代码之美

分类: 未分类

  • ubuntu上开启mdns/dns-sd

    • 开启mdns客户端
      编辑/etc/nsswitch.conf 文件
      修改hosts行为以下内容
      hosts: files mdns_minimal [NOTFOUND=return] dns mdns
      修改后立即生效
    • 开启mdns服务端
      方法1:
      /etc/systemd/resolved.conf
      systemd restart systemd-resolved
      基于resolved配置静态dnssd服务:https://manpages.ubuntu.com/manpages/jammy/man5/systemd.dnssd.5.html
      反注释MulticastDNS=yes
      方法2:
      apt-get install avahi-daemon
      systemctl restart avahi-daemon
      基于avahi-daemon配置静态dnssd服务:https://linux.die.net/man/5/avahi.service
      resolved和avahi-daemon不能同时使用,虽然avahi-daemon很久没有更新了,但是cpus和libapache2-mod-dnssd还是使用的avahi-daemon的dbus接口,resolved的dbus接口尚没有应用支持。建议使用avahi-daemon.

    使用mdns/dns-sd时必须在/etc/resolv.conf中把dns服务器设为127.0.0.53

    参考:
    https://gist.github.com/jimmydo/e4943950427234408a1aaa2d7beda8b6

    Views: 26

  • 局域网名字解析和服务发现协议对比

    • mdns(Multicast DNS)/dns-sd(DNS Service Discovery)
      支持名字解析和服务发现,由苹果公司最早提出,苹果所有设备和Windows10以上版本默认支持mdns协议,Ubuntu/debian通过libnss的插件nss-mdns提供支持,但没有默认启用。
      mdns使用组播协议进行名字解析,解析到的名字统一放到.local域下。dns-sd是mdns的扩展,与mdns兼容,不但支持组播还支持使用单播进行解析,可以配置自定义域名后缀并与DNS服务器配置完成域名解析,更适合企业环境中使用。
      mdns/dns-sd使用UDP协议,5353端口。
    • SSDP(upnp)
      仅服务发现,没有名字解析功能,ssdp是upnp的组成部分,支持IPv4和IPv6。使用HTTPU/HTTPMU(基于UDP) 1900端口。UPNP提供了设备和服务发现,设备信息获取,设备控制功能,甚至提供了NAT穿透功能,可以作为智能家居设备的底层协义,DLNA投屏协义也是基于UPNP。
    • NBNS(NetBIOS Name Service)/WINS
      不支持IPv6,已经废弃。NetBIOS是一项古老的协议,由IBM开发。WINS是由微软开发的基于NBNS的协议,WINS支持单播,而且支持域名后缀并与DNS服务器集成,更适合企业环境中使用,类似dns-sd与mdns的关系。Windows10以上版本已经废弃NetBIOS的服务发现功能,取而代之的是WSSD和LLMNR(MDNS的支持似乎还不完整,只有名字解析,没有服务发现)。
      nbns/wins使用UDP/TCP协议,137端口。
    • LLMNR(Link-Local Multicast Name Resolution)
      也是提供基于多播协议的DNS解析功能,但仅提供名字解析,没有服务发现功能,与mdns非常类似,由微软件开发因未竞争过mdns所以未成为正式IETF正式标准。LLMNR使用UDP 5355端口。自 2022 年 4 月起,微软已开始逐步淘汰 LLMNR 和NetBIOS名称解析,转而使用mDNS。LLMNR落败的主要原因是没有与普通DNS解析的名称进行区分,导致LLMNR的名字会污染普通的DNS名字造成安全隐患,mdns则是用.local后缀作区分。
    • DDNS(Dynamic Updates in the Domain Name System)
      即动态DNS,与DHCP配合使用,由DHCP服务器把主机名注册到DNS服务器。缺点是静态IP地址就没法用了。

    参考:
    LLMNR
    https://datatracker.ietf.org/doc/rfc4795/
    这篇文章讲解了LLMNR与MDNS的竞争
    https://www.eiman.tv/blog/posts/lannames/
    Multicast DNS
    https://datatracker.ietf.org/doc/rfc6762/
    DNS Service Discovery
    https://datatracker.ietf.org/doc/rfc6763/
    http://www.dns-sd.org/
    DDNS
    https://datatracker.ietf.org/doc/rfc2136/
    libnss的d-bus接口
    https://www.freedesktop.org/software/systemd/man/latest/org.freedesktop.resolve1.html
    cups支持systemd-dnssd的issue
    https://github.com/OpenPrinting/libcups/issues/81
    wikipedia的介绍
    https://en.wikipedia.org/wiki/Zero-configuration_networking

    Views: 50

  • 华为路由器PPPOE拨号IPv6不稳定

    表现为IPv6速度慢,有的网站能打开,有的打不开。

    #pppoe口
int Dialer 1
  mtu 1492
  ipv6 mtu 1492
#lan口
int vlanif 2
  mtu 1492
  ipv6 mtu 1492

    造成这种问题是原因多方面的:
    – IPv6天生不允许分片
    – 华为路由器的MTU,IPv4和IPv6是分开配置的,PPPOE会自动配置IPv4的MTU为1492,但IPv6不会
    – ipv6 pathmtu被某些设备破坏了或者某些网站pathmtu不正确

    正常情况下IPv6是不需要设置MTU的,IPv6始终使用Path MTU Discovery自动发现正确的MTU,出现这种情况大概率华为设备的PMTUD协议有问题,这种问题仅在华为设备上出现。
    OpenWrt就是有项RA MTU的设置,会把PPPOE接口的MTU通告给下游设备。

    参考:
    https://macgeeker.com/openwrt/ipv6-mtu/
    https://forum.huawei.com/enterprise/zh/thread/blog/703813366742663168

    Views: 4

  • 端口映射协议介绍

    • UPNP IGD V1
      随UPNP于1999年发布,IGD作为UPNP的组成部分提供了添加和删除端口映射,分配租约时间,枚举现有端口映射,了解公共外部IP地址功能,现有的IGD V1实现存在安全漏洞。此为ISO标准,非IETF标准。现已被IGE V2取代
    • UPNP IGD V2
      于2010年发布,增加了IPV6支持,并纠正了值为 0 的无限租用时间的误解。但与微软IGD V1客户端存在兼容性问题。ISO标准,非IETF标准。
    • NAT-PMP
      由IETF定义,是一个独立的端口映射协议,2005年由苹果推出。现已被PCP取代。
      https://datatracker.ietf.org/doc/rfc6886/
    • PCP(Port Control Protocol)
      是NAT-PMP的升级,于2013年公布RFC,支IPv6,支持在CGN和家庭环境中使用,支持生命期管理。
      https://datatracker.ietf.org/doc/rfc6887/

    未来PCP有可能取代其它几种协议

    UPNP+(2.0)已于2015年发布
    https://openconnectivity.org/developer/specifications/upnp-resources/upnp/

    Views: 2

  • python使用协程循环并发执行http请求

    import asyncio
import aiohttp

async def do_request(val):
    timeout = aiohttp.ClientTimeout(total=86400)
    async with aiohttp.ClientSession(timeout=timeout) as session:
        async with session.post('http://127.0.0.1:5000'), json={"val": val}) as resp:
        result = await resp.json()
        return result

    async def main(count):
        tasks = [do_request(val) from val in range(count)]
        values = await asyncio.gather(*tasks)
        print(values)

asyncio.run(main(10))

    参考:
    https://superfastpython.com/asyncio-for-loop/
    https://www.dongwm.com/post/understand-asyncio-1/
    https://www.dongwm.com/post/understand-asyncio-2/

    Views: 2

  • dnsdist降低健康检查的频率

    dnsdist默认会以1Hz的频率向上游服务器发送a.root-servers.net的解析请求,用于健康检查,下面配置10分钟发送一次
    newServer({address="172.30.0.54", pool="rec", checkInterval=600})

    Views: 1

  • dnsdist支持ipv6

    dnsdist.conf中按下面配置,同时Docker开启ipv6支持

    addLocal('0.0.0.0', {reusePort=true,doTCP=true})
addLocal('::', {reusePort=true,doTCP=true})
setACL({'0.0.0.0/0', '::/0'})
webserver("0.0.0.0:8083")
webserver("[::]:8083")

    Views: 1

  • openwrt流量监控

    opkg install luci-app-nlbwmon luci-i18n-nlbwmon-zh-cn nlbwmon

    参考:
    https://github.com/destan19/OpenAppFilter
    https://github.com/jow-/nlbwmon/tree/master

    Views: 1

  • automake交叉编译

    export PATH=$PATH:/opt/toolchains/taowrt-toolchain-1.0.4-mediatek-filogic_gcc-13.3.0_musl.Linux-x86_64/toolchain-aarch64_cortex-a53_gcc-13.3.0_musl/bin/
./configure --build=aarch64-openwrt-linux
make

    Views: 1

  • 关于nftables在output hook中设置mark路由不通的问题

    我这里排查到两点原因
    1. output hook只能是rotue链,不能是filter链,而prerouting则只能是filter链
    要这样写
    nft add chain inet fw4 gfw_output { type route hook output priority mangle\; policy accept\; }
    filter的优先级是比route低的
    官方是这么写的

    filter: Supported by arp, bridge, ip, ip6 and inet table families.
    route: Mark packets (like mangle for the output hook, for other hooks use the type filter instead), supported by ip and ip6.
    nat: In order to perform Network Address Translation, supported by ip and ip6.
    2. 本地出口源IP的问题
    可能因为默认路由在wan口上,所以本地发包源IP始终是wan口上的IP,而这个IP是运营商分配的100.64.0.0/10段的IP,这样就导致远端服务器找不到到100.64.0.0/10的路由,数据包有去无回,需要在服务器上配置这个网段的路由
    如果是wireguard在AllowedIPs中添加100.64.0.0/10网段即可。

    参考:
    https://forums.gentoo.org/viewtopic-t-1136379-start-0.html

    Views: 14