Haron_Prime
8 лет, 1 месяц назад
Haron_Prime avatar
Темы: 28
Сообщения: 2109
Участник с: 08 июня 2014
мой уровень где-то между валенком и лаптем, потому мне вполне хватает вот такого конфига

:INPUT ACCEPT [63494:3984121]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [104478:128641017]
:f2b-SSH - [0:0]
-A INPUT -p tcp -m tcp --dport 22 -j f2b-SSH
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type echo-request -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p icmp -m limit --limit 5/sec --limit-burst 1 -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -j DROP
-A INPUT -p tcp -m tcp --dport 20000 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state NEW -j REJECT --reject-with icmp-net-prohibited
-A INPUT -p udp -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state INVALID -j DROP
-A f2b-SSH -j RETURN
COMMIT

также установлен fail2ban
Gnome 2 >> Unity >> KDE 4 >> Openbox >> Awesome >> Xmonad
GitHub , BitBuket
Haron_Prime
8 лет, 1 месяц назад (отредактировано 8 лет, 1 месяц назад)
Haron_Prime avatar
Темы: 28
Сообщения: 2109
Участник с: 08 июня 2014
если на пальцах, то: первое и третье правила фильтруют входящий/исходящий трафик, не пропуская битые пакеты
второе правило пропускает входящие, которые не попали под первое правило
в итоге система не тратит ресурс на обработку повреждённых пакетов
при большом объёме трафика (у меня, как правило, 100-150ГБ в день, но в отдельных случаях доходило и до 350-380ГБ) это не такая уж и мизерная экономия
Gnome 2 >> Unity >> KDE 4 >> Openbox >> Awesome >> Xmonad
GitHub , BitBuket
Haron_Prime
8 лет, 1 месяц назад
Haron_Prime avatar
Темы: 28
Сообщения: 2109
Участник с: 08 июня 2014
iptables можно использовать и так

-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state INVALID -j DROP
к примеру
даже при единственной сетевой карте и отсутствии локалки
вполне себя оправдывает

 Chain INPUT (policy ACCEPT 542K packets, 75M bytes)
 pkts bytes target     prot opt in     out     source               destination
 3163  131K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID
  43M 2483M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT 72M packets, 95G bytes)
 pkts bytes target     prot opt in     out     source               destination
 2265  647K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID
Gnome 2 >> Unity >> KDE 4 >> Openbox >> Awesome >> Xmonad
GitHub , BitBuket
Haron_Prime
8 лет, 1 месяц назад
Haron_Prime avatar
Темы: 28
Сообщения: 2109
Участник с: 08 июня 2014
binaryshadow
Такого не бывает.
ещё и не такое бывает!
на днях комп перестал видеть SSD с арчем (причина не важна, к арчу она отношения не имеет)
подключил диск к другому порту - не видит
отключил остальные диски ( 3 шт. HDD) - увидел
подключил отключенные диски - всё работает
Gnome 2 >> Unity >> KDE 4 >> Openbox >> Awesome >> Xmonad
GitHub , BitBuket
Haron_Prime
8 лет, 1 месяц назад (отредактировано 8 лет, 1 месяц назад)
Haron_Prime avatar
Темы: 28
Сообщения: 2109
Участник с: 08 июня 2014
что касается внешних скриптов, то дело тут не в мощности железа - машина прекрасно справляется и с "тяжёлыми" коньками в убунте, которые жрут более сотни метров памяти (луа-скрипты имеют привыку "течь" потихоньку)

- так это выглядело в убунте полгода назад (нашёл старый скрин)

это просто дело принципа
ну или бзык такой, кому как больше нравится называть )))
вот захотелось мне так ))))
Gnome 2 >> Unity >> KDE 4 >> Openbox >> Awesome >> Xmonad
GitHub , BitBuket
Haron_Prime
8 лет, 1 месяц назад
Haron_Prime avatar
Темы: 28
Сообщения: 2109
Участник с: 08 июня 2014
максимально просто и, одновременно, максимально информативно
монитор 1920х1080, окно браузера развёрнуто на 75% по горизонтали (мне как раз), так что коньки всегда на виду (иначе бы в них не было смысла), что позволяет отслеживать несколько интересующих меня параметров без сворачивания окна.
так же и с другими программами - принудительно задан размер окна
исключения - smplayer, vlc, dolphin и парочка рабочих программ (когда работаю, стараюсь не отвлекаться ни на что), в игры не играю
точнее говоря, могу иногда запустить 0AD или HMM3 , но это случается раз в месяц, а то и реже
Gnome 2 >> Unity >> KDE 4 >> Openbox >> Awesome >> Xmonad
GitHub , BitBuket
Haron_Prime
8 лет, 1 месяц назад (отредактировано 8 лет, 1 месяц назад)
Haron_Prime avatar
Темы: 28
Сообщения: 2109
Участник с: 08 июня 2014
conkyrc

P.S> кстати, в бубне у меня один только main.lua, подключаемый к конфигу, составляет почти 1k строк )))

P.P.S> соврамши - не почти 1k, а 1163 строки
Gnome 2 >> Unity >> KDE 4 >> Openbox >> Awesome >> Xmonad
GitHub , BitBuket
Haron_Prime
8 лет, 1 месяц назад
Haron_Prime avatar
Темы: 28
Сообщения: 2109
Участник с: 08 июня 2014
Xts
имхо, это как качественно и бесплатно одновременно
Отнюдь.
В данный момент весь конфиг у меня вмещается в 80 строк, включая те, что идут до TEXT.
При этом я получаю всю необходимую мне информацию. И даже немного "красивостей"
Скрин
Gnome 2 >> Unity >> KDE 4 >> Openbox >> Awesome >> Xmonad
GitHub , BitBuket
Haron_Prime
8 лет, 1 месяц назад (отредактировано 8 лет, 1 месяц назад)
Haron_Prime avatar
Темы: 28
Сообщения: 2109
Участник с: 08 июня 2014
Спасибо.
Но это всё-таки внешний скрипт. Как раз этого я хочу избежать.
Возможно это блажь, но хочется решить вопрос, использую только функции самих conky, ничего внешнего.
В убунте у меня коньки более навороченные, подключено с десяток скриптов, как *.lua, так и *.sh, рюшечки и свистоперделки.
Там это реализовано в lua
Но в арче я хочу использовать максимально простой конфиг. Основу набросал минут за 5 сразу после установки арча. Теперь потихоньку вношу изменения, чтобы сделать конфинг максимально лёгким и, в то же время, максимально информативным.
Gnome 2 >> Unity >> KDE 4 >> Openbox >> Awesome >> Xmonad
GitHub , BitBuket
Haron_Prime
8 лет, 1 месяц назад
Haron_Prime avatar
Темы: 28
Сообщения: 2109
Участник с: 08 июня 2014
Дано:
1 - роутер, подключение к провайдеру через PPPoE, статический IP
2 - десктоп , арч в кедах с коньками, подключен к роутеру витухой, получает по dhcp фиксированый IP-адрес

Требуется:
отображать в коньках наличие/отсутствие доступа к инету
т.к. комп всегда подключен к роутеру, функции $ifup или $addr не выполняют требуемое
долго искал простое решение, но так ничего и не нашёл (((
пока что для себя решил это таким вот образом:

${if_empty ${execpi 10 curl ipv4.icanhazip.com | cut -c 1-16}}${color red}= Disconnected =${color}${else}${color1}= ${execpi 10 curl ipv4.icanhazip.com | cut -c 1-16} =${color}${endif}

способ работает, но кажется мне излишне громоздким, хочется как-то это дело упростить
к тому же, если комп включается в тот момент, когда подключение к инету отсутствует, коньки очень долго думают перед запуском, ждут ответ от сервера

может кто подскажет более изящное решение?
буду весьма благодарен.

*внешние скрипты не предлагать - хочу, чтобы конфиг был максимально простым, без использования каких-либо внешних скриптов
Gnome 2 >> Unity >> KDE 4 >> Openbox >> Awesome >> Xmonad
GitHub , BitBuket
 

© 2006-2022, Русскоязычное сообщество Arch Linux.
Название и логотип Arch Linux ™ являются признанными торговыми марками.
Linux ® — зарегистрированная торговая марка Linus Torvalds и LMI.