...
When you forgot your native language you would become a poor at spirit every day ...

Д.Білоус / D.Bilous
Рабів до раю не пускають. Будь вільним!

ipv6 ready