弹霄博科

源于我提给雷池的一个 issue。如果你想跟进这个 issue，请访问 [建议] DDNS 域名回源场景优化 / 动态解析 upstream 的域名 #384。 我在公网有一台机器装了雷池，反代我的 HomeLab 中的 NGINX，以使得将家宽的非标准端口转换成标准端口。 家宽是动态 IP，因为 NGINX 的机制，默认情况下，NGINX 会在 start/reload 时解析 upstream 里的 server, 并缓存 ip，如果 NGINX 的 Worker 已经 Running 了，此时你在修改 server 中域名的解析结果，实际它是不生效的，仍然会缓存老记录。 我想了几种办法： 方案 1：定时 reload 雷池的 NGINX。这个方法直接被 PASS 掉了。在业务高峰频繁 reload NGINX，不是一个好办法，可能会导致 worker 卡死。而且比如我 1 分钟 reload 一次 NGINX，那最多会导致业务恢复时间<=60 秒。 方案 2：在雷池的机器上起一个 Webhook 服务，当 HomeLab 出口 IP 变化的时 ...

今年年中，我开始把我自用的一个企业从企业微信迁移到飞书，历时两个半月，终于彻底迁移过来了，老企业微信也就注销掉了。ZABBIX 对接飞书也是迁移的最后一步。 其实关于 ZABBIX 对接国内各种企业 IM 已经是老生常谈的问题了。不过我在对接之前还是习惯性的搜了一下，发现使用 ZABBIX Javascript Runtime 实现的少之又少，所以我还是打算记录一下。 效果放前面你可以通过飞书的群机器人，接收 ZABBIX 的告警信息，例如下面的是故障消息：下面这个是故障恢复消息： 实现思路使用 ZABBIX 6 以上版本提供的 Javascript Runtime，免去了在 ZABBIX 服务器底层放 Python 脚本的步骤，后续维护报警媒介，都可以通过 ZABBIX WEB 来实现。 扩展阅读：其它 Javascript 对象 技术实现创建飞书机器人我们需要先在飞书群里创建一个机器人。获取它的 Webhook 地址。创建飞书群机器人，请参考飞书帮助中心 - 如何在群组中使用机器人？，请按照文档操作，创建一个“自定义机器人”。 安全配置，按需启用就好了，或者干脆不启用。其中上图框 ...

是的，我搞了一个 有人的 4G DTU 当 Remote Console 用了。 事情是这样的，之前也介绍过我是把 HomeLab 放在河北了，北京这边走互联线路和河北做对等连接，使我非常方便的可以使用河北的服务器和网络设备做实验。虽然操作对象一般都是地下室的机柜，但是难免会在出口的路由器上改配置。有两次手抖，在没开启安全模式的情况下就改了出口路由的配置，造成全家断网，而自己还没在河北，只能找家人拿笔记本，连热点接 Console 进行配置回滚，很麻烦。在一段时间里，我都是把要变更的配置总结一下，人回河北做配置，以防出错可以及时回滚。还有一次是因为电信宽带欠费，欠费后接口没有 Down 而是被劫持到了一个续费页面，造成了我的策略路由失效，没有成功的切到第二条移动宽带上，造成断网，最后很费劲的拔了一根网线（人工 Down 接口）才得以恢复。 几个朋友建议我，在有线宽带的基础上，连一个 4G Dongle，作为一根备用链路，可以随时连回去。查了一下常备一张 4G 手机卡着实有些浪费啊，我这十几块钱的套餐，没有那么多副卡。。而且 4G Dongle 的链路也依赖路由配置，如果是配置配错了， ...

起因是某个抖音一个博主发了一个视频，吐槽某动宽带推销套餐，骚扰用户办理。我在下面评论区回复了一种方法，发现大家很关注，所以就抽时间整理了一下，希望能帮到大家，避免生活中的骚扰电话。 讲武德的机构一般都是大机构，有很明确的外呼制度。虽然会打电话，但是又遵规守纪。一般都有专用的外呼号码。 代表银行（信用卡）推销、运营商外呼推销、某金服、某白条等等。 应对方法接到外呼电话之后，进行通话录音，明确表示推销的产品不需要，现在没有相关的需求。等待挂到电话之后，拨对应渠道的客服热线（这个网上都能查到），转人工服务，仍然对这个通话进行录音，和人工客服阐述大概下面这个意思。 最近收到了您这边的外呼电话，对我的正常生活工作有很大的影响，目前我对您这边推荐的项目不感兴趣也没有需求，请把我这个手机号码加入到免打扰用户列表中，谢谢，如果后续我再接到了类似的电话，我会收集证据，并向电信主管部门投诉。 然后你很长一段时间内就不会再接到相关的电话了。 不讲武德的机构一般是一些小机构，比如中介啊，或者什么推广的公司，这种就是个人手机号给你打。这种没地方投诉他。点对点屏蔽就好了。 方法 1如果你手机有黑名单功能， ...

继上次入了一个开放式机架之后，大概一年没对家庭网络做大的改动了（其实是改不动了，RB4011 上互联了很多地方，以及非常多的策略，如果要改，大概是要重来了。。。） 当然，毫无疑问这又是一个大水文~。 我家的网络架构还算简单，几个 VLAN，因为有 IPTV，而且从光猫到路由器只想一根线搞定，所以从光猫到路由器是 Trunk，路由器到各个屋子的交换机之间也是打了 Trunk，其中 IPTV 的 VLAN 只透传，我们不做管理。 这次的改造目标，是为家庭网络上一套全流量探针。 是的，你没有听错，就是全流量设备。有个契机是 Panabit 发布了一款基于国产化平台的 NTM，价格还算公道，其实我很早就想玩玩探针设备了，无奈这玩意不是死贵就说贵死，甚至鱼塘里的设备也不便宜。 我关注了一下 PA 的这款设备，有几点还是挺吸引我的， 1.支持全流量存档，回放 2.支持流量分析，溯源 3.一块钱的奇安信商用威胁情报库 我的诉求， 1.之前没有有效的反代流量日志留存的方法，只靠 ROS 的 NAT 日志和 Nginx 日志，很难定位扫描和攻击，希望 NTM 帮我把这个链子连起来。 2.内网的网络 ...

无论如何，你得先找一个支持 BGP 的上游，它可能能支持自助开通 BGP 服务，或者通过 Ticket 让你提交 LOA。政策上的事情不在这个文章中讨论。 本文以 Debian11 和 Bird2 为例。 配置一个虚拟网卡直接改 /etc/network/interfaces 的配置，可以 ifup ifdown 控制。 虚拟 IP 写 /128 或者 /32，否则会出现问题。 1234567891011auto dummy0iface dummy0 inet6 static address IPv6/128 pre-up ip link add $IFACE type dummy post-down ip link delete $IFACE type dummyauto dummy1iface dummy1 inet static address IPv4/32 pre-up ip link add $IFACE type dummy post-down ip link delete $IFACE type ...

BGP Player 的第一步，以 Debian11 和 Bird2 为例，Debian11 源里的 Bird2 有这么一丢丢的老。 拉代码，装打包用的软件包，编译安装，我这用 v2.13.1 了。 12345678910sudo su -apt updateapt install -y build-essential autoconf git flex bison m4 libssh-dev libncurses-dev libreadline-devcd /rootgit clone https://gitlab.nic.cz/labs/bird.git -b v2.13.1 bird-srccd bird-srcautoreconf./configure --prefix=/usr --sysconfdir=/etc/bird --runstatedir=/run/birdmakemake install 配置 Bird 专用的用户和组，别用 root 跑 Bird 吧？ 12echo "bird:x:108:114::/run/bird:/usr/sbin/nolo ...

受 RIPE NCC 分配，我拿到了 AS209574 的自治系统编号。 我当然不可能是大会员，所以我是找了一家 LIR 帮我代为注册。 虽然最后是“Best Regards, and Happy Peering!”，但这个过程实在是太曲折了。 光 EUA 我就签了 4 次，因为 LIR 实在是看不懂我这个名字。。所以如果是想入坑的话，建议使用英文证件，比如护照之类的。虽然 RIPE NCC 是支持政府颁发的身份证的，但是语言差异，很难说 LIR 和 RIR 之间传话不会出啥岔子。 OK! 那有了这个 ASN，我以后要做什么呢？目前计划 漏漏路由给 Internet。LIR 非常大方直接给了一段/40 的 IPv6 地址，可以拆成 256 个/48 的 IPv6 地址块进行宣告（IPv6 最小的宣告地址块为/48，IPv4 最小为/24）。 炸表是不可能炸的了 LIR 在告知 ASN 分配的时候就给了手册学习 Beako learn，动手前当然要先看看咯？ 当 BGP Player 的第一步，先学 Bird 过滤器，这里引用一下 Soha ...

A 公司近期发现一个问题，他们的新闻网站在互联网上出现了一个李鬼网站。该网站的域名已经更换，但网站内容与 A 公司的新闻网站完全一致。不幸的是，该仿冒网站中插入了恶意的 JavaScript，给 A 公司的声誉造成了严重的负面影响。经过分析，发现 A 公司的网站遭到了恶意代理的攻击。 鉴于这一情况，我整理了之前遇到的几次恶意代理事件，有的解决了也有的情况不好解决，供大家共同分析参考。 被固定的代理服务器代理这种比较好处理，你可以构造一个路径去访问这个恶意代理域名。有针对性的去找代理服务器的源 IP 是谁。 101.100.xxx.xx - - [09/Jun/2023:09:55:37 +0800] “GET /whomi/xxxx HTTP/1.1” 根据请求的源 IP，我们可以使用 iptables 或者 nginx 的策略对访问进行禁封。 例如，iptables 规则示例 1iptables -A INPUT -s 101.100.xxx.xx -p tcp -j DROP 以及，nginx 规则示例 1234location / ...

以下故障环境纯属捏造，如有雷同，仅供处理参考，请以实际情况为主。 问题背景我们有一个反向代理设备（后称 Proxy），CentOS7 系统的，他会代理请求用户发来的请求给后端服务器（后称 Server）。有用户发现，当他的请求过了这个 Proxy 之后，会慢个大概 6 秒左右，遂上报了这个故障。 请求拓扑：Client–业务域名–>Proxy–后端真实域名–>Server 问题排查收到这个问题后，我第一时间复现了问题。我使用 Edge 访问业务域名，也会觉得非常卡顿，打开 DevTools 发现部分请求会在 6 秒左右。Waterfall 一片绿，大概是请求都耗在了等待从服务器接收第一个字节上了。 是我电脑到 Proxy 的网络中有什么问题吗？或者有没有可能是 Proxy 的出口带宽不足了？ 我登录上了 Proxy 的服务器，开起了一个 SSH 隧道，通过这个隧道直接访问后端真实域名，发现现象依然存在，部分请求会卡顿 6 秒左右。那这个问题似乎不在 Client 和 Proxy 之间了，更像 Proxy 到 Server 间有什么问题。 那我 curl 一下后端真实域名吧 ...