APIPA stands for Automatic Private IP Addressing (APIPA). It is a feature or characteristic in operating systems (eg. Windows) which enables computers to self-configure an IP address and subnet mask automatically when their DHCP(Dynamic Host Configuration Protocol) server isn’t reachable. The IP address range for APIPA is (169.254.0.1 to 169.254.255.254) having 65, 534 usable IP addresses, with the subnet mask of 255.255.0.0.
History
Initially, the Internet Engineering Task Force (IETF) has reserved the IPv4 address block 169.254.0.0/16 (169.254.0.0 – 169.254.255.255) for link-local addressing. Due to the simultaneous use of IPv4 addresses of different scopes, traffic overload becomes high. The link-local addresses are allocated to interface i.e., stateless in nature such that communication will be established when not getting a response from DHCP Server. After that Microsoft refers to this address autoconfiguration method as “Automatic Private IP Addressing (APIPA)”.
Automatic Configuration and Service Checks
It starts with when the user(client) is unable to find the data/information, then uses APIPA to configure the system with an IP address automatically(ipconfig). The APIPA provides the configuration to check for the presence of a DHCP server(in every five minutes, stated by Microsoft). If APIPA detects a DHCP server on the network configuration area, it stops, and let run the DHCP server that replaces APIPA with dynamically allocated addresses.
Note: To Know the given IP address is provided by which addressing, just run the following command:
ipconfig/all
Characteristics
Communication can be established properly if not getting response from DHCP Server.
APIPA regulates the service, by which always checking response and status of the main DHCP server in a specific period of time.
Advantages
It can be used as a backup of DHCP because when DHCP stops working then APIPA has the ability to assign IP to the networking hosts.
It stops unwanted broadcasting.
It uses ARP(Address Resolution Protocol) to confirm the address isn’t currently in use.
Disadvantages
APIPA ip addresses can slow you network.
APIPA doesnot provide network gateway as DHCP does.
Limitations
APIPA addresses are restricted for use in local area network.
APIPA configured devices follow the peer to peer communication rule.
Eind september maakte ASML zijn toekomstplannen aan zijn investeerders bekend. ASML, ooit begonnen als dochter van Philips, is een van de belangrijkste enablers van de chipindustrie. Het bedrijf uit Veldhoven levert de machines aan chipfabrikanten waarmee de meest geavanceerde chips van vandaag en morgen geproduceerd worden. Die zogeheten lithografiesystemen zijn nodig voor de cruciale stappen om een chipontwerp op een plak silicium te krijgen. De leading edge-processen maken tegenwoordig gebruik van machines die de chipwafers hiertoe met extreem ultraviolet licht, of euv, belichten.
De chipindustrie waarvan ASML onderdeel is, behaalde in 2020 een winst van pakweg 426 miljard euro. Daarvan is ASML goed voor slechts ongeveer 1 procent, maar desondanks is de chipindustrie sterk afhankelijk van de machines van ASML. Naar verwachting zal de vraag naar chips door diverse factoren in de komende jaren flink doorgroeien. De belangrijkste drijfveren daarvoor zijn onder meer automotive, kunstmatige intelligentie, iot-devices, edgecomputing en de cloud, en 5G-infrastructuur om alles aan elkaar te knopen, en datacentra om alle gegenereerde data te verwerken en op te slaan.
Zoals bekend zijn er in alle sectoren van de industrie tekorten, waarvan de productiecapaciteit van chips in zogeheten fabs er maar een is. De hele supplychain, van bulktransport tot toeleveranciers van halffabrikaten en machines, staat onder druk. Het is geen geheim dat er tijdens de pandemie enorme tekorten van chips zijn ontstaan. Niet alleen de videokaarten en processors waren daardoor slecht leverbaar, maar bijvoorbeeld ook de chips voor de auto-industrie waren zo slecht leverbaar dat sommige fabrikanten de productie moesten stilleggen.
Die tekorten zijn niet binnen een paar maanden opgelost. Analisten verwachten dat er zeker tot 2022, en voor sommige sectoren tot 2023, tekorten zullen blijven. ASML is een van de fabrikanten die hierbij een rol spelen. Het bedrijf werkt met man en macht om aan de vraag te voldoen, maar zowel de machines die het bouwt, als de uitbreidingen van de fabs die daadwerkelijk chips produceren, hebben flink tijd nodig voordat ze productiegereed zijn. Op de volgende pagina’s lopen we door de toekomstplannen die ASML heeft om aan de alsmaar groeiende vraag naar chips te voldoen.
Groei voor halfgeleiderindustrie
De jaarlijkse groei van de halfgeleiderindustrie als geheel wordt geschat op ongeveer 7 procent, maar niet elk segment groeit uiteraard even hard. Bovendien vragen de verschillende segmenten om verschillende chips. ASML rekent in zogeheten waferstarts, aangezien het belichten van chipwafers het segment is waarmee ASML zijn geld verdient. Daarbij maakt het bedrijf onderscheid tussen logic en mpu (ofwel geavanceerde nodes), dram en nand. Er is echter nog een vierde categorie, die groter is dan voorgaande categorieën. Dat zijn de zogeheten mature nodes, groter dan 28nm.
Voor die waferstarts zijn zijn uiteraard systemen van ASML nodig en het bedrijf is van plan in de komende jaren zowel het aantal geleverde machines, als het aantal wafers dat het kan verwerken, flink te verhogen. Daarbij concentreert ASML zich niet alleen op de geavanceerde euv-machines, maar ook op de lithografiesystemen voor duv-lithografie.
Duv en euv
We gaven het al even aan; ASML rekent in waferstarts en dat doet het in duizenden of miljoenen waferstarts per maand. In 2020 bedroeg de totale wafercapaciteit van alle foundry’s en fabrikanten ongeveer 20,8 miljoen waferstarts. De grootste producenten zijn Samsung, met bijna 3,1 miljoen waferstarts, gevolgd door TSMC met 2,7 miljoen waferstarts, en Micron, SK Hynix en Kioxia. Samen is de top vijf verantwoordelijk voor ruim de helft van de wafercapaciteit.
Uitgesplitst per segment verwacht ASML een flinke groei in het aantal waferstarts. Gemiddeld moet dat tot 2025 een jaarlijkse groei van ruim 5 procent worden, met advanced logic als grootste groeimarkt van bijna 10 procent jaar op jaar. De kleinste groei komt van de mature nodes, maar dat is wel het grootste segment in absolute aantallen. Reden voor ASML om de duv-machines dus nog de nodige aandacht te geven.
ASML leverde in 2020 nog ongeveer 250 lithografiesystemen voor droge en immersielithografie, maar dat moet tot 2025 met 50 procent groeien tot ongeveer 375 systemen. Daarbij moet de wafercapaciteit dankzij optimalisaties van de machines zelfs verdubbelen. Ook van de veel duurdere euv-machines moeten er veel meer geleverd gaan worden. In 2020 waren dat 35 stuks; dat moet worden verdubbeld tot jaarlijks 70 stuks in 2025. De wafercapaciteit moet ook hier harder groeien dan het aantal machines. Het aantal euv-systemen verdubbelt, maar de capaciteit moet verdrievoudigen.
Om aan die planningen te voldoen, moet de productiecapaciteit van lithografiemachines efficiënter worden. Machines voor duv, zoals de 193i-scanners NXT:2050i en NXT:2000i, en scanners voor droge lithografie als de NXT:1470 moeten 10 procent sneller geproduceerd gaan worden en de productielijnen moeten worden uitgebreid. Euv-scanners als de NXE:3600D moeten zelfs 35 procent sneller gemaakt worden. Een uitgebreide verbouwing van de ASML-campus in Veldhoven moet dat faciliteren.
Moore’s Law nog steeds levend
ASML benadrukt net als vrijwel elke chipfabrikant dat de Wet van Moore nog altijd niet dood is. Traditionele transistorscaling is misschien niet langer de enige drijvende kracht achter scaling, het speelt nog altijd een belangrijke rol. Naast transistorscaling moet ook het systeem als geheel leiden tot zuinigere en krachtigere chips. Denk hierbij aan technieken als AMD’s chiplets, Intels Foveros en andere voorbeelden van heterogene integratie en 2,5d- of 3d-structuren.
Toch is scaling in de zin van kleinere nodes en dito transistors nog steeds van groot belang, hoewel het lang niet altijd dezelfde transistors zijn die kleiner gemaakt worden. Ook andere klassen transistors worden ontwikkeld, zoals de finfet die Intel tien jaar geleden introduceerde met Ivy Bridge. Om nog kleinere transistors te maken, werkt imec samen met onder meer TSMC en fabrikanten als Intel aan andere typen transistors. Zo zijn gate all around-transistors, ofwel GAA-transistors, of nanosheets in ontwikkeling en voor nog verder in de toekomst komen wellicht atomic channels in focus.
TSMC’s Mark Liu opperde een nieuwe metric om aan te tonen dat de Wet van Moore nog leeft, in ieder geval op systeemniveau. Door het aantal operaties per seconde te delen door de benodigde energie voor die berekeningen, kan een Energy-Efficient Performance-getal, of EEP, berekend worden. Bedrijven en vooral investeerders in de halfgeleiderindustrie kunnen daar blij mee zijn, want als je EEP gebruikt om de prestaties van chips in een grafiek weer te geven, zie je een mooie stijgende lijn. Die stijgt harder dan de transistordichtheid (groen), lithografiedichtheid (zwart) en uiteraard kloksnelheid (wit). Los van mooie grafieken toont EEP aan dat transistors, of liever complete systemen, vier keer zo zuinig worden met een verdubbeling van de transistordichtheid. En uiteraard is dat goed nieuws, want de enorme vraag naar halfgeleiderproducten moet gepaard gaan met een drastische afname van het energiegebruik.
Een voorbeeld hoe design technology co-optimalisation, of dtco, EEP-verbeteringen kan opleveren, is AMD’s V-cache. Door een die met L3-cache boven op de cores te plaatsen, moet een Zen 3-chip 4 tot 25 procent prestatiewinst krijgen en volgens AMD’s cijfers een ruim drievoudige verbetering in EEP opleveren. Uiteraard is dat geen drievoudige tdp-reductie; we zien niet opeens Zen 3-chips met een tdp van 40W. De winst zal vooral zitten in minder geheugentoegang.
Traditionelere scaling blijft uiteraard ook een belangrijke focus in de komende jaren. Zo moeten niet alleen transistors kleiner worden, maar ook de metal pitch, en contactpunten moeten dichter op elkaar. Daarvoor zijn niet alleen lithografiemachines nodig, maar ook controlesystemen. Een belangrijke functie van die systemen is controleren of opeenvolgende lagen netjes boven elkaar liggen. Het heeft immers weinig zin om een chip te maken als de laagjes niet netjes op elkaar aansluiten. Hoe kleiner de node, hoe kleiner de foutmarge mag zijn.
Om de kritieke dimensies van chips te controleren, een proces dat metrologie wordt genoemd, worden optische of scanning elektronenmicrosopen gebruikt. Ook aan die techniek werkt ASML, door zijn e-beam-inspectietool verder te ontwikkelen van een enkele e-beam naar verscheidene elektronenstralen. Zo kan de precisie van e-beam-inspectie gecombineerd worden met hogere throughput en kunnen defecten effectiever worden opgespoord.
We schreven zojuist al dat lithografische systemen nu en in de toekomst cruciaal blijven voor de chipproductie. Ongeacht of er GAA-transistors, forksheets of andere technieken gebruikt worden, moeten de kleinste structuren op een wafer overgebracht worden. De overstap van duv naar euv heeft erg lang op zich laten wachten, maar inmiddels wordt euv in steeds meer kritieke lagen ingezet. Zo gebruikt TSMC euv-lithografie voor de 5nm-node voor ongeveer tien lagen. Met duv, of 193i-lithografie, zouden vier maskers en vier belichtingen nodig zijn voor zo’n enkele laag, terwijl met euv-lithografie slechts één masker en één belichting volstaan.
Voor dram worden de meeste lagen nog met duv gemaakt. Sinds 14nm-dram, een node die als 1Z bekendstaat, wordt euv kleinschalig ingezet door Samsung. Micron en SK Hynix gebruiken euv pas bij de volgende node, 1A, of 13nm. Dat aandeel wordt bij opeenvolgende nodes steeds groter, maar het gros blijft met al dan niet droge duv en nog oudere lithografietechnieken belicht worden. Om een idee te krijgen: voor de huidige 1A-node gebruiken de genoemde drie fabrikanten ongeveer zestig maskers, waarvan minder dan vijf voor euv. Voor 3d-nand is zelfs helemaal geen euv gepland tot 2030. Daar zit de innovatie vooral in steeds meer lagen op elkaar stapelen. Momenteel produceert bijvoorbeeld Micron nand met 176 laagjes en dat moet richting 2030 tot pakweg 500 lagen groeien.
Het chiptype waarvoor de meeste geavanceerde lithografiemachines worden ingezet, is logic. Afhankelijk van de fabrikant wordt voor lagen van transistors kleiner dan de 10nm-node deels euv ingezet. Dat aandeel groeit bij 5nm-nodes; bij 3nm-nodes, 2nm-nodes en kleiner wordt dat aandeel steeds groter. Een aanzienlijk deel wordt echter nog gemaakt met duv, hetzij ArF(i), hetzij ArF en voor een deel nog KrF. Dat zijn de niet-kritieke lagen die met natte of droge duv-lithografie worden gemaakt. Er is een roadmap tot pakweg 2030, die geprojecteerd wordt op 1nm. Bij die featuresize en de stap ervoor van 1,5nm is ook euv zoals we dat nu kennen, niet meer toereikend.
Om de kleinste featuresizes voor de 1nm-nodetransistors te maken, moet euv een kleinere focus krijgen. Door de optische elementen aan te passen kan de apertuur, in lithografie uitgedrukt als het NA-getal, vergroot worden. De huidige euv-machines hebben een NA van 0,33, maar de volgende generatie euv-systemen moet een NA van 0,55 krijgen. Volgens ASML maakt dat een reductie van de featuresize van 1,7x en een toename in transistordichtheid van 2,9x mogelijk. Dat zou een resolutie van 8nm, ofwel lijntjes die 16nm uit elkaar liggen, mogelijk maken. Om de extra kosten te compenseren zouden chipfabrikanten met high-NA-euv met een enkele belichting en een enkel masker twee ‘gewone’ euv-belichtingen en maskers kunnen vervangen.
Afsluitend
De presentaties van ASML en eerdere presentaties van andere chipfabrikanten, waaronder TSMC, en onderzoeksinstituut imec laten zien dat de halfgeleiderindustrie nog altijd hard werkt om van de Wet van Moore een selffulfilling prophecy te maken. Het bekende transistorscaling is, zoals bekend, al lang niet meer toereikend, maar dankzij steeds meer intregratie van processen en ontwerpfilosofie kunnen chips of systemen als geheel steeds sneller en zuiniger worden.
Die design technology co-optimalisation, of dtco, zal in de komende jaren alleen maar belangrijker worden. Dat behelst heterogene chips tot slimme verpakkingen en het stapelen van wafers of chips, naast natuurlijk architectuur. Om dat alles te realiseren, zullen state-of-the-artfabs cruciaal zijn en de machines die daar werken, zijn de spil van de productie. Met de roadmap die ASML heeft laten zien, moeten de oudere lithografiemachines verbeterd worden om als workhorse dienst te blijven doen, terwijl tegelijkertijd de meest geavanceerde euv-apparatuur verder moet worden verbeterd. Daarmee wordt niet alleen het aantal wafers dat kan worden geproduceerd opgeschroefd, zo worden ook kleinere transistors mogelijk.
Voor logic, kortweg microprocessors en andere rekenunits als gpu’s, gaat euv een steeds grotere rol spelen, met high-NA-euv vanaf de tweede helft van dit decennium om onder de 2nm te duiken. Voor dram blijft de inzet van euv in ieder geval tot 2025 beperkt tot enkele lagen en voor nand is nog geen rol weggelegd voor euv. Voor beide chipsegmenten zijn er echter behoorlijk uitgekristalliseerde plannen om tot 2030, of in ieder geval 2025, steeds kleinere, geavanceerde en zuinigere chips te maken.nm = nanometer. De schaal waarin chipstructuren worden gemeten. ASML = Advanced Semiconductor Manufacturing Lithography EUV = Extreem UltraViolet. Bij lithografie wordt licht/straling gebruik. Bij de EUV machines heeft dit een golflengte van 13nm, dichtbij het röntgenspectrum (11nm) en dit is extreem ultraviolet licht. iot = internet of thing fabs = fabrieken mpu = microprocessor unit (is als afkorting opgenomen in het artikel) dram = dynamic random access memory nand = Not AND (NAND-poort) Node = geen afkorting, hiermee wordt het productieproces in nm aangeduid. 14nm is een node, 5nm is een andere node. TSMC = Taiwan Semiconductor Manufacturing Company, ik denk ‘s werelds grootste producent van (geavanceerde) chips. DUV = Deep UV. Langere golflengte dan EUV. Hieronder vallen verschillende golflengtes, (N)XT (en misschien de oude PAS (Philips Advanced Semiconductor) vallen “onder” DUV.
De oudste (courante) systemen van ASML zijn de PAS systemen, zogenaamde steppers (verplaatsing, statische belichting). Daarna kwam XT, zogenaamde scanners: de belichting gebeurde tijdens een scan, een beweging, dus dynamisch. De volgende machines waren NXT’s, typerend voor immersie (NXT1470 is een uitzondering), waar tussen lens en wafer tijdens exposure een laag water zit waardoor het licht breekt en hiermee kleinere structuren gemaakt kunnen worden. Als laatste is er EUV. Deze machine is typerend voor het licht. Extreem ultraviolet wordt in een (diep) vacuum gegenereerd: gassen, zoals zuurstof, absorberen het (te veel). In deze machine is de “lens” een set spiegels: lenzen zouden de straling ook (te veel) absorberen. Spiegels hebben dit probleem minder.
193i = 193nm voor de golflengte van het licht, “i” voor immersie. tdp = thermal design power ArF = Argon Fluor, de gassen waarmee de lichtbron, de laser, wordt gerealiseerd. KrF = Krypton Fluor NA = Numerical Aperture (is als afkorting opgenomen in het artikel) imec = Interuniversitair Micro-Electronica Centrum (VZW). Een onderzoekscentrum waar onder andere ASML mee samenwerkt.
Lithografiesysteem in een notendop: een chip bestaat uit een reeks lagen. De lagen worden gerealiseerd met een lithografische machine. Lithografie is in de grafische industrie bekend als druktechniek en dit principe (een ontwerp ergens op kopiëren) wordt ook toegepast in een lithografiemachine. De basis waar een chip op wordt gerealiseerd is een plak silicium, een wafer. Het ontwerp wordt daarop “afgedrukt”, waarbij het origineel een masker (of reticle) is. Licht gaat via het masker door de lens (of via spiegels) op de wafer, waar het reageert met een chemische vloeistof, resist. Waar het licht het resist raakt, kan na het belichten dit behandeld worden zodat daar “kanalen” ontstaan (of in het onbelichte deel). Die kanalen kunnen weer opgevuld worden met een geleidend materiaal, waarmee uiteindelijk transistoren gerealiseerd kunnen worden.
Hoe gaat dat in de praktijk? Wafer gaat de machine in, metingen worden verricht (omdat het plaatje op enkele nanometers nauwkeurig geplaatst dient te worden), wafer komt onder de lens/spiegels. Licht gaat via het masker en lens/spiegels op de wafer. De wafer verlaat de machine, wordt nabehandeld, zodat de volgende laag op de wafer belicht kan worden. Laag na laag wordt op die manier gerealiseerd en dat maakt uiteindelijk de (basis van de) chip.
De instellingen voor (V)VDSL werken voor vrijwel alle DSL-verbindingen die T-Mobile aanbiedt. Werkt dit niet, probeer dan de instellingen voor ADSL. Voor glasvezelaansluitingen (Fiber via WAN/SFP) dien je het modem achter de zwarte Media Converter of witte Media Converter (ONT) aan te sluiten. Heb je momenteel een Draytek modem, dan dien je ook zelf voor een Media Converter te zorgen of een modem met glasvezelaansluiting te gebruiken. De instellingen voor het gebruik van een eigen Media Converter of ONT zie je verderop in dit artikel.
Eigen Media Converter aansluiten
Verberg inhoud
Om een eigen Media Converter te gebruiken (dit kan alleen bij een PtP verbinding op zowel het WBA-netwerk als ons eigen netwerk) dien je de volgende instellingen te gebruiken. Let er bij het aansluiten op dat je de glazen connector niet aanraakt. Dit kan de verbinding nadelig beïnvloeden.
Specificaties
Bidi optic LR (20KM)
TX 1310 nm, -3 ~ -9 dBm
RX -3 ~ -22 dBm
Class 1 laser product
Single mode Fiber (9/125)
SP/PC connector of SC/APC connector
Instellingen Auto Negotiation: On Duplex mode: Full Flow control: Disabled F/O mode: Auto
Alternatieve setting Auto Negotiation: Off Manual TP speed: 1000M Duplex mode: Full Flow control: Disabled F/O mode: Auto
Eigen ONT (Optical Network Terminal) aansluiten
Verberg inhoud
Om een eigen ONT te gebruiken, dien je een ONT te nemen die geschikt is voor het gebruik op je netwerk. We raden het gebruik van een eigen ONT af, omdat we bij het omwisselen enkele dagen nodig kunnen hebben om de door ons geleverde ONT weer te registreren. Als je begrijpt wat de risico’s hiervan zijn, kan je via onze klantenservice een verzoek indienen om je eigen ONT te registreren. Binnen enkele dagen zal de T-Mobile ONT de verbinding verliezen. Vanaf dat moment kan je je eigen ONT aansluiten. Let er bij het aansluiten op dat je de glazen connector niet aanraakt. Dit kan de verbinding nadelig beïnvloeden.
Op een KPN WBA glasvezelverbinding is een eigen ONT alleen mogelijk wanneer je met XGSPON verbonden bent. Mogelijk moet je lijn gemigreerd worden voordat je een eigen XGSPON ONT kan aansluiten.
Op ons eigen netwerk (GPON of XGSPON) kan je, afhankelijk van de verbinding, een GPON ONT gebruiken of een XGSPON ONT gebruiken.
VoIP (Vast Bellen)
Verberg inhoud
SIP Username: Kan klant vinden in My T-Mobile Thuis
SIP Password: Dit moet klant zelf instellen in My T-Mobile thuis
SIP Proxy Server Address: voip.t-mobilethuis.nl
Primair compressie type: G.711a
Secundair compressie type: G.722
Tertiair compressie type: G.711u
Bediening van spreek volume: Middle
Luister volume regelaar: Middle
G.168 (Echo-annulering): inschakelen
RTP Start – eind poort: 40000 – 40018
DTMF-modus: PCM
Transport Type: UDP
SIP DSCP Markeringinstelling: 46
RTP DSCP Markeringinstelling: 46
Vervaltermijn van SIP-registratie: 3600 seconden
Mislukte timer voor opnieuw proberen van SIP-registratie: 1800
Sessie verloopt (SE): 900
Min-SE : 600
IPTV (tv-kijken)
Verberg inhoud
Deze instellingen zijn enkel nodig wanneer je op het oude TV platform zit (Interactieve TV). Op het nieuwere platform T-Mobile TV gaat het tv-signaal over het internet VLAN en is er ook geen routing nodig.
Dit is een 55 inch – 139 cm LED 4K Ultra HD tv en wordt geleverd inclusief smart-touch afstandsbediening en een standvoet. De tv heeft 2600 PQI, 40 watt geluidsvermogen, 60 hertz en een quad core processor.
2600 PQI
Het totaal aantal beelden dat per seconde door de gehele tv wordt geproduceerd, wordt aangeduid door PQI Picture Quality Index. Dit bepaalt de kwaliteit van weergave van bewegende beelden. Samsung maakt gebruik van hoogwaardige schermen met een extreem hoge responsetijd, die een snelle afwisseling van beelden garanderen. Elk getoond beeld wordt tot in het kleinste detail weergegeven. Hiervoor heeft Samsung drie factoren geperfectioneerd: de scherpte, de snelheid van de chipset en een breder kleurenpalet. De krachtige processor berekent tussenliggende beelden voor een vloeiende overgang tussen frames.
Uitgebreide content met Smart Hub en het platform Tizen
Stap in een wereld van grenzeloze entertainment. Alle Samsung Smart tv’s zijn uitgerust met Tizen. Ontdek een wereld aan apps, multitasking en je favoriete content, die jouw manier van tv-kijken voor altijd zal veranderen. Je kunt surfen op het net met de snelle webbrowser, tv apps snel openen en een programma bekijken via o.a. Netflix, Youtube, RTL gemist en nog veel meer want via het apps panel kunt u kiezen uit talloze apps en deze downloaden en installeren. Dankzij de enorm uitgebreide connectiviteit kun je nu pas echt genieten.
CI+ geschikt
Dit model is CI+ geschikt voor Ziggo, Canal Digitaal, KPN digitenne, Telenet of een andere digitale tv aanbieder die werken met een module. Dit betekent wanneer je in het gebied woont van Ziggo, Canal Digitaal, Telenet of een andere digitale tv provider, je met een smartcard en module direct digitaal televisie kunt kijken op je Samsung televisie zonder aparte digitale ontvanger! Je bedient dus alles met maar 1 afstandsbediening. Je hebt dus geen apart kastje meer nodig om naar digitale televisie in HD-kwaliteit te kijken op de Samsung ue55nu8040.
Quad Core Processor
Krachtige processor voor een volmaakt beeld. Deze processor analyseert tv beelden sneller dan ooit voor de hoogste beeldkwaliteit in de markt. De huidige smart tv’s bieden steeds meer mogelijkheden en daarom is er in deze tv een Quad core processor verwerkt. Deze supersnelle processor is 2 keer zo krachtig als de vorige generatie en daardoor is deze smart tv supersnel in het gebruik. Je kunt sneller Mutlitasken, dus lekker snel moeiteloos schakelen met 1 druk op de knop tussen een tv-serie of een app en sneller internetten met de ingebouwde webbrowser. Je kunt dus lekker snel schakelen tussen apps en tv-programma’s en websites.
HDR 1000 High Dynamic Range
Zie beelden die andere niet kunnen zien. Laat je meeslepen in de scènes zoals de regisseur ze bedoeld heeft. Bekijk alle details die vroeger onzichtbaar bleven, zowel in donkere als in lichte beelden. Een nieuw niveau van helderheid. Geniet van de zon in haar volle stralende glorie, en vind de kleinste details in de donkerste schaduw dankzij HDR 1000. Elke scène komt tot leven in je eigen woonkamer. Beleef nu zelf hoe lichtsterk deze HDR tv is. HDR is het resultaat van de combinatie van expertise en HDR10+ technologie. Zie elke nuance in beeld.
360 graden design
Zet je televisie waar je maar wil. De achterkant is strak ontworpen en de kabels kunnen netjes worden opgeborgen in de elegante voet. Rustig en modern, ook aan de achterkant. Blinkt uit in eenvoud en eigentijdse verfijning. Op een voet of aan de muur, de gestroomlijnde, schitterend afgewerkte televisie, zonder zichtbare kabels, staat overal prachtig. Tijdloos design, volmaakt voor iedere omgeving. Ongestoord kijkplezier zonder zichtbare omlijsting. De volgende stap in het design van een televisie. Met het mooie ontwerp staat hij overal goed.
Dynamic Crystal Color
Dynamic Crystal Colour technologie houdt in dat Samsung pixels verbeterd heeft en die leveren een verbluffend contrast met meer dan 17 miljoen levensechte kleuren. Er wordt een breder kleurenpalet bereikt dan bij een normale UHD TV en hierdoor treedt er minder snel ruis op en verzadiging van tinten. Resultaat zijn mooie, heldere beelden en veel kijkplezier voor jou. Alle schitterende facetten van het leven worden briljant weergegeven in dynamische, kristalheldere kleuren. Gegarandeerd perfect beeld voor alle content. Dit moet je echt zien.
4K Ultra HD Connected
Het tv kijken was nog nooit zo realistisch. Ronddwarrelend stof, een schittering in de ogen en vliegensvlugge actie; met deze Samsung TV mis je niks. Alle details zijn superscherp en beelden komen echt tot leven. Bovendien leidt het slanke design niet af van waar het echt om gaat: dé perfecte kijkervaring. Niet alle 4K-tv’s zijn hetzelfde. Het certificaat 4K ULTRA HD Connected garandeert dat de beeld- en geluidskwaliteit van de televisie voldoet aan de hoogste standaard van de Consumer Electronics Association.
Non-stop entertainment en on screen notification
Content synchroniseren en delen. Ook als je niet stilzit, kun je blijven kijken. Je kunt nu je content synchroniseren en delen met je mobiel, je tv en zelfs je koelkast. Eigenlijk met alle Samsung-apparaten, via Samsung Cloud. Je kunt dus rustig een bak popcorn gaan halen in de keuken, zonder dat je iets hoeft te missen. Ben je een was aan het draaien? Dan hoef je voortaan niet meer te kijken of de machine al klaar is. Er verschijnt namelijk een melding in de hoek van je tv-scherm als de was gedaan is. Dus blijf gerust genieten van je favoriete programma want zodra je wasmachine klaar is krijg je een melding.
Één afstandsbediening
Ultiem bediengemak in de palm van je hand. Bedien alle aangesloten apparaten met één afstandsbediening. Smart Control-remote met bewegingsdetectie die ingezet kan worden als universele afstandsbediening. Apparaten zoals set-top boxen, gameconsoles en home-cinema systemen kunnen ermee worden bediend. Doordat de televisie zelf detecteert welk merk en type apparaat is aangesloten is het niet nodig om deze functie voor gebruik te configureren. Bij deze televisie krijg je de Smart Touch Remote Control geleverd met ingebouwde microfoon en touchpad.
SmartThings app
Met de SmartThings app zijn de mogelijkheden bijna eindeloos. Verschillende apparaten aansturen? Geen probleem. Je hoeft alleen de SmartThings-app te downloaden op je mobiel om je nieuwe LED tv en alle andere verbonden apparaten aan te sturen en in de gaten te houden, via één scherm! Eén app voor alles. Stuur je apparaten in huis naadloos aan vanaf je nieuwe LED televisie. Vanuit het dashboard kun je elk verbonden apparaat afzonderlijk instellen. Je regelt het hele huishouden ontspannen op de bank, voor de televisie en ontdek alle mogelijkheden die er zijn.
Auto Detection en Instant On
Deze televisie vindt en herkent al je aangesloten apparaten sneller. Deze Samsung televisie toont automatisch de namen van de aangesloten apparaten en maakt het kiezen van de juiste ingang wel heel gemakkelijk. Door middel van een informatiebalk op de tv word het nu heel makkelijk te zien wat er is aangesloten op welke bron. Met de Instant On technologie van Samsung is je televisie in 2 seconden opgestart. Dus je hoeft niet meer lang te wachten en gelijk genieten van je smart tv. De televisie onthoud waar je gebleven was en je kunt weer verder waar je mee bezig was.
Content synchroniseren en delen en SmartThings
Haal het maximale uit de Samsung Cloud. Verbind je slimme Samsung-apparaten zonder problemen om foto’s te synchroniseren. Nu kun je alle foto’s van je telefoon delen en bekijken op de tv of het scherm van je koelkast. Een eindeloze hoeveelheid content wacht op je. Verbind je slimme apparaten. Met SmartThings verbind je jouw tv met de slimme apparaten in je huis, van je koelkast tot je smartphone, voor naadloze interactie. Entertainment, maar dan sneller, simpeler en slimmer. Ontdek on-screen entertainment met een indrukwekkend formaat.
UHD Dimming
Met UHD Dimming technologie geniet je van documentaires, series, televisie programma’s en films in de uitstekende beeldkwaliteit. Het beeld word geoptimaliseert door wit nog witter en zwart nog zwarter te maken en verbetert de kleuren en de scherpte door het scherm in meerdere zones te verdelen. Door haarscherpe details en pure kleuren ben jij verzekerd van uitmuntende beeldkwaliteit. De televisie herkent welk signaal binnenkomt en past automatisch de instelling daarop aan zodat lichte en donkere kleuren optimaal worden weergegeven.
UHD picture engine
Automatische upscaling van content met lagere resolutie. Samsungs UHD Picture Engine verbetert materiaal met een lagere resolutie naar aan UHD grenzende kwaliteit. In 4 innovatieve stappen wordt je favoriete content omgezet in levensechte beelden. De ULTRA HD Engine kun je als de motor van het ULTRA HD-paneel beschouwen, die ervoor zorgt dat de kwaliteit van de upscaler wordt verbeterd. Gewone resolutiebeelden wordt dankzij de engine omgezet naar ULTRA HD-kwaliteit. Geniet dus altijd van haarscherpe beelden op deze tv van de Samsung NU8040 serie.
Multimediacenter en WiFi
Dankzij de USB-ingangen van Samsung televisies tover je je eigen kamer om in een multimediacenter. Via USB speel je content rechtstreeks af op je TV. Door je USB-stick of externe harde schijf aan te sluiten op je televisie kun je jouw persoonlijke video’s en foto’s bekijken. Deel je vakantiefoto’s met je familie, vrienden of kennissen of luister naar je favoriete muziek. Deze televisie beschikt over geintegreerde WiFi. Hierdoor hoef je de televisie niet bedraad aan te sluiten op je netwerk, maar kan je meteen gebruik maken van alle internetfuncties die deze LED televisie je aanbiedt. Surf gemakkelijk op het internet en deel moeiteloos al je content.
Contrast enhancer
Deze tv staat voor fenomenale beelden met meer diepte en krachtigere contrasten. Laat je ieder moment van de dag en in elke omgeving betoveren door intense scènes. De combinatie van krachtig contrast en Local Dimming geeft het beeld een grote scherpte en contrast. Laat je raken, de contrast enhancer technologie verbetert het contrast dankzij een optimale lichtproductie en maakt alles nog mooier en spectaculairder. Deze technologie zorgt ervoor dat de zwarttinten nog zwarter worden weergegeven. De technologie herkent voor- en achtergrond en past automatisch verschillende niveaus van contrast toe.
CURL is a tool for data transfer. It is also available as a library for developers and as a CLI for terminal-based use cases. Both have the same engine inside (Truth is that CLI tool is just the program that uses the library under the hood).
CURL works with every protocol you might have used. Head over this site to check whether CURL works with your target protocol or not.
What CURL can do?
Hmm… Everything that is related to data transfer. Everyone must have used a browser. Even now, you are reading this article through your browser. What browser does, it requests a page and gets it as a response. It can write and read cookies. And then it renders(displaying the content, images and executing JS scripts) it.
CURL can do everything a browser except for the last part rendering because it is not related to data transfer.
As wrap up, CURL can download HTML pages, fill HTML forms and submit them, download files from a FTP/HTTP server and upload files to the same and read/write cookies.
This makes it an excellent tool to be used in scripting, debugging and forensic analysis etc.
Curl command examples
Let’s see what can you do with Curl.
1. Get a response from a server
Everything from server is a response to the request. So getting a HTML page is same as downloading a file.
Above command will dump binary image data which you can’t view in the terminal. You need to save them and then use a photo viewer to see them. Continue reading to find out how to do so. READ 9 Useful Examples of Touch Command in Linux
Note that various option flags can be placed anywhere on the command instead of the strict ordering. So no worry if you placed any option in the last while the examples had the flag in the beginning.
2. Save the file with a default file name
Every file that is served on the internet has a filename. To use the same filename as the downloaded filename use -O flag.
curl -O http://www.google.com/robots.txt
3. Save the file with custom name
To save the filename with your own custom name, use -o flag followed (strictly) by a custom name.
To download multiple files, separate them with a white space.
curl url1 url2 url3
If you want to use -O flag for all the URL’s, use
curl url1 url2 url3 -O -O -O
The same workaround should be done for any flag. This is because the first occurrence of a certain flag is for the first URL, the second flag is for the second URL and so on.
5. Download a range of files
curl has the in-built ability to download a range of files from the server. This can be illustrated from the following example.
curl http://www.google.com/logo/logo[1-9].png
Above command downloads files from logo1.png, logo2.png, logo3.png and up to logo9.png.
6. Download a file only if latest
To download a file only if the file’s modification time is latest than the given time.
curl url -z "DD MMM YY MM:HH:SS"
7. Resume Downloading
If you have already partially transferred a file, you can resume the transfer by using the -C flag. Offset from which transfer needs to be continued should be passed as a parameter to the -C flag.
To delete a file named deleteFile.txt in a server, one can use -X flag which is intended for any HTTP verb/method(like GET, POST, PUT, DELETE, PATCH). Most of the FTP servers will have configured DELETE method if not all advanced HTTP methods.
You can also modify the above command for any HTTP method to do the corresponding task. For Example, if your server allows TRUNCATE method ( this is made-up HTTP method, not a standard one) which removes only the content in the file and not the file, one can use the command similar to the below one.
Above mentioned are the main uses of curl. But there might be difficulties which needed to be fought such as redirects, user authentication, SSL certificates, etc., We can call them add-ons as they are only optional but still remain crucial for certain purposes. Let’s see some of those addons and how to handle it with curl in the next section.READ 5 Practical Examples of chgrp command in Linux
10. Avoid redirects
When you request htttp://www.google.com , you will be served only the regional page such as www.google.co.in. This is done with the help of redirects (HTTP packets with status codes in the range 300-399).
You can avoid redirects with the option L.
curl -L htttp://www.google.com
11. Authentication
When the server is configured to serve for only certain individuals with credentials, they will be provided with username and password. One can make login with the help of -u flag.
If the response is redirected from the terminal such as downloading, uploading then curl automatically shows the status/progress meter for the transfer.
If you do not want to see the progress meter, just append the command with -s flag. Progress will not be shown for response directed for the terminal.
14. Ignore SSL certificates
Do you remember the situations in which you need to give security certificate exception to visit some websites? If you trust the sources and you want to do a data transfer, you can ignore SSL certificate validation by using -k flag.
To display the header information along with transferred data, use the -i flag.
curl -i http://www.google.com/robots.txt
16. Get Header information Only
If you want only the headers and not the data, use the -I flag
curl -I http://www.google.com/robots.txt
17. Change User Agent
Some websites and servers don’t allow certain kinds of devices to access their systems. But how do they know that we are using a specific kind of device? This is due to the User-Agent HTTP header field. We can change this User Agent with -A flag.
curl -A "Mozilla FireFox(42.0)" http://notAllowedForCLI.sites.org/randomFile.png
18. Sending data to the Server
If the server needs some data such as token or API key, use -d flag to send the data. Data that needs to be sent should follow the flag in the command. One can use “&” to combine multiple data. This is usually done by GET and POST requests in browsers. This is one of the ways by which you can send your form information.
Note that -b flag only reads the cookie from the file. So if the server resends another cookie, you might need to use -c option to write them.
21. Start a new Session
If you want to initiate a new session by discarding the cookies, use -j flag. It starts a new session even if you have provided the cookie file to read with -b flag.
Omdat CentOS nu eenmaal één van mijn favoriete server-besturingssystemen is, gaan we uit van een installatieserver met CentOS. Dat maakt overigens voor het principe niet heel veel uit, want een installatieserver maakt gebruik van dezelfde componenten, welke distributie je ook gebruikt. De server die momenteel voor me aan het werk is, staat gelijktijdig zowel OpenSUSE als CentOS te installeren. Met een goed ingerichte server installeer je dus moeiteloos elke distributie.
Componenten
Een volledig geautomatiseerde installatieomgeving heeft een aantal dingen nodig. We gaan ervan uit dat je wilt opstarten vanaf het netwerk. Om dit succesvol te laten verlopen, heb je een DHCP-server nodig die IP-adressen uitdeelt aan de te installeren machines. De volgende stap bestaat eruit dat die machines ook een boot image nodig hebben. Hiervoor wordt gebruik gemaakt van een TFTP-server. De DHCP-server zorgt ervoor dat de client doorgestuurd wordt naar de TFTP-server, zodat daar de juiste bestanden aangeleverd worden om van op te starten.
Om op te kunnen starten, heeft een Linux-client 3 bestanden nodig: een boot loader, een kernel en een initramfs. De boot loader vervangt de lokale boot loader (meestal GRUB) en geeft aan welke kernel gestart moet worden. Die kernel laadt vervolgens het initramfs. Daarbij wordt ook aangegeven waarvandaan de rest van de installatie uitgevoerd moet worden. Voor dat laatste deel is een repository nodig. Om een flexibele installatieserver aan te bieden waarop je zelf bepaalt welke packages precies aangeboden worden, is het aan te raden zelf de repositories aan te bieden (en deze niet van internet te halen). Je kan daarvoor in principe elke service gebruiken, in dit artikel laten we zien hoe je voor dit doel een webserver in kan zetten.
Als je alles tot op dit punt werkend hebt, heb je een omgeving waar de te installeren servers op kunnen booten, een boot image krijgen, en vervolgens ook toegang krijgen tot een repository om de installatie verder uit te voeren. Als het hierbij blijft, moet die installatie echter nog wel steeds handmatig uitgevoerd worden. Leuk als je één of twee servers wilt installeren, minder leuk als je er 200 wilt installeren. Om dit gedeelte ook nog te automatiseren, heb je een installatiescript nodig.
Er zijn verschillende oplossingen voorhanden: SUSE gebruikt autoyast, Red Hat gebruikt Kickstart en ook op Ubuntu kun je Kickstart gebruiken. Zowel Kickstart als Autoyast gebruiken input files waarin alle parameters gedefinieerd zijn die tijdens de installatie gebruikt moeten worden. Dit script plaats je op de installatieserver, zodat het ook eenvoudig aangeroepen kan worden. Bij het aanroepen van de installatie-kernel geef je aan welk script gebruikt moet worden en daarmee maak je de procedure compleet. In de rest van dit artikel zullen we de belangrijkste delen van de configuratie bekijken die nodig zijn om dit allemaal te realiseren.
De DHCP-server
De DHCP-server heeft op zich niet veel configuratie nodig. In listing 1 zie je een voorbeeldconfiguratie, waarin de regel next-server ervoor zorgt dat DHCP de client doorstuurt naar een TFTP-server op dit adres. De filename pxelinux.0 is de PXE-boot loader die aan de client gestuurd wordt.
Listing 1: Voorbeeld DHCP-server configuratie
subnet 192.168.178.0 netmask 255.255.255.0 {
option routers 192.168.178.1 ;
range 192.168.178.200 192.168.178.250 ;
next-server 192.168.178.110;
filename “pxelinux/pxelinux.0”;
}
De TFTP-server
TFTP is al heel lang een onderdeel van xinetd. Om TFTP te kunnen gebruiken, zet je het aan in xinetd en zorg je dat de xinetd service gestart is. Daarbij hoort een configuratiebestand waarin je het PXE-menu zet. Deze vind je standaard in /var/lib/tftptboot/pxelinux/pxelinux.cfg en heeft de naam default. Listing 2 laat een voorbeeld PXE menu zien waaruit verschillende configuraties aangeboden kunnen worden.
Als je ooit een GRUB-menu gezien hebt, zie je dat een PXE boot-menu daar niet wezenlijk van verschilt. Het komt erop neer dat je voor elke distributie een kernel neerzet in de TFTP document root, daarnaast een initramfs en tot slot aanwijst welke repository gebruikt moet worden om de rest van de installatie uit te voeren. Je hebt dan in principe voldoende om de installatie op te starten en handmatig verder uit te voeren.
De Webserver
Het aanmaken van de repositories is overigens niet heel ingewikkeld. Een handige manier is om de ISO van de betreffende distributie te downloaden en via /etc/fstab te loop-mounten op de locatie waar de installatiebestanden beschikbaar moeten zijn. Handig, want je hoeft niets te kopiëren en het is eenvoudig te regelen als een nieuwe versie van je distributie beschikbaar komt.
Als je er dan ook nog voor zorgt dat die locatie beschikbaar is onder de documentroot van je webserver, hoef je helemaal niet veel meer te doen dan de webserver aan te zetten om te regelen dat repositories automatisch beschikbaar gesteld worden.
De installatie-instructies
Het laatste element van de installatie server bestaat uit de installatie instructies. Autoyast is de oplossing die door SUSE gebruikt wordt. Daarnaast is er Kickstart. De installatie-instructies worden aangeleverd in een kort tekstbestand waarin de antwoorden staan op de vragen die tijdens de installatie gesteld worden. Kickstart doet dat in een ASCII-tekstbestand, Autoyast doet het in een XML-bestand. In listing 3 zie je een voorbeeld van hoe dat eruitziet in een Kickstart bestand.
user –name=user –password=$6$yMRAMUievKP2EYT5$JmwC3j.jo9ySsuo6ogUNsI.5sQvW51SgtCLtlGDD/6/dLlz.XLj2dvTXVbfTaeDSLKPfgEDkVqxvbstjpYZt9. –iscrypted –gecos=”user”
# X Window System configuration information
xconfig –startxonboot
# System bootloader configuration
bootloader –location=mbr –boot-drive=sda
# Partition clearing information
clearpart –drives=sda –all
# Disk partitioning information
part /boot –fstype=”xfs” –ondisk=sda –size=1000
part pv.11 –fstype=”lvmpv” –ondisk=sda –size=31008
De enige uitdaging is hoe je aan zo’n bestand komt. Welnu, dat is niet moeilijk. Na installatie van een Red Hat of Fedora systeem wordt het standaard aangemaakt in de home directory van de gebruiker root en op SUSE kan je het vanuit Yast genereren met behulp van de autoyast module. Het enige dat dan nog rest, is in het PXE-boot bestand aan te geven waar de te installeren server dit bestand kan vinden en je installatieserver is klaar voor gebruik.
BIOS and UEFI are two of a kind, but completely different from each other. They serve one major purpose: booting the machine and they do it in different ways and with different options. Without them, all your hardware and the very machine you’re reading this article on, wouldn’t even start. But what are the differences? And why are they mutually exclusive?
What is BIOS?
The Basic Input Output System is the older standard and dates back to old IBM-compatible computers. For almost twenty years, the BIOS has been a de facto standard in common computer implementations. The BIOS is a special software called firmware that is stored in a special chip soldered on the motherboard called ROM (usually EEPROM these days). When you press the power button, the BIOS is the first software that is run on the machine. This software is mostly responsible for three things:
Performing POST: (Power-On Self-Test) in this phase the BIOS checks if the component installed on the motherboard are functioning (mostly CPUs and RAMs).
Providing Basic IO: so that essential peripherals such as the keyboard, the monitor and serial ports can operate to perform basic tasks.
Booting: this step is where all the magic happens, the BIOS tries to boot from the devices connected (SSDs, HDDs, PXE, whatever) in order to provide a better-suited interface (usually an Operating System) to fully make use of the hardware components.
As you can see the BIOS is pretty much a fundamental brick of the boot process and without it you wouldn’t be able to “start” the computer. A BIOS is usually associated with the motherboard and is mostly visible during the first seconds after powering the computer. When you see a great logo from the motherboard/computer manufacturer and (usually) hear beeps, the BIOS is at work.
What the BIOS can and can’t do
BIOS perform quite a strict role and it might appear to you that they always do the same thing. In the past, BIOS were written on plain ROMs (or difficult-to-erase ROMs), without the possibility to write or to erase the ROM, the software couldn’t be programmed or upgraded. Nowadays, BIOS can be updated to support newer hardware/features and can be programmed to perform specific tasks such as:
Turning on/off USB ports, Serial ports or IDE/SATA ports;
Over/Underclocking CPUs/RAMs frequencies;
Regulate motherboard fan controllers;
Although BIOS can perform these task well, they still operate in the 16-bit realm and as such they are limited. The most prominent limitation can be observed when using 2TB+ disks. Most BIOS can only boot from an MBR-partitioned disks, but MBR itself supports up to 2TB partitions meaning it won’t recognize the disk past that. Well there’s GPT that solves the problem of disks bigger than 2TB, but wait… most BIOS can’t boot from GPT. This means that if you have a 3TB disk you have two choices:
Use MBR partitioning: you will be able to boot an Operating System but the system will be presented with 2TB only.
Use GPT partitioning: you will not be able to boot.
The choice is obvious. But how can a disk larger than 2TB be used as a boot disk?
UEFI the BIOS successor
The Unified Extensible Firmware Interface aims to resolve what BIOS could not. UEFI itself is the second version (2.*), the former being EFI (1.*). If you bought a computer after 2010, you will probably have a UEFI instead of a BIOS. You read correctly, BIOS and UEFI do the same thing, but they are pretty different in how and what they do. A UEFI can (in addition to what a BIOS can):
Boot from disks larger than 2TB using GPT (assuming the operating system supports both).
Provide the user with a graphical user interface which is easier to use than old terminal user interfaces of BIOS.
Provide support for mouse devices (BIOS can rarely do this).
Boot securely using a chain-of-trust. (More later on secure boot).
Network boot (although most BIOS can do that, that’s not a given).
Provide a modular interface which is independent from the CPU architecture.
Provide a modular interface for applications and devices based on EFI drivers (commonly called EBCs, EFI Byte-Code).
Do I have a BIOS or a UEFI?
Unless you read your motherboard’s manual, there is no precise way to tell if you’re using a BIOS or a UEFI. But there are a few signs:
UEFIs usually have pretty, coloured interfaces.
In UEFI you can usually use your mouse.
If you bought the computer/motherboard after 2010, chances are you have a UEFI system.
UEFI and boot modes
With the inception of UEFI a new boot mode was born, leaving us with two modes:
UEFI mode: the newer boot mode, requires a separate partition (called EFI partition) where bootloaders are stored.
BIOS mode: the old way used by the BIOS, the bootloader would be stored on the disks (usually at the beginning of the disk).
This created a lot of confusion, especially among tech enthusiasts. Before UEFI the only way to install an operating system was the BIOS mode, but with UEFI, the UEFI mode was the new standard and the selected default. This, however, messed with Operating Systems: Operating System installed in BIOS mode can’t be booted using UEFI mode and vice versa. This means that if you have installed an operating system in BIOS mode you can’t boot in UEFI mode without modifying the installation or reinstalling the whole system, the same applies with a UEFI installation and a BIOS boot. That’s why many UEFI now support the so-called Legacy Mode.
UEFI and Legacy Mode
Put it simply, the Legacy Mode is UEFI operating as if it was a BIOS. You will lose most of the benefits the UEFI such as the Secure Boot or the Fast Boot, but will retain the graphical user interface. The only difference is that the UEFI will be able to boot from MBR disks (hence without the required EFI partition) and will be able to boot non-UEFI installations. Most motherboards support Legacy Mode nowadays.
I have a UEFI, was my operating system installed in UEFI or Legacy mode?
This can be determined using the Operating system capabilities:
Windows: Use the Disk Management tool to check if a “EFI System Partition” exists on the disk where Windows is. If there is one, the system was installed in UEFI mode, if not it was installed in Legacy mode.
Linux: check if /sys/firmware/efi exists, if it does the system is installed in UEFI mode.
UEFI and Secure Boot
One of the most discussed features is the so-called Secure Boot (sometimes called Trusted Boot), the secure boot was born to ensure a more secure boot than the past. By denying the execution of unsigned code, Secure Boot enforces protection against malwares that operate in the pre-bootenvironment. This feature, however, had a negative effect on Linux users and vendors. To be able to boot an operating system, the same (more precisely the bootloader) had to be signed by a known key, which had to be recognized by the UEFI. When the first UEFI implementations started shipping it became clear that most Linux vendors weren’t prepared for this inception. Only a few vendors (namely Canonical, SUSE and Red Hat) could sign their operating system to work with Secure Boot. For a short time before UEFI, a fear that hardware vendors tied to Microsoft would enforce Secure Boot without the possibility to turn it off started spreading. Nowadays most UEFIs (albeit not every one) allow turning off Secure Boot. This enables a less-secure boot but allows unsigned operating systems to be booted.
Fast Boot? Quick Boot? Ultra Fast Boot?
All these names are vendor-specific ways to say “boot Windows faster“. These technologies use cache and hibernation files in order to produce a faster boot. This is usually so fast that the user won’t even see the POST screen or be able to boot from USB. Fast boot is a mechanism supported by Windows only.
Modern Linux kernels come with a packet-filtering framework named Netfilter. Netfilter enables you to allow, drop, and modify traffic coming in and going out of a system. The iptables userspace command-line tool builds upon this functionality to provide a powerful firewall, which you can configure by adding rules to form a firewall policy. iptables can be very daunting with its rich set of capabilities and baroque command syntax. Let’s explore some of them and develop a set of iptables tips and tricks for many situations a system administrator might encounter.
Avoid locking yourself out
Scenario: You are going to make changes to the iptables policy rules on your company’s primary server. You want to avoid locking yourself—and potentially everybody else—out. (This costs time and money and causes your phone to ring off the wall.)
Tip #1: Take a backup of your iptables configuration before you start working on it.
Back up your configuration with the command:
/sbin/iptables-save > /root/iptables-works
Tip #2: Even better, include a timestamp in the filename.
Tip #4: Put specific rules at the top of the policy and generic rules at the bottom.
Avoid generic rules like this at the top of the policy rules:
iptables -A INPUT -p tcp --dport 22 -j DROP
The more criteria you specify in the rule, the less chance you will have of locking yourself out. Instead of the very generic rule above, use something like this:
iptables -A INPUT -p tcp --dport 22 –s 10.0.0.0/8 –d 192.168.100.101 -j DROP
This rule appends (-A) to the INPUT chain a rule that will DROP any packets originating from the CIDR block 10.0.0.0/8 on TCP (-p tcp) port 22 (–dport 22) destined for IP address 192.168.100.101 (-d 192.168.100.101).
There are plenty of ways you can be more specific. For example, using -i eth0 will limit the processing to a single NIC in your server. This way, the filtering actions will not apply the rule to eth1.
Tip #5: Whitelist your IP address at the top of your policy rules.
This is a very effective method of not locking yourself out. Everybody else, not so much.
iptables -I INPUT -s <your IP> -j ACCEPT
You need to put this as the first rule for it to work properly. Remember, -I inserts it as the first rule; -A appends it to the end of the list.
Tip #6: Know and understand all the rules in your current policy.
Not making a mistake in the first place is half the battle. If you understand the inner workings behind your iptables policy, it will make your life easier. Draw a flowchart if you must. Also remember: What the policy does and what it is supposed to do can be two different things.
Set up a workstation firewall policy
Scenario: You want to set up a workstation with a restrictive firewall policy.
Tip #1: Set the default policy as DROP.
# Set a default policy of DROP
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
Tip #2: Allow users the minimum amount of services needed to get their work done.
The iptables rules need to allow the workstation to get an IP address, netmask, and other important information via DHCP (-p udp –dport 67:68 –sport 67:68). For remote management, the rules need to allow inbound SSH (–dport 22), outbound mail (–dport 25), DNS (–dport 53), outbound ping (-p icmp), Network Time Protocol (–dport 123 –sport 123), and outbound HTTP (–dport 80) and HTTPS (–dport 443).
# Set a default policy of DROP
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
# Accept any related or established connections
-I INPUT 1 -m state –state RELATED,ESTABLISHED -j ACCEPT
-I OUTPUT 1 -m state –state RELATED,ESTABLISHED -j ACCEPT
# Allow all traffic on the loopback interface
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
# Outbound Network Time Protocol (NTP) requests
-A OUTPUT –o eth0 -p udp –dport 123 –sport 123 -j ACCEPT
# Outbound HTTP
-A OUTPUT -o eth0 -p tcp -m tcp –dport 80 -m state –state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp –dport 443 -m state –state NEW -j ACCEPT
COMMIT
Restrict an IP address range
Scenario: The CEO of your company thinks the employees are spending too much time on Facebook and not getting any work done. The CEO tells the CIO to do something about the employees wasting time on Facebook. The CIO tells the CISO to do something about employees wasting time on Facebook. Eventually, you are told the employees are wasting too much time on Facebook, and you have to do something about it. You decide to block all access to Facebook. First, find out Facebook’s IP address by using the host and whois commands.
host -t a www.facebook.com
www.facebook.com is an alias for star.c10r.facebook.com.
star.c10r.facebook.com has address 31.13.65.17
whois 31.13.65.17 | grep inetnum
inetnum: 31.13.64.0 – 31.13.127.255
Then convert that range to CIDR notation by using the CIDR to IPv4 Conversionpage. You get 31.13.64.0/18. To prevent outgoing access to www.facebook.com, enter:
iptables -A OUTPUT -p tcp -i eth0 –o eth1 –d 31.13.64.0/18 -j DROP
Regulate by time
Scenario: The backlash from the company’s employees over denying access to Facebook access causes the CEO to relent a little (that and his administrative assistant’s reminding him that she keeps HIS Facebook page up-to-date). The CEO decides to allow access to Facebook.com only at lunchtime (12PM to 1PM). Assuming the default policy is DROP, use iptables’ time features to open up access.
This command sets the policy to allow (-j ACCEPT) http and https (-m multiport –dport http,https) between noon (–timestart 12:00) and 13PM (–timestop 13:00) to Facebook.com (–d 31.13.64.0/18).
Regulate by time—Take 2
Scenario: During planned downtime for system maintenance, you need to deny all TCP and UDP traffic between the hours of 2AM and 3AM so maintenance tasks won’t be disrupted by incoming traffic. This will take two iptables rules:
iptables -A INPUT -p tcp -m time –timestart 02:00 –timestop 03:00 -j DROP
iptables -A INPUT -p udp -m time –timestart 02:00 –timestop 03:00 -j DROP
With these rules, TCP and UDP traffic (-p tcp and -p udp ) are denied (-j DROP) between the hours of 2AM (–timestart 02:00) and 3AM (–timestop 03:00) on input (-A INPUT).
Limit connections with iptables
Scenario: Your internet-connected web servers are under attack by bad actors from around the world attempting to DoS (Denial of Service) them. To mitigate these attacks, you restrict the number of connections a single IP address can have to your web server:
Let’s look at what this rule does. If a host makes more than 20 (-–connlimit-above 20) new connections (–p tcp –syn) in a minute to the web servers (-–dport http,https), reject the new connection (–j REJECT) and tell the connecting host you are rejecting the connection (-–reject-with-tcp-reset).
Monitor iptables rules
Scenario: Since iptables operates on a “first match wins” basis as packets traverse the rules in a chain, frequently matched rules should be near the top of the policy and less frequently matched rules should be near the bottom. How do you know which rules are traversed the most or the least so they can be ordered nearer the top or the bottom?
Tip #1: See how many times each rule has been hit.
Use this command:
iptables -L -v -n –line-numbers
The command will list all the rules in the chain (-L). Since no chain was specified, all the chains will be listed with verbose output (-v) showing packet and byte counters in numeric format (-n) with line numbers at the beginning of each rule corresponding to that rule’s position in the chain.
Using the packet and bytes counts, you can order the most frequently traversed rules to the top and the least frequently traversed rules towards the bottom.
Tip #2: Remove unnecessary rules.
Which rules aren’t getting any matches at all? These would be good candidates for removal from the policy. You can find that out with this command:
iptables -nvL | grep -v "0 0"
Note: that’s not a tab between the zeros; there are five spaces between the zeros.
Tip #3: Monitor what’s going on.
You would like to monitor what’s going on with iptables in real time, like with top. Use this command to monitor the activity of iptables activity dynamically and show only the rules that are actively being traversed:
watch runs ‘iptables -nvL | grep -v “0 0″‘ every five seconds and displays the first screen of its output. This allows you to watch the packet and byte counts change over time.
Report on iptables
Scenario: Your manager thinks this iptables firewall stuff is just great, but a daily activity report would be even better. Sometimes it’s more important to write a report than to do the work.
Use the packet filter/firewall/IDS log analyzer FWLogwatch to create reports based on the iptables firewall logs. FWLogwatch supports many log formats and offers many analysis options. It generates daily and monthly summaries of the log files, allowing the security administrator to free up substantial time, maintain better control over network security, and reduce unnoticed attacks.
We’ve covered many facets of iptables, all the way from making sure you don’t lock yourself out when working with iptables to monitoring iptables to visualizing the activity of an iptables firewall. These will get you started down the path to realizing even more iptables tips and tricks.
SSH tunneling (also referred to as SSH port forwarding) is simply routing local network traffic through SSH to remote hosts. This implies that all your connections are secured using encryption. It provides an easy way of setting up a basic VPN (Virtual Private Network), useful for connecting to private networks over unsecure public networks like the Internet.
You may also be used to expose local servers behind NATs and firewalls to the Internet over secure tunnels, as implemented in ngrok.
SSH sessions permit tunneling network connections by default and there are three types of SSH port forwarding: local, remote and dynamic port forwarding.
In this article, we will demonstrate how to quickly and easily setup a SSH tunneling or the different types of port forwarding in Linux.
Testing Environment:
For the purpose of this article, we are using the following setup:
Usually, you can securely connect to a remote server using SSH as follows. In this example, I have configured passwordless SSH login between my local and remote hosts, so it has not asked for user admin’s password.
$ ssh admin@server1.example.com
Connect Remote SSH Without Password
Local SSH Port Forwarding
This type of port forwarding lets you connect from your local computer to a remote server. Assuming you are behind a restrictive firewall, or blocked by an outgoing firewall from accessing an application running on port 3000 on your remote server.
You can forward a local port (e.g 8080) which you can then use to access the application locally as follows. The -L flag defines the port forwarded to the remote host and remote port.
Now, on your local machine, open a browser, instead of accessing the remote application using the address server1.example.com:3000, you can simply use localhost:8080 or 192.168.43.31:8080, as shown in the screenshot below.
Access a Remote App via Local SSH Port Forwarding
Remote SSH Port Forwarding
Remote port forwarding allows you to connect from your remote machine to the local computer. By default, SSH does not permit remote port forwarding. You can enable this using the GatewayPorts directive in you SSHD main configuration file /etc/ssh/sshd_config on the remote host.
Open the file for editing using your favorite command line editor.
$ sudo vim /etc/ssh/sshd_config
Look for the required directive, uncomment it and set its value to yes, as shown in the screenshot.
GatewayPorts yes
Enable Remote SSH Port Forwarding
Save the changes and exit. Next, you need to restart sshd to apply the recent change you made.
$ sudo systemctl restart sshd
OR
$ sudo service sshd restart
Next run the following command to forward port 5000 on the remote machine to port 3000 on the local machine.
Once you understand this method of tunneling, you can easily and securely expose a local development server, especially behind NATs and firewalls to the Internet over secure tunnels. Tunnels such as Ngrok, pagekite, localtunnel and many others work in a similar way.
Dynamic SSH Port Forwarding
This is the third type of port forwarding. Unlike local and remote port forwarding which allow communication with a single port, it makes possible, a full range of TCP communications across a range of ports. Dynamic port forwarding sets up your machine as a SOCKS proxy server which listens on port 1080, by default.
For starters, SOCKS is an Internet protocol that defines how a client can connect to a server via a proxy server (SSH in this case). You can enable dynamic port forwarding using the -D option.
The following command will start a SOCKS proxy on port 1080 allowing you to connect to the remote host.
$ ssh -f -N -D 1080 admin@server1.example.com
From now on, you can make applications on your machine use this SSH proxy server by editing their settings and configuring them to use it, to connect to your remote server. Note that the SOCKS proxy will stop working after you close your SSH session.
In this article, we explained the various types of port forwarding from one machine to another, for tunneling traffic through the secure SSH connection. This is one of the very many uses of SSH. You can add your voice to this guide via the feedback form below.
Attention: SSH port forwarding has some considerable disadvantages, it can be abused: it can be used to by-pass network monitoring and traffic filtering programs (or firewalls). Attackers can use it for malicious activities. In our next article, we will show how to disable SSH local port forwarding. Stay connected!