LiteServer Project Minecraft 主站
LiteServer Project Minecraft 国际站
友链: 白天的小站
rsync常用命令快速上手
- 复制远程文件到本地
1 | rsync -avzP <远程主机IP>:<远程主机上的路径> <本地主机上的路径> |
注意路径末尾的 /, 源末尾带 / 表示复制文件夹的内容而不是文件夹本身, 相当于少了一层. 目标末尾带 / 或者不带没有区别.
-a: archive mode, 尽量保留文件的各种属性
-v: 详细模式
-z: 压缩
-P: 显示进度
当传输不稳定时(导致ssh会话断开), 由于rsync默认会先创建临时文件并写入, 待同步完成后再重命名到目标文件, 当链接断开时远端rsync over ssh session可能还在继续运行, 因此还没有将临时文件重命名为目标文件, 此时再次发起同步会发现并没有续传而是重传了. 一种简单的解决办法是使用 --inplace 参数跳过rsync的这套机制, 直接创建目标名称文件且就地更新.
- 排除文件
例如仅同步 mp4 文件, 不处理其他任何文件.
1 | rsync -avzP --include '*.mp4' --exclude '*' ... |
- rsync daemon
在不能运行 ssh server 的时候 (比如WSL 1) 可以使用 rsync daemon, 通信不加密但在相对安全的内网环境下还算好用
需要先写一个最简单的配置文件 rsync.conf
1 | port = 12000 |
然后启动 rsync 服务器. 强制前台, 指定配置文件, 输出日志到控制台.
1 | rsync --daemon --no-detach --config rsync.conf --log-file=/dev/stdout |
- 客户端连接至 rsync daemon
客户端列出服务端分享了哪些文件
1 | rsync -rdt rsync://<主机IP>:12000 |
会有类似这样的显示:
1 | files SHARED LOCAL FILES |
同步文件方法与基于ssh链接使用方法一致:
1 | rsync -avzP rsync://<远程主机IP>:<远程主机上的路径>/files/ <本地路径> |
参考
近期优秀作品推荐 2025年5月
W&W & KSHMR - Bad (Official Music Video)
Deorro - Five Hours (Static Video) [LE7ELS]
攬佬SKAI ISYOUGOD【八方來財·因果】HD 高清官方完整版 MV 来财, 来
攬佬SKAI ISYOURGOD/AR劉夫陽【大展鴻圖】HD 高清官方歌词版MV 别墅里面唱K
白水寒 - 天真的橡皮(DJ林泽版)「人生呐 能不能放过我这一次」
卢润泽 - 别让爱凋落 (DJ抖音版) (Remix Tiktok) - DJ卡点节奏版 | 循环歌单🎧 || 《别让爱凋落》卢润泽:“My Love,请别让爱凋落”
【黄诗扶】“人是寻常人 遇谁才缤纷” | 《赴鸿门》(歌词PV) | 【排骨】赴鴻門
T-ARA (티아라) - NUMBER NINE (넘버나인) [Han/Rom/Eng] Color Coded Lyrics
精卫 (DJ抖音版) - 30年前、50年后『是现在我所有期待 所有的爱,为什么不明白 说的话为什么不记得 为什么不记得。』♪ || 一听就上头的神曲 | 抖音热门歌曲 | 抖音 | TikTok
往期优秀作品推荐
IP路由和IP规则周期性消失
Ubuntu Server 22.04, 24.04 LTS版本下, 有一部分ip route, ip rule是通过脚本添加的, 但是周期性会消失, 有时apt upgrade, apt install 也会莫名其妙的丢失. 查了一圈发现到一个非常类似的问题:
结果发现是systemd-networkd的操作删除了不受其管理的路由和规则, 顺带又发现了若干个Issue:
Pod routing policies deleted by systemd #1600 - aws/amazon-vpc-cni-k8s
network: add ManageForeignRoutingPolicyRules= boolean setting #19287 - systemd/systemd
解决方案如下:
判断systemd版本: systemd --version
编辑networkd配置文件: /etc/systemd/networkd.conf
1 | [Network] |
修改为:
1 | ManageForeignRoutingPolicyRules=no |
然后重启networkd:
1 | sudo systemctl daemon-reload |
PS: 一大早上被警报叫起来说网络出问题了结果查了半天发现是systemd的问题, 我只能说大家讨厌systemd不是没有原因的 :-|
GRE协议与Conntrack的兼容性问题
在一个包含多个跃点的网络中建立若干条GRE隧道, 如果隧道是从网络外的一侧通往网络外部的另一侧, 且通往网络外部的一侧配置了NAT, 那么会遇到比较头疼的问题.
首先我们知道, 对于conntrack来说, 确立一条”连接”需要五个因素: 协议, 源IP, 源端口, 目标IP, 目标端口, 而GRE协议没有端口的, 所以对于conntrack来说如果源IP目标IP一致, 就会认为是同一条隧道. 进而表现为同一时间只有一个GRE隧道能通过NAT且有流量.
但是当我们打开RFC文档, 不难发现即使是最早的RFC 1701版本中也规定了一个key field可以用来在源IP, 目标IP都相同的时候用来给两侧终端区分不同链接. 后续新版的GRE协议, 也有RFC 2890给出了针对GRE协议的key field扩展, 而且与RFC 1701的协议是兼容的. 那为什么conntrack不把key加入到用来区分不同链接的因素中呢?
带着这个疑问, 让我们打开Linux源码(狗头):
在 net/netfilter/nf_conntrack_proto_gre.c 中, gre_pkt_to_tuple是用来解析GRE报文并提取链接要素的.
1 | /* gre hdr info to tuple */ |
可以看到这里 判断了GRE包是否的GRE_VERSION bit 是否不是 GRE_VERSION_1, 这个宏的定义在 include/uapi/linux/if_tunnel.h:
1 | #define GRE_VERSION_0 __cpu_to_be16(0x0000) |
为什么会有 GRE_VERSION_1 呢? 在RFC 2784中可以找到答案:
1 | 7.1. GRE Version Numbers |
所以这里conntrack的逻辑是, 只要是普通的GRE协议, 就直接返回. 只有当协议是PPTP的时候才会提取key字段. 这也就解释了为什么同一时间只能有一个有效的GRE隧道.
1 | gre 47 169 src=<redacted> dst=<redacted> srckey=0x0 dstkey=0x0 src=<redacted> dst=<redacted> srckey=0x0 dstkey=0x0 [ASSURED] mark=0 use=1 |
如此看来唯一的解决办法就是绕过Conntrack, 使用如下命令:
1 | iptables -t raw -A PREROUTING -p gre -j NOTRACK |
注意这会让GRE协议跳过conntrack, 也不会进入nat表, 因此在网络外侧的接收点需要手动或其他方式来配置到网络另一侧节点的IP路由. (原来的时候remote只需要写出网边缘节点的IP即可)
Windows驱动签名实践
驱动文件由zadig/libwdi生成
需要先安装Visual Studio 2022, Windows SDK, Windows Driver Kit (WDK), 参考: 下载 Windows 驱动程序工具包 (WDK)
inf2cat, signtool 等工具建议在 Developer Command Prompt for VS 2022中操作
- 生成自签证书
1 | New-SelfSignedCertificate -Subject "CN=<Name>" -CertStoreLocation "Cert:\CurrentUser\My" -KeyAlgorithm RSA -KeyLength 4096 -HashAlgorithm SHA256 -NotBefore (Get-Date) -NotAfter (Get-Date).AddYears(10) -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.3", "2.5.29.17={text}email=<email>") -KeyUsage None |
关于 New-SelfSignedCertificate,参考:New-SelfSignedCertificate (PKI) | Microsoft Learn
其中 2.5.29.37 是增强型密钥用法(enhanced key usage), 1.3.6.1.5.5.7.3.3 是代码签名(code signing). 2.5.29.17 是使用者可选名称(subjectAltName). New-SelfSignedCertificate 命令有一个 -DNSName 参数似乎不支持email这样细粒度级别的配置.
另外命令还支持 -Type 参数, 指定为 CodeSigningCert 时生成出来的证书, “增强型密钥用法”前面会有一个叹号, 不确定是为什么所以最后改成TextExt这种模式了.
-KeyUsage None 可以避免证书附带上默认用途.
- 导出为PFX文件
1 | $password = ConvertTo-SecureString -String "<redacted>" -Force -AsPlainText |
- 生成catalog文件
1 | inf2cat /v /driver:<dir> /os:XP_X86,XP_X64,Vista_X86,Vista_X64,7_X86,7_X64 |
注意,这里的/os 参考: Inf2Cat - Windows drivers | Microsoft Learn
一份更全的列表可以参考: Inf2Cat 工具
这个os字符串是根据zadig/libwdi生成出来的catalog文件的安全目录OSAttr属性推出来的,OSAttr列表参见:List of Microsoft Windows versions - Wikipedia
libwdi源码中使用的是 7_X86,7_X64,8_X86,8_X64,8_ARM,10_X86,10_X64,10_ARM 但用这个字符串签出来的文件不太对, 不是很确定原因.
若要使用_ARM参数, 需要保证安装了对应架构的构建工具, 否则inf2cat会报错参数错误.
- 对catalog文件签名
1 | signtool sign /fd SHA256 /f "<pfx file path>" /p <redacted> /t http://timestamp.digicert.com <cat file path> |
- 导出一个CA证书cer文件随安装包发行
1 | Export-Certificate -Cert "Cert:\CurrentUser\My\<Thumbprint>" -FilePath "<filename>" |
- 打包,制作自动安装脚本 install-drivers.bat
因为certutil需要用admin权限, 加一段自动提权UAC
1 | @echo off |
流量DNS分流实践
最近在给办公室配置网络, 要求访问国内网站时走国内DNS解析+国内运营商直出, 访问国外网站时走国外DNS解析+专线转发.
流量分流
整体思路上是根据IP段/CIDR进行分流, 由于主要访问国内网站, 整理了一份海外IP列表. 命中列表的IP请求走专线转发.
创建ipset: ipset create overseas hash:net 其中 overseas 是名字, 可以修改为别的.
添加IP段到ipset中: ipset add overseas 1.1.64.0/18 …
使用iptables标记流量, 这里的 2 是对流量添加的 fwmark, 可以选择任意值.
1 | iptables -t mangle -A PREROUTING -m set --match-set overseas dst -j MARK --set-mark 2 |
添加一个独立的路由表, 将默认路由修改为专线. 这里的 55 是 TableID, 可以选择任意值.
1 | ip route add default via 10.10.0.1 table 55 |
添加ip rule, 将fwmark和路由表关联起来:
1 | ip rule add fwmark 2 table 55 |
这样, 从本机和其他网络传递过来的包, 如果命中海外IP列表就会走专线转发. 注意, 如果要给其他网络提供功能(即作为路由器), 需要添加NAT, 即:
1 | sysctl net.ipv4.ip_forward=1 |
这样发往互联网的数据包的源IP就是互联网网卡的IP, 而不是内网IP.
DNS分流
可选的方案有CoreDNS, Dnsmasq, Pihole, BIND9, PowerDNS等等. 在权衡之后选择了BIND9方案.
(Github上有一个SmartDNS项目也可以实现类似的功能, 但是多重考虑下使用了比较原始的方案)
- 安装BIND9
1 | sudo apt update && sudo apt install bind9 bind9utils bind9-doc |
- 编写配置文件
/etc/bind/named.conf.options
注意, 这个配置关闭了DNSSEC. 不然会出现类似 broken trust chain resolving 'github.com/A/IN': 8.8.8.8#53 的报错. (当然更好的解决办法是配置DNSSEC)
默认使用了腾讯云, 阿里云, 114的公共DNS. 日志输出到了syslog, 可以通过 journalctl 检索.
1 | options { |
- 编写Zone文件
/etc/bind/named.conf.whitelist-zones
1 | zone "docker.com" { |
可以通过python脚本比较方便的生成zone文件:
1 | import subprocess |
- 重启BIND服务器以使配置生效
1 | sudo systemctl restart named |
如果配置没有问题的话可以看到named输出的日志:
1 | Mar 05 13:36:19 office-server named[6387]: managed-keys-zone: loaded serial 7 |
有解析请求时会输出日志:
1 | Mar 05 13:37:16 office-server named[6387]: 05-Mar-2025 13:37:16.472 client @0x7a7f2c005368 <...>#25256 (main.vscode-cdn.net): query: main.vscode-cdn.net IN A + (...) |
可以通过以下命令来测试DNS响应
1 | dig +short @127.0.0.1 baidu.com |
参考
dnsmasq ipset iptables 实现对流量进行分流 很棒的文章,思路很清晰一下就明白了
How To Configure BIND as a Private Network DNS Server on Ubuntu 20.04
近期优秀作品推荐 2025年2月-3月
初入加密货币
最近川普币超级火, 在川普币出来的第二天我耐不住寂寞, 开始着手研究起了加密货币, 虽然亏了一些钱但是整个过程我觉得还是很好玩的, 值得记录一下.
在这之前我对加密货币完全不了解, 只听过说 Bitcoin, ETH. 很贵很值钱, 价格很容易变动, 好多人做杠杆倾家荡产, 也有人一夜暴富.
加密货币在很长时间以来一直称自己有匿名性, 去中心化交易不易追踪等等. 但对于一个初入加密货币市场的新人来说, 最开始一定是从一个中心化的地方(交易所)开始, 因为在最开始的时候你只有钱, 而没有币. 在cypto的世界里, 他们把由政府发行的钱成为 Fiat. 现实世界的经济体系称为 CeFi, 虚拟(去中心化)货币世界的经济体系称为 DeFi.
中心化交易所(CEX, Centralized Exchange)是受到一个或多个地区金融机构监管的交易所, 可以在这里通过钱买入币或者把币换成钱, 交易所也提供像去中心化交易所(DEX, Decentrailized Exchane)一样的币与币之间的买卖及兑换. 中心化交易所一般要求用户通过基本的KYC (Know Your Customer, 包括但不限于身份信息采集, 真人验证等等), 而去中心化交易所没有任何这方面的要求.
Onboarding完成后, 平台一般会提供新手教程一样的购买流程, 先引导用户绑定信用卡或借记卡并充值法币(比如美元), 然后会推荐购买300 USD的BTC或者ETH. 这里对于新手来说可能是一个坑点. 以Coinbase为例, 这种新手向的购买(有的平台叫Convert) 使用的价格相对当时的市场价偏低, 另外暗藏了一些手续费(比如Platform Fee, 有时候甚至高达9USD).
购买完成后, 此时虚拟货币就会以余额形式显示在平台上. 此处有一定的迷惑性, 平台上虚拟货币的余额并不是钱包的余额. 那什么是钱包呢?
钱包其实就是一个地址, 一个可公开的独立的标识符. 用户通过这个标识符就可以向其发送虚拟货币, 但是不能只根据这个钱包地址就从中提取余额.
这里一下子引入了好几个概念, 首先需要了解一下区块链是什么, 简单来说区块链就是一个由单位区块链接起来的链表. 以Bitcoin的区块链模式为例, 当前单位区块包含三个部分: 上一个区块的标识符, 当前区块正文, 当前区块的Proof-of-Work证明.
区块正文内容可以简单理解为转账记录, 比如 钱包A 向 钱包B 转账了 0.1 BTC. 钱包 C 向 钱包D 转账了 0.25 BTC. 比特币区块链上的矿工(Miner) 会监听这些交易内容, 将一定数量的交易记录打包成一个区块, 并计算一个符合要求的Hash (例如开头13位都是0的sha256值) 这个概率会很低, 整个比特币网络会控制在约10分钟产生一个新的区块 (因为sha256不可逆的特性只能通过穷举计算) 当某个矿工刚好完成了新区块的计算后, 他会将这个区块签名并广播到比特币网络中. 其他矿工会验证Hash是否正确(这个过程很快), 如果正确就将这个区块加入到自己本地的区块链末端, 并开始下一个区块的计算. 由于每一个区块都与前一个区块紧密相关, 因此在区块链中对前面的区块进行修改, 意味着后面的区块就全部失效了, 从而实现了区块链不可更改的特性.
由于每个矿工都会监听网络上的交易并尝试生产一个新的区块, 有时会在网络上产生多个区块, 一部分矿工本地的区块链与另一部分矿工本地的区块链不一样. 比特币区块链对此的解决方案是选择最长的. 例如矿工X本地存储的是 A->B->C->D, 矿工Y本地存储的是 A-B->C->E->F, 则矿工X在收到网络中其他矿工发送的新区块时, 发现收到的比本地更长, 就放弃掉本地的区块. 基于这种算法, 比特币网络可以实现区块链的最终一致性.
比特币网络上产生的交易如果想记录下来就必须有矿工投入工作, 为了奖励矿工的付出, 比特币网络会允许产生区块的矿工在自己生产出来的区块中添加一条转账记录, “凭空”创造出一些比特币用来奖励自己. 这个奖励的数量随着区块数量的增长逐渐递减, 进而保证比特币供应总量是固定的. 看到这里不得不佩服一下这些聪明人发明出来的东西.
注: 以上只是我对比特币区块链的浅显理解, 主要内容来自3b1b的这个视频: But how does bitcoin actually work? 强烈推荐看一下
除了PoW(Proof-of-Work)这种形式, 还有PoS(Proof-of-Stake)模式的区块链. 不同区块链使用的算法也不尽相同, 但核心都是保证 区块链历史不可修改, 需要有一些人来做一些操作记录下交易记录, 并提供一些奖励, 同时还有一定方法实现整个网络的最终一致性.
话说回来, 对于不参与挖矿的投资者来说(比如最开始作为新手的我), 需要了解两个最基本的概念: 币种 和 区块链. 币种就是虚拟货币的名字, 例如 BTC, ETH, SOL 等等. 区块链就是由不同算法区分出来的交易记录册. 在发送和接受虚拟货币的时候, 需要保证币种和链都完全匹配才能, 否则虚拟货币会丢失. 这也很好理解, 不同区块链的算法不同, 对地址、交易的解释可能也完全不同.
一些常见的虚拟货币: 币种是SOL, 区块链(也叫网络)是Solana; 币种 ETH, 区块链Ethereum. 币种 ETH, 区块链BASE. 币种 POL, 区块链 Polygon, 币种 BTC, 区块链 Bitcoin.
还有一些稳定币, 即发行方称可以1:1从法币进行兑换, 例如 USDT, USDC. 这些稳定币一般会在多个链上发行, 但需要注意在发送和接受虚拟货币时仍然要保证币种和链都完全匹配.
同一币种在同一网络内 两个钱包互相转账, 一般称作链内交易. 不同区块链有不同的算法规定手续费的多少. 也有一些区块链是免手续费的(例如Solana)
同一币种在不同网络内 不能直接转账, 需要通过 Bridge 进行交易. 例如将 USDT 从 ETH网络 发送到 Solana网络. 一个比较简单的理解方式是, bridge分别在两个网络内都有一个钱包地址, 用户向ETH网络内的钱包地址发送USDT, bridge验证无误后向Solana网络内的用户钱包地址发送USDT. 这个过程中, 发送网络内可能要计费一次, bridge本身可能要收手续费, bridge在接收网络内发送可能要计费一次.
不同币种间不能直接转账(当然不能…) 与现实世界的汇率相似, 在交易所(CEX或DEX)人们通过不同虚拟货币之间价值的认识, 通过买入和卖出的操作定义虚拟货币间的汇率. 与股票市场不同的是, 加密货币市场是24小时开放的(当然美股也有盘前和盘后交易), 而且因为人们对虚拟货币价值认识的偏差, 价格可能会短期内剧烈波动, 有时候甚至会超出预期. 交易所一般会收取手续费.
目前为止, 虚拟货币还是停留在CEX上. 对于需要频繁交易的人来说这倒没什么, 但如果希望在DEX上交易, 甚至将虚拟货币保存在自己手里, 则需要一个钱包. 可以通过类似Phantom这样的软件来实现. 钱包软件会提供一个或若干个地址, 对应所支持的不同币种在不同链上的钱包地址. 钱包地址其实是从钱包私钥生成出来的, 而钱包私钥是随机生成的, 取值空间非常大重叠概率极低 (以Solana网络举例, 私钥和地址长度均为32B, 即256bit) 钱包一般是离线软件, 即秘钥不会同步到任何地方. 为了方便用户恢复钱包, 比特币社区制定了一些早期标准并逐渐演化为由12个或更多个助记词组成的数组. 每个助记词对应私钥的一部分, 通过助记词即可恢复出私钥, 进而推导出公钥和钱包地址. 由于区块链去中心化的特质, 钱包丢失后没有任何其他人能恢复出私钥, 丢失即是永久的. 同样的, 由于私钥是对应钱包的唯一凭证, 暴露私钥意味着暴露钱包的控制权, 钱包里的虚拟货币将处于危险, 唯一的解决办法是及时转移到其他钱包.
(当然目前一些平台也推出了可以只通过密码就恢复的钱包, 这取决去其实现方式, 是中心化存储了钱包私钥还是通过KDF类似的方式衍生出钱包私钥, 在此就不深入研究了)
从CEX提取虚拟货币到钱包一般称为 Withdraw, 受到CEX平台的管制. 平台可能出于金融安全、税务追踪等原因要求验证目标钱包的所属人身份.
从钱包发送虚拟货币到CEX一般称为 Deposit. 一般不受管制, 但CEX平台可能会需要额外的确认及等待时间, 保证虚拟货币已经被平台侧接收到.
一些常用的工具:
钱包: Phantom
DEX工具: Jupiter 可以直接在浏览器内连接到钱包.
- 补充一点, 有的时候一些新的虚拟货币在CEX上没有上线时, 就只能通过DEX来交易.
- Jupiter 是 Solana网络 上推荐的工具. 其他网络可能有不一样的工具.
市场分析与数据浏览:
CoinmarketCap 很全面的一个面板
DEX Tools Solana网络和其他网络上流行的币种信息
DEX Screener 类似DEXTools的工具
pump.fun Meme Coin相关的信息大全
SonarWatch 通过一个或多个的钱包地址来总览投资收益
DefiLama 各种虚拟货币及交易所相关的数据网站
SolScan Solana网络上交易、钱包等搜索网站. 由于区块链本身数据都是公开的, 其他区块链也有类似的工具. 你可以搜索到任意一个发生过的交易.
以上是整个过程我学习到的一些东西, 最后简单说说TRUMP币. TRUMP币是一个Meme Coin, 发行在Solana网络上. Meme Coin通常是没有任何实体支撑的虚拟货币, 几乎没有任何发行成本, 其价格高低完全取决于市场本身的热情和看法. 如果说比特币某种程度上还可以被称为价值投资的话, Meme Coin更像是令人热血膨胀的赌博. 在TRUMP币还没有被CEX列入名单中时, 只能先购买SOL再通过DEX交换为TRUMP Coin.
大部分Meme币最终都将一文不值, 加密货币有风险, Meme币风险更大, 投资需谨慎! DYOR(Do Your Own Research)!
修复WSL2+VPN场景下, docker内访问https网站异常的问题
问题现象:
Windows 11 + WSL2 + Ubuntu分发, 主机上启动VPN. WSL2内使用docker运行容器. curl http站点没问题, curl https站点显示 Connected to... 并且header已发送, 但是收不到响应.
推测是MTU导致的. 因为curl http的响应是301, body很小, header也很小, 但是curl https要返回的内容可能比较多所以丢包了.
分别在wsl2下安装tcpdump并监听eth和docker0接口, 在windows下安装wireshark并监听VPN网卡(tun模式).
在docker内发起http请求, 可以看到docker0接口正常, eth接口正常, wireshark能看到请求和响应.
在docker内发起https请求, 可以看到docker0接口有请求报文, eth接口只有握手报文, wireshark能看到请求报文.
通过 ip a 命令查看接口, 可以发现WSL2内eth接口mtu为1370, docker0的mtu为1500. 推测MTU不匹配且没开启PMTU导致丢包.
解决方法是配置docker使其mtu变为1370, 方法如下:
1 | sudo vim /usr/lib/systemd/system/docker.service |
在配置文件中, 将ExecStart=...这一行改为:
1 | ... |
然后重新启动docker服务:
1 | sudo systemctl daemon-reload && sudo systemctl restart docker |
再访问https就正常了.