Сетевая загрузка PXE

В FreeNAS уже есть TFTP, скармливаю ему подготовленную директорию. В прошлой статье в DHCP-сервере указал какой и откуда файл грузить по протоколу PXE. Если комп вдруг не поддерживает загрузку по сети в BIOS, то можно, например, грузануться с Live Clonezilla и выбрать gPXE.

Конфигурация pxelinux.cfg/default:

DHCP

Да не въелся он мне! Два адреса я могу раздать и статикой, или из модема. Но в самом начале обещал себе сделать сетевую загрузку. А для неё нужен настраиваемый DHCP (модемный не подходит).

Колдунство с изменением порта нам уже не нужно, так как версию FreeNAS обновил. Сразу ставлю:
# pkg_add -rv isc-dhcp42-server.tbz

Вижу подсказки полезные, выполняю по разумению своему:

Делаю конфигурацию, подсматриваю тут и тут:

/usr/local/etc/dhcpd.conf


option domain-name "DOMAIN.NET";
option domain-name-servers 10.10.10.10, 10.10.10.254, 8.8.8.8;
option routers 10.10.10.254;
default-lease-time 600;
max-lease-time 7200;
ddns-update-style interim;
authoritative;
log-facility local7;
subnet 10.10.10.0 netmask 255.255.255.0 {
  range 10.10.10.100 10.10.10.199;
  option broadcast-address 10.10.10.255;
  use-host-decl-names on;
  range dynamic-bootp 10.10.10.200 10.10.10.220;
  next-server 10.10.10.10;
  filename "pxelinux.0";
}

Запускаю демона:

#/usr/local/etc/rc.d/isc-dhcpd start

Оповещения

Стыдно, конечно, но оповещение сделал только сейчас.

 

 

Upgrade to FreeNAS 0.7.5.9898

Добрался таки от апгрейда до ядра FreeBSD 9

FreeBSD 9.0-RELEASE FreeBSD 9.0-RELEASE #0: Sat Jan 28 21:51:11 CET 2012

Раскатал поверху, все настройки и пакеты сохранились, кажется всё работает кроме звука - нужно драйвера подтягивать соответствующей версии. Так как делал всё в условиях "все торренты скачаны", то заодно сменил директорию для временных файлов трансмиссии. Указал её не на основной винт, а на системный. Теперь основной винт будет только подчитываться на раздачу, а на запись будет уж точно ложить файлы единым куском. Так основному большому винту я попробую увеличить ресурс. Для уменьшения фрагментации я уже предпринимал действия в пункте 14. Всё Воедино, но думаю, что эта настройка могла затереться. Так и есть, подправил :) пусть и на системном во временной директории будет типа порядок.
Да! transmisson-remote-gui бесстыже начал вылетать при попытке подключения к серверу - пришлось обновить версию и его до 3.2

Если ещё на сервере обновляю что нить, то вот так:

pkg_delete -f xxx-0.1.2.3

pkg_add -rv xxx

На самом деле меня это всё не очень устраивает. Я когда нить (когда надоест яйца чесать) буду таки ставить эту версию с ноля, подтягивая свежие пакеты и всё такое, а нюансы впишу в пост Всё Воедино

Ребёнок и компьютер

В рамках этого блога сделаю не большое отступление

от основной нити FreeNAS в строну 

проблемы ребёнок и компьютер.

Дети не принадлежат своим родителям. Это родители принадлежат своим детям. Родители должны обеспечить всестороннее развитие детей и самостоятельность - противолежащие понязтия, когда речь идёт о компьютерах. Часто пряники приходится ограничивать, чтобы осталось место и желание для шоколадных бисквитов. Но и запрещать детям нельзя, если мы хотим видеть их самостоятельными. Пусть всё за нас делает компьютер...

Пожелания
Мой компьютер по-прежнему под паролем на BIOS. Это паразительно (от слова паразит), но пытливый ум ребёнка способен заставить его час на пролёт подбирать пароль в винде. Красивая картинка однако, дружественный интерфейс. Но вот подбирать пароль к BIOS уже не так интересно. Отшибает желание уже на подходе.

Ребёнок имеет свой компьютер, самостоятельно включает и выключает. Играет, смотрит мульты, ходит на определённые сайты по расписанию. Степень ограниченности, расписание, фильтры настраиваемы для подстройки под быстро меняющийся возраст. Система должна работать по принципу "поставил и забыл". Ни каких паролей, которые надо менять после провинности ребёнка.

Дано
Старенький комп для самостоятельной работы под ребёнком. Из условия видно, что родительский контроль из Win7 нам недоступен. Необязательно, но: домашняя сеть с торрент-качалкой и файл-сервером.
И чертёнок по имени 13

1. Установка системы. Беру минимально нагруженную ХР - не Zver!
Но с вшитыми драйверами, патчами и темами. Максимально близкая к оригиналу и стабильная система: Windows XP Pro SP3 VLK Rus simplix edition (x86). Выбрал я её именно за стабильность и отсутствие мусора. Я меньше всего хочу что либо делать с этим компьютером в будущем (см. пожелания). Обязательно этим же загрузочным диском предварительно проверяю memory и HDD (комп то старенький).

2. Драйвера DriverPack Solution 12

3. Ставлю софт
 - TC
 -  K-Lite Mega Codec Pack
 - Office2003 + FileFormatConverters + PDFPrinter

4. Твикаю систему под себя. У каждого это свои приблуды и замарочки. Например, отключаю автозапуск со сменных носителей. Задаю файл подкачки. Точно понадобится отключить "Использовать простой общий доступ..." в свойствах папок Винды для разграничения прав. И пр. Вбиваю сетевые настройки и идентификацию.

5. Создаю пользователя "Дитё"
compmgmt.msc в группу "Пользователи". Переключаюсь в него. Посмотрел - приятно. Возвращаюсь и временно добавляю Дитё в группу админов.

6. Твикаю пользователя "Дитё". Выбираю тему, удаляю лишние иконки, настраиваю быстродействие под существующее убогое железо.

7. Ставлю кибермаму. Скажу честно, она мне не понравилась. Но заниматься поиском и сравнениями и тестами у меня не было времени и желания. Основной функционал она выполняет. Не хватает дозволенных временнЫх Окон в расписании. Т.е. программа не учитывает расписание реальное и Дитё вполне может играть свой дозволенный час времени вместо уроков, например. А некоторым детям расписание дня просто необходимо. При желании можно сравнить конкурентов.

8. Заставляю работать кибермаму. На директорию, куда поставилась мама, даю права на запись для "Дитё". Там лежит база данных, которую мама пополняет. Запускаю Procmon от Sysinternals и смотрю куда мама хранит пароль. Этому крипто-контейнеру тоже надо дать права, а то он лежит в "All Users" - для всех пользователей винды пароль в маме одинаковый.

9. Забираю у "Дитё" права, оставляя его только в группе "Пользователи".

Вроде бы как и всё. Есть пользователь с ограниченными правами, настроенным расписанием доступа. Но мне этого показалось мало! Я хочу совсем забыть про этот комп. Железо не позволяет ставить антивирус, но защищаться надо. Но я буду не защищаться, а зеркалиться и фокусничать! Дальше читать суровым параноикам.

10. Ставлю Shadow Defender 1.1.0.331
Пароль ставлю, как в маме и у пользователя "Admin". Его болезненно забывать. Настраиваю исключения:
 - папка документов и десктоп,
 - директории для игр,
 - директория для закачки и шару,
 - директория для закачки обновлений WSUS,
 - директория кибермамы.
Оставлять в исключениях временные директории и кэши браузеров опасно. Эксплойты и трояны этого и ждут. Нам то это по-барабану, но мало ли куда они по сети полезут, обосновавшись там.

11. Финальный твик.
Пройдусь Autoruns. Подключу сетевой диск, который смотрит на файл-сервер. На сетевом диске детские мультики и фильмы. Залью игр в соответствующую директорию. Развешу ярлыки. Запущу WSUS от byfly. Загрузившись с Live дефрагментация с убиванием pagefile.sys

12. Перезагрузка, включение теневого режима под админом.

13. Зеркалюсь Clonezilla на файл-сервер.

Как пользоваться?
Кривые детские руки и пытливый ум ребёнка способны разнести всё в клочья в порыве всепознайства. Но система получилась не убиваемой! Все производимые изменения с ФС (а значит и с ОС) будут погребены в небытие после первой же перезагрузки. Исключения прописаны в настройках Shadow Defender. Так мы сможем управлять мамой, сохранять новые и скаченные документы, настройки и сэйвы игр. Для установки игр (которые прописываются в реестр и пр.) придётся выходить из теневого режима. Не приятно, что для выходы из тени необходимо перезагружаться. Игры, которые работают без установки, просто копируем в соответствующую директорию и вешаем ярлыки. Время от времени, при желании, можно выходить из тени для установки скаченных обновлений WSUS, если мы их включили пунктами 10 и 11.

Следующим этапом буду накручивать Privoxy для фильтрации интернета - это отдельным постом будет.


UPD:
7. Оказывается, в маме есть интервалы, чёта я их не заметил сразу. Но интервалы устанавливаются на рабочие и выходные дни, а хотелось бы на дни недели отдельно. В любом случае, я подумал, что от них больше проблем и вопросов - отказываюсь вовсе.
Но сейчас мне не хватает блэк-листа по процессам на рабочие дни. В маме блэк-лист есть, но он всеобъемлющий.
Хочу позволить смотреть мульты (в сетевой шаре только развивающее детское видео) всегда, а игры только по выходным. Мама позволит ограничивать время работы в сутки. Игры же по будням буду резать при помощи nnCron или WD.

8. Маму работать заставил, но не полностью. Заглянул в отчёты - посыпались ошибки. Мама оказалась совершенно УГ, так как не поддерживает сому философию ограничений, являясь софтом для ограничений. Я в шоке от непродуманности этого софта! Всё тем же Procmon заглянул в какие ветки реестра прётся мама - в HKLM. Под админом смотреть контрастнее. Сильно в подробности не вдавался: избавился от ошибок, а ведётся ли журнал проверю может быть позже.
Ага, в services.msc сервису мамы не надо писать запускаться от админа - нет смысла.

10. Добавил ещё исключения:
c:\WINDOWS\Prefetch\
c:\WINDOWS\system32\config\*.Evt

Оказывается "директории-исключения" не означает "ни чего не делать" в контексте Shadow Defender. "Исключения" означает сохранять изменения, т.е. производить действия и Дефендер может при этом тормозить систему. Поэтому папки-исключения, такие как:
- D:\Program Files\ - уже установленные игры
- D:\Downloads\ - шара и сохранённые документы
и пр. лучше вывести на отдельный логический диск [D:], который не в тени вообще.

FAQ:

Зачем такая избыточность?
Когда/Если у ребёнка проявятся хакерские замашки и Билли-подобное поведение, то мне будет достаточно выдать уникальный (отличный от пароля кибермамы и SD) пароль админа - пусть балуется. Пусть прочувствует разницу между админом и пользователем. Пусть ломает винду и перезагружается для новых экспериментов. Новый урок на годы даётся мной за 10 секунд.

Зачем Клара Клонирует Клонзиллой Клонов, 
если система не убиваемая?
Система действительно не убиваемая, но винт то старенький. Не факт, что подведёт именно он, но вероятность есть, не в первой...

nnCron

Запрещаю игры по будним дням. Соответственно можно неограниченно смотреть развивающее детское видео, например. Отличная замена ТВ на мой взгляд.

#( LFS
/ выполняю под админом
User: "Admin" SecPassword: "666" Domain: "PC" LogonInteractive
/ ожидаю запуска процесса
WatchProc: "game.exe"
Action:
/ только будние дни
WDay@ 6 <
IF
   / ожидаю 3 сек
   PAUSE: 3000
   / прибиваю процесс
   WIN-TERMINATE: "game.exe"
   / для надёжности
   KILL: "game.exe"
ELSE EXIT
THEN
)#

Ещё пару правил и от кибермамы можно будет избавиться, хотя и цели такой пока нет.


Privoxy
Privoxy - это прокси. А значит его адрес:порт нужно указывать в браузере подопечного. В Инетах можно найти мнение, что он является УГ, так как не является кэширующим. Но на самом деле, от кэша в прокси-сервере толк наступает при довольно большом количестве пользователей. Privoxy ориентирован не на обслуживание солидной аудитории, а на обеспечение гибкой и настраиваемой фильтрации (в частности для анонимного сёрфинга, название намекает). Privoxy не сохраняет контент в кэше принципиально, но он ещё и режит контент тоже принципиально. Вырезается реклама, баннеры и прочий мусор. При этом следует понимать, что экономия трафика не происходит - страница со всем её содержимым полностью загружается в буфер Privoxy и после обработки фильтрами выплёвывается в браузер. Но если запрашиваемый браузером адрес/элемент в блок-листе, то Privoxy не пересылает запрос от браузера серверу вовсе. Вот здесь уже есть экономия трафика и конфиденциальность.

Ставится одинаково несложно что на Фряху, что на Винду. Дефолтные правила уже нечто фильтруют.
Установку нагуглиш сам.

Самое интересное - это настройка правил и фильтров.
Проблема раз: регулярные выражения не всем понятны. Это сродни написанию стихов - вложить свою мысль в размер и строфу.
Два: Инет меняется постоянно, Инет всем видеться по-разному. Врятли получится использовать чужие наборы правил. Придётся их писать самому.
Можно вообще испугаться настройки правил, а можно периодически разминать мозг и клаву.
Ворнинг в том, что общение с регулярными выражениями может не хило затянуть в игры разума или жестоко выбесить. Но, если ты дочитал до этого момента, то можно попробовать продолжить минимально.
Работать буду с файлом user.action. Этот файл не меняется при инсталляции и имеет наивысший приоритет при обработке правил. Открываю файл user.action и пишу заблокированные адреса:

{+block{ Ибо не положено, а понаделано! }}
.*ya*.*/*
.*fuck*.

Проверяю, далее открываю страницу конфигурации p.p, кликаю "Look up which actions apply to a URL and why" и смотрю, как именно обрабатывается тот или иной адрес правилами. Это вершина айсберга возможностей мозголомства при помощи Privoxy. Если продолжать дальше, то можно реально закопаться. Но ребёнку проще будет запретить весь Инет и оставить только адекватные порталы, википедию, развивающие сайты и прочее по нашему усмотрению:

{ +block { В школу иди! }}
/ # Так блокирую все сайты напрочь, жестоко

А в файле trust прописываю разрешённые:

+ilis.by # все ссылки с этого домена будут автоматически добавлены в этот файл, как доверенные
~turnir.tut.by # это доверенный адрес, но ссылки на другие домены с него не доступны
~wikipedia.org
~lida.info

Автоматическая настройка браузера на фильтрующий прокси-сервер Privoxy.

1. Подготовка локального веб-сервера
Необходимо, чтобы веб-сервер выдавал скрипт (о том, что за скрипт в следующем пункте) при запросе. Для этого надо разрешить обращаться к файлам типа .pac и .dat

Apache:
Добавлю в httpd.conf дерективы:

AddType application/x-ns-proxy-autoconfig .pac
AddType application/x-ns-proxy-autoconfig .dat

IIS:
1. In IIS Manager, right-click the website or website directory for which you want to add a MIME type, and click Properties.
2. Click the HTTP Headers tab.
3. Click Mime Types.
4. Click New.
5. In the Extension box, enter the file name extension: dat.
6. In the MIME type box, enter the MIME type description: application/x-ns-proxy-autoconfig.
7. Click OK and then restart the IIS service.
источник

2. Создаю JavaScript-файл "Proxy auto-config (PAC)" и называю его wpad.pac

function FindProxyForURL(url, host)
{
   if (isInNet(host, "10.10.10.0", "255.255.255.0")) {
      return "DIRECT";
   } else {
      if (shExpMatch(url, "http:*"))
         return "PROXY 10.10.10.10:8118; DIRECT";
      if (shExpMatch(url, "https:*"))
         return "PROXY 10.10.10.10:8118; DIRECT";
      if (shExpMatch(url, "ftp:*"))
         return "PROXY 10.10.10.10:8118; DIRECT";
      if (shExpMatch(url, "socks:*"))
         return "SOCKS 10.10.10.10:8118; DIRECT";
      return "DIRECT";
   }
}

Понятно, что выполнение JavaScript должно быть включено в браузере. Ну а сам сам файл wpad.pac укладываю в корень веб-сервера и проверяю его доступность - скачиваю. Стандарт PAC уже должен работать. Это означает, что указав в настройках браузера адрес скрипт-файла в ручную URL:"http://10.10.10.10:80/wpad.pac" мы можем рассчитывать на то, что браузер сам скачает файл wpad.pac и при его помощи автоматически будет определять настройки прокси, выполняя JavaScript.

3. Настраиваю DHCP на "Web Proxy Autodiscovery Protocol (WPAD)"
Для работы по стандарту WPAD (протокол автоматической настройки прокси) нужен ещё один шаг после которого браузер в сети сможет сам находить файл wpad.pac без указания его местонахождения вручную - полностью автоматическая настройка прокси.

DHCP:

option wpad code 252 = text ;
option wpad "http://10.10.10.10:80/wpad.pac\000" ;

Если DHCP-сервер на винде, то делаю както так:


Перезагружаю DHCP-сервер, подтягиваю клиентской машиной настройки, проверяю "автоматическая настройка прокси" в браузере без явного указания адреса скрипт-файла wpad.pac.

4. Есть вариант распространения WPAD при помощи DNS. Суть в том, что браузер ищет файл wpad.dat в корне сервера с именем wpad.<твой домен>

Указываем клиентской машинке домен:


Теперь, если в браузере выбрать "автоматическая настройка прокси", то он будет искать скрипт-файл настроек по адресам:

http://wpad.aaa.bbb.ccc.mydom.org/wpad.dat
http://wpad.bbb.ccc.mydom.org/wpad.dat
http://wpad.ccc.mydom.org/wpad.dat
http://wpad.mydom.org/wpad.dat
http://wpad.org/wpad.dat

В примере для демонстрации алгоритма клиент находится в домене "aaa.bbb.ccc.mydom.org"

Роль DNS в том, что необходимо создать HOST+ALIAS(CNAME):  

"wpad.mydom.org" = [10.10.10.10]

Или же мы вольны использовать файл hosts на клиентской машинке, для создания этой связи:

127.0.0.1       localhost
10.10.10.10       wpad.mydom.org

В этой статье намеренно разные расширения для одного и тогоже файла скрипта: .pac и .dat - это какбэ намёк на различные пути его распространения. И ещё обращаю внимание, что DHCP имеет приоритет выше, чем DNS. Тот или иной браузер может не поддерживать DHCP-WPAD, а только DNS-WPAD, поэтому лучше сразу сделать всё, включая мозг по отношению к расширениям

Для чего это нужно?

Всё это отлично вписывается в корпоративные масштабы, но если вспомнить, что машинка ребёнка в тени под Shadow Defender и к ней вообще нет желания подходить и что либо крутить, то менять те или иные настройки проще на сервере. В данном случае менять настройки прокси для веб-браузера в файле скрипта PAC. Один раз настраиваю клиента (машинку ребёнка) на автоматический подхват прокси и декларируемый мной в начале цикла статей принцип "поставил и забыл" соблюдён!

Онлайн-тренинги устного счета – основа успешного изучения математики
На сайте WWW.ILIS.BY, ... учащимся предлагаются онлайн-тренинги по математике для школьников. С их помощью школьники могут быстро освоить навыки устного счета, эффективных вычислений.
Читать далее на тут.by по ссылке есть линки на интересные статьи в тему.

Упомянутая Интернет-лига интеллектуального спорта (iЛис) не ограничивается математикой, у них на сайте есть и другие тренинги и турниры: русский язык, белорусская лексика и история (ВКЛ), английская грамматика, логика, экономика, IQ (развитие способностей).

UPD:
Ребёнок и компьютер - 2 (CRON и каникулы)
Ребёнок и компьютер - 3 (EducationPack)

Тест скорости сети - Nuttcp

Я уже тестировал производительность диск-сервер-сеть-клиент-диск  Тесты при помощи Intel NAS Perfomance Toolkit
Сегодня тестирую именно сеть при помощи nuttcp.
Читаю man page nuttcp.
Читаю хабр.
И вбиваю на сервере:

nuttcp –S

nuttcp -w1m -ws128 -r 10.10.10.10
   2112.1250 MB /  11.26 sec = 1573.6829 Mbps 53 %TX 26 %RX 0 host-retrans 0.34 msRTT
И на Win-клиенте:
nuttcp.exe -w1m -ws128 -r 10.10.10.10 
   112.3517 MB /  11.25 sec =   83.7755 Mbps 8 %TX 10 %RX

Сеть у меня сейчас 100 через свитч.

Вот и повод вернуться к:
Теория относительности в действии - сетевая червоточина
Сетевая червоточина - 2

FreeNAS 7 (0.7.x) сегодня официально прекращает девелопмент?

Компания IX systems, закрывшая недавно пожертвования через SourceForge команде, разрабатывавшей FreeNAS изначально, заявила, что не собирается продолжать разработку FreeNAS 7, который они называют Legacy.

Действительно, с их бизнес-моделью это не очень вяжется, ведь будет FreeNAS 8 free и FreeNAS 8 PRO for money.

Однако, разработчики старой версии не очень-то хотят в этом участвовать, поэтому им важно ваше мнение, стоит ли им отделится и продолжать разработку удачного продукта бесплатно, надеясь на пожертвования или же…

Скажите им, что вы думаете на форуме

Несмотря на это, ребята успели выпустить FreeNAS based on FreeBSD 9.0 with ZFS 28 sw 5… мне кажется им стоит продолжать работу :)

Upd: Если кому интересно — последний билд будет сегодня (29 января 2012), 0.7.5.9898.

Взято на хабре

Качаем: FreeNAS-7-nightly / 0.7.5.9898

UPD 25.04.2012
Отставить панику! NAS4Free