服务器上了ss,加了锐速加速。 之前一直没有开防火墙,昨天发现这样太不安全,上了Ubuntu的防火墙 ufw默认策略默认拦截所有input和forward,允许output 也允许input策略-A ufw-before-input -m conntrack --ctstate RELAT...
分类:
其他好文 时间:
2015-09-25 13:02:32
阅读次数:
205
内核优化#visysctl.conf增加以下配置net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=1800net.ipv4.ip_conntrack_max=16777216#如果使用默认参数,容易出现网络丢包net.ipv4.netfilter.ip_conntrack_max=16777216#如果使用默认参数,容易出现网络丢包net.ipv4.tcp_ma..
分类:
其他好文 时间:
2015-09-11 06:53:48
阅读次数:
213
现象:突然发现访问网站很慢,服务器的cpu、内存和磁盘使用率都正常分析过程及解决方案:查询/var/log/message日志发现有这样的记录“ip_conntrack table full dropping packet”。kernel 用 ip_conntrack 模块来记录 iptables ...
分类:
Web程序 时间:
2015-09-04 07:09:28
阅读次数:
205
本地防火墙 [root@localhost root]# vi fw.sh #! /bin/bash modprobe ip_conntrack_ftp IPT="iptables -A INPUT" iptables -F INPUT $IPT -i lo -j ACCEPT $IPT -p tc...
分类:
其他好文 时间:
2015-08-29 21:37:19
阅读次数:
215
独悲需要忍受,快乐需要分享对Linux协议栈多次perf的结果,我无法忍受conntrack的性能,然而它的功能是如此强大,以至于我无法
对其割舍,我想自己实现一个快速流表,但是我不得不抛弃依赖于conntrack的诸多功能,比如statematch,Linux
NAT等,诚然,我虽然对NAT也是抱怨太多..
分类:
Web程序 时间:
2015-08-02 06:31:22
阅读次数:
229
独悲需要忍受,快乐需要分享对Linux协议栈多次perf的结果,我无法忍受conntrack的性能,然而它的功能是如此强大,以至于我无法对其割舍,我想自己实现一个快速流表,但是我不得不抛弃依赖于conntrack的诸多功能,比如state match,Linux NAT等,诚然,我虽然对NAT也是抱怨太多,但不管怎样,不是还有很多人在用它吗。 曾经,我针对conntrack查找做过一个...
分类:
Web程序 时间:
2015-08-02 01:06:00
阅读次数:
215
首先,请求不要再诬陷Netfilter!虽然它有一些固有性能损耗,但敬请不要将iptables和Netfilter等同,如果你要抓元凶,请直接说iptables,而不要说成Netfilter! iptables真的是弱爆了!它的ipt_do_table竟然是五大元凶之一,如果规则超过了7000,那么它就是之首(其它的元凶是nf_conntrack函数,它们也是Netfilter的HOO...
分类:
系统相关 时间:
2015-07-13 00:53:48
阅读次数:
180
题目有点大了,但是难免有一些愤怒!我们的网关产品目前处在系统测试阶段,不太顺利,是太不顺利!各方面都在懈怠,包括我!我除了懈怠,还在找机会逆袭!顺便蔑视一下测试者,希望产生一种想象,即他发现的问题其实不是问题,而是因为他的无知所导致!就在昨天,机会来了,我..
分类:
系统相关 时间:
2015-07-04 16:59:18
阅读次数:
320
题目有点大了,但是难免有一些愤怒!我们的网关产品目前处在系统测试阶段,不太顺利,是太不顺利!各方面都在懈怠,包括我!我除了懈怠,还在找机会逆袭!顺便蔑视一下测试者,希望产生一种想象,即他发现的问题其实不是问题,而是因为他的无知所导致!就在昨天,机会来了,我便气扬了! 很多人觉得我是下三层网络的专家,对于TCP之类的无权问津,但是我对TCP除了辱骂还是辱骂!因为它太复杂了,作为一个低层的...
分类:
系统相关 时间:
2015-07-04 11:12:34
阅读次数:
165
hookfunciton(钩子函数):prerouting进本机未过路由表input进来本机output从本机出去forward转发postrouting路由后从本机出去规则链:每个钩子函数上的规则合集构成链。PREROUTINGINPUTOUTPUTFORWARDPOSTROUTING自定义链:只能被调用,有跳转和返回机制。用户可以删除自定义的..
分类:
其他好文 时间:
2015-06-20 22:16:18
阅读次数:
201
