轉換指令極為簡單，唯一要確定的是你的系統中有安裝libtiff-tools以及Ghostscript，如果缺少請先"apt-get install ghostscript libtiff-tools"安裝一下吧，一旦安裝完畢，只需將你要轉換的tiff檔案都放置在同樣的資料夾下，然後只用下列指令即可一次搞定:

tiff2ps *.tif | ps2pdf14 -sPAPERSIZE=a4 – > output.pdf

請注意’-'跟’>’中間是有個空白的!!!有兩個部份要稍微說明一下，第一個是關於ps2pdf14的部份，這地方是指定轉換出來的pdf檔案的相容性:

1. ps2pdf12 轉換出來的檔案相容於Acobat 3以後的版本
2. ps2pdf13 轉換出來的檔案相容於Acobat 4以後的版本
3. ps2pdf14 轉換出來的檔案相容於Acobat 5以後的版本

而"-sPAPERSIZE"則是指定輸出的紙張大小，這邊我使用的是A4，其他詳細可以指定的紙張大小請參考這個超仔細的頁面。

最後，關於效率的部份，我轉換每個約8.1MB大小的110個tiff檔，耗時約20分20秒(CPU為Xeon E5405)，產出的pdf檔案約25MB，成果讓我相當滿意!

IPod Touch除了聽歌功能強悍外，影音撥放的能力也是吸引我的重點，大小適中的螢幕適合在通勤或出門等朋友時拿出來看看影片打發時間，可惜IPod Touch承襲著Apple Inc.一貫的風格，只能撥放MPEG4以及x264的編碼，對於大多數的電影採取的xvid、DivX或是日劇常用的rmvb都不支援，必須經過轉換才可以正常撥放，Windows上面有一堆簡單方便且免費的軟體可以使用，但是我實在不想要浪費自己電腦的資源和電費來做這種浪費時間的事情，於是腦筋就動到某台身在遠方卻有8個核心可以使用的強大機器，用遠端的運算資源，電費也是別人家付，多划算阿!!! 畢竟在這經濟不景氣的年代，說要好好善用資源啊!!! XD

那台機器上面跑的是Linux，所以很自然的就想到mencoder這個好用的轉檔程式，支援市面上常見的各種格式。無奈我在該台機器上面沒有root的權限，所以花了很多工夫才弄好，於是在這邊跟大家分享一下，如果再沒有root權限的情況下，裝好mencoder，步驟非常繁複，但是一步一步跟著做應該可以成功編譯完成才是(God bless XD)。

1. cd /tmp ; mkdir convert ; cd convert ; mkdir x264 yasm faac
2. 到這裡以及這裡抓取下列必要的檔案 (如果有更新的日期就抓最新的)
   source snapshot
   essential-20071007.tar.bz2
   all-20071007.tar.bz2
   windows-all-20071007.zip
3. 解壓縮最新的source snapsot到/tmp/convert/mplayer_code
   再把all-20071007.tar.bz2解壓縮到/tmp/convert/codecs
   再將windows-all-20071007.zip解壓縮到/tmp/convert/win32
   最後將all-20071007.tar.bz2分別解壓縮到/tmp/convert/codecs以及/tmp/convert/win32
   (兩個目錄都要喔)
4. 在這裡下載最新的x264原始碼並解壓縮到/tmp/convert/x264_code
5. 取得libfaac最新的原始碼，目前是1.28，解壓縮放到/tmp/convert/faac_code
6. 取得yasm最新的原始碼，目前是0.7.2，解壓縮放到/tmp/convert/yasm_code
7. 安裝yasm
   cd /tmp/convert/yasm_code
   ./configure –prefix=/tmp/convert/yasm
   make && make install
8. 安裝x264 codec
   cd /tmp/convert/x264_code
   ./configure –prefix=/tmp/convert/x264
   make && make install
9. 安裝libfaac
   cd /tmp/convert/faac_code
   ./configure –prefix=/tmp/convert/faac
   make && make install
10. 終於進到重點了，開始正式安裝mencoder，由於我們不需要mplayer播放器，所以就不用編譯了，省下一些等待時間。
    cd /tmp/convert/mplayer_code
    ./configure –prefix=/tmp/convert –disable-mplayer –codecsdir=/tmp/convert/codecs –win32codecsdir=/tmp/convert/win32 –language=zh_TW –with-extraincdir=/tmp/convert/faac/include:/tmp/convert/x264/include –with-extralibdir=/tmp/convert/faac/lib:/tmp/convert/x264/lib
    make && make install
11. 如果一切順利，編譯好的mencoder就會放置在/tmp/convert/bin的目錄下供您使用啦。
12. 最後使用前，記得先額外指定LD Library Path到libfaac的目錄:
    export LD_LIBRARY_PATH=/tmp/convert/faac/lib

假設上面這複雜且費時的12大步驟都順完成了，就可以開始來轉換檔案給IPod Touch用啦!轉檔前先研究了一下IPod Touch對於影像最多可以支援道甚麼程度

H.264 video, up to 2.5 Mbps, 640 by 480 pixels, 30 frames per second, Baseline Profile up to Level 3.0 with AAC-LC audio up to 160 Kbps, 48kHz, stereo audio in .m4v, .mp4, and .mov file formats

瞭解了之後，才能針對規格去下轉換的參數，關於參數的部分我參考網路上一堆文章後，自己試用後，綜合起來推薦下列的指令 (別懷疑，那一堆是一整行的指令):

/tmp/convert/bin/mencoder 輸入檔案名稱 -o 輸出檔名.mp4 -vf scale=480:-10,harddup \
-lavfopts format=mp4 -faacopts mpeg=4:object=2:raw:br=128 -oac faac -ovc x264 \
-sws 9 -x264encopts nocabac:level_idc=30:bframes=0:global_header:threads=auto:\
subq=5:frameref=6:partitions=all:trellis=1:chroma_me:me=umh:bitrate=500 -of lavf

下了上面那長串的指令，轉出來的檔案便可以直接餵進去IPod Touch來撥放啦。相信應該有人還是會好奇上面的指令用了一堆參數，到底都代表著甚麼意義呢?我挑幾個重要的出來說明一下，如果需要微調的話也有個依據:

• -sws 9 — 影像resampling使用Lanczos Algorithm來強化影像
• -vf scale=480:-10 — 將轉出來的影像寬度設為480，高度自動調整，但是維持在16的倍數，為什麼是16的倍數呢?因為多數的codec在長寬都是16的倍數時壓縮效率最好。
• -vf harddup — 為了維持frame rate，必要時插入重複的frame
• -x264encopts nocabac:level_idc=30 — 因為IPod Touch只支援Baseline Profile Level 3.0
• -x264encopts bframes=0 — 因為Baseline Profile不允許B-Frames
• -x264encopts global_header — 使用單一的全域header，可以節省壓縮後的空間
• -x264encopts threads=auto — 使用multithreading加快轉換速度，但是會損失一點點點點點的品質
• -x264encopts subq=5:frameref=6 — quarterpixel精度作動作預測設定到最高，並且最多使用6個refernce frames
• -x264encopts partitions=all — 使用全部的microblock size
• -x264encopts trellis — 降低編碼的速度及品質，但是可以減少產生出來的檔案大小
• -x264encopts me=umh — fullpixel的運動補償使用umh演算法

我自己測試壓縮了rmvb、wmv及avi (xvid codec)的謎影片，在8 core (dual Xeon E5405 2GHz)的機器上的表現為

• avi 檔案處理效率約為 128 fps
• rmvb 檔案處理效率約為 110 fps
• wmv 檔案處理效率約為11 fps

說真的，我也不知道為什麼轉換WMV的效率如此之爛，改天我再拿其他的檔案測測看吧。Anyway，這篇從安裝到轉檔到各項參數均完整說明，希望對有這樣需求的朋友們有所幫助啦。

幸運的是，在Debian下面有個方便的套件叫做curlftpfs，這軟體使用的底層便是大名鼎鼎的FUSE，搭配著cURL Library組合而成，讓我們可以很方便的在Debian下直接mount遠方的ftp資料夾。

安裝及使用方法如下:

1. apt-get install curlftpfs (安裝curlftpfs)
2. curlftpfs -o iocharset=big5,codepage=utf8,ipv4,user=帳號:密碼 ftp://xxx.xxx.xxx.xxx 本地目錄
   iocharset指的是本機端所使用的編碼
   codepage指的是ftp那端所使用的編碼
   密碼不可以包含空白

如果你不希望你的密碼暴露出來，可以僅使用user=帳號，如此一來程式會要求你輸入密碼後再繼續執行。最後，假若你希望能在每次開機後，自動mount遠端某個ftp目錄，請編輯/etc/fstab加上一行

curlftpfs#xxx.xxx.xxx.xxx /mount的目錄 fuse rw,iocharset=big5,codepage=utf8,ipv4,user=帳號:密碼,user,noauto 0 0

記得更改一下/etc/fstab的權限，否則就全部的人都可以看到你的帳號密碼了。

在Debian下面安裝aria2c非常簡單:

apt-get install aria2c

多線程下載使用方法如下:

aira2c -s16 http://file.to.download/file.zip

-s 後面接的數字是線程數目，限制是1~16，應該可以滿足大多數人的需求，如果需要更高的數目，可以透過 -j 來增加。

如果你需要使用aria2c來下載bittorrent檔案，使用方法如下:

aria2c  –enable-dht  –listen-port=某個port –max-upload-limit=單一檔案上傳速度 –max-overall-upload-limit=全局上傳速度 –torrent-file=torrent檔案

上面簡單介紹了最常使用到的兩種功能，其他的細部設定請自行參酌aria2c的man page。

"ip_conntrack: table full, dropping packet"

google了一下發現似乎是個還蠻常見的問題，通常是NAT user過多或是同時建立太多tcp connection，導致table爆炸，因為Linux Kernel在NAT預設的tcp timeout是五天，難怪user多就爆炸。所以改法很簡單，就是把table加大，timeout縮短即可，要注意的是table所使用的memory為

ip_conntrack_max * 232 Bytes

所以要小心大小，不要改的太爽，加到超過你記憶體能夠負擔的能力，步驟如下:

首先查看一下table size以及timeout預設是多少:

cat /proc/sys/net/ipv4/ip_conntrack_max

cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established

上面兩行指令能告訴你，目前機器上的table大小及tcp timeout時間

改法有二, 選一個你喜歡的作法即可 :Q

方法一:

sysctl -w net.ipv4.ip_conntrack_max=131072 (or 任何妳喜歡且不會爆的值)

sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=600

(把這兩行寫到你的開機啟動檔裡面)

方法二:

編輯/etc/sysctl.conf, 加上下列兩行

net.ipv4.ip_conntrack_max=131072 (or 任何妳喜歡且不會爆的值)

net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=600

這樣每次開機就會設定上去啦.

問題便可以因此解決。

當初在做的時候，有考慮過採用iptables的geoip模組，後來沒有採用的原因有二:

1. 需要打patch-o-matic這個patch，要重編kernel太麻煩。
2. 檢查過該模組對於ip rule的比對作法依然是採用list search。

既然效率沒有比較好，安裝又麻煩，當然就不列入考慮。

後來當兵前，發現有人丟出一個方便的玩意叫做:xtables-addons，只要你的kernel版本是在2.6.17以上、iptables版本在1.4.1以上就可以免patch kernel直接上geoip這個模組。xtables-addons不只提供geoip這模組還提供下列模組，都是可以免patch kernel直接使用的:

• CHAOS
• DELUDE
• DHCPADDR
• ECHO
• IPMARK
• LOGMARK
• SYSRQ
• TARPIT
• TEE
• condition
• fuzzy
• geoip
• ipp2p
• ipset
• length2
• portscan
• quota2

連擋p2p好用的模組ipp2p也可以免patch直接使用，實在相當方便，這也直接解決了上面提到的第一個麻煩，但是當時得知時去翻了一下他的source code，依然是採用list search，所以既然效率沒有增加，也就沒有安裝的動力，不過這個方便的玩意到是列入我的watch list，直到2008年五月的時候丟出了1.5.3版本，從release notes中看到:

improved geoip match: O(log(n)) list search time [previously O(n)]

馬上去翻了他的code，這個版本採用binary search來改進效率，從O(n)進步到O(log(n))，拿這台機器為例，n=800且每個封包就得做一次match，這樣的進步實在可觀阿，無奈那時候在當兵，放假時間寶貴，所以就先擱置了。

直到前幾天，突然想起來有這玩意，就把這玩意裝上去了，效果非常顯著，推薦給有使用geoip的朋友可以改用這個模組。

安裝方式:

1. 到這裡下載最新的xtables-addons。(目前最新版本為1.9)
2. 解開後
   cd xtables-addons
   ./autogen.sh
   ./confiure ; make ; make install
3. 搞定收工，夠簡單吧。

如果你是要使用geoip模組，由於作者修改了資料儲存的結構，如果你採用舊的csv2bin產生的檔案會無法使用，你必須下列步驟:

1. 下載作者轉換好的檔案(每個月會更新一次)，放在/var/geoip/LE下面即可使用。

如果想要自己轉換，下載回來的檔案解開後有一隻geoip_csv_iv0.pl程式，你可以自行下載maxmind的geoip csv檔案回來轉。(轉出來是一樣的東西)。

安裝好後，使用方法如下:

iptables -t mangle -A PREROUTING -s 192.168.0.0/24 -m geoip –dst-cc CN -j MARK –set-mark 0×1

擺脫之前那醜陋的800筆紀錄，又能降低loading，實在傷當開心阿。

在開始前先來個真相一下:

Monthly VPN online user by MRTG

首先編輯MRTG config檔案: /etc/mrtg.person.cfg

#option
WorkDir: /var/www/mrtg
Options[_]:growright

Target[vpn]: `/path/to/your/script/mrtg_person.sh`
MaxBytes[vpn]: 64
Options[vpn]: gauge, nopercent, growright
YLegend[vpn]: Online Users
ShortLegend[vpn]: %
LegendI[vpn]:   Online User:
LegendO[vpn]:   Online User:
Title[vpn]: clyang.net VPN Online User
PageTop[vpn]:
<h1>clyang.net VPN Online User</h1>
<table border="0">
<tbody>
<tr>
<td>System:</td>
<td>clyang.net VPN</td>
</tr>
<tr>
<td>Maintainer:</td>
<td>your@email.net.tw</td>
</tr>
</tbody></table>

接著編輯mrtg_person.sh，編輯完成後請記得chmod 755 mrtg_person.sh

#!/bin/sh
echo `netstat -a | grep gre|awk '{print $5}'|sort | wc -l|awk '{print$1}'`
echo `netstat -a | grep gre|awk '{print $5}'|sort | wc -l|awk '{print$1}'`
UPtime=`/usr/bin/uptime | awk '{print $3 " " $4 " " $5}'`
echo $UPtime
echo clyang.net

最後編輯crontab檔案，加上一行:

*/5 *   * * *   root    mrtg /etc/mrtg.person.cfg

就大功告成了。

引用本文請完整引用並須於引用文章中列上本文章的完整連結

[前言]

某個的vpn設置的時候是希望滿足兩個條件: 1) 隨時可以使用內部ip存取經過ip認證的服務。(如: IEL) 2) 利用固定制ADSL的路由優勢存取原本需要繞遠路的網域 (如:連往對岸)，增快存取速度。

[架構]

vpn structure

vpn server的OS為Debian Etch，使用iptables根據目的地的ip來決定封包要透過哪一個interface出去，上圖為VPN的架構，eth0負責handle vpn的連線要求以及做NAT Gateway，而eth1則連接固定制的ADSL負責連往學術網路連線不佳的國家，試用了一陣子，跑起來一切美好，大家也很滿意。無奈人性是邪惡的，使用者一旦發現通往特定地區只要使用vpn就會變快時，就會不理會節約ADSL頻寬使用的柔性宣導，狂抽猛的使用善加利用導致當初的美意徹底被摧毀，同時也降低使用者使用的意願。(本來學網夠慢了，結果用了VPN速度反而越來越慢誰會想用 zZzZZzzz)

因應的方法便是限制user在使用ADSL這段的速度，讓大家都可以使用到合理的速度。

[QoS Howto]

之前使用cbq.init來當做solution，why cbq。init? 因為它的設定最簡單，完全就是懶人的最愛，可惜它的queueing方式不太優良，導致沒有辦法做更精準的限制，所以研究了一下改用HTB來做。HTB跟CBQ差在哪呢? 請自行參考HTB官方網頁的說法。 (http://luxik.cdi.cz/~devik/qos/htb/old/htbmeas1.htm)

QoS怎麼套入這個架構呢? 由於poptop這個vpn server會為每個連線建立一個ppp的interface，而系統會在每個ppp interface啟動時自行呼叫/etc/ppp/ip-up，所以我在這個script最下方加上QoS的設定，之後每個連線都會自動被套用上這個設定。首先先針對下載的部分做限制，由於頻寬較為充裕，最多可以允許768kbps的速度，設定如下:

# Download Speed QoS of ADSL! offer at least 720Kbps (Max 768Kbps) for user
/sbin/tc qdisc add dev $1 root handle 2: htb
/sbin/tc class add dev $1 parent 2: classid 2:1 htb rate 720kbit ceil 768kbit
/sbin/tc filter add dev $1 protocol ip parent 2:0 prio 1 handle 6 fw flowid 2:1

這邊使用一個技巧，由於我們可以確定ADSL的inbound一定會從eth1進來，所以我們利用iptables可以將封包加上mark的功能，將eth1進來的封包都加上mark (標號為6) 所以就可以利用這個mark去做tc的filter依據。iptables加上mark指令如下:

/sbin/iptables -A PREROUTING -t mangle -i eth1 -j MARK –set-mark 6

下載限速的部分就大功告成啦。

接著則是上傳速度限制的部分，礙於ADSL的uplink頻寬普遍不大，為了避免濫用，每個user限制只能使用128kbps。首先在eth1上面掛載一個root qdisc:

/sbin/tc qdisc del dev eth1 root
/sbin/tc qdisc add dev eth1 root handle 2: htb r2q 8

接著編輯/etc/ppp/ip-up:

# 限制個別user對ADSL端的上傳速度
#取得撥進來的user目前是使用哪個ppp interface
interface=$1

#針對不同的使用者給予特定的標記
contamark=`echo $interface | cut -c 4-99`
mark=`expr $contamark + 500`

#由於vpn架設時,已經先把送往eth1的封包都標成1了
#所以下面這行指令的意思是(當中的$5則是使用者撥入後取得的ip):
#當封包的source ip是$5 且 已經被標記成 mark 0x1了
#就把該封包套用到使用者專屬的tc-class
/usr/local/sbin/iptables -t mangle -A POSTROUTING -s $5 -m mark --mark 0x1 -j CLASSIFY --set-class 2:$mark

#建立使用者專屬的tc-class
/sbin/tc class add dev eth1 parent 2: classid 2:$mark htb rate 128kbit ceil 128kbit

最後，編輯/etc/ppp/ip-down，當使用者斷線後刪除相關設定。

# remove download tc disc
/sbin/tc qdisc del dev $1 root

# remove uplink limit
interface=$1
contamark=`echo $interface | cut -c 4-99`
mark=`expr $contamark + 500`

/usr/local/sbin/iptables -t mangle -D POSTROUTING -s $5 -m mark --mark 0x1 -j CLASSIFY --set-class 2:$mark
/sbin/tc class del dev eth1 parent 2: classid 2:$mark htb rate 128kbit ceil 128kbit

[結論]

對於ADSL端做出QoS限制後，反應良好、使用者人數回流、ADSL使用率增加(之前因為uplink被吃光導致download速度受阻)。最後當然是有圖有真相啦:

vpn mrtg traffic