我想知道是否有人可以帮助我制定以下 iptables 规则:
我们希望允许任何和所有本地来源(如在运行 iptables 的服务器上)流量。
DNS、HTTP 等……所有这些。应该允许由运行 iptables 的服务器发起的任何连接。
目前我们基本上使用的是 OUTPUT 默认策略,ACCEPT。这样对吗?输入被阻止,所以我假设这意味着连接(除了我们允许的那些)无法启动,因为它们会在我们这边达到 OUTPUT 策略之前被丢弃?
抱歉,我的 iptables 技能很弱 ;)
非常感谢你。
我们看到以下情况:
[root@primary data]# netstat -s | grep buffer ; sleep 10 ; netstat -s | grep buffer
20560 packets pruned from receive queue because of socket buffer overrun
997586 packets collapsed in receive queue due to low socket buffer
20587 packets pruned from receive queue because of socket buffer overrun
998646 packets collapsed in receive queue due to low socket buffer
[root@primary data]#
请记住,以上是一个刚重新启动的盒子......大约 1 小时的正常运行时间。我们最近有一个盒子已经过期了 2 个月,这些计数器将达到数百万(XXX 百万)。
我们尝试过更改各种 sysctl 变量...
以下是我认为相关的 sysctl 变量:
net.core.rmem_max = 16777216
net.core.wmem_max = …我们最近升级了一些服务器。我们现在只剩下几台服务器,我们准备将其交还给我们的数据中心。
任何人都知道在将这些服务器上的所有数据交还之前对其进行最终自我销毁的最佳方法是什么?
我们显然不想对服务器造成物理伤害,只需尽可能永久地清除我们在这些机器上的所有数据。
很多时候,当阅读有关 nginx 的推荐 worker_processes 时,会说这应该设置为托管 nginx 的服务器的核心数。
我们想知道我们是否也应该为此计算 HT 内核的数量?
还是我们只计算真正的物理内核的数量?
谢谢!
我们注意到,当使用 nginx 内部 301 和 302 处理时,nginx 将提供一个带有适当 Location: ... 标题的小文档正文。
类似于(在 html 中)的内容:301 重定向 - nginx。
根据上述行为,还发送内容类型 text/html 和内容长度标头。
我们做了很多 302 和一些 301 重定向,我们认为上述行为浪费了带宽。
有什么办法可以禁用这种行为?
我们想到的一个想法是将 error_page 301 302 设置为空文本文件。我们尚未对此进行测试,但我假设即使使用上述内容,也会发送 content-type 和 content-length (0) 标头。
那么,是否有一种干净的方法可以使用 nginx 发送“无主体”301/302 重定向?
我们最近在我们的 CentOS 6.0 机器之一上升级了我们的 e1000e(英特尔以太网)模块。
即使模块编译和安装正常,旧版本仍在使用。
我们已经追踪到这一事实,即该e1000e.ko模块位于启动内核的 initamfs 文件中,因此,即使位于/lib/modules/.... 中的模块正在更新,旧的模块仍在从 initramfs 文件中加载.
经过一些研究,我们发现在 CentOS 中创建一个新的 initamfs 文件应该像这样简单:
/sbin/dracut <initramfs> <kernel-version>
有人可以确认这是一种基本上重新创建 initamfs 文件的安全方法吗?
这是一个非本地托管(1000 公里远……)的盒子,如果重新启动不成功,获得支持来解决这个问题将导致相当多的停机时间。
我们将运行一个 nginx 反向代理,它将通过互联网从后端提取数据。
我们所说的通过互联网是指后端计算机不会与前端反向代理位于一个局域网上。
我们认为,在通过互联网发送这些请求之前,最好先处理一下这些请求。
在我看来,它应该像这样工作:
客户端请求带有接受编码标头或 gzip 的内容。
反向代理将其发送到后端服务器。
由于发送了 gzip 的接受编码标头,后端会压缩此内容。
请求在链上一路发送压缩。
我们都可以做到这一点,因为它非常简单。我的问题是,如果我们在 nginx 反向代理端启用了 gzip 压缩,这将如何工作?
nginx 会尝试对已经 gzip 压缩的内容进行 gzip 压缩吗?
希望这是有道理的。谢谢。
更新1:
我了解缓存已经(以及此服务)gzip 内容的含义。我们将修改缓存密钥以包含接受编码标头,从而根据用户代理可以接受的内容提供(并缓存)正确压缩/未压缩的内容。
我们想从搬走sshfs到nfs。
阻碍我们的最后一件事是rpcbind(我认为这是nfs工作所必需的)不允许您指定它绑定到的TCP(非UDP)IP。
有-h标志,但这仅适用于它打开的 UDP 端口。这不会影响 TCP 端口,它们仍然打开0.0.0.0:...
有谁知道我们如何rpcbind通过不将其暴露给我们的公共接口来保护它?
或者更好的是,有没有办法在nfs没有的情况下使用rpcbind?
谢谢!
我们有以下 url 我们想要代理缓存:
file.php?parameter=one¶mater2=two&r=EPOCHTIMESTAMP
查询字符串参数“参数”因请求而异。“paramater2”也是如此。
查询字符串参数 r 是我们用来确保客户端不提供缓存(在客户端)内容的时间戳。又名“缓存破坏者”。是的,我们还使用了所有适当的不缓存 h 标头。
现在,我们想通过 nginx 代理缓存其中的一些请求。是否可以指示 nginx 忽略 r 查询字符串参数,但在为条目设置缓存键时使用所有其他参数?如果我们不能忽略参数 r,那么 nginx 代理缓存将毫无用处,因为每个缓存键都是唯一的。
谢谢。
我们刚刚第一次设置了一个可爱的小 nfs 共享/客户端。
a) 通过 ls 列出时,客户端文件的 UID 显示为 4294967294,但客户端能够在共享中创建和删除文件/目录。在客户端创建的文件和文件夹在服务器端显示正确的用户名(和 uid)。我们确保写入共享的用户在服务器端具有相同的 UID。
以下显示客户端的所有文件/文件夹:
drwxr-xr-x 6 4294967294 4294967294 4096 Feb 23 16:04 foldername
这个可以吗?
b) 是否需要对 portmap / nfs 守护进程执行任何操作,以完全禁用任何 nfs(或 rpc*,因为它在此之前未安装)服务在我们的外部接口上运行?理想情况下,我们希望将服务仅绑定到我们的 LAN 和 VPN 子网。
c) 使 nfs 客户端尽可能积极地尝试重新连接的理想方法是什么?理想情况下,如果网络连接随时丢失,nfs 客户端将继续频繁且无限期地尝试。是否可以通过 fstab 来完成此操作?或者默认情况下 nfs 客户端已经这样做了?共享 nfs 共享的 LAN 端是 1GBit 连接。
d) 还有什么吗?
完了,走吧。
nginx ×4
linux ×2
nfs ×2
rpc ×2
301-redirect ×1
bindings ×1
buffer ×1
cache ×1
centos ×1
compression ×1
gzip ×1
hardening ×1
initramfs ×1
interface ×1
iptables ×1
multi-core ×1
networking ×1
querystring ×1
redirect ×1
rhel6 ×1
sysctl ×1
tcp ×1
threads ×1