Subnets.ru blog

Добро пожаловать в блог! Надеемся, что Вы еще вернетесь.

В 7-ой версии FreeBSD очень сильно переработана поддержка wi-fi. Были добавлены ряд драйверов беспроводных карт, среди которых и драйвер для Intel 3945 — wpi(4).
После выхода FreeBSD 7.0-RELEASE была добавлена возможность работы с несколькими точками доступа (далее — AP) одновременно (дата добавления — 20.04.2008). Посему, для получения всех «вкусностей» работы с wi-fi рекомендуется обновиться до текущей версии FreeBSD.

Процесс «поднятия» выглядит, примерно, так:

1. в /boot/loader.conf добавляется:
legal.intel_wpi.license_ack=1
wpifw_load=»YES»
if_wpi_load=»YES»

2. в ядро:
# Wireless NIC cards
device wlan # 802.11 support
device wlan_wep # 802.11 WEP support
device wlan_ccmp # 802.11 CCMP support
device wlan_tkip # 802.11 TKIP support
device wlan_amrr # AMRR transmit rate control algorithm
device wlan_scan_ap # 802.11 AP mode scanning
device wlan_scan_sta # 802.11 STA mode scanning

3. Создается файл /etc/wpa_supplicant.conf (рекомендуется прочитать wpa_supplicant(8)):
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=wheel
network={
ssid=»имя АР»
scan_ssid=1
key_mgmt=NONE
wep_tx_keyidx=0
wep_key0=здесь ключ(без кавычек!)
}

4. Активируется wi-fi адаптер

5. Дается комманда: wpa_supplicant -BDbsd -i wpi0 -c/etc/wpa_supplicant.conf

6. ifconfig wpi0 должен выдать нечто подобное:
wpi0: flags=8843< UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
ether 00:1b:77:f9:aa:42
inet 192.168.1.3 netmask 0xffffff00 broadcast 192.168.1.255
media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/36Mbps)
status: associated
ssid default channel 10 (2457 Mhz 11g) bssid 00:c0:02:b4:a9:1a
authmode OPEN privacy ON deftxkey 1 wepkey 1:104-bit txpower 50
bmiss 7 scanvalid 60 protmode CTS roaming MANUAL

7. Управление wpa_supplicant осуществляется посредством wpa_cli:
# wpa_cli
wpa_cli v0.5.10
Copyright (c) 2004-2008, Jouni Malinen < j@w1.fi > and contributors
This program is free software. You can distribute it and/or modify it
under the terms of the GNU General Public License version 2.
Alternatively, this software may be distributed under the terms of the
BSD license. See README and COPYING for more details.
Selected interface 'wpi0'
Interactive mode
> status
bssid=00:c0:02:b4:a9:1a
ssid=default
id=0
pairwise_cipher=WEP-104
group_cipher=WEP-104
key_mgmt=NONE
wpa_state=COMPLETED
ip_address=192.168.1.3

При копировании статьи ссылка на источник ОБЯЗАТЕЛЬНА !

Автор: Панфилов Алексей (lehis (at) subnets.ru)

NFS — Network File System

Задача.

Сбалансировать нагрузку на 2 www+база данных сервера и заставить их использовать одно хранилище www-контента, базы данных и логов.

Вариант решения.

Резолв DNS имени www-сервера на 2 разных ip-адреса используемые www-серверами, и организация для них общего хранилища www-контента, базы данных и логов при помощи NFS

Настройка NFS-сервера

— Ядро должно быть собрано с опцией

options NFSSERVER # Network Filesystem Server

— Необходимо создать файл экспорта, в котором описываются локальные точки системы, доступные для монтирования клиентами, файл /etc/exports
— Формат файла:
/mnt/disk1/www /mnt/disk2/mysql /mnt/disk3/logs -maproot=0 192.168.0.10 192.168.0.11

Если требуется экспортировать более 3-х точек, например — 4, следует описывать их в другой строке файла. Иными словами, в одной строке должно быть не более 3х точек экспорта

Права доступа на точки экспорта в нашем случае описаны следующим образом:
-maproot=user
Права данного пользователя используются для удаленного подключения как root. Права включают все группы в которые входит пользователь на локальной машине. Может быть представлен по имени или uid (как в нашем примере).

192.168.0.10 192.168.0.11 — хосты которым разрешено монтирование.
Подробнее по синтаксису можно прочесть в man 5 exports

запуск сервера осуществляется последовательностью команд
/usr/sbin/rpcbind -l -h 192.168.0.1
/usr/sbin/mountd -r
/usr/sbin/nfsd -h 192.168.0.1 -t -n 8

Описание параметров

rpcbind
-l — Turn on libwrap connection logging
-h — биндинг адреса для UDP requests (если не указать — будет слушать на всех доступных)
mountd
-r — Allow mount RPCs requests for regular files to be served
nfsd
-h — биндинг адреса
-t — параметр, указывающий обслуживать только TCP-клиентов (если требуется работать по протоколу UDP, следует указать параметр -u)
-n — количество создаваемых серверов

Настройка WWW-серверов (NFS клиентов)

— Ядро должно быть собрано с опцией
options NFSCLIENT # Network Filesystem Client

Монтирование осуществляется командами вида
/sbin/mount_nfs -3 -T 192.168.0.1:/mnt/disk1/www /usr/local/www
/sbin/mount_nfs -3 -T 192.168.0.1:/mnt/disk2/mysqk /var/db/mysql
/sbin/mount_nfs -3 -T 192.168.0.1:/mnt/disk3/logs /var/log/httpd

Описание параметров
-3 — использовать только версию 3 протокола NFS
-T — использовать TCP в качестве траспортного протокола (-U — udp по умолчанию)
192.168.0.1 — адрес nfs-сервера
/mnt/disk1/www — директория на сервере (описываются в /etc/exports на сервере)
/usr/local/www — локальная директория для монтирования на клиенте

Примечания
Для клиентов доступен демон nfsiod, который регулирует максимальное количество запускаемых клиентов (max — 20)
Для просмотра подробной статистики на сервере и клиентах можно использовать утилиту nfsstat.
Монтирование производится поверх локальных ресурсов (т.е. если примонтировать в директорию с данными, локальные данные не будут доступны до размонтирования).

Более подробно можно прочесть на
http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/network-nfs.html

Вступление

Одна из самых активных угроз, с которыми мы сталкиваемся сегодня на Интернете — кибер преступления.

Преступники постоянно выдумывают все более и более искушенные средства для получения прибыли от преступной деятельности. Одно из таких средств Fast flux.

Fast flux это botnet с большим количеством зомби машин которые используются для сокрытия фишинга, сайтов распространяющих вредоносные программы, а так же для массовых рассылок электронных писем (spam) и DDoS атак.

Как работает Fast flux (вкратце)

Fast-flux основывается на DNS, когда один домен «откликается» на множественные IP-адреса.

Например домен pill-us.com:

nslookup pill-us.com

Name: pill-us.com
Address: 24.90.114.185
Name: pill-us.com
Address: 59.149.201.184
Name: pill-us.com
Address: 68.144.184.77
Name: pill-us.com
Address: 77.41.123.70
Name: pill-us.com
Address: 78.107.250.1
Name: pill-us.com
Address: 79.111.8.130
Name: pill-us.com
Address: 79.111.18.116
Name: pill-us.com
Address: 79.111.75.16
Name: pill-us.com
Address: 79.113.25.52
и т.д.

Список IP адресов связанные с именем домена может меняться каждые 5-ть секунд. Таким образом данный домен постоянно остается online и когда Ваш браузер заходит по адресу данного домена, то он, по сути, соединяется с одной из бот-машин (зараженный компьютер). Так же злоумышленники проверяют бот-машины на доступность и полосу пропускания интернет канала, чтобы более эффективно использовать данные компьютеры.

Графические примеры работы:

Fast-flux сети представляют реальную угрозу, т.к. количество зараженных машин исчисляется сотнями тысяч. Для провайдеров (ISP) это дополнительная нагрузка на каналы и оборудование, спам из их сети, а значит и проблемы с внешними спам-листами.

Более подробно, о Fast flux можно прочесть на сайтах:

• www.honeynet.org
• spamtrackers.eu
• www.spamhaus.org

Как бороться ?

Найти домен относящийся к Fast-flux сети можно из приходящего к вам спама. Достаточно сделать DNS запрос по имени сайта указанного в письме. Если сайту соответствует множественные IP-адреса и они постоянно меняются, то вы нашли то, что искали.
Составте список таких доменов и с помощью небольшого perl скрипта можно искать бот-машины в своей сети. Техника работы скрипта проста. Он читает список доменов из файла и делает DNS запросы по каждому их них, собирает DNS ответы и если обнаруживает указанные вами IP-адреса шлет вам e-mail сообщение. Как только достигнут конец файла с именами доменов скрипт «засыпает» на 60 секунд и процесс начинается сначала.

Есть скрипты с использованием базы данных: http://honeynet.org.au/release/Tracker-V1.1.zip

Так же рекомендую посетить http://www.malwaredomains.com чтобы пресечь распространение вредоносных программ (Malware) используя Domain Blocking (Black Hole DNS).

Запуск вещания VoD (Video on Demand) — Видео по запросу

Для примера возьмем сервер с unicast IP-адресом 172.16.10.14, вещаем с порта 5554

Консоль сервера:
===========
1. vlc --ttl 12 --color -I telnet --telnet-password 123 --rtsp-host 172.16.10.14:5554

2. telnet localhost 4212

3.
> new Test vod enabled
> setup Test input /path/to/file.avi

На клиенте:
=======
запускаем vlc проигрыватель
нажимаем «Файл» ->«Открыть URL»
в строке MRL пишем: rtsp://172.16.10.14:5554/Test
жмем «ОК» — смотрим фильм «по запросу»

---

Multicast вещание нескольких видео файлов на multicast IP-адреса 239.255.1.1 и 239.255.1.2

Вещаем по RTP, консоль сервера:
===========
1. vlc --ttl 12 --color -I telnet --telnet-password 123

2. telnet localhost 4212

3.
> new channel1 broadcast enabled
> setup channel1 input /path/to/file_1.avi
> setup channel1 output #rtp{mux=ts,dst=239.255.1.1,sap,name="Channel1"}
> new channel2 broadcast enabled
> setup channel2 input /path/to/file_2.avi
> setup channel2 output #rtp{mux=ts,dst=239.255.1.2,sap,name="Channel2"}
> control channel1 play
> control channel2 play

Вещаем по UDP, консоль сервера:
===========

1. vlc --ttl 12 --color -I telnet --telnet-password 123

2. telnet localhost 4212

3.
> new channel1 broadcast enabled
> setup channel1 input /path/to/file_1.avi
> setup channel1 output #standard{access=udp{ttl=12},mux=ts{tsid=22,pid-video=23,pid-audio=24,pid-pmt=25,use-key-frames},dst=239.255.1.1,sap,name="Channel1"}
> control channel1 play
По второму каналу точно так же, не буду повторяться.

Если мы хотим зациклить проигрывание файлов до бесконечности «по кругу» то добавим:
> setup channel1 loop
> setup channel2 loop

На клиенте:
========
запускаем vlc проигрыватель
нажимаем «Инструменты» -> «Настройки», там, в нижнем левом углу жмем в «Показывать настройки» на «Все», затем раскрываем «Вывод потока», а там ищем «Модули вывода», в поле «Интерфейс вывода IPv4 multicast» пишем IP-адрес, который прописан на вашей сетевой карте ( смотрящей в сторону сервера вещающего поток), жмем «Сохранить»

Для просмотра потока по RTP:

После того как выполнили настройки: «Файл» ->«Открыть URL»
в строке MRL пишем:
udp://@239.255.1.1:5004 (что бы посмотреть видео из файла file_1.avi)
или
udp://@239.255.1.2:5004 (что бы посмотреть видео из файла file_2.avi соответственно)

Для просмотра потока по UDP:
в строке MRL пишем:
udp://@239.255.1.1 (что бы посмотреть видео из файла file_1.avi)

З.Ы.

Так же запустить вещание в один поток по UDP можно так:

vlc -vvv /path/to/file.avi —sout ‘#standard{access=udp{ttl=15},mux=ts{tsid=22,pid-video=23,pid-audio=24,pid-pmt=25,use-key-frames},dst=239.255.1.1}’ —random —loop —volume 100

---

VLC Unicast to HTTP

Вещаем поток в HTTP страницу, просмотр возможен как и на HTTP странице, так и отдельно с помощью плеера Windows Media Player.

Консоль сервера:
===========
vlc -vvv /path/to/file.avi --sout '#transcode{vcodec=DIV3,vb=256,scale=1,acodec=mp3,ab=32,channels=2}:std{access=mmsh,mux=asfh,dst=:8080}'

На клиенте:
========
код страницы для отображения вещания + ссылка на запуск WMP:

<html>
<title>TEST</title>
<body>
<div id='content'>
<table align='left' style='border:none'>
<tr><td  style = 'width:320px;border:none'>
<div style = 'width:320px;'>
<OBJECT ID="mediaPlayer" width="320" height="309"
                CLASSID="CLSID:6BF52A52-394A-11d3-B153-00C04F79FAA6"
                CODEBASE="http://activex.microsoft.com/activex/controls/mplayer/en/nsmp2inf.cab#Version=6,4,5,715"
                STANDBY="Loading Microsoft Windows Media Player components..."
                TYPE="application/x-oleobject">
<PARAM NAME="url" VALUE="mms://10.10.16.71:8080">
<PARAM NAME="autoStart" VALUE="1">
<PARAM NAME="bgColor" VALUE="#000000">
<PARAM NAME="showControls" VALUE="true">
<PARAM NAME="TransparentatStart" VALUE="false">
<PARAM NAME="AnimationatStart" VALUE="true">
<PARAM NAME="StretchToFit" VALUE="true">
<EMBED src="mms://10.10.16.71:8080"
                        type="application/x-mplayer2"
                        name="MediaPlayer"
                        autostart="1" showcontrols="1" showstatusbar="1" autorewind="1"
                        width="320" height="309"></EMBED>
</OBJECT>
</div>
</td><td valign=top style='padding-left:30px;border:none;text-align:left'>
<a class='text' href='mms://10.10.16.71:8080'>Открыть в МедиаПлеер</a>
</td></tr>
</table>
</div>
</div>
</body>
</html>

10.10.16.71 — IP-адрес сервера, с которого вещается поток
8080 — порт куда вещается поток

Заливаем эту страницу на свой WWW сервер, заходим на нее http://адрес_WWW_сервера/mms_test.html и смотрим вышаемый поток.

---

VLC Multicast to Unicast

Принимаем поток по multicast, а отдаем по unicast

Консоль сервера:
===========

vlc --ttl 12 udp://@224.0.42.49:5000 --sout '#std{access=udp,mux=ts,dst=192.168.1.15:1234}'

224.0.42.49:5000 — адрес потока откуда берем multicast
192.168.1.15 — адрес клиента куда отправляем unicast

Будьте внимательны с указанием портов для потоков.

Если на сервере несколько сетевых карт и соответственно IP-адресов, то указать через какую карту брать поток можно прописав маршрут (роутинг) через IP-адрес сервера на нужной вам сет. карте, например на сервере одна из сет. карт это em0 с IP-адресом 192.168.1.1:

route add 224.0.42.49/32 192.168.1.1

Добавив маршрут сервер будет пытаться получить multicast поток через em0, что можно видеть с помощью tcpdump:

tcpdump -ni em0

09:24:34.475683 IP XX.XX.100.182.32857 > 224.0.42.49.5000: UDP, length 1316
09:24:34.478554 IP XX.XX.100.182.32857 > 224.0.42.49.5000: UDP, length 1316
09:24:34.481677 IP XX.XX.100.182.32857 > 224.0.42.49.5000: UDP, length 1316

Отправка unicast потока клиенту (192.168.1.15) будет выглядеть примерно так:

09:26:11.374433 IP 192.168.1.1.61320 > 192.168.1.15.1234: UDP, length 1316
09:26:11.376441 IP 192.168.1.1.61320 > 192.168.1.15.1234: UDP, length 1316
09:26:11.378381 IP 192.168.1.1.61320 > 192.168.1.15.1234: UDP, length 1316

На клиенте:
=======
запускаем vlc проигрыватель
нажимаем «Файл» ->«Открыть URL»
в строке MRL пишем: udp://@192.168.1.15
жмем «ОК» — смотрим unicast поток отправляемый сервером

Сжимаем выходной поток:

vlc --ttl 12 -vvv udp://@224.0.42.49:5000 --sout '#transcode{vcodec=mp4v,acodec=mpga,vb=200,ab=128,deinterlace}:rtp{mux=ts,dst=192.168.1.15}'

«vb=» — Эта опция позволяет установить bitrate видио потока в kbit/s
«ab» — TЭта опция позволяет установить bitrate аудио потока в kbit/s

---

VLC и несколько сетевых интерфейсов
Вопрос:

У меня в компьютере несколько сетевых интерфейсов, как указать VLC чтобы multicast шел через нужный мне, например 192.168.1.15 ?

Ответ:
Это можно сделать указав IP-адрес нужного вам сетевого интерфейса в настройках VLC.

Теперь IGMP запросы будут уходить с сетевого интерфейса с IP-адресом 192.168.1.15

Если вещание производится из консоли сервера (например сервер с OS FreeBSD) и в нем несколько сетевых интерфейсов, то указать через какой интерфейс пускать поток multicast (udp) можно прописав статический маршрут, например:

224.0.42.49 — адрес потока который собираемся вещать
192.168.1.15 — IP-адрес на одной из сетевых карт сервера

route add 224.0.42.49/32 192.168.1.15

Теперь поток multicast (udp) будет уходить с сетевого интрфейса с IP-адресом 192.168.1.15

Ссылки:

• VideoLAN Streaming Howto
• Архивы VLC
• Форум VLC

Новости, источник soft.mail.ru:

Wi-Fi запрещен в России под угрозой конфискации

Чиновники Россвязьохранкультуры заявили, что для использования технологии Wi-Fi, которая сейчас внедрена практически во все продаваемые ноутбуки, коммуникаторы, карманные компьютеры и даже многие мобильные телефоны, нужно специальное разрешение на использование радиочастот и регистрация в надзорной службе.

За нарушение таких требований компьютер или стационарный модем может быть конфискован.

В ответе на запрос заместитель начальника Управления контроля и надзора в сфере связи Владимир Краснов заявил, что владельцу радиоэлектронных средств технологии Wi-Fi необходимо получить разрешениена использование радиочастотного спектра, а также зарегистрировать оборудование.

Речь идет о регистрации как хотспотов, так и домашних маршрутизаторов и встроенных в ноутбуки, смартфоны и КПК приемо-передающих устройств. Размещение любых радиоэлектронных средств на территории городов Москвы и Санкт-Петербурга должно также согласовываться с Федеральной службой охраны и Федеральной службой безопасности.

То есть, если предположить, что использовать даже встроенные в ноутбуки, КПК, смартфоны и иные мобильные устройства средства Wi-Fi нельзя без регистрации и разрешения на использование радиочастоты, как пишет г-н Карпов, то в ближайшее время можно ожидать рейдов по Интернет-кафе и торгово-развлекательным центрам, где зачастую предоставляется возможность работать в Интернет, по сбору «незаконных радиоэлектронных средств». Если же регистрировать надо только хотспоты, то конфискация угрожает как минимум домашним маршрутизаторам (модема с Wi-Fi).

Бред ? Правда ?
Что думаете ?