install rockmongo to ubuntu 16.04

rockmongo的安装非常简单。

首先，原来的rockmongo（https://github.com/iwind/rockmongo）不支持PHP 7.0，所以不能直接用了。
所以要从这里下载支持支持PHP 7.0的rockmongo: https://github.com/krutpong/rockmongo-php7。

然后就是安装php-mongodb
php-mongodb

最后就是配置config.php。这个根据config.sample.php或者后面的注释简单配置一下就可以了。

重点要写的就是新的mongodb应该是加强了鉴权部分，如果不对权限进行配置的话，使用普通用户登陆，你将会在rockmongo上看到下面这个错误
Argument 1 passed to MongoDB::listCollections() must be of the type array, boolean given, called in /var/www/html/rockmongo/app/models/MDb.php on line 35

同时，在mongodb的日志中，你也可以看到类似下面的错误
Unauthorized not authorized on admin to execute command { getCmdLineOpts: 1 }
Unauthorized not authorized on dbname to execute command { eval: "function (){ return db.getCollectionNames(); }", args: [] }

应该是原来的mongodb允许任意用户列出所有的数据库或者表，但是现在已经不允许了。我们要通过下面命令来授权

首先，建立一个executeFunctions的角色
use admin;
db.createRole( { role: "executeFunctions", privileges: [ { resource: { anyResource: true }, actions: [ "anyAction" ] } ], roles: [] } );

然后将这个角色授权给你的用户
db.grantRolesToUser("username",[ { role: "executeFunctions", db: "admin" } ])

之后再登陆应该就没有错误了。

安装Unifi Controller出现的奇怪问题

今天给家里的Unifi设备安装控制器，由于笔记本硬盘容量有限，又要保证系统不会因为日志过多而崩溃，所以在分区时就只给根分区分了5G，而给/var/log分了10G

结果，在安装完Unifi之后，发现死活打开不了控制页面。查看端口又发现所有的Unifi端口正在正常监听中。

打开日志，就看到如下几行：
[2018-05-14 20:23:48,054] INFO db - waiting for db connection...
[2018-05-14 20:23:48,554] INFO db - Connecting to mongodb://127.0.0.1:27117
[2018-05-14 20:26:34,824] ERROR system - [exec] error, rc=100
[2018-05-14 20:26:34,824] INFO db - DbServer stopped

所以以为是mongodb的问题。一查看，果然监听端口列表里面并没有mongodb，于是试着重启mongodb，还是失败。
于是，又在mongodb的日志里面发现了这几行：
2018-05-14T20:23:49.218+0800 [initandlisten] ERROR: Insufficient free space for journal files
2018-05-14T20:23:49.218+0800 [initandlisten] Please make at least 3379MB available in /var/lib/mongodb/journal or use --smallfiles

原来是mongodb要求最低3GB的空余空间，不然直接拒绝启动。而我的根分区安装完系统后只有不到2G的空间了。
于是，又重新给/var/lib/mongodb挂载了一个5G的分区，这次重启mongodb的确是没有问题了，mongodb默认的27017已经开始监听了。

于是又试着重启unifi，谁知道居然还是不行,一看日志，居然还是最开始那四条错误：
[2018-05-14 20:23:48,054] INFO db - waiting for db connection...
[2018-05-14 20:23:48,554] INFO db - Connecting to mongodb://127.0.0.1:27117
[2018-05-14 20:26:34,824] ERROR system - [exec] error, rc=100
[2018-05-14 20:26:34,824] INFO db - DbServer stopped

这也真是见了鬼了，再仔细一看，为什么连的数据库端口是27117？mongodb的默认端口不是27017么？
再一看，/var/log/unifi下面居然还有一个mongod.log,赶紧打开看一看，然后就发现了这个：
2018-05-14T20:23:49.218+0800 [initandlisten] ERROR: Insufficient free space for journal files
2018-05-14T20:23:49.218+0800 [initandlisten] Please make at least 3379MB available in /usr/lib/unifi/data/db/journal or use --smallfiles

我去，原来Unifi Controller居然是自己创建了一个mongodb实例放在/var/lib/unifi/db下面，然后用日志里面的软链指过来。

这要不是我一向惜空间为金，谁还能发现这么一个问题。。。。

The connection was reset deploying war ball in ubuntu

After install Tomcat7 in Ubuntu 16.04, I always get “ERR_CONNECTION_RESET” when deploy war ball.

Finally, I find the reason from here after a few research

The real cause of the issue is the max-file-size limit in WEB-INF/web.xml. The default value is 50M, but my war ball is almost 200MB.

so, I fixed this issue by edit /usr/share/tomcat7-admin/manager/WEB-INF/web.xml
the original settings:


52428800
52428800
0



I changed it to 500MB max by change value for max-file-size and max-request-size


524288000
524288000
0



CISCO UCS – 重启结构互联

原文联链： https://davidring.ie/2015/04/10/cisco-ucs-rebooting-fabric-interconnects/

Begin by connecting to the cluster IP over SSH and checking which FI is Primary/Subordinate:
通过SSH连接到集群IP后，用下面的命令检查主从状态：
FI-A# show cluster state
A: UP, PRIMARY
B: UP, SUBORDINATE

Note: show cluster extended-state will provide more detailed information.
注意： 可以使用show cluster extended-state来获得更多的信息。

Having confirmed the ‘B’ fabric switch is the subordinate connect to FI-B mgmt cli interface:
确认“B” Fabric Switch是从状态后，使用下面命令连接到B的管理接口:
FI-A# connect local-mgmt B

From FI-B local-mgmt interface issue the reboot command:
从FI-B的管理接口执行reboot命令
FI-B(local-mgmt)# reboot
Before rebooting, please take a configuration backup.
Do you still want to reboot? (yes/no):yes

Run the ‘cluster state’ command again to check on the status of FI-B:
再次使用”cluster state”命令检查FI-B的状态：
FI-A(local-mgmt)# show cluster state
A: UP, PRIMARY
B: DOWN, INAPPLICABLE
HA NOT READY
Peer Fabric Interconnect is down

Once the cluster enters a HA READY status, make FI-B the Primary switch in order to reboot FI-A:
一旦集群恢复到”HA READY”状态，将FI-B设计为主状态：
FI-A(local-mgmt)# cluster lead b

Note: After initiating a fail over the SSH session will disconnect, re-connect to the cluster and confirm cluster state.
注意：SSH连接将会在命令执行后断开，你需要重新连接到集群
Connect to local mgmt ‘a’ and reboot FI-A:
连接到FI-A的管理接口，然后重启FI-A：
FI-B# connect local-mgmt a
FI-A(local-mgmt)# reboot
Before rebooting, please take a configuration backup.
Do you still want to reboot? (yes/no):yes

Confirm HA READY status before setting FI-A back to PRIMARY:
确认集群处于HA READY状态后，将FI-A重新设置为主状态：

FI-B# show cluster state
B: UP, PRIMARY
A: UP, SUBORDINATE
HA READY

Set FI-A as PRIMARY, this will need to be set from current PRIMARY FI-B mgmt interface:
要将FI-A设置为主状态，你需要连接到FI-B的管理接口进行操作：
FI-B# connect local-mgmt b
FI-B(local-mgmt)# cluster lead a

Nginx loadbalancer 捕获并重定义后端返回的错误

最近被要求用Nginx做一个前端，要求把所有的请求发送给后端。
而后端框架做的又比较傻，错误页面做的非常不友好。但是开发人员又不知道怎么直接（或者不愿意）修改后端的错误页面，要求在前端进行处理。

以下就是处理方法了。
首先，我们要添加下面这条语句，用来捕获后端返回的错误代码：

proxy_intercept_errors  on;

这句语句开启后，Nginx就会捕获后端一切300或者大于300的返回代码，当然也就包括404，500等等。

返回之后，就是要重新定义错误代码页面：

error_page 404 =301     https://www.tangjianwei.com/localcontent/index404.html;
error_page 500 502 503 504 =301         https://www.tangjianwei.com/localcontent/index500.html;

由于默认所有的请求都会发给后面，我们还要把上面的链接地址给排除出来：

location ~ /localcontent {
}

建立MikroTik与Barracuda之间的IPSec VPN

上次还在吐槽Unifi USG的IPSec VPN功能弱，结果现在来了一个更弱的。
或许不是弱，只是MikroTik对IPSec的解读与别家不同，导致我对MikroTik的误会很深。

首先，就是MikroTik应该是不支持IKEv2的，起码我使用的v6.27版是不支持的。

这样，Barracuda这边也就只能使用IKEv1来进行配置。具体配置方式，请参考官方配置文档。

这里推荐的配置参数是：

• Phase 1
1. Encyption: AES256
2. Hash Meth.: MD5
3. DH-Group: Group 14
• Phase 2
1. Encyption: AES256
2. Has Meth.: MD5
3. DH-Group: Group 14
4. Enable Perfect Forward Secrecy: 勾选
• Local Networks
1. Local IKE Gateway: Barracuda的外网IP
• Remote Networks
1. Remote IKE Gateway: MikroTik的固定IP，如果没有固定IP，也可以使用域名，但是不能填入0.0.0.0/0
• Identify
1. Identification Type: Shared Secret
• Peer Identification
1. Shared Secret: 任意字符串，在MikroTik中也要用到

MikroTik的设置是最麻烦的，特别是Tunnel的设置。MikroTik不像其他工具，填入相关的IP地址段后，可以自动生成Tunnel，而这里必须一个一个的手功建立。

• 依次点击： IP — IPSec
• 点击： Peers
• 点击 Add New
1. Address: 填入Barracuda的外网IP，与上面的Local IKE Gateway应该是一致的
2. Port： 没特别的原因的话，使用默认的500
3. Auth.Method: 选择 pre shared key
4. secret: 填入上面Barracuda中的“Shared Secret”
5. Exchange Mode: 请选择 main
6. Send Initial Contact: 请勾选
7. Proposal Check: 请选择 strict
8. Hash Algorithm: 请选择md5
9. Encryption Algorithm: 请只勾选 aes-256
10. DH Group: 请选择 modp2048
• 最后点击OK
• 然后点击： Proposals
• 点击： Add New:
1. Enabled: 请勾选
2. Name: 任意字符串，比如myproposal
3. Auth. Algorithms: 请只勾选md5
4. Encr. Algorithms: 请只勾选aes-256 cbc
5. PFS Group: 请选择 modp2048
• 最后点击OK
• 然后点击： Policies
• 点击: Add New
1. Enabled： 请勾选
2. Src. Address：请填入本地要广播的地址段，比如192.168.88.0/24
3. Dst. Address：请填入对端（barracuda）的地址段，比如192.168.77.0/24
4. Protocal: 请选择 255(all)
5. Action: encrypt
6. Level: 请选择unique
7. IPSec Protocols: 请选择esp
8. Tunnel: 请勾选
9. SA Src. Address：MiroTik的外网IP，也可以填入0.0.0.0
10. SA Dst. Address：请填入Barracuda的外网IP
11. Proposal：请选择开始创建的proposal:myproposal
• 点击 OK

IPSec VPN建立到这里就结束了，接下来就自己去配置相关的firewall吧。

建立Unifi USG到Barracuda Firewall的IPSec VPN

首先就是Barracuda设置，这里我们选用IKE2，具体的设置可以参考官方配置：

这里，我们要修改的几处：

1. Authentication
• Authentication Method: 选择Pre-shared key
• Shared Secred : 就是Unifi里面的Pre-Shared Key
2. Phase 1
• Encryption: 选择 AES256
• Hash: 选择默认的MD5
• DH-Group: 选择Group 2（不知道为什么，Group 14总是不成功)
3. Phase 2
• Encrypton: 选择AES256
• Hash: 选择MD5
• DH-Group: 选择Disable PFS
4. Network Settings
• Advanced: 如果有多网段广播，必须勾选One VPN Tunnel per Subnet Pair
5. Network Local
• Local ID: 留空
• Remote ID： 留空

接下来就是Unifi USG的设置了。
在正式开始之前，我必须吐槽一下Unifi Controller对IPSec VPN的支持：太弱了，实在是太弱了。VPN类型（VPN Type)居然是Beta，Beta也就算了，居然还只有三种：Auto IPsec VTI， Manual IPsec和OpenVPN。
然后，IPSec里面能选的参数实在是太少了，少得我真的都不知道怎么配置了。当然了，如果你会Unifi Commandline，里面可选的还是非常多的。
做为菜鸟，我们就选用Unifi Controller来做吧。

• 首先，点击Settings
• 点击“Networks”
• 点击”+ CREATE NEW NETWORK”
1. Name: 使用任意字符串，建议使用有一定意义的
2. Purpose: 选择 “Site-to-Site VPN”
3. VPN Type: 选择 “Manual IPsec”
4. Enable: 没特殊情况，请勾选
5. Remote Subnets: 点击”+ ADD SUBNET”,然后输入远程IP地址段
6. Peer IP: Barracuda的外网IP,(Local Gateway)
7. Local WAN IP: 本地的外网IP(Remote Gateway)
8. Pre-Shared Key: 就是Barracuda里面的Shared Secred
9. IPSec Profile:请选择Customized
10. 点开“+ ADVANCED OPTIONS”
11. Key Exchange Version： 选择”IKEv2″
12. Encryption: 选择”AES-256″
13. Hash: 选择 “MD5”
14. DH Group: 选择 “2”
15. PFS： 请不要勾选
16. Dynamic Routing: 请不要勾选
• 点击”SAVE”保存

大功造成！

使用爱快路由建立到亚马逊云的IPSec VPN

最近在测试AWS云中国区服务，然后发现国内目前居然还不能直接使用IPSec VPN接口，具体原因不明，但是官方已经提供了解决方案。

官方的解决方案要求使用Cisco，实测同样的参数，使用爱快其实也是可以连接的。
由于官方的OpenSWAN使用的ike是aes128-sha1;modp1024，而phase2alg是aes128-sha1

        ike=aes128-sha1;modp1024
        phase2alg=aes128-sha1

个人觉得安全等级比较弱。所以我建议改ike为aes256-md5;modp2048，改phase2alg为aes256-md5

        ike=aes256-md5;modp2048
        phase2alg=aes256-md5

爱快端的设置如下：

• 依次点击 “服务中心” — “VPN服务” — “IPSec VPN”
• 然后点击下方的 “添加”
• 然后依次按自己的情况填入以下情况：
  1. 状态： 勾选启用
  2. 名称：任何填入字符串（建议有一定标示意义，比如”office-2-aws”
  3. 对方IP/域名：填入AWS外网IP（官方示例的则是EIP：54.223.152.218）
  4. 本地子网：填入你本地的IP地址段（官方示例的则是Cisco端的内网段，10.1.2.0/24）
  5. 对方子网：填入你要访问的AWS地址段（官方示例中的192.168.2.0/24）
  6. 线路：根据自己的要求选择，一般情况下选自动即可，除非你有多个公网
  7. IKE版本: 选择“IKEv1”
  8. IKE协商模式： 选择“主模式”
  9. IKE存活时间：默认的3即可
  10. IKE提议：依次按ike参数选（不修改官方示例参数则选AES128-SHA1-MODP1024，我则是选AES256-MD5-MODP2048）
  11. 认证方式：请选择“共享密钥”
  12. 预共享密钥：填入你的共享密钥（官方示例中是“aws123”，建议修改为复杂一点的长一点的字符串）
  13. 本地标识：请留空
  14. 对方标识：请留空
  15. ESP存活时间：默认的1即可
  16. ESP加密算法：按phase2alg选择（官方示例中选“aes128”，我则是选“aes256”）
  17. ESP认证算法：按phase2alg选择（官方示例中选“sha1”，我则是选“md5”）
  18. 允许压缩：不允许（不勾选）

CodeCombat相关： 安息之云山峰 峰会之门

Python过关代码

# 突破重围，进入圣殿，消灭食人魔首领
def summonbyType():
    summonTypies = ["soldier", "archer", "griffin-rider"]
    type = len(hero.built) % len(summonTypies)
    if hero.gold > hero.costOf(summonTypies[type]):
        hero.summon(summonTypies[type])

def commandAmy(soldier):
    enemy = soldier.findNearestEnemy()
    if enemy:
        hero.command(soldier, "attack", enemy)
    else:
        enemy = findFirstTarget()
        if enemy:
            hero.command(soldier, "attack", enemy)
        else:
            hero.command(soldier, "defend", hero)

def collectCion():
    item = hero.findNearestItem()
    if hero.distanceTo(item) < 30:
        hero.moveXY(item.pos.x, item.pos.y)

def commandPaladins(paladin):
    target = findFirstTarget()
    if paladin.health < 250:
        hero.command(paladin, "shield")
    else:
        if paladin.canCast("heal"):
            healtarget = findWeakestFriend()
            if hero.health < hero.maxHealth / 2:
                hero.command(paladin, "cast", "heal", hero)
            elif healtarget:
                hero.command(paladin, "cast", "heal", healtarget)
        else:
            if target and target.health > 0:
                hero.command(paladin, "attack", target)
            else:
                target = paladin.findNearestEnemy()
                if target:
                    hero.command(paladin, "attack", target)
                else:
                    hero.command(paladin, "defend", hero)
    pass

def commandGriffin(griffin):
    enemy = findFirstTarget()
    if enemy:
        hero.command(griffin, "attack", enemy)
    else:
        enemy = griffin.findNearestEnemy()
        if enemy:
            hero.command(griffin, "attack", enemy)
        else:
            hero.command(griffin, "defend", hero)

def findWeakestFriend():
    friends = hero.findFriends()
    friendIndex = 0
    weakestHealth = 99999
    weakestFriend = None
    while friendIndex < len(friends):
        friend = friends[friendIndex]
        if friend.health < weakestHealth:
            weakestHealth = friend.health
            weakestFriend = friend
        friendIndex += 1
    return weakestFriend

def findFirstTarget():
    Catapults = hero.findNearest(hero.findByType('catapult'))
    Towers = hero.findNearest(hero.findByType('tower'))
    Warlocks = hero.findNearest(hero.findByType('warlock'))
    
    if Catapults:
        return Catapults
    elif Towers:
        return Towers
    elif Warlocks:
        return Warlocks

while True:
    friends = hero.findFriends()
    collectCion()
    summonbyType()
    for friend in friends:
        if friend.type == "soldier" or friend.type == "archer":
            commandAmy(friend)
        elif friend.type == "griffin-rider":
            commandGriffin(friend)
        elif friend.type == "paladin":
            commandPaladins(friend)
    
    enemy = findFirstTarget()
    if enemy and enemy.health > 0:
        if hero.canCast("chain-lightning", enemy):
            hero.cast("chain-lightning", enemy)
        else:
            hero.attack(enemy)
    else:
        enemy = hero.findNearestEnemy()
        hero.attack(enemy)

use iptables to manage firewalling of ubuntu 16.04 bridge on VMware

背景： IDC分配了大量IP地址，但是自己并不能做网关，但我又不能把所有的机器全部直接置于外网，增加管理成本。
方案：
使用ubuntu 16.04做防火墙（FW）
外网（internet）只连接FW的ens160。
增加DMZ网络（DMZ），所有的需要外网IP的机器和FW的ens192全部连接到DMZ。

在FW中安装bridge-utils并桥接ens160与ens192，不知道怎么桥接的请直接参考这里。

接下来就是在VMware上启用DMZ和internet的混杂模式（Promiscuous Mode）。记住，两个网络的混杂模式都必须开启。不知道怎么开启混杂模式的可以看这里。这里没必要开启整个vSwitch的混杂模式，只需要开启DMZ和internet端口组就足够了。

到了这步，你的桥接就做完了。这个时候，你DMZ里面所有的机器都有完全的外网访问权限，你在iptables里面设置的规则完全限制不了DMZ的网络。接下来就是启用iptables对bridge的限制。

运行下面命令启用bridge netfilter模块

modprobe br_netfilter

修改 /etc/modules-load.d/modules.conf,在最后加上下面一行，这样机器在重启后也会自动加载bridge netfilter模块

br_netfilter

再修改 /etc/sysctl.conf，在文件的最后添加下面几行：

###################################################################
# For iptables to manage bridge firewalling
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
net.bridge.bridge-nf-call-arptables = 1

最后，运行下面命令使配置生效

sysctl -p

现在，就可以使用iptables对DMZ进行管理了。
不过，我目前还没摸清这里面进出端口(iptables里面的-i和-o)的规则，只能直接使用IP了。