N多LUN(iscsi盘)需要分区,手动太痛苦了。只能找non-interaction型的分区工具, 比如parted这个程序。
在分区之前有一个概念需要先明白的:partition table, 也叫disklabel
之所以使用parted才需要注意到partition table, 是因为我们常常使用的fdisk已经帮我们选择了msdos类型的partition table。所以从fdisk转到parted后,会有点小疑问。
平时我们印象中:一个硬盘只能有4个主分区,或者3个主分区1个扩展分区。
这其实只是`msdos` partition table的限制。GPT就没有这种问题:http://en.wikipedia.org/wiki/GUID_Partition_Table
msdos partition table这个名词是从parted程序引用的:
[liangqingxi@hotspare ~]$ sudo /sbin/parted /dev/sdc print
Error: Unable to open /dev/sdc - unrecognised disk label.
[jessinio@niowork ~]$ sudo parted /dev/sda print
[sudo] password for jessinio:
Model: ATA ST3250310AS (scsi)
Disk /dev/sda: 250GB
Sector size (logical/physical): 512B/512B
Partition Table: msdos
但是从wikipedia里查的信息表明, 这与BIOS被广泛使用有着很大的关系(比如,BIOS的引导过程)
感觉上, 称为`PC compatibles`更好一点:
信息1. In the world of IBM PC compatibles, disks are usually partitioned using the PC BIOS's MBR Partition Table scheme instead
信息2. The role of the BIOS has changed over time; today BIOS is a legacy system, superseded by the more complex EFI (EFI), but BIOS remains in widespread use, and EFI booting has only been supported in Microsoft OS products supporting GPT and Linux Kernels 2.6.1 and greater builds
当硬盘没有、或者程序无法认别partition table时会有如下信息:
[liangqingxi@hotspare ~]$ sudo /sbin/fdisk -l /dev/sdc
Disk /dev/sdc: 1000.2 GB, 1000204886016 bytes
255 heads, 63 sectors/track, 121601 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Disk /dev/sdc doesn't contain a valid partition table
在fdisk的手册中有这样的记载:fdisk doesn’t understand GUID Partition Table (GPT)
在知道partition table这一概念后, 使用parted命令将是非常容易的. 就不记录了.
Friday, January 28, 2011
gpg使用
I. 基本概念
1. key、public key、private key
文档: http://en.wikipedia.org/wiki/Public-key_cryptography
gpg使用--gen-key 命令生成的key种类有:
(1) DSA and Elgamal (default)
(2) DSA (sign only)
(5) RSA (sign only)
DSA and Elgamal支持加密和签名
单独的DSA、RSA只支持签名
2. 加密与签名
关于签名与加密这两个概念需要明白:
Use of these keys allows protection of the authenticity of a message by creating a digital signature of a message using the private key, which can be verified using the public key. It also allows protection of the confidentiality and integrity of a message, by public key encryption, encrypting the message using the public key, which can only be decrypted using the private key.
private key 加密, public key解密,称为签名
public key 加密, private key解密, 称为加密
II. key管理
1. 查看
分为public key的查看和private key的查看:
[jessinio@niowork ~]$ gpg --list-keys
/home/jessinio/.gnupg/pubring.gpg
---------------------------------
pub 1024D/140A3126 2011-01-26
uid jessinio.liang (liang qingxi)
sub 2048g/94134411 2011-01-26
[jessinio@niowork ~]$ gpg --list-secret-keys
/home/jessinio/.gnupg/secring.gpg
---------------------------------
sec 1024D/140A3126 2011-01-26
uid jessinio.liang (liang qingxi)
ssb 2048g/94134411 2011-01-26
2. 导出/导入/删除
也分为private key和public key:
[jessinio@niowork ~]$ gpg --armor --export 140A3126
[jessinio@niowork ~]$ gpg --armor --export-secret-key 140A3126
同理,删除是使用--delete-key和--delete-secret-key子命令完成。
II. key使用
1. 签名
使用jessinio@gmail.com的private key签名
$ gpg --output doc.sig --sign doc
用户jessinio测试数据:
[jessinio@niowork ~]$ gpg --verify doc.gpg
gpg: Signature made Fri 28 Jan 2011 02:31:06 PM CST using DSA key ID 140A3126
gpg: Good signature from "jessinio.liang (liang qingxi)"
用户jessinio解开签名数据:
[jessinio@niowork ~]$ gpg --output doc --decrypt doc.gpg
1.1 detach sign
签名后的数据在没有解开的情况下是无法使用的, 所以有时为了方便数据的查看, 会把签名与数据分开, 这种叫detach sign
2. 加密/解密
使用jessinio@gmail.com的public key加密
$ gpg --output doc.gpg --encrypt --recipient jessinio@gmail.com doc
解密与解开签名了的数据是一样行为。
3. 对称加密
[jessinio@niowork tmp]$ gpg --output 11 -c testfile.tar.gz
[jessinio@niowork tmp]$ file 11
11: DOS executable (COM)
[jessinio@niowork tmp]$ diff testfile.tar.gz 11
Binary files testfile.tar.gz and 11 differ
[jessinio@niowork tmp]$ gpg --output 11.tar.gz -d 11
gpg: CAST5 encrypted data
gpg: encrypted with 1 passphrase
gpg: WARNING: message was not integrity protected
[jessinio@niowork tmp]$ diff 11.tar.gz testfile.tar.gz
[jessinio@niowork tmp]$
gpg的完整使用手册: http://www.gnupg.org/gph/en/manual.html
1. key、public key、private key
文档: http://en.wikipedia.org/wiki/Public-key_cryptography
gpg使用--gen-key 命令生成的key种类有:
(1) DSA and Elgamal (default)
(2) DSA (sign only)
(5) RSA (sign only)
DSA and Elgamal支持加密和签名
单独的DSA、RSA只支持签名
2. 加密与签名
关于签名与加密这两个概念需要明白:
Use of these keys allows protection of the authenticity of a message by creating a digital signature of a message using the private key, which can be verified using the public key. It also allows protection of the confidentiality and integrity of a message, by public key encryption, encrypting the message using the public key, which can only be decrypted using the private key.
private key 加密, public key解密,称为签名
public key 加密, private key解密, 称为加密
II. key管理
1. 查看
分为public key的查看和private key的查看:
[jessinio@niowork ~]$ gpg --list-keys
/home/jessinio/.gnupg/pubring.gpg
---------------------------------
pub 1024D/140A3126 2011-01-26
uid jessinio.liang (liang qingxi)
sub 2048g/94134411 2011-01-26
[jessinio@niowork ~]$ gpg --list-secret-keys
/home/jessinio/.gnupg/secring.gpg
---------------------------------
sec 1024D/140A3126 2011-01-26
uid jessinio.liang (liang qingxi)
ssb 2048g/94134411 2011-01-26
2. 导出/导入/删除
也分为private key和public key:
[jessinio@niowork ~]$ gpg --armor --export 140A3126
[jessinio@niowork ~]$ gpg --armor --export-secret-key 140A3126
同理,删除是使用--delete-key和--delete-secret-key子命令完成。
II. key使用
1. 签名
使用jessinio@gmail.com的private key签名
$ gpg --output doc.sig --sign doc
用户jessinio测试数据:
[jessinio@niowork ~]$ gpg --verify doc.gpg
gpg: Signature made Fri 28 Jan 2011 02:31:06 PM CST using DSA key ID 140A3126
gpg: Good signature from "jessinio.liang (liang qingxi)
用户jessinio解开签名数据:
[jessinio@niowork ~]$ gpg --output doc --decrypt doc.gpg
1.1 detach sign
签名后的数据在没有解开的情况下是无法使用的, 所以有时为了方便数据的查看, 会把签名与数据分开, 这种叫detach sign
2. 加密/解密
使用jessinio@gmail.com的public key加密
$ gpg --output doc.gpg --encrypt --recipient jessinio@gmail.com doc
解密与解开签名了的数据是一样行为。
3. 对称加密
[jessinio@niowork tmp]$ gpg --output 11 -c testfile.tar.gz
[jessinio@niowork tmp]$ file 11
11: DOS executable (COM)
[jessinio@niowork tmp]$ diff testfile.tar.gz 11
Binary files testfile.tar.gz and 11 differ
[jessinio@niowork tmp]$ gpg --output 11.tar.gz -d 11
gpg: CAST5 encrypted data
gpg: encrypted with 1 passphrase
gpg: WARNING: message was not integrity protected
[jessinio@niowork tmp]$ diff 11.tar.gz testfile.tar.gz
[jessinio@niowork tmp]$
gpg的完整使用手册: http://www.gnupg.org/gph/en/manual.html
Saturday, January 8, 2011
硬盘, 接口, RAID
本文不想记录关于RAID的种类和它的安装之类的,只是想写关于RAID与它背后的硬盘的一些简单信息。
这样有利于SA了解自己管理的硬件的一些具体情况,及正确地使用相应的工具。
我之所以会去了解这些信息, 主要是因为:
* 我无法正确了解到在RAID背后的硬盘的信息(如健康情况、容量、型号)
作为SA就基本要清楚自己管理的硬件情况。
我们平时常常会看到这样的一些名词:
* SCSI. SAS
* ATA. IDE. SATA. eSTAT
* iSCSI
发展过程: AT -> ATA -> IDE
上面的ATA都是并口(parallel)的。然后发展为串口 serial ATA。 也就是SATA
至于SCSI, 和ATA的发展有很大的相似度。 SCSI (Small Computer System Interface)也是一种接口技术, 然后发现到了串口的SAS(Serial Attached SCSI).
上面是平时常使用的硬盘接口的两大类的历史。
在了解上面的接口历史好。 先来小试牛力: 使用smartctl的'-d'参数:
了解上面的接口,就可以大概知道怎么选择这个参数了。
* 对于marvell接口, 我从来就接触过,所以不说它了。
但是,还有一个很有意思的类型: sat
关于 SAT描述如下 :
为中间产物, 也就是可以让SATA接口硬盘接收SCSI的指令集。
至于为什么Linux会把SATA硬盘命名成sdx, 是不是因为这个原因我无法查询到相关信息。
1. host adapter, 具体请见: http://en.wikipedia.org/wiki/Host_adapter
2. RAID controller, 具体请见: http://en.wikipedia.org/wiki/Disk_array_controller
上面的两个名词和平时所讲的“RAID card“是指同一种设备。
由于RAID把背后的硬盘情况隐藏了,所以SA要取得硬盘的信息就成问题。
从smartctl工具的文档:
至于世界上还有多少还没有RAID卡(芯片)生产商是smartctl目前为止还没有支持的, 我也无法查询到
还是,可以肯定的是: SA可以借助生产商自己开发的RAID硬件支持工具。比如这个URL:
这样有利于SA了解自己管理的硬件的一些具体情况,及正确地使用相应的工具。
我之所以会去了解这些信息, 主要是因为:
* 我无法正确了解到在RAID背后的硬盘的信息(如健康情况、容量、型号)
作为SA就基本要清楚自己管理的硬件情况。
接口
开始前, 也回顾一下硬件接口的变迁我们平时常常会看到这样的一些名词:
* SCSI. SAS
* ATA. IDE. SATA. eSTAT
* iSCSI
发展过程: AT -> ATA -> IDE
The current Parallel ATA standard is the result of a long history of incremental technical development, which began with the original AT Attachment interface, developed for use in early PC AT equipment. The ATA interface itself evolved in several stages from Western Digital's original Integrated Drive Electronics (IDE) interface.
上面的ATA都是并口(parallel)的。然后发展为串口 serial ATA。 也就是SATA
至于SCSI, 和ATA的发展有很大的相似度。 SCSI (Small Computer System Interface)也是一种接口技术, 然后发现到了串口的SAS(Serial Attached SCSI).
上面是平时常使用的硬盘接口的两大类的历史。
在了解上面的接口历史好。 先来小试牛力: 使用smartctl的'-d'参数:
-d TYPE, --device=TYPE
Specifies the type of the device. The valid arguments to this option are ata, scsi, sat, marvell, 3ware,N, and hpt,L/M, cciss,N or hpt,L/M/N.
Specifies the type of the device. The valid arguments to this option are ata, scsi, sat, marvell, 3ware,N, and hpt,L/M, cciss,N or hpt,L/M/N.
了解上面的接口,就可以大概知道怎么选择这个参数了。
* 对于marvell接口, 我从来就接触过,所以不说它了。
但是,还有一个很有意思的类型: sat
关于 SAT描述如下 :
The ´sat´ device type is for ATA disks that have a SCSI to ATA Translation (SAT) Layer (SATL) between the disk and the operating system.
为中间产物, 也就是可以让SATA接口硬盘接收SCSI的指令集。
至于为什么Linux会把SATA硬盘命名成sdx, 是不是因为这个原因我无法查询到相关信息。
RAID
在开始RAID硬件前, 还有几个名词要知道:1. host adapter, 具体请见: http://en.wikipedia.org/wiki/Host_adapter
2. RAID controller, 具体请见: http://en.wikipedia.org/wiki/Disk_array_controller
上面的两个名词和平时所讲的“RAID card“是指同一种设备。
由于RAID把背后的硬盘情况隐藏了,所以SA要取得硬盘的信息就成问题。
从smartctl工具的文档:
http://sourceforge.net/apps/trac/smartmontools/wiki/Supported_RAID-Controllers
可以看出: 要得到RAID卡后面硬盘的情况,SA首先从众多的型号中找出满足自己的RAID至于世界上还有多少还没有RAID卡(芯片)生产商是smartctl目前为止还没有支持的, 我也无法查询到
还是,可以肯定的是: SA可以借助生产商自己开发的RAID硬件支持工具。比如这个URL:
http://www.lsi.com/storage_home/products_home/internal_raid/megaraid_scsi/megaraid_scsi_3200/index.html#Miscellaneous
Tuesday, January 4, 2011
linux kernel and modules
本文主要是回顾linux modules这部分的管理.
system administrator 使用的模块处理CLI命令主要是如下的工具包:
$ dpkg -S $(which modprobe)
module-init-tools: /sbin/modprobe
讲述了如何编译自己的写的module, 相当不错.
但是少了点"为什么要这样做"的解释
看URL里写的Makefile里的这句话:
make -C /lib/modules/$(KVERSION)/build M=$(PWD) modules
参数M是什么? 参数modules又是什么? gcc怎么没有调用? 为什么可以简单的一行命令可以完成编译?
带着问题去找答案:
$ ls -ld /lib/modules/$(uname -r)/build
lrwxrwxrwx 1 root root 40 2010-03-31 09:43 /lib/modules/2.6.31-21-generic/build -> /usr/src/linux-headers-2.6.31-21-generic
ubuntu下的/usr/src/linux-headers-2.6.31-21-generic目录下的Makefile其实就是kernel代码下的Makefile文件。所以上面的make命令中的modules参数与在kernel代码目录里的modules参数是一致的。
参数"-C"表示进入此目录, 目录下有另一个Makefile文件(/lib/modules/2.6.31-21-generic/build/Makefile), 此Makefile内的一小段代码:
62 # Use make M=dir to specify directory of external module to build
63 # Old syntax make ... SUBDIRS=$PWD is still supported
64 # Setting the environment variable KBUILD_EXTMOD take precedence
65 ifdef SUBDIRS
66 KBUILD_EXTMOD ?= $(SUBDIRS)
67 endif
68
69 ifeq ("$(origin M)", "command line")
70 KBUILD_EXTMOD := $(M)
71 endif
这已经可以解决疑问:
自己写的模块编译Makefile文件只是为/lib/modules/2.6.31-21-generic/build/Makefile 提供两个参数:
找个复杂的驱动试试是否为这样, 于是从intel官网下载了e1000e-1.2.20.tar.gz代码
234 ifeq ($(KOBJ),$(KSRC))
235 $(MAKE) -C $(KSRC) SUBDIRS=$(shell pwd) modules
236 else
237 $(MAKE) -C $(KSRC) O=$(KOBJ) SUBDIRS=$(shell pwd) modules
238 endif
239 endif
.......(还有很多不显示).......
274 default:
275 $(MAKE)
下面是编译的具体过程:
jessinio@jessinio-laptop:/tmp/e1000e-1.2.20/src$ make
make -C /lib/modules/2.6.31-21-generic/build SUBDIRS=/tmp/e1000e-1.2.20/src modules
make[1]: Entering directory `/usr/src/linux-headers-2.6.31-21-generic'
CC [M] /tmp/e1000e-1.2.20/src/netdev.o
CC [M] /tmp/e1000e-1.2.20/src/ethtool.o
CC [M] /tmp/e1000e-1.2.20/src/param.o
CC [M] /tmp/e1000e-1.2.20/src/e1000_82571.o
CC [M] /tmp/e1000e-1.2.20/src/e1000_ich8lan.o
CC [M] /tmp/e1000e-1.2.20/src/e1000_80003es2lan.o
CC [M] /tmp/e1000e-1.2.20/src/e1000_mac.o
CC [M] /tmp/e1000e-1.2.20/src/e1000_nvm.o
CC [M] /tmp/e1000e-1.2.20/src/e1000_phy.o
CC [M] /tmp/e1000e-1.2.20/src/e1000_manage.o
CC [M] /tmp/e1000e-1.2.20/src/kcompat.o
LD [M] /tmp/e1000e-1.2.20/src/e1000e.o
Building modules, stage 2.
MODPOST 1 modules
CC /tmp/e1000e-1.2.20/src/e1000e.mod.o
LD [M] /tmp/e1000e-1.2.20/src/e1000e.ko
make[1]: Leaving directory `/usr/src/linux-headers-2.6.31-21-generic'
jessinio@jessinio-laptop:/tmp/e1000e-1.2.20/src$ lsmod|grep e1000e
jessinio@jessinio-laptop:/tmp/e1000e-1.2.20/src$ sudo insmod e1000e.ko
编译与加载一路通!
insmod和rmmod组合与modprobe的区别
其实大家都知道: modprobe解决module的依赖问题. insmod和rmode不会处理这种依赖问题.
依赖的依据是: `代码中使用的module名`
CLI下可以这样查看:
$ modinfo iptable_filter|grep depends
depends: ip_tables
被依赖的ip_tables可能又依赖于其它module, 不断的向下查找. 直到depends为NULL.
depmod为处理这种问题的工具:modprobe expects an up-to-date modules.dep file, as generated by depmod
可以看出modprobe和depmod工具的关系.
使用modprobe查看依赖树:
$ modprobe --show-depends iptable_filter
insmod /lib/modules/2.6.31-21-generic/kernel/net/netfilter/x_tables.ko
insmod /lib/modules/2.6.31-21-generic/kernel/net/ipv4/netfilter/ip_tables.ko
insmod /lib/modules/2.6.31-21-generic/kernel/net/ipv4/netfilter/iptable_filter.ko
上面出现的insmod是有先后顺序的.
因为modprobe是使用了modules.dep文件, 所以面对没有放在/lib/modules下或者没有调用depmod命令去更新modules.dep文件, modprobe是无法加载模块的:
# modprobe hello
FATAL: Module hello not found.
# insmod hello.ko
# rmmod hello
modprobe除了可以方便insert和remove模块外, 还有这样一些方便的功能:
1. option
2. alias
这是通过modprobe读取/etc/modprobe.conf( /etc/modprobe.d) 文件完成.
alias主是是用于调用modprobe工具时使用管理者喜欢的模块名代替实现的module名(编译后的模块名)
* alias不会影响 lsmod 命令列出的模块名. lsmod是列出真实的模块名
module有哪些option呢?
$ /sbin/modinfo bnx2|grep parm
parm: disable_msi:Disable Message Signaled Interrupt (MSI) (int)
parm: enable_entropy:Allow bnx2 to populate the /dev/random entropy pool (int)
上面列出指定的bnx2网卡module的参数.
oldconfig - Update current config utilising a provided .config as base
silentoldconfig - Same as oldconfig, but quietly, additionally update deps
oldnoconfig - Same as silentoldconfig but set new symbols to n (unset)
这三个参数都是利用旧kernel的configure文件. 例如:
jessinio@jessinio-laptop:~/linux-2.6.36.2$ cp /boot/config-2.6.31-21-generic ./.config
system administrator 使用的模块处理CLI命令主要是如下的工具包:
$ dpkg -S $(which modprobe)
module-init-tools: /sbin/modprobe
kernel module编译
这一篇文章: http://www.cyberciti.biz/tips/compiling-linux-kernel-module.html讲述了如何编译自己的写的module, 相当不错.
但是少了点"为什么要这样做"的解释
看URL里写的Makefile里的这句话:
make -C /lib/modules/$(KVERSION)/build M=$(PWD) modules
参数M是什么? 参数modules又是什么? gcc怎么没有调用? 为什么可以简单的一行命令可以完成编译?
带着问题去找答案:
$ ls -ld /lib/modules/$(uname -r)/build
lrwxrwxrwx 1 root root 40 2010-03-31 09:43 /lib/modules/2.6.31-21-generic/build -> /usr/src/linux-headers-2.6.31-21-generic
ubuntu下的/usr/src/linux-headers-2.6.31-21-generic目录下的Makefile其实就是kernel代码下的Makefile文件。所以上面的make命令中的modules参数与在kernel代码目录里的modules参数是一致的。
参数"-C"表示进入此目录, 目录下有另一个Makefile文件(/lib/modules/2.6.31-21-generic/build/Makefile), 此Makefile内的一小段代码:
62 # Use make M=dir to specify directory of external module to build
63 # Old syntax make ... SUBDIRS=$PWD is still supported
64 # Setting the environment variable KBUILD_EXTMOD take precedence
65 ifdef SUBDIRS
66 KBUILD_EXTMOD ?= $(SUBDIRS)
67 endif
68
69 ifeq ("$(origin M)", "command line")
70 KBUILD_EXTMOD := $(M)
71 endif
这已经可以解决疑问:
自己写的模块编译Makefile文件只是为/lib/modules/2.6.31-21-generic/build/Makefile 提供两个参数:
- directory of external module
- "modules"
找个复杂的驱动试试是否为这样, 于是从intel官网下载了e1000e-1.2.20.tar.gz代码
234 ifeq ($(KOBJ),$(KSRC))
235 $(MAKE) -C $(KSRC) SUBDIRS=$(shell pwd) modules
236 else
237 $(MAKE) -C $(KSRC) O=$(KOBJ) SUBDIRS=$(shell pwd) modules
238 endif
239 endif
.......(还有很多不显示).......
274 default:
275 $(MAKE)
下面是编译的具体过程:
jessinio@jessinio-laptop:/tmp/e1000e-1.2.20/src$ make
make -C /lib/modules/2.6.31-21-generic/build SUBDIRS=/tmp/e1000e-1.2.20/src modules
make[1]: Entering directory `/usr/src/linux-headers-2.6.31-21-generic'
CC [M] /tmp/e1000e-1.2.20/src/netdev.o
CC [M] /tmp/e1000e-1.2.20/src/ethtool.o
CC [M] /tmp/e1000e-1.2.20/src/param.o
CC [M] /tmp/e1000e-1.2.20/src/e1000_82571.o
CC [M] /tmp/e1000e-1.2.20/src/e1000_ich8lan.o
CC [M] /tmp/e1000e-1.2.20/src/e1000_80003es2lan.o
CC [M] /tmp/e1000e-1.2.20/src/e1000_mac.o
CC [M] /tmp/e1000e-1.2.20/src/e1000_nvm.o
CC [M] /tmp/e1000e-1.2.20/src/e1000_phy.o
CC [M] /tmp/e1000e-1.2.20/src/e1000_manage.o
CC [M] /tmp/e1000e-1.2.20/src/kcompat.o
LD [M] /tmp/e1000e-1.2.20/src/e1000e.o
Building modules, stage 2.
MODPOST 1 modules
CC /tmp/e1000e-1.2.20/src/e1000e.mod.o
LD [M] /tmp/e1000e-1.2.20/src/e1000e.ko
make[1]: Leaving directory `/usr/src/linux-headers-2.6.31-21-generic'
jessinio@jessinio-laptop:/tmp/e1000e-1.2.20/src$ lsmod|grep e1000e
jessinio@jessinio-laptop:/tmp/e1000e-1.2.20/src$ sudo insmod e1000e.ko
编译与加载一路通!
insmod和rmmod组合与modprobe的区别
其实大家都知道: modprobe解决module的依赖问题. insmod和rmode不会处理这种依赖问题.
依赖的依据是: `代码中使用的module名`
CLI下可以这样查看:
$ modinfo iptable_filter|grep depends
depends: ip_tables
被依赖的ip_tables可能又依赖于其它module, 不断的向下查找. 直到depends为NULL.
depmod为处理这种问题的工具:modprobe expects an up-to-date modules.dep file, as generated by depmod
可以看出modprobe和depmod工具的关系.
使用modprobe查看依赖树:
$ modprobe --show-depends iptable_filter
insmod /lib/modules/2.6.31-21-generic/kernel/net/netfilter/x_tables.ko
insmod /lib/modules/2.6.31-21-generic/kernel/net/ipv4/netfilter/ip_tables.ko
insmod /lib/modules/2.6.31-21-generic/kernel/net/ipv4/netfilter/iptable_filter.ko
上面出现的insmod是有先后顺序的.
因为modprobe是使用了modules.dep文件, 所以面对没有放在/lib/modules下或者没有调用depmod命令去更新modules.dep文件, modprobe是无法加载模块的:
# modprobe hello
FATAL: Module hello not found.
# insmod hello.ko
# rmmod hello
modprobe除了可以方便insert和remove模块外, 还有这样一些方便的功能:
1. option
2. alias
这是通过modprobe读取/etc/modprobe.conf( /etc/modprobe.d) 文件完成.
alias主是是用于调用modprobe工具时使用管理者喜欢的模块名代替实现的module名(编译后的模块名)
* alias不会影响 lsmod 命令列出的模块名. lsmod是列出真实的模块名
module有哪些option呢?
$ /sbin/modinfo bnx2|grep parm
parm: disable_msi:Disable Message Signaled Interrupt (MSI) (int)
parm: enable_entropy:Allow bnx2 to populate the /dev/random entropy pool (int)
上面列出指定的bnx2网卡module的参数.
kernel编译
jessinio@jessinio-laptop:~/linux-2.6.36.2$ make help|grep oldconfigoldconfig - Update current config utilising a provided .config as base
silentoldconfig - Same as oldconfig, but quietly, additionally update deps
oldnoconfig - Same as silentoldconfig but set new symbols to n (unset)
这三个参数都是利用旧kernel的configure文件. 例如:
jessinio@jessinio-laptop:~/linux-2.6.36.2$ cp /boot/config-2.6.31-21-generic ./.config
Tuesday, December 14, 2010
ip route
笔记
route是什么意思?
这个词的字面意思一直不知道是什么意思。 其实这不是一个汉语词汇。汉语词汇里只有一个“路由单” ,为一名词。 路由(route)有两种意思:
1. 选择某路线
2. 与"路由单"的意思一致: 指旅途所经历的地名单
选择路线的依据是"目的地".
但是随着发展, 仅仅是destination方式的route方式不能满足要求:
linux对应这种发展的具体落实:
意思大概是如下两件事物:
1. linux支持多routing tables. routing policy database (RPDB)
2. 每张表有独立的规则. policy based routing
平时使用的路由都是由destination成唯一条件(比如使用route命令打印的結果). 那么policy based routing有什么重要呢?
下面的一段话, 描述了linux在路由数据包时, policy based routing使用的多种实现方法
使用人类文字描述Linux选择线路不是很容易理解, 如下一段伪代码比较好:
if packet.routeCacheLookupKey in routeCache :
route = routeCache[ packet.routeCacheLookupKey ]
else
for rule in rpdb :
if packet.rpdbLookupKey in rule : (rule为下表的RPDB对象)
routeTable = rule[ lookupTable ] (routeTable为下表的route table对象)
if packet.routeLookupKey in routeTable :
route = route_table[ packet.routeLookup_key ]
把rpdb为routing table, 规则(rule)都在DB中, 每条rule有不同的属性(这里的属性包括上面提到的attributes).
伪代码中的LookupKey是代表下表中具体的一条属性. 所以, 其实上面的伪代码是很N多if语句的.
* 斜体字的属性是可选的. 如果存在就判断, 不存在不判断.
从上面的可以知道, route table起到:
1. 组织rule的作用
2. 同类的rule会拥有一组属性.
从上面的表中可以知道, 每个packet的destination和source是必定被用于路由, 但是不唯一确定条件.
linux system administrator查看上面的三种数据的方法:
1. route cache 表: ip route show cache
2. 每张RPDB表: ip rule list table 表名
3. 列出全部route table: ip rule show
route是什么意思?
这个词的字面意思一直不知道是什么意思。 其实这不是一个汉语词汇。汉语词汇里只有一个“路由单” ,为一名词。 路由(route)有两种意思:
1. 选择某路线
2. 与"路由单"的意思一致: 指旅途所经历的地名单
选择路线的依据是"目的地".
In the common case, route selection is based completely on the destination address. Conventional (as opposed to policy-based) IP networking relies on only the destination address to select a route for a packet.
但是随着发展, 仅仅是destination方式的route方式不能满足要求:
With the prevalence of low cost bandwidth, easily configured VPN tunnels, and increasing reliance on networks, the technique of selecting a route based solely on the destination IP address range no longer suffices for all situations.
Since kernel 2.2, linux has supported policy based routing through the use of multiple routing tables and the routing policy database (RPDB). Together, they allow a network administrator to configure a machine select different routing tables and routes based on a number of criteria.
意思大概是如下两件事物:
1. linux支持多routing tables. routing policy database (RPDB)
2. 每张表有独立的规则. policy based routing
平时使用的路由都是由destination成唯一条件(比如使用route命令打印的結果). 那么policy based routing有什么重要呢?
In fact, advanced routing could more accurately be called policy-based networking.
下面的一段话, 描述了linux在路由数据包时, policy based routing使用的多种实现方法
Selectors available for use in policy-based routing are attributes of a packet passing through the linux routing code. The source address of a packet, the ToS flags, an fwmark (a mark carried through the kernel in the data structure representing the packet), and the interface name on which the packet was received are attributes which can be used as selectors. By selecting a routing table based on packet attributes, an administrator can have granular control over the network path of any packet.
selector确定使用那张routing table. 使用人类文字描述Linux选择线路不是很容易理解, 如下一段伪代码比较好:
if packet.routeCacheLookupKey in routeCache :
route = routeCache[ packet.routeCacheLookupKey ]
else
for rule in rpdb :
if packet.rpdbLookupKey in rule : (rule为下表的RPDB对象)
routeTable = rule[ lookupTable ] (routeTable为下表的route table对象)
if packet.routeLookupKey in routeTable :
route = route_table[ packet.routeLookup_key ]
把rpdb为routing table, 规则(rule)都在DB中, 每条rule有不同的属性(这里的属性包括上面提到的attributes).
伪代码中的LookupKey是代表下表中具体的一条属性. 所以, 其实上面的伪代码是很N多if语句的.
从上面的可以知道, route table起到:
1. 组织rule的作用
2. 同类的rule会拥有一组属性.
从上面的表中可以知道, 每个packet的destination和source是必定被用于路由, 但是不唯一确定条件.
linux system administrator查看上面的三种数据的方法:
1. route cache 表: ip route show cache
2. 每张RPDB表: ip rule list table 表名
3. 列出全部route table: ip rule show
Sunday, December 12, 2010
ethernet
开始
以太网层本时很少关注. 最近一次关注是理解LVS时. 最近在看<<Guide to IP Layer NetworkAdministration with Linux>>, 做做笔记, 随便动动手. 加深记忆.
被操作的机器上只有网关的物理地址:
$ arp -n
Address HWtype HWaddress Flags Mask Iface
10.20.129.1 ether 00:0F:E2:D3:BE:B8 C eth0
进行如下动作:
$ ping 10.20.129.32
把ping动作发出的包抓下来
$ sudo tcpdump -ent -i eth0 arp or icmp
....(截掉).....
00:23:ae:93:d9:26 > Broadcast, ethertype ARP (0x0806), length 42: arp who-has 10.20.129.32 tell 10.20.129.19
00:1e:4f:ad:41:58 > 00:23:ae:93:d9:26, ethertype ARP (0x0806), length 60: arp reply 10.20.129.32 is-at 00:1e:4f:ad:41:58
00:23:ae:93:d9:26 > 00:1e:4f:ad:41:58, ethertype IPv4 (0x0800), length 98: 10.20.129.19 > 10.20.129.32: ICMP echo request, id 26119, seq 1, length 64
00:1e:4f:ad:41:58 > 00:23:ae:93:d9:26, ethertype IPv4 (0x0800), length 98: 10.20.129.32 > 10.20.129.19: ICMP echo reply, id 26119, seq 1, length 64
....(截掉).....
ICMP包在ethernet层之上, 需要使用ethernet发数据, 需要物理地址. 为了得到物理地址使用到ARP协议.
ARP过程与如下命令一致: $ sudo arping -I eth0 10.20.129.32这一条命令表示向网段内查询某IP对应的MAC地址.
查看ARP表:
$ arp -n
Address HWtype HWaddress Flags Mask Iface
10.20.129.1 ether 00:0F:E2:D3:BE:B8 C eth0
10.20.129.32 ether 00:1E:4F:AD:41:58 C eth0
增加了一个记录
arping命令 -A 参数: ARP announcement, 也称为gratuitous ARP
$ sudo arping -A -c 3 -I eth0 10.20.129.19tcpdump的抓包结果:
00:23:ae:93:d9:26 > Broadcast, ethertype ARP (0x0806), length 42: arp reply 10.20.129.19 is-at 00:23:ae:93:d9:26
00:23:ae:93:d9:26 > Broadcast, ethertype ARP (0x0806), length 42: arp reply 10.20.129.19 is-at 00:23:ae:93:d9:26
00:23:ae:93:d9:26 > Broadcast, ethertype ARP (0x0806), length 42: arp reply 10.20.129.19 is-at 00:23:ae:93:d9:26
从上面的信息看出, -A是向整个网段通知自己的IP. 默认情况下, linux 不会接受这样的包.
由arp_accept选项控制, 如下文档:
arp_accept - BOOLEAN
Define behavior for gratuitous ARP frames who's IP is not
already present in the ARP table:
0 - don't create new entries in the ARP table
1 - create new entries in the ARP table
如果看知道 gratuitous ARP 包的具体用法, 可以移步到: http://wiki.wireshark.org/Gratuitous_ARP
arping命令 -D 参数: Duplicate address detection mode (DAD)
这个参数相当有用: 用于排除网段中有IP冲突. 来个实例:root@jessinio-laptop:~# ifconfig wlan0 |head -n 2
wlan0 Link encap:Ethernet HWaddr 00:16:cf:68:5b:a7
inet addr:192.168.0.106 Bcast:192.168.0.255 Mask:255.255.255.0
root@jessinio-laptop:~# arping -D -I wlan0 192.168.0.106
ARPING 192.168.0.106 from 0.0.0.0 wlan0
Unicast reply from 192.168.0.106 [00:18:41:FE:26:5F] 90.390ms
Sent 1 probes (1 broadcast(s))
Received 1 response(s)
可以看出, 192.168.0.106 被两台机器使用, 一台是本志的00:16:cf:68:5b:a7 , 另一台是00:18:41:FE:26:5F.
抓包信息:
00:16:cf:68:5b:a7 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Request who-has 192.168.0.106 (ff:ff:ff:ff:ff:ff) tell 0.0.0.0, length 28
00:18:41:fe:26:5f > 00:16:cf:68:5b:a7, ethertype ARP (0x0806), length 42: Reply 192.168.0.106 is-at 00:18:41:fe:26:5f, length 28
结束
以一个问题为结束: 使用ICMP协议能否得知网段中有其它机器使用自己的IP呢? 比如, ping自己的IP.
答案是不可以的. 因为ICMP包基本没有发出来. 回流了. 例如:
产生的数据包不会流过ethernet卡, 从route表就可以知道:
$ ip route list table local
broadcast 127.255.255.255 dev lo proto kernel scope link src 127.0.0.1
broadcast 10.20.129.0 dev eth0 proto kernel scope link src 10.20.129.19
local 10.20.129.19 dev eth0 proto kernel scope host src 10.20.129.19
broadcast 10.20.129.127 dev eth0 proto kernel scope link src 10.20.129.19
broadcast 127.0.0.0 dev lo proto kernel scope link src 127.0.0.1
local 127.0.0.1 dev lo proto kernel scope host src 127.0.0.1
local 127.0.0.0/8 dev lo proto kernel scope host src 127.0.0.1
Friday, November 26, 2010
iptables与流量统计
要对机房某台机器进行临时性的 内、外网流量统计分开。这种事最好不要放到应用层统计,因为效率很成问题。第一时间想到处于网络二、三层的工具,效率不会被过多影响。 如ntop之类使用libpcap库的工具。
其实iptables也是有包统计。因为每个包都经过它。而且不用安装任何工具。
加入两条规则:
jessinio@jessinio-laptop:~$ sudo iptables -t filter -A INPUT -p all -s 174.121.79.132 -j ACCEPT
jessinio@jessinio-laptop:~$ sudo iptables -t filter -A OUTPUT -p all -d 174.121.79.132 -j ACCEPT
情况:
jessinio@jessinio-laptop:~$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- web124.webfaction.com anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere web124.webfaction.com
結果:
jessinio@jessinio-laptop:~$ sudo iptables -L -n -v
Chain INPUT (policy ACCEPT 11M packets, 5033M bytes)
pkts bytes target prot opt in out source destination
10 2088 ACCEPT all -- * * 174.121.79.132 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 14M packets, 14G bytes)
pkts bytes target prot opt in out source destination
48 25152 ACCEPT all -- * * 0.0.0.0/0 174.121.79.132
其实iptables也是有包统计。因为每个包都经过它。而且不用安装任何工具。
加入两条规则:
jessinio@jessinio-laptop:~$ sudo iptables -t filter -A INPUT -p all -s 174.121.79.132 -j ACCEPT
jessinio@jessinio-laptop:~$ sudo iptables -t filter -A OUTPUT -p all -d 174.121.79.132 -j ACCEPT
情况:
jessinio@jessinio-laptop:~$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- web124.webfaction.com anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere web124.webfaction.com
結果:
jessinio@jessinio-laptop:~$ sudo iptables -L -n -v
Chain INPUT (policy ACCEPT 11M packets, 5033M bytes)
pkts bytes target prot opt in out source destination
10 2088 ACCEPT all -- * * 174.121.79.132 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 14M packets, 14G bytes)
pkts bytes target prot opt in out source destination
48 25152 ACCEPT all -- * * 0.0.0.0/0 174.121.79.132
Subscribe to:
Posts (Atom)