鳥毅的Blog

 最近幾週發現家中的光世代會瞬斷，最長不到3分鐘，最短2秒就回復，通常1~2小時才斷一次，很難發現。找了市面上的監控程式沒有符合需求的，所以就叫LLM來寫。 我使用免費的Gemini和ChatGPT 4o來做，比較後Gemini的程式比較好，所以僅摘錄Gemini產生的回應。以下是我下的Prompt： 我的網路偶爾會中斷幾秒又恢復，需要紀錄斷線時間，你寫一個監控程式給我。   上圖是Gemini產生的程式，已經可以顯示目前網路狀態。但這是不夠的，所以我再下指令。 幫我把日期時間格式改為 yyyy/MM/dd HH:mm:ss 看起來舒服多了，但要的是記錄，所以得儲存到檔案。於是再下 Prompt： 請再增加斷線時，將斷線資訊另存一份到名為 network-down.txt 檔案 接下來就差不多完成了，我最後再下一次Prompt： 恢復連線與Offline時間的資訊，也請寫到 network-down.txt  這樣就收工，程式請自行產生，就不附在後面占篇幅，而且應該會寫得越來越好，敬請期待。其實我稍微有再花幾分鐘修改，這程式不太需要修改也能執行。唯一要注意的是它用 Linux / Mac 的ping呼叫方式，所以在 Windows 環境時建議使用 WSL 執行。 後記： 我執行此程式之後，就記錄約2小時斷一次，每次1~2秒，整晚有2次斷線2分鐘，若沒有程式記錄真是難以追查。種花在我報修後，隔天就來換光纖數據機，非常有效率。

 今天在某個測試環境需要設定VLAN時，發現我的 Windows 筆電居然找不到VLAN ID的設定。 高度懷疑是Windows內建的Driver不提供此選項，於是到 Realtek 網站下載 驅動程式，果然更新後就出現VLAN ID選項。

最近在找VPN，發現openvpn.net的Mac client根本不能用？幸好高手還是很多，有個 Open Source的  tunnelblick  可用，試了一下，直接用PC上的ovpn檔修改key檔案位置後匯入就可以用。

由於公司即將要搬家，我正在規劃新大樓的網路，廠商在Switch幫我設定DHCP relay，但我要自己準備DHCP Server，連忙研究一下怎麼設定，當然還是希望沿用我偏好的FreeBSD架設。 目前Google搜尋台灣第一個就是 Weithenn的DHCP Server架設 ，我也是參考他的在改，但因為廠商有用到BOOTP，所以得加上BOOTP及我需要的domain-search選項。

久違的個人備忘錄又來了。 環境：FreeBSD 9.0-Release+Postfix+Dovecot 1.2 因為我把Webmail換成Roundcube後，就沒有郵件規則可設，之前都懶得去看怎麼設定sieve+ManageSieve，趁今天難得有空趕緊來改一下。 安裝： #cd /usr/ports/mail/postfix #make config #我選Dovecot而不是Dovecot2，懶得改設定檔了，差很多 #make install clean #cd /usr/ports/mail/dovecot #make config #記得要選 MANAGESIEVE #make install clean #cd /usr/ports/mail/dovecot-sieve #make install clean #cd /usr/ports/mail/dovecot-managesieve #make install clean #cd /usr/ports/mail/roundcube #make config #請選擇你要用的database #make install clean 首先看一下 Sieve Plugin怎麼設 ，還有 ManageSieve的設定 ，在 /usr/local/etc/dovecot.conf 修改為： protocol lda { ... mail_plugins = sieve #可以再加上其他的plugin } protocol managesieve { login_executable = /usr/local/libexec/dovecot/managesieve-login mail_executable = /usr/local/libexec/dovecot/managesieve managesieve_logout_format = bytes ( in=%i : out=%o ) } plugin { ... sieve = ~/.dovecot.sieve #一定要設這個名字，因為Roundcube的managesieve plugin預設用這個 sieve_dir = ~/sieve } 還有其他FreeBS...

最近半年來，敝公司看P2P TV的同事激增，不知是不是新進年輕員工增加，還是大家增長知識了？ 原本我也不反對大家中午休息時看一下影片，但是因為 PPStream 加速器(PPSAP.exe)會在背景上傳大量資料占頻寬，所以造成網路變慢。別忘了還有可能引發資安問題的Foxy... 由於現在的P2P都很聰明，單純擋port絕對是擋不住，又沒有NetScreen這種高檔的工具能夠做封包過濾，所以在下敝人小弟我採用最簡單的方法。 在內網DNS Server建立ppstream.com、pps.tv等網域。 若怕被人發現，可在Firewall擋DNS Server以外的DNS Query (port 53 tcp/udp)，如此一來他們只能向內部DNS查詢。 參考資料： 如何關閉PPS加速器(PPSAP.exe)？ ~多種關閉方式一併呈現！

話說在Windows下最佳的SSH Client一般公認是 PuTTY ，但是 PuTTY 已經兩年沒更新，而且最近的更新也都只是安全性修正，沒有功能性的更新。 PuTTY 缺少懶人最需要的記憶密碼；雖然說以資訊安全的角度而言，記憶密碼是非常危險的事，但對於多數連線軟體這是不可或缺的功能。

最近除了試用舊硬公司的頻寬管理器外，也一直在校調 pfSense 的效能。 事實上， pfSense 1.2版的功能仍然不太夠，建議安裝1.2.1 Prerelease Snapshots版本，不但有 QoS 的Wizard（Traffic Shaper Wizard），還有更多的套件（Packages）可安裝。鳥毅就裝了bandwidthd、darkstat、snort等。 據說以前還有人寫 HAVP 的套件，不過後來沒維護了。 HAVP 的架設可以參考 免費的企業防毒牆 ，可以在 pfSense 上自行安裝 HAVP ，但是transparent proxy那行指令就不能寫在pf.conf，而要自己寫成 pfSense 的rule，因為難度太高，我就沒去試，歡迎有成功的朋友告訴小弟一聲。 pfSense 1.3版主要增加了多IP的設定，可以在一張網卡設定不同subnet的IP，雖然同樣透過virtual ip，但介面上可以選擇。另一個特點是Dashboard的畫面對各種流量一目了然，頗有專業 Firewall 的樣子。可惜1.3版還有相當多問題，有些功能根本無法使用，所以不建議安裝。 鳥毅沒有在VPN採用 pfSense 最主要的原因，就是我不知道怎樣把企業VPN兩端設成transparent，又能使用 NAT 達成 QoS ，這點舊硬公司的代理商工程師確實很熟，稍微想一下就設定出來。（敝公司尚未正式採購，若有哪位仁兄能提供 pfSense 的設定方法，小弟自掏腰包請吃簡餐）

國內的頻寬管理器大都是某一間兩個中文字的公司所代工（他們沒付我廣告費，姑且稱之為"舊硬"吧），另一間廣為網咖所採用的公司請恕小弟沒測試到。 舊硬公司早期是純代工，所以友X公司相同型號的頻寬管理器或UTM，都是舊硬公司OEM。現在掛舊硬公司自己品牌的頻寬管理器，大約只要友X的2/3不到價格，所以敝公司當然直接買舊硬的產品。 順便提一下Fortigate，雖然號稱有QoS，但仔細看手冊才發現，許多功能都必須進入console操作，又是專屬OS，實在不好用，不建議拿來當做頻寬管理器。 舊硬公司的QoS，雖然說也是靠iptables，但是功能相當齊全，還有許多報表，鳥毅自己肯定做不來。其實pf的功能理論上比iptables先進，但這幾年iptables一直進步，功能上和pf不分高下（參考： pf vs iptables ）。iptables的指令相當地精簡，對於用慣ipfw/ipf/pf的鳥毅而言是天書，所以架Firewall仍舊以pf為第一考量。 這次使用的地點在於VPN的兩端，因為企業VPN FTTB非常貴，2Mb每個月9000元，若升到4Mb每個月15000元，十分划不來。導入QoS後，只會讓使用者降速而不會斷線，同時整合原有的pfSense功能，只需要一台機器。 工程師的設定方法與鳥毅想像中不同，企業主站是wan1，wan2是原有adsl上網，分公司則是dmz，其中dmz設定為transparent，再把原有gateway設成wan1的IP。如此一來，user的使用習慣不變，但是所有的進出頻寬都受到這台機器管控。（不知道transparent用iptables是怎麼設定的？） 差點忘了說價錢，這台PXHome賣69000，PXHome商店的筆X王賣63000，還不到一年的頻寬費，划得來。

最近台灣的媒體幾乎都在報些沒用的政治新聞，連個老女人養小狼狗都放在跑馬燈，像節能運動這些有意義的新聞卻是輕描淡寫，實在是欠罵。罵完來看看昨天最重要的科技新聞吧。 與Skype聯姻 至今膝下無子 eBay今年底可能考慮離婚 Skype自稱不會被東家eBay拋棄 手機直播Skype 今年可上線 Skype打全球 1萬分鐘月付399 Skype打全球 1萬分鐘月付399 雖然中華電信宣稱不受影響，但大家都知道，若每個月打60分鐘的長途電話，以0.035元/秒計算，大約是126元，就超過SkypeOut包月的費用；更不用說國際長途電話的費率了。隨著Skype話機的降價與普及，中華電信的營收比重肯定是長途電話下降轉而寬頻上網增加。 參考資料： 中華電信 長途電話費率表 PCHome SkypeOut Skype以三百塊台幣推國際電話無限打 這到底在哪裡ㄚ

因為政治力影響，代理人完全不懂unix；不得已的情況下，在下試著用Win2000 Server做Firewall，啟動ICS（NAT）後，再裝Comodo Firewall設定rule。 因為Comodo Firewall不支援NAT和port redirection，才出此下策。另外找到 Routix NetCom 支援NAT等，但免費版只能用前5個rule。 本來想用 WIPFW 做port redirect，結果在policy routing這關就先失敗，看來Windows很難滿足我的需求呀... 結果還是得多加一層firewall，既然代理人要傻瓜介面，在W2K外面包個 pfSense 或 m0n0wall 好了。

廣播風暴（Broadcast storm 或 Broadcast radiation ），參考 這裏 、 這裏 、 這裏 、 這裏 。 今天發生一件鳥事。早上10:00，鳥毅正想打開VS2005要寫程式時，桌上電話就響起，某單位網路全掛，急忙趕過去處理。經過慢慢檢查，發現有2台8 埠 hub串接（同時接上兩條網路線），發生廣播風暴所引起。只留下一條網路線仍未完全正常，把同網路的hub全部重開才恢復。 切勿以為人少不會發生廣播風暴，像前面小教室的例子，3台hub若 a接到b，b接到c，c接到a也會發生廣播風暴。乙太網路應該以星狀佈線為佳，超過100台電腦最好切割subnet，也要避免將不同網段的ip接到同一個hub。