所有文章

南瓜视频最近被整改，一时陷入片荒。 家里的电视机好不容易禁止升级，能用ES浏览器，挂上百度网盘，看存在里面的电影。 但是，百度网盘现在基本是磁力和BT都失效了，没办法，只能想个办法看怎么下载并上传到百度网盘了。 一、Aria2，用来下载BT和磁力文件。 安装Aria2，这个非常简单，就一个执行文件和一堆配置文件就行了。 wget https://github.com/P3TERX/Aria2-Pro-Core/releases/download/1.35.0_2021.02.19/aria2-1.35.0-static-linux-amd64.tar.gz tar zxvf aria2-1.35.0-static-linux-amd64.tar.gz mkdir /root/.aria2 cd /root/.aria2 wget https://p3terx.github.io/aria2.conf/aria2.conf wget https://p3terx.github.io/aria2.conf/clean.sh wget https://p3terx.github.io/aria2.conf/core wget https://p3terx.github.io/aria2.conf/script.conf wget https://p3terx.github.io/aria2.conf/rclone.env wget https://p3terx.github.io/aria2.conf/upload.sh wget https://p3terx.github.io/aria2.conf/delete.sh wget https://p3terx.github.io/aria2.conf/dht.dat wget https://p3terx.github.io/aria2.conf/dht6.dat wget https://p3terx.github.io/aria2.conf/move.sh wget https://p3terx.github.io/aria2.conf/LICENSE touch aria2.session 注意这里是root用户运行，如果要用其他用户，修改/root/.aria2/aria2.conf里面的/root就行。 然后再造个systemctl的启动控制文件： cat <<EOF>>/etc/systemd/system/aria2.service [Unit] Description=aria2 Service After=network.target Wants=network.target [Service] Type=simple ExecStart=/root/aria2c --conf-path=/root/.aria2/aria2.conf Restart=on-failure # Don't restart in the case of configuration error RestartPreventExitStatus=23 [Install] WantedBy=multi-user.target EOF systemctl daemon-reload systemctl start aria2 注意，如果有防火墙，注意打开以下三个端口。 ...

amce申请证书实在是太烦了，对于一台只有1cpu 512m的vps来说，装这个东西简直就是费时费劲。 好在有人干脆开发了一个go语言的工具lego，这东西完全能够替代掉ACME https://github.com/go-acme/lego/ 只有一个执行文件，极简主义： 申请证书一句话： lego --email="foo@bar.com" --domains="example.com" --http run 回答一下Yes 然后生成的证书都放在.lego/certificates/目录下 续费也是一句话 lego --email="foo@bar.com" --domains="example.com" --http renew 及其简单，也方便搬迁。生成的证书crt是带证书链条的 申请好就可以装trojan了。实在是方便 如果DNS是托管在阿里云上，可以开一个阿里ram账号，然后用dns的api验证 ALICLOUD_ACCESS_KEY=aaaaaaaa ALICLOUD_SECRET_KEY=bbbbbbbb \ ./lego --email admin@ddky.com --dns alidns --domains *.ddky.com run 如果DNS是托管在namesilo上，同样可以开一个api的key，时间一定要放长，否则不生效！ NAMESILO_API_KEY=ccccc NAMESILO_PROPAGATION_TIMEOUT=3600 NAMESILO_POLLING_INTERVAL=120 NAMESILO_TTL=3600 \ ./lego --email zhangranrui@gmail.com --dns namesilo --domains *.rendoumi.com run

https://www.cisco.com/c/en/us/support/docs/smb/routers/cisco-rv-series-small-business-routers/smb4127-configure-simple-network-management-protocol-snmp-on-rv320-a.html 这篇说的很详细了 按图索骥即可 snmpwalk v3参数解释： -v 1|2c|3 specifies SNMP version to use -u USER-NAME set security name (e.g. bert) -l LEVEL set security level (noAuthNoPriv|authNoPriv|authPriv) -a PROTOCOL set authentication protocol (MD5|SHA) -A PASSPHRASE set authentication protocol pass phrase -x PROTOCOL set privacy protocol (DES|AES) -X PASSPHRASE set privacy protocol pass phrase 简单说，v3支持两重加密，要输入两个密码 snmpset -v3 -u Cisco -l authPriv -a MD5 -A FuckCisco -x DES -X zhenbushidongxi 192.168.1.1 .1.3.6.1.4.1.9.2.9.9.0 i 2

这是个什么命题？！没办法，有时候需要用到这种方式 首先去cisco交换机配置： snmp-server community private RW snmp-server system-shutdown 然后在linux机器上执行： # snmpset -v 2c -c private 192.168.1.1 .1.3.6.1.4.1.9.2.9.9.0 i 2 !--- This is an explanation of the variables that this command uses. 10.16.99.55 = ip address of your router private = R/W SNMP Community string of your router .1.3.6.1.4.1.9.2.9.9.0 = tsMsgSend SNMP MIB OID i = Integer as defined SYNTAX in the MIB 2 = reload command as defined in the MIB 最后，Fuck Cisco!!!

我们用的是Cisco ASR 1001-X这个路由器来做BGP的。 前两天做多线BGP的时候，也不知道是遇到Bug了，还是操作顺序有问题，大断网，然后重启路由器。 事后想回顾的时候也是各自有各自的记录，细节语焉不详…… 干脆搭建一个日志服务器来记录下来所有的操作，便于事后复盘 首先在CentOS 7 的系统上安装TACACS+软件，居然在7上用的是6的软件，这点也很怪异 cat << EOF >/etc/yum.repos.d/tacacs-plus.repo [tacacs-plus] name=Tacacs Plus baseurl=http://li.nux.ro/download/nux/misc/el6/x86_64/ enabled=0 gpgcheck=1 gpgkey=http://li.nux.ro/download/nux/RPM-GPG-KEY-nux.ro EOF 安装tacacs_plus yum –enablerepo=tacacs-plus install tac_plus 注意，我们只是用tacacs_plus来记录操作日志，不是用来限制用户登录和权限的，所以只需要关注两行： vi /etc/tac_plus.conf key = "FuckFuckFuck" accounting file = /var/log/tac_acct.log ...... 启动，centos 6 没有systemctl，只有service service tac_plus start ok, tacacs+配置好了，继续，去Cisco路由器上配 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#tacacs-server host 192.168.171.13 Router1(config)#tacacs-server timeout 10 Router1(config)#tacacs-server key FuckFuckFuck Router1(config)#aaa new-model Router1(config)#aaa accounting commands 0 default stop-only group tacacs+ Router1(config)#aaa accounting commands 1 default stop-only group tacacs+ Router1(config)#aaa accounting commands 15 default stop-only group tacacs+ Router1(config)#end Router1# “0” 用来审计exit和end命令，这样可以明确知道用户的登录。 ...

需要开一台kvm的测试机，但是需要限制速度，10M 我们的物理机使用了bridge，以及vlan tag，所以虚机的网卡是br0.141 查了一圈文档 <interface type='bridge'> <mac address='52:54:00:db:4c:5f'/> <source bridge='br0.141'/> <bandwidth> <inbound average='1250' peak='1250' burst='1250'/> <outbound average='1250' peak='1250' burst='1250'/> </bandwidth> <model type='virtio'/> 注意限速的单位：是kilobyte per second 那么： 1250 kilobyte per second, KB/s = 10 Mbps = 1.25 MB/s 10 Mbps就是通常意义上的网速，/8=1.25 MB/s，就是机器上用下载软件比如迅雷下载，看到的速度（1.25 MB/s）。

诉求很简单，对客户限速，那么麻烦就很多，怎么限？ 先普及一下Cisco的qos知识 单速单桶： 单速单桶模式不允许流量突发，当用户的流量速率小于配置的CIR时，报文被认为是conform；当用户的流量大于CIR时直接被认为是exceed(思科exceed华为violate)。 (图中Tc代表桶里令牌的数量，CBS代表令牌桶的容量即Bc) 如果只配置CIR，不指定Bc，那么默认Bc等于1500bytes或者 CIR数值 / 32 class 100 police 8000 conform-action transmit exceed-action drop class 200 police cir 8000 conform-action transmit exceed-action drop class 300 police 8000 1500 conform-action transmit exceed-action drop class 400 police cir 8000 bc 1500 conform-action transmit exceed-action drop 单速双桶： 支持突发流量，用户的流量会出现三种结果： (图中Tc、Te代表桶里令牌的数量，CBS，EBS代表令牌桶的容量即Bc、Be) 小于或等于CIR（也就是符合CIR） （conform） 大于CIR并小于或等于CIR与Be之和（也就是符合两个桶令牌之和）（exceed） 超过CIR与Be之和（也就是超过两个桶令牌之和）（violate） 如果只配置CIR、Bc，不指定Be，那么默认Be等于1500bytes或者CIR数值 / 32。 class 500 police 8000 1000 conform-action transmit exceed-action set-prec-transmit 1 violate-action drop class 600 police 8000 1000 1300 conform-action transmit exceed-action set-prec-transmit 1 violate-action drop class 700 police cir 8000 bc 1000 be 1300 conform-action transmit exceed-action set-prec-transmit 1 violate-action drop 双速双桶： ...

作为一个运维，现在搞起了Ciso的BGP生意 在Cisco3650上定义VRF，结果报错，一头雾水啊，而且对Cisco也不熟悉啊。 #vrf definition mgmt % Feature is not supported 没办法搜Google啊，解决方法如下： sh license right-to-use license right-to-use activate ipservices all reload license right-to-use activate ipservices all acceptEULA reload 最后显示ipservices和lanbase都有就行了 #sh license right-to-use Slot# License name Type Count Period left ---------------------------------------------------------- 1 ipservices permanent N/A Lifetime 1 lanbase permanent N/A Lifetime

由于大搞BGP线路，所以在Cisco路由器上Mirror了入口的流量到另外一个端口，供suricata分析用。 在Mirror直通kvm虚机过程中遇到以下问题： Mirror的口是Te口，10G的流量，在宿主机上tcpdump可以看到所有流量，但是在kvm上则断断续续，流量丢失一部分，原因很简单： 流量的聚合和转发未配置好，两条命令解决 brctl setageing br2 0 brctl setfd br2 0 但是，如何在宿主机启动的时候自动执行这两句呢？简单，如果系统是CentOS cat <<EOF>>/sbin/ifup-local #!/bin/bash brctl setageing br2 0 brctl setfd br2 0 EOF chmod 755 /sbin/ifup-local 如果系统是Ubuntu cd /etc/network/if-up.d cat <<EOF>>br3-mirror #!/bin/bash if [ "$IFACE" = br2 ]; then brctl setageing br2 0 brctl setfd br2 0 fi EOF chmod +x br2-mirror 在宿主机上问题解决了，在kvm虚机上又遇到问题，Ubuntu，如果让一个网口启动但没有地址呢？ vi /etc/network/interfaces auto ens7 iface ens7 inet manual mtu 1464 up ifconfig ens7 up 注意上面的，ens7就是mirror过来的网口，mtu是因为在cisco做mirror的时候指定了固定的mtu 1464. brctl命令的用法可以参见以下链接： https://www.thegeekstuff.com/2017/06/brctl-bridge/ over.

mouse 的服务器连接到了各个网络核心设备，所以采用了很严格的ip限制，port限制，以及fail2ban来阻止非法访问，但是不巧，把自己也给搞到 jail 里去了。 那么怎么解呢？ 首先查看封锁情况： fail2ban-client status Status |- Number of jail: 2 `- Jail list: sshd, sshd-ddos 有两个jail，sshd和sshd-ddos 进一步查看： fail2ban-client status sshd 发现自己被屏蔽了。 解封的方法： fail2ban-client set sshd unbanip 103.108.236.5 解封只是临时的，永久放入白名单最靠谱： vi /etc/fail2ban/jail.conf ignoreip = 103.108.236.5/32 重启fail2ban systemctl restart fail2ban 这样就ok了。