分類:技術相關

整理筆記:BGP

BGP,Border Gateway Protocol,邊界網關協議。是一種去中心化、自治、矢量的外部網關協議(EGP)。幾個月前,因興趣使然,決定瞭解一下。說是去瞭解——只不過是偶爾無事可做的時候用來消磨時間罷了。

就像 OSPF、RIP 等內部網關協議(IGP)一樣,BGP 中也有鄰居的存在,通常稱為 peer。但與 IGP 不同,IGP 通常通過廣播來發現鄰居。BGP 中的鄰居必須手動配置鄰居關係。每個 peer 都有自己的 ASN (Autonomous System Number),BGP 中通過 AS 與 peer 來形成鄰接關係。

BGP 有兩種。擁有不同 ASN 的 peer 形成鄰接關係後,會成為 eBGP(External BGP),而擁有相同 ASN 的 peer 則是 iBGP(Internal BGP)。

eBGP 用於在不同的 AS 中交換路由信息。每個 AS 只知道自己的 IP 前綴(如:45.76.204.0/23,代表 45.76.204.0 – 45.76.205.255,寫這篇文章時,它在互聯網上由 AS20473 廣播)。AS 知道怎麼路由到自己的前綴。 AS 通過與其它 AS 形成鄰接來獲取對方前綴的 nexthop。

BGP 是通過「廣播」來交換信息的。默認情況下,BGP 會廣播自己所知道的路由(包括從別的 peer 學習到的路由,nexthop 會變成自己)給所有的 peer。廣播信息中會有一個 AS_PATH 屬性,記錄著這個前綴經由的 AS。peer 不會接受 AS_PATH 內有自己的 AS 的路由,來防止回環。通過這樣的方法,組成了互聯網。

前面說到 eBGP 會把從別的 peer 學到的路由的 nexthop 改成自己。在 iBGP 中不會。這樣可能會廣播一個 iBGP peer 不可達的 nexthop 給 iBGP peer。這時通過 next-hop-self 可以將 nexthop 改成自己。

默認情況下,eBGP 的 TTL 只有 1。這意味著,若 eBGP peer 不是直接連接,則通信數據包會在抵達到下一跳時被丟棄(iBGP 則沒有限制)。通過 ebgp-multihop 可以增加 TTL。一般情況下這沒有用。因為經由的路由沒有和你或者對方 peer,peer 會將接受到的 prefix 的 nexthop 設為它接到數據包的前一跳(即經由路由)。而經由路由沒有與你 peer,他們不知道怎麼抵達你的前綴。

所以它並不是這麼用的。在多條鏈路的時候 ebgp-multihop 就有用了。假設你與 peer 有兩條條連線:

+-----------------+ +-----------------+
| AS1             | | AS2             |
| eth0: 10.0.0.1 ----- eth0: 10.0.0.2 |
| dummy0: 1.1.1.1 | | dummy0: 2.2.2.2 |
| eth1: 10.1.0.1 ----- eth1: 10.1.0.2 |
+-----------------+ +-----------------+

Routing table: 
| AS1                   | AS2                  |
| 2.2.2.2 via 10.0.0.2  | 1.1.1.1 via 10.0.0.1 |
| 2.2.2.2 via 10.1.0.2  | 1.1.1.1 via 10.1.0.1 |

Peer config AS1:
nei 2.2.2.2 remote-as 2
nei 2.2.2.2 ebgp-multihop 2
nei 2.2.2.2 update-source dummy0

Peer config AS2:
nei 1.1.1.1 remote-as 1
nei 1.1.1.1 ebgp-multihop 2
nei 1.1.1.1 update-source dummy0

通過這種方式,就能有兩條到 peer 的連線。即使其中一條斷開,也能保持鄰接關係。

與 ISP 的 BGP peer 通常有幾種:

– 「Single Homed」只有單一鏈路,只與一個 ISP 形成鄰居關係。
– 「Dual Homed」有多條鏈路,只與一個 ISP 形成鄰居關係。
– 「Single Multi-homed」與多個 ISP 形成鄰居關係,每個 ISP 只有一條鏈路。
– 「Dual Multihomed」與多個 ISP 形成鄰居關係,每個 ISP 有兩條鏈路。

通常,要抵達一個前綴會有多條路徑。BGP 通過幾種方法來確定選擇哪一條。每個 peer 都可以指定 Weight 屬性,Weight 最高者會被選中(例:Single Multi-homed 時選擇優先出口 ISP)。iBGP 可以指定 Local Preference 屬性。Local Preference 最高者會被作為出口(例:Dual Homed 時選擇優先出口)。若選擇進入自己 AS 的優先路徑,可以使用 Metric 屬性。Metric 最低的路徑會被作為進入 AS 的路徑(例:Dual Homed 時選擇優先入口)。

另外一種影響選路決策的方法是 Prepend。Prepend 就是字面意思,用於在 AS_PATH 前添加一串 AS_PATH。BGP 會優先選擇最短的 AS_PATH。所以,通過 prepend 加長 AS_PATH 可以避免 BGP 選擇這條路徑,而去選擇其它更短的路徑。

BGP 中的 Communities 是一個附加位,通常用於告知 peer 該如何對它的其它 peer 廣播你廣播給它的前綴。Communities 通常是你的 peer 預先配置的一系列規則。可能是 prepend,可能是設置 weight,等。例如 AS20473 提供了這些 Communities:

AS20473 tags prefixes that are learned or originated as follows:

Originated by 20473:                  20473:500
Customer prefix originated by 20473:  20473:540
Prefix learned from Transit:          20473:100
Prefix learned from Public Peer:      20473:200
Prefix learned from Private Peer:     20473:300
Prefix learned from Customer:         20473:400
Prefix learned from AS number:        20473:XXXX
Do not announce to specific AS:       64600:XXXX
Prepend 1x to specific AS:            64601:XXXX
Prepend 2x to specific AS:            64602:XXXX
...

BGP 里有種東西叫做 Route Reflector(RR)。可以想象成 OSPF 里的 Designated Router。RR 有三種角色。eBGP 鄰居,iBGP 成員(client)鄰居,與 iBGP 非成員鄰居。從 eBGP 鄰居,與 iBGP 成員鄰居學習到的前綴會廣播給所有的鄰居。而從 iBGP 非成員鄰居學來的前綴只會被廣播給 iBGP 成員鄰居與 eBGP 鄰居。通過 BGP Confederation 也能達成和 Route Reflector 類似的效果。由於這允許了 iBGP 成員間的前綴學習,可能導致回環,BGP 引入了 Originator 與 Cluster List 來避免回環。Originator ID 由 RR 成員自己設置,iBGP 會無視 Originator ID 是自己的路由。Cluster List 類似 AS Path,在多個不同的 RR 組互相連接時,廣播給其它 RR 組的 Cluster List 內會加上自己的 Router ID,若在 Cluster List 中看到自己的 Router ID,則不會接受。

BGP 另外一個很重要的部分就是 filter。不同的 bgpd/路由器 有不同的實現,甚至是不同的名字。但大致功能就是:設置出站/入站前綴的屬性,或者禁止某個前綴被廣播/被接受。比如,Multihomed 的時候你可能會成 Transit AS,如果你不是 ISP,可以通過禁止某個 AS 的前綴從你這裡出站來避免成為 Transit AS 而節省帶寬。前面說到的設置 Weight/MED 等,也都會用到 filter。

和 IP 一樣,ASN 也是由 IANA 分發給 RIR,個人/組織再向 RIR 申請的。但是,在僅與一家 ISP peer 的時候,並不一定需要自己的 ASN。ISP 可能會給你一個公共 ASN,或者使用私有 ASN 來 peer。私有 ASN 的範圍是 64512 – 65534 與 4200000000 – 4294967294。(16 位 ASN 與 32 位 ASN)私有 ASN 是不能出現在公共網絡上的。通過 remove-private-as,可以移除 AS PATH 里的私有 ASN(若 PATH 中包含公共 ASN,則不會起效)。

有時候會使用 MPLS VPN 來通過 ISP 連接兩處地理隔絕的網絡。如果它們的 AS 相同,BGP 會以為這是回環而拒絕接受前綴。這時候可以在用戶的邊界路由(CE)上做 allow-as-in,或者 ISP 的邊界路由(PE)上做 as-override。allow-as-in 會忽略 AS PATH 中的自己的 ASN。as-override 會將 CE 設備的 ASN 換成 PE 設備的 ASN,而避免 AS PATH 里出現 CE 設備的 ASN。

寫得很混亂,想到什麼寫什麼,純粹靠記憶,可能有錯誤之處。

筆記:用伺服器上第二 IP 為 NAT 後的裝置提供公網地址

上回說到給宿舍的路由提供 IPv6。其實裡面很大一個原因是想通過外網來訪問 NAS 和 PC。可是並不是哪裡都有 IPv6。那就把公網 IPv4 也提供一下吧。

當然。沒法讓整個局域網都有公網 IPv4,買不起 IPv4 塊。只路由一個 IPv4,給網關用。

順帶一提,v6 隧道的中繼節點換到了 vultr 在 NY 的伺服器。過去只有 8 毫秒,不在 HE 的黑名單裡,還只要 2.5 US$ 一月,很舒心。更有趣的是 vultr 能很方便的新增 IPv4 地址。每個額外的地址要 2 US$ 一月。也就是說,總價 4.5 US$,就能擁有一個 IPv4 和一塊 /48 的 IPv6 出口網關。

總之,進入正題。首先,tap 可能是 down 的,用 ifconfig 把它帶起來,然後將要給隧道客戶端用的 IPv4 公網地址(假設是 108.61.xxx.xxx)路由到 tap 上:

ip route add 108.61.xxx.xxx/32 dev tap0

當然,如果這個 IP 地址已經在 ethX 或者 ensX 上了,要先刪除掉,也就是:

ip addr del 108.61.xxx.xxx/xx dev ensX

然後,回到路由上。添加一個新的路由表,這個表中使用隧道的 interface 作為網關,然後添加一條策略路由規則,讓所有來源於 108.61.xxx.xxx 的流量在那個表裡邊 lookup。不這麼做的話,路由器會從默認網關應答發到 tap0 上的流量 —— 那就完蛋了,這流量它根本就不知道跑去哪裡了。在 MikroTik 裡的做法:

/ip route add distance=1 gateway=ovpn_tunnel routing-mark=tap0_gateway
/ip route rule add src-address=108.61.xxx.xxx/32 table=tap0_gateway

設置好後,108.61.xxx.xxx 的 IP 就已經路由到路由器(隧道客戶端)上了。在它上面的隧道介面新增 108.61.xxx.xxx 這個地址,應該就能正常工作了。MikroTik 中:

/ip address add address=108.61.xxx.xxx interface=nato-us-ny network=108.61.xxx.xxx

路由跟蹤一下(從 Linode KDDI 發起):

                                               Packets               Pings 
 Host                                        Loss%   Snt   Last   Avg  Best  Wrst StDev 
 1. AS2516  106.187.33.2                      0.0%    20    1.1   0.9   0.6   2.2   0.0 
 2. AS2516  124.215.199.169                   0.0%    20    8.3   6.0   0.5  13.4   4.8 
 3. AS2516  otejbb206.int-gw.kddi.ne.jp       0.0%    20    1.2   2.4   1.2   8.6   2.2 
 4. AS2516  pajbb002.int-gw.kddi.ne.jp        0.0%    20  115.8 124.2 115.7 179.9  19.4 
 5. AS2516  sjeGCS002.int-gw.kddi.ne.jp       0.0%    19  109.1 117.4 108.4 261.1  34.9 
 6. AS2516  ix-sj6.int-gw.kddi.ne.jp          0.0%    19  108.6 118.7 108.5 189.4  23.5 
 7. AS3257  ae21.cr0-sjc1.ip4.gtt.net         0.0%    19  119.4 120.4 116.4 181.9  14.9 
 8. AS3257  xe-4-0-0.cr0-nyc4.ip4.gtt.net     0.0%    19  174.3 176.2 172.3 193.3   5.2 
 9. AS3257  as20473-gw.nyc40.ip4.gtt.net      0.0%    19  175.7 178.9 175.0 194.2   4.9 
10. AS20473 vl39-br1.pnj1.choopa.net          0.0%    19  190.0 192.5 189.7 201.6   4.2 
11. AS20473 vl901-c12-10-j2-2.pnj1.choopa.ne  0.0%    19  202.4 198.0 189.1 205.8   3.8 
12. ??? 
13. AS20473 v4-transit.nat.moe                0.0%    19  174.0 173.9 173.7 174.6   0.0 
14. AS20473 v4-gateway.internal.nat.moe       0.0%    19  197.4 199.8 197.3 236.4   8.8

搞定。這裡 v4-transit 是隧道伺服器的主要 IPv4 地址,v4-gateway.internal 是隧道客戶端,也就是路由器。成功給內網裝置提供了一個公共 IPv4 地址,不是用什麼反向連線,也不是什麼 DNAT,是真正的路由到路由器上的 IPv4 地址。

運營商級 NAT 內使用 Tunnelbroker

在學校裡想用 IPv6,但是學校沒給分發。於是就決定使用 Hurricane Electric 的 Tunnel Broker。不好說學校防火牆有沒有堵掉 protocol 41,也就是 6in4。但至少學校的 IPv4 出口不接受 ICMP。

然後 Tunnel Broker 就不開心了。說是必須要允許來自它的 ICMP,才能設定 IPv4 端點。那能怎麼辦,我也很無奈啊。那就只好從別的地方用什麼手段「中繼」一下了吧。

原本是想用 Digital Ocean 的,學校內連線它美國東部的資料中心只有 7 毫秒左右的延時。可是 Tunnel Broker 還是不高興。說這 IP 段在黑名單裡。就很生氣。換了另外一臺在美國中部的機子,成功建立端點。

一開始想的方案是通過 OpenVPN IP 隧道。因為,只要好好做轉發,就算端點在 NAT 後面也是沒有問題的。現實總是不太美好,總之,隧道內的隧道無法建立。去 superuser 題了個問,有人說「 IPv6 does not have fragmentation like IPv4 does, so shrinking the MTU with tunnels in tunnels could cause other problems. IPv6 also has a minimum MTU of 1280」。看了看自己 MTU 明明是 1500 —— 可能還有別的什麼玄學,總之這個方案被拋棄了。

然後就會想到直接用 OpenVPN 分發 IPv6 了,對吧?可是奈特使用的路由器,也就是之前提到的 MikroTIk 的路由器,上面的 OpenVPN 實現不支援 IPv6。

嗯 —— 那,放棄了?

當然不行。都研究了這麼多了。雖然路由器上面的 OpenVPN 不直接支援 v6,但是我們可以直接用 tap 隧道呀。tap 隧道的話就相當於 ethernet 了,好比兩張網卡用線連起來一樣。是執行在 Layer 2 上的。所以啥協議都能往上面套。

在伺服器直接分發估計也行,不過奈特傾向於在路由器這邊做。總之,無論怎麼做,先從 Tunnel Broker 申請一段 /48 的 IPv6 塊。然後,從裡面隨便選一塊 /64 出來。路由到 tap 介面的 link-local 地址上。也就是說:

ip -6 route add <your /64 zone>::/64 via fe80::...

然後回路由器來,在上面把 IPv6 路由到 tun 隧道的 IPv6 link-local 上。在 MikroTik 裡的話:

/ipv6 route add dst-address=2000::/3 gateway=fe80::...4%ovpn-tunnel

然後就搞定了。接下來就是區域網裝置的地址分配,不想在隧道伺服器那邊做,所以就在本地 LAN 橋上新增剛才路由到這兒的區域的地址塊,並且廣播:

/ipv6 address add address=<your /64 zone> interface=bridge advertise=yes

然後就:

IPv6 測試成功

IPv6 測試成功

好了。就這樣。

筆記:hAP ac (RB962UiGS-5HacT2HnT) 上的 5Ghz 無線配置

出於某些原因,用 OpenVPN 架了一個 site-to-site 的隧道 – 用來連線在學校宿舍裡的網路和某處的一個區域網。因為廣播的包也需要走隧道,那 OpenVPN 的 tun 隧道就行不通了,只能用支援 Layer 2 的 tap。隧道的這邊是一臺 RB3011UiAS-RM,手頭有一臺能使用的 hAP ac。現在想要做的事是,讓連線 WiFi 的移動裝置也能接入這個 VPN 的網路。

嗯,既然 Android/iOS 的 OpenVPN 不支援 tap,更何況 tap 上根本就沒有 DHCP,看著手頭有的裝置,能想到的只有設定一個無線網路,並且和 VPN 介面橋接來實現了。

說來學校是不讓學生自設 AP 的,如果私自架設 AP 會導致網口直接被禁用。不過,只要 WLAN 介面在 NAT 後面,就不會有事。猜測應該是有無線 IDS 記錄各個 WiFi 的 BSSID,如果在某個網口看見和 BSSID 一樣的 MAC,就禁用吧。為什麼會知道?因為在 cli 操作的時候一個不小心把 WLAN 介面和 WAN 介面橋接一塊兒去了,然後沒過幾分鐘,網口就被禁用了。如果學校沒有用魔法的話,這大概是唯一的方法。

但是無線還是得用的。偷偷的放在 NAT 後面,降低功率,選個不會干擾學校通訊的頻率 —— 只有這樣了。雖然覺得像是在做虧心事。看了看周圍的無線電頻率,都分佈在 CH 34-64, 149-165 裡。說實話這是第一次見排列這樣整齊的網路,每隔 5 個頻道就有一坨 20Mhz 的無線電,總之應該是做了很仔細的規劃,將不同 AP 之間的干擾降低到最低。我也不想打破這份寧靜,於是就決定使用 100-144 之間的頻率了。不知道為什麼沒有任何網路在這個區間,根據 FCC,這些個頻率在美國是能使用的,可能有些客戶端會拒絕使用這些頻率?沒有頭緒。

總之,既然這些區間完全沒有別的網路,那就可以放心的使用 80 Mhz 頻寬了。決定使用 CH 104-110。首先把國家設定成 US,頻率模式用 regularoy-domain。這樣頻率列表就只會顯示合法的頻率。

然後,來看看頻率表:

無線頻率表

無線頻率表

80 Mhz 的頻道是第二個,那麼我們就把中心頻道放那兒吧。也就是說,20/40/80Mhz eCee。(e: extension, C: center,即 eCee = CH104(20Mhz): e, CH106(80Mhz): C, CH108(20Mhz): e, CH110(40Mhz): e)。

總之,無線電配置看起來是這樣的:

無線電配置

無線電配置

配置好了,看看速度:

無線速率

無線速率

1300Mbps, 80Mhz,沒問題了。

某廠商的「精準IP定位API」

無意之間,看見了百度的高精度IP定位API。在這裡找到了能夠拿來測試的工具。該怎樣說呢,這API還真是,非常有趣。

舉個例子,如果把之前 @lbx 的,位於新加坡shadowsocks 服務器的 IP 進行查詢,會得到奈特曾經就讀的高中的位置:

百度的定位API

百度的定位API

先不管為什麼這個頁面標題是「AIP」而不是「API」,我一個新加坡服務器,怎麼就跑到佛山去了呢?但是位置的確是對的,這個代理服務器主要是在學校裡邊使用,學校的移動網絡連接這台新加坡服務器速度比較快。所以猜測是,手機上的,百度開發的 App,提交了用戶的 GPS 信息到服務器上。和用戶的 IP 位址進行匹配,然後由此生成 IP-CIDR 到 GPS 座標的對應吧。

於是接下來對其餘幾個 shadowsocks 服務器進行考察,發現也是類似的效果。例如日本的機子被認為在濟南,而正好那裡有頻繁使用日本服務器的用戶。

要說的話,百度這個做法其實挺危險。透過公網 IP 對應 GPS,會增加網民被「人肉」的危險。從前,知道了對方 IP 位址後,只能獲得大概的地理位置,需要花費好一番功夫才能拿到精確地理位置需要一番周折。而現在百度幫忙做了這個工作,這是要搞事情啊。並且,若百度真的是使用這樣的方式定位,但一定數量的人開始搗亂,例如偽造 GPS 位址之後,定位信息也會錯亂。

用板子自建 Time Capsule/NAS

人是很懶的,是愛摸魚的。最近我已經懶到不想拿著行動硬碟到處走了,每天拖一根線,太費事了。

那怎麼辦?正好翻出來閒置的一個開發板,全志 A20,板載 SATA,故打算自建 NAS。順便查了查,有 afp (Apple Filing Protocol) 在 Linux 的開源實現,叫做 netatalk,能夠自建 Time Machine 伺服器,也就是可以自己造一個廉價 Time Capsule 了吧。

Allwinner 的板子。

Allwinner 的板子。

說幹就幹,上網買了塊 WD 的 2TB 紅盤,開始搭。

材料清單:

  • LeMaker Banana Pi Pro
  • WD20EFRX 2TB NAS HDD
  • 某不知品牌 SATA 外接電源,提供 4Pin 供電。(*)
  • SATA線,SATA電源。
  • 一個清醒的大腦。

(*) 其實在 Banana Pro 上是有 SATA 供電輸出的,無奈只有 5V 0.38A 輸出,帶不起這塊需要 5V 0.6A 的硬碟。這個讓我疑惑了很久,最早,開機用串列埠連上板子,看見 u-boot 拋出來一個 SATA AHCI Phy Calibration Failed。不明所以,查了 Google,有人說是核心問題。於是試著換了幾個版本的核心,均無果。後來,拿來電錶一測,嚯,SATA電源輸出0V,才發現供電一直接在了板子的 USB-OTG 上,而不是電源介面。不知道這電路怎麼連的,接在 OTG 口的話,就不會給 SATA 口上電。雖然切換到電源口上 SATA 電源口有了輸出,但功率根本沒法讓硬碟轉起來,於是買了外接 SATA 電源。如果用 SSD,大概不會需要外接電源。(所以說需要一個清醒的大腦啊。)

說到全志,sunxi 的板子都能直接上主線核心,用起來很是愉快。我用了 armbian 提供的 Ubuntu 16.04.1,核心 4.7.3。

接下來的事情沒什麼技術含量了(好像前面也沒有。),接上硬碟,fdiskmkfs,最後mount 上去,開始編譯 afp 相關。在 Ubuntu 源裡也有個 netatalk,但是不是同一個大版本,故無視之。從官方 wiki 看到,想要編譯,需要下列的包:

apt-get install build-essential devscripts debhelper cdbs autotools-dev dh-buildinfo libdb-dev libwrap0-dev libpam0g-dev libcups2-dev libkrb5-dev libltdl3-dev libgcrypt11-dev libcrack2-dev libavahi-client-dev libldap2-dev libacl1-dev libevent-dev d-shlibs dh-systemd

真多。但是官方好像漏了個 libtdb-dev,反正在我編譯的時候提示缺少了 tdb 庫。

找個地方,下載源碼下來:

mkdir netatalk && cd netatalk && curl -L http://downloads.sourceforge.net/project/netatalk/netatalk/3.1.10/netatalk-3.1.10.tar.gz | tar zxvf -

在寫這篇東西的時候,它版本是 3.1.10,之後是怎樣我也不知道,建議去官網看。

./configure \
        --with-init-style=debian-systemd \
        --without-libevent \
        --with-cracklib \
        --enable-krbV-uam \
        --with-pam-confdir=/etc/pam.d \
        --with-dbus-daemon=/usr/bin/dbus-daemon \
        --with-dbus-sysconf-dir=/etc/dbus-1/system.d \
        --with-tracker-pkgconfig-version=1.0

然後就是一段鬼畜的 configure,不管他,直接敲進去回車,完成之後就是 make && sudo make install,沒什麼可說的。

一切完成之後,在 /usr/local/etc/afp.conf 配置 netatalk,

;
; Netatalk 3.x configuration file
;

[Global]
; Global server settings

[Homes]
basedir regex = /home

; [My AFP Volume]
; path = /path/to/volume

[NAT's Time Machine]
path = /mnt/time_machine/nat/
time machine = yes
valid users = nat

我這裡就這麼幾行。和 samba 配置類似,valid users 裡寫的是允許登入的使用者,使用者是本地使用者,也就是 /etc/passwd/etc/shadow 裡的使用者。Homesbasedir 意思就是使用者家目錄的字首,或者說通配。這樣,使用者 nat 登入 afp 之後就會看到:

連接上板子上的 afp 之後。

連接上板子上的 afp 之後。

一個是到 /home/nat,一個是到 /mnt/time_machine/nat/,這時候開啟 Time Machine 設定,應該能看見備份盤了。

Time Machine 的硬碟選擇。

Time Machine 的硬碟選擇。

關於 Wacom 繪圖板在 OS X 上訪問 Keychains 時的彈窗

有著 Wacom 驅動字樣的彈窗

有著 Wacom 驅動字樣的彈窗

最近發現,有時 Safari 在訪問鑰匙串的時候,若是點選「允許」,或是「總是允許」,便會出現一個含有 PenTableDriver 字樣的彈窗。

這很令人費解,PenTabletDriver 是 Wacom 所使用的驅動程式,照理不應該和鑰匙串有什麼聯絡,一開始我甚至懷疑是不是 Wacom 的驅動程式被替換成了什麼盜取 Keychains 的惡意程式。之後,我將連線在電腦上的 Wacom 繪圖板移除,並且關閉 Wacom 的驅動再嘗試同樣的操作,OS X就沒有再次讓我輸入密碼了。

於是秉著一種求知的精神,我看了看控制檯,發現只要 Wacom 驅動程式執行著,即使 Wacom 繪圖板沒有接在電腦上邊,每次嘗試訪問鑰匙串都會有這樣一句日誌:

Ignoring user action since the dialog has received events from an untrusted source.

調查之,發現在 Stack Exchange 上也有人遇到了類似的問題(在使用第三方的,「控制」窗口的軟體,例如 Alfred 時。),仔細瞭解之後明白,這是 OS X 內建的一種安全機制,為了阻止未授權的應用模擬使用者點選鑰匙串會話上的「允許」按鈕。並不算什麼大發現,但是的確很有趣。

另外這也說明了 Wacom OS X 驅動即使在 Wacom 沒有連線的時候也會嘗試模擬輸入。

筆記:一些方便的shell功能

快捷鍵
alt+. 在當前位置插入上一條命令的最後一個參數。
ctrl+x,然後 ctrl+e 在編輯器裡邊編輯當前輸入的內容。
ctrl+r 日誌反查。
alt+# 把當前行變成註釋。

文本替換

~ $ str=hello
~ $ echo ${str/ll/aa} # 文本替換
heaao
~ $ echo ${I:1:2}     # 子字符串
el

快速糾錯

~ $ sduo halt -p
bash: sduo: command not found
~ $ ^sduo^sudo

方便的 ! 字符

~ $ cd /var/www
/var/www $ vim index.html
/var/www $ popd
~ $ !-2 # 執行兩條之前的指令(cd /var/www)
/var/www $

使用 !! 可以調用到上一條命令,所以你可以:

/var/www $ rm index.html
rm: index.html: Permission denied
/var/www $ sudo !!
/var/www $ ls index.html
ls: index.html: No such file or directory
/var/www $ vim index.pho
/var/www $ mv !:1 index.php # !:1 -> 上条指令的第一个参数(mv index.pho index.php)
~ $ touch a b c
~ $ ls -l !:1-2 # 上条指令的第一到第二个参数 (ls -l a b)
-rw-r--r--  1 nat  staff  0 Aug 10 22:00 a
-rw-r--r--  1 nat  staff  0 Aug 10 22:00 b

亦可以使用 !^ 代表第一個參數,!$ 代表最後一個。很好理解,因為 ^ 在通配符中代表行首,$ 在通配符中代表行末。! 亦可以和前面的結合使用,例如 !:s/old/new 也是可行的。

數組

~ $ arr[1]="a"
~ $ arr[2]="b"
~ $ arr[3]="c"
~ $ echo ${#arr[*]}  # 數組大小
3
~ $ echo ${arr[@]}   # 遍歷元素 (例如用作 for element in ${arr[@]})
a b c

命令行參數
bash -n 可以再不執行腳本的情況下,檢查語法。
bash -x 會在執行腳本的時候顯示完整的運行過程,方便除錯。

方便的變量
PROMPT_COMMAND 變量設置後,每次請求命令都會執行其變量內容。

~ $ export PROMPT_COMMAND="date"
Tue Aug 16 22:38:58 EDT 2016
~ $ ls
a  b  c
Tue Aug 16 22:38:58 EDT 2016
~ $

TMOUT 變量,內容是整數,單位是秒。在shell空閒達到這個時間之後,會自動退出。為 root 帳戶設置這個能夠增強安全。
FIGNORE 變量,設置在這裡的內容不會出現在自動補全裡。例如設置 .git 在裡邊,就能夠省去一些麻煩。
SECONDS 變量,能夠計算秒數。

~ $ SECONDS=0
~ $ sleep 5
~ $ echo $SECONDS
5

網絡交互
bash中可以使用 /dev/tcp/ 或者 /dev/udp/ 來進行網絡交互。

~ $ cat < /dev/tcp/time-a.nist.gov/13

57617 16-08-17 02:51:29 50 0 0 400.8 UTC(NIST) * 

這亦可以和fd3結合使用,例如:

~ $ exec 3<>/dev/tcp/nat.moe/80
~ $ echo -e "GET / HTTP/1.1\n\n" >&3
~ $ cat <&3 

筆記:使用 nginx 搭建一個 HLS(HTTP Live Streaming) & Rtmp 直播服務器

想要給朋友們直播遊戲的操作,但是QQ直播太垃圾,國內直播平台又要上傳身份證,外國的直播平台又太卡了。
那好,我自己搭一個¯\_(ツ)_/¯

需求:一台linux主機,外網 IP,OBS。

首先,先去將 nginx-rtmp-module (https://github.com/arut/nginx-rtmp-module) 下載下來:
% git clone https://github.com/arut/nginx-rtmp-module.git && wget https://github.com/arut/nginx-rtmp-module/archive/master.zip

再去下載nginx:
% wget http://nginx.org/download/nginx-1.10.0.tar.gz

然後解壓nginx:
% tar -xzvf nginx-1.10.0.tar.gz
% unzip master.zip

開始編譯:
% ./configure --with-openssl=/home/yinfb/openssl-OpenSSL_1_0_1t --add-module=/path/to/nginx-rtmp-module
% make
# make install

過程中可能會出現依賴問題,安裝libpcre3 libpcre3-dev,和添加OpenSSL模塊即可

之後:
# vim /usr/local/nginx/conf/nginx.conf

worker_processes 10;

error_log logs/error.log debug;

events {
    worker_connections 1024;
}

rtmp {
    server {
        listen 1935;
        application myapp {
            live on;
            hls on;
            hls_path /tmp/hls;
            hls_fragment 10s;
            hls_nested on;
            allow publish all;
            allow play all;
        }

    }
}

http {
    include mime.types;
    default_type application/octet-stream;

    server {
        listen 80;
        server_name localhost;
        error_page 500 502 503 504 /50x.html;
        location = /50x.html{
            root html;
        }

        location /stat {
            rtmp_stat all;
            rtmp_stat_stylesheet stat.xsl;
        }

        location / {
          root html;
          index index.html index.htm;
        }
        location /hls {
         types {
          application/vnd.apple.mpegurl m3u8;
       }
        alias /tmp/hls;
        add_header Cache-Control no-cache;
       }
    }
}

然後添加網頁直播頁面:

# vim /usr/local/nginx/html/hls.html

<video src="/hls/index.m3u8" autoplay="autoplay" controls="controls" width="1280" height="700">
</video>

之後配置OBS如下圖:

QQ图片20160529164916
至於編碼與影像設定,就按找個人帶寬與性能自行設定即可。

最後,效果如圖:

QQ图片20160529165549

筆記:在 OpenWRT 使用 PPTP 將兩個遠端局域網連通

需求:

  1. 兩個網段不同的局域網,文中使用:
    • 192.168.0.0/24
    • 192.168.1.0/24
  2. 一個PPTP服務器,使用獨立於上述兩個網絡的網段,文中使用:
    • 10.1.0.0/24

步驟:

  1. 按照這裡為OpenWRT配置PPTP支持。
  2. 設置PPTP
    1. 設置憑據
    2. 為PPTP創建新的防火牆區域,允許LAN=>PPTP轉發以及PPTP=>LAN轉發
    3. 在PPTP接口的高級選項中取消勾選「使用默認網關」。
    4. 在pptp伺服器上,chap-secret中為客戶端指定IP地址(推薦),文中使用:
      • 192.168.0.0/24網段的pptp賬戶:10.1.0.2
      • 192.168.1.0/24網段的pptp賬戶:10.1.0.3
    5. 將兩個OpenWRT的PPTP接上服務器。
  3. 配置靜態路由表
    1. 在192.168.0.0/24網段的路由上,設置下列路由:
      • 接口:pptp;目標:10.1.0.0,子網掩碼:255.255.255.0,網關10.1.0.1。
      • 接口:pptp;目標:192.168.1.0,子網掩碼:255.255.255.0,網關10.1.0.1。
    2. 在192.168.1.0/24網段的路由上,設置下列路由:
      • 接口:pptp;目標:10.1.0.0,子網掩碼:255.255.255.0,網關10.1.0.1。
      • 接口:pptp;目標:192.168.0.0,子網掩碼:255.255.255.0,網關10.1.0.1。
    3. 在pptp服務器上,設置下列路由:
      • 接口:pptp;目標:192.168.0.0,子網掩碼:255.255.255.0,網關10.1.0.2。
      • 接口:pptp;目標:192.168.1.0,子網掩碼:255.255.255.0,網關10.1.0.3。

      如果在步驟2.4中沒有為客戶端指定IP地址,則每次IP變動後都需要重新指定兩個192.168網段的網關至其在PPTP服務器上的IP地址。

至此,兩個網絡便已經通過pptp接在了一起。

問題:

  1. kmod-mppe似乎在某些路由器上沒法加載,那麼,直接禁用它吧。在服務端與客戶端中的pptp配置文件中注釋掉就可以了。
  2. OpenWRT的pptp有些奇怪。在pptp斷開後有幾率無法連接,這時候,把服務器地址修改下(域名換成IP,或者IP換成域名),就能解決了。

這些問題怎麼來的?誰知道呢…