Изучаем возможности nftables — нового пакетного фильтра Linux

Настройка Redshift в Linux

По умолчанию настройки редшифт слишком агрессивны. Поэтому я предпочитаю делать по своему. Для удобства скопируем файл конфигурации в домашнюю папку пользователя:

cp -v /usr/share/doc/redshift/ ~/.config/

1	cp -v /usr/share/doc/redshift/ ~/.config/

Теперь можно редактировать в соответствии со своими предпочтениями:

nano .config/

1	nano .config/

Пример моей конфигурации:

• Ознакомьтесь с предложением, предоставляет молниеносные скорости и не регистрирует активность пользователей Лучший Сервис VPN
• Один из лучших сервисов хотя и не дешевый. Множество функций безопасности, поддержка P2P и стримов Сервис NordVPN
• Я предпочитаю всем сервисам впн создавать свой. Вот инструкция как создать собственный VPN сервер

Пояснение какие параметры для чего:

Цветовая температура. Значение указывается в Кельвинах — «К».

temp-day=5800 — Температура цвета днем temp-night=5000 — Температура цвета ночью

transition=1 — Включение/выключение плавного перехода между днём и ночью ; 0 — резкая смена значения температуры экрана при смене дня и ночи. ; 1 — плавное изменение цветовой температуры экрана

gamma=0.8:0.7:0.8 — Установка гаммы экрана для  каждого цветового канала (R;G;B)

location-provider=manual — Установка местоположения. Указывается в секции «manbal»

adjustment-method=randr — Установка метода регулировки. Рекомендуемый «randr». Что бы увидеть все доступные дайте команду:

redshift -m list

1	redshift -m list

Думаю этого достаточно. Для более подробной информации смотрите справку:

redshift -help или man redshift

1	redshift -help или man redshift

Установка и настройка Redshift в KDE

В оболочке kde настраивать программу можно с помощью удобной графической оболочкой. Нужно установить два пакета сам redshift и апплет “Redshift Control”. Команда:

sudo apt install redshift plasma-applet-redshift-control

1	sudo apt install redshift plasma-applet-redshift-control

Можно воспользоваться «Центрм приложений» (Discover – встроенный в кде магазин программ) или «Synaptic». Затем добавить виджет на панель. Для этого кликните по ней правым кликом в меню наведите на «Добавить виджет «Панель» и выберите «Добавить виджеты».

Откроется окно с доступными виджетами. В строке поиска введите «redshift» и после того как он отобразится перетащите его в нужное место на панели.

После этого на панели должен отобразиться знак в виде лампочки.

Программа запущена и работает. Для отключения можно кликнуть по ней левым кликом мыши для повторного включения еще раз кликнуть.

Чтобы настроить программу можно кликнуть правой кнопкой мыши по «лампочке». Станет доступно меню в котором выбрать пункт «Настройка виджета Redshift Control». Откроется окно с настройками. Здесь три основных раздела:

1. General
2. Advanced
3. Комбинация клавиш

Из них наиболее интересны первые два. Их и рассмотрим подробнее.

Раздел «General»:

• Autostart — задать настройки для запуска приложения при старте системы.
• Smooth transitions — включить плавные переходы.
• Manual temperature step – задать шаг регулировки температуры
• Manual brightness step – задать шаг регулировки яркости.
• Use default icons – Использовать иконки по умолчанию. Если захотите использовать свои то снимите этот флаг и нажмите на картинку и выберите свои.

Раздел Advanced:

• Location – ваше местоположение. Можно поставить флаг «automatic» для автоматического определения с помощью «geoclue», указать руками или нажать кнопку «Locate», чтобы определить расположение в данный момент.
• Temperature – указать температуру дневную и ночную.
• Brightness – настройка яркости. Также для дневного освещения и для ночного.
• Gamma – регулировка гаммы по rgb.
• Mode – режим drm, randr, vidmode, manual.

Вот такой удобный инструмент. Пользуйтесь, работайте с комфортом и берегите зрение.

На этом все.

Настраиваем автозапуск приложений

Разумеется, все мы начинаем устанавливать приложения. Естественно, какие-то из них начинаю запускаться во время загрузки системы, на что тратятся ресурсы. Со временем ресурсов затрачивается всё больше и больше. Давайте это исправим и найдём в поиске Startup Applications:

Мы увидим список приложений, которые запускаются во время загрузки ОС. Ещё раз гляньте и решите, что из этого можно удалить из автозапуска:

Не хотите удалять? Всё очень-очень надо? Есть другое решение — отложите запуск этих приложений — это тоже высвободит ресурсы. Для этого выберите интересующее приложение, нажмите «Edit», а потом в поле «Command» пропишите:

sleep 20;

Впрочем, время можете выбрать другое. В нашем же примере приложение запуститься с задержкой в 20 секунд.

Как настроить интернет в Ubuntu

Настроить подключение к сети может любой желающий.

Для начала нужно знать параметры:

• Ip-адрес;
• маска сети;
• шлюз;
• сервер DNS.

Причем первые 3 пункта выдаются провайдером, а вот последний может быть любым.

Далее технология подключения к Интернету будет выглядеть следующим образом:

1. Открыть рабочий стол.
2. Найти значок, отображающий все подключения к сетям. Нажать на него правой кнопкой мыши и выбрать раздел «Изменить соединения…».
3. После появления окна «Сетевые соединения» следует выбрать тип подключения. Выбрать нужное подключение, выделить его и выбрать раздел «Изменить».
4. В появившемся окне найти вкладку «Параметры IPv4». В списке выбрать «Способ настройки». Выделить раздел «Вручную».
5. Заполнить поля данными от провайдера. Нажать кнопку «Сохранить».
6. Через рабочий стол кликнуть на значок интернет-подключения, найти необходимую сеть и нажать на левую клавишу мыши.

Если выполнено все верно, появится интернет-подключение на платформе убунту.

Назначение nftables

Об nftables впервые заговорили в октябре 2008 года на конференции Netfilter Workshop. Задача проекта — заменить подсистемы iptables, ip6table, arptables и ebtables одним решением. Разработкой новой подсистемы пакетной фильтрации стала заниматься та же команда, только под руководством Патрика Мак-Харди (Patrick McHardy). Альфа-версия была представлена в марте 2009 года, хотя до 2012 года проект практически спал.

Дерево патчей состояло из более 100 патчей, которые в конце октября 2013-го были объединены в 17. В стандартную ветку Linux nftables включен с версии , хотя высокоуровневые инструменты все еще находятся в разработке, а документация, ориентированная на пользователя, отсутствует. Старая и новая подсистемы будут некоторое время сосуществовать рядом, так как nftables еще требует доработки и тестирования. Для обеспечения обратной совместимости предоставляется специальная прослойка, позволяющая использовать iptables/ip6tables поверх инфраструктуры nftables.

В nftables реализована идея, схожая с BPF (Berkeley Packet Filters): правила фильтрации в пространстве пользователя компилируются в байт-код, а затем через Netlink API передаются в ядро. После этого для принятия решения по дальнейшим действиям с пакетом они выполняются с использованием так называемого конечного автомата (pseudo-state machine), который представляет собой простейшую виртуальную машину, выполняющую байт-код.

Виртуальная машина способна манипулировать наборами данных (как правило, IP-адреса), позволяя заменить несколько операций сравнения единым набором поиска. Для принятия решений на основе этих данных могут быть использованы арифметика, битовые операторы и операторы сравнения. Возможен и обратный процесс декомпиляции объектов, позволяющий воссоздать текущую конфигурацию в ядре.

Использование userspace значительно упрощает код ядра и позволяет гораздо проще анализировать и принимать решения по отдельным протоколам. Отсутствует дублирование кода, особенности каждого протокола уже не встраиваются.

Все операции по определению условий и связанных с ними действий выполняются в пространстве пользователя, в ядре производится только базовый набор операций, таких как чтение данных из пакета, сравнение данных. Присутствует поддержка словарного маппинга и поиск по наборам правил (sets), работа которых реализована через хеши и rb-деревья. При этом элементы наборов могут быть заданы в виде диапазонов значений (можно определять подсети).

В качестве базовых блоков по-прежнему используются компоненты netfilter, в том числе существующие хуки, система отслеживания состояния соединений, компоненты организации очередей и подсистема ведения лога. Хотя работа в userspace позволяет получать больше отчетов об ошибках.

Отличается и алгоритм работы фильтра, он сделан более универсальным, теперь разборкой пакета занимаются операторы (expression). Специальный механизм payload expression загружает данные из пакета в один из регистров общего назначения. Базовое смещение, специфичное для протокола, берется из структуры nft_pktinfo и модулей netfilter (IPv4, ARP и так далее). То есть уже нельзя сказать: «сравни IP источника с IP », — теперь фильтр «знает», что нужно извлечь определенную часть заголовка, помещает ее в переменную и затем сравнивает с нужным адресом. Обработка пакета несколькими правилами за счет введения так называемого verdict register стала значительно проще. Также легко пропустить ненужные операции, вроде счетчиков, если в них нет необходимости, меньше ресурсов требует поиск и сопоставление с диапазоном.

В итоге простое правило iptables в памяти занимает 112 байта, аналогичное nftables — 24 байта. Проверка пинга «-d -p icmp –icmp-type echo-request» — 152 и 96 байт соответственно.

Улучшенный API позволяет производить инкрементные обновления правил или атомарную замену правила, гарантирующие эффективность и согласованность, без выгрузки/загрузки всего набора в пределах одной транзакции Netlink.

Для взаимодействия kernel <-> userspace nftables API использует особый компонент ядра Netlink, позволяющий через обычный сокет передавать и принимать сообщения, сформированные особым образом. При этом сам Netlink позволяет:

• получать уведомления об изменении сетевых интерфейсов, таблиц маршрутизации и состоянии пакетного фильтра;
• управлять параметрами сетевых интерфейсов, таблицами маршрутизации и параметрами netfilter;
• управлять ARP-таблицей;
• взаимодействовать со своим модулем в ядре.

Именно через Netlink работает утилита iproute2, пришедшая на смену ifconfig и route.

Собственно взаимодействие с кодом, работающим на уровне ядра, возложено на интерфейсные библиотеки libmnl (Netlink), libnftables (userspace Netlink API) и построенный поверх фронтенд, работающий на уровне пользователя. Для формирования правил фильтрации в nftables подготовлена утилита nft, которая проверяет корректность правил и транслирует их в байт-код. Утилита iptables-nftable позволяет использовать правила iptables.

Установка переменных среды

Чтобы лучше показать разницу между переменными оболочки и среды, попробуем начать с установки переменных оболочки, а затем перейдем к переменным среды.

Создадим новую переменную оболочки с именем MY_VAR и значением Abuzov, для этого введём:

MY_VAR=’Abuzov’

Вы можете проверить, что переменная установлена, используя echo $MY_VAR. Для фильтрации вывода команды set с помощью grep set | grep MY_VAR:

echo $MY_VAR

Используйте команду printenv, чтобы проверить, является ли эта переменная переменной среды:

printenv MY_VAR

bash -c ‘echo $MY_VAR’

Команда export используется для установки переменных окружения. Чтобы создать переменную, просто экспортируйте переменную оболочки как переменную среды:

export MY_VAR

Теперь выполнение команды printenv MY_VAR выведет на экран значение Abuzov. Дополнительно, можно устанавливать переменные среды командой в одну строку:

export MY_NEW_VAR=»My New Var»

Переменные среды, созданные таким образом, доступны только в текущем сеансе. Если вы откроете новую оболочку или выйдете из системы, все переменные будут потеряны.