25个iptables常用示例
admin 9年前 (2016-02-21) 5233浏览 0评论
本文将给出25个iptables常用规则示例,这些例子为您提供了些基本的模板,您可以根据特定需求对其进行修改调整以达到期望。 格式 iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型] 参数 -P 设置默认策略:iptabl...
admin 9年前 (2016-02-21) 5233浏览 0评论
本文将给出25个iptables常用规则示例,这些例子为您提供了些基本的模板,您可以根据特定需求对其进行修改调整以达到期望。 格式 iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型] 参数 -P 设置默认策略:iptabl...
admin 9年前 (2016-01-07) 3605浏览 0评论
工作中,需要对单个MySQL进程进行限制,并且对MySQL进程消耗的IO,CPU Time,Memory等进行统计,首先想到的就是使用Cgroups对进程进行限制,同时,Cgroups提供的一些接口,也可以非常方便地读取到进程消耗的IO,CPU Ti...
admin 9年前 (2015-11-24) 4686浏览 0评论
下面是可能丢数据包的点: 1、交换机 上连和下连端口的流量跑满或链路有问题,有些数据包会被交换机丢掉,抓对应端口的丢包计数值就可以获得这方面的数据。当然,不会每次都丢建立连接的syn数据包,另外,客户端也重传数据包,所以这一块不一定会导致请求数据的丢...
admin 9年前 (2015-11-11) 6931浏览 0评论
MARK标记用于将特定的数据包打上标签,供Iptables配合TC做QOS流量限制或应用策略路由。 看看和MARK相关的有哪些模块: ls /usr/lib/iptables/|grep -i mark libxt_CONNMARK.so libxt...
admin 9年前 (2015-08-30) 3612浏览 0评论
今天在内核群里印风同学问了个问题: 某台机器的ulimit -t 不知道为啥是300, 这是不是意味着程序占用CPU 300秒后会收到SIGKILL ? 我用gdb跑mysqld 跑了一会,收到SIGKILL信号,没有配置cgroup,也没啥后台脚本...
admin 9年前 (2015-07-15) 5440浏览 0评论
最近一直在忙着搞Ceph存储的优化和测试,看了各种资料,但是好像没有一篇文章把其中的方法论交代清楚,所以呢想在这里进行一下总结,很多内容并不是我原创,只是做一个总结。如果其中有任何的问题,欢迎各位喷我,以便我提高。 优化方法论 做任何事情还是要有个方...
admin 10年前 (2015-07-08) 4108浏览 0评论
在redhat网站查到下面的信息,说是因为内存不够的原因。我觉得这个可以当作出现这个问题的解释,但是却解释得不够“完美”,我仍旧还在疑惑中:如果是是因为内存不够的原因,那么在每次测试之前,只要保证机器状态一样,那么TCP: time wait buc...
admin 10年前 (2014-12-24) 4446浏览 0评论
一、简介 iptables是一个很强大的设置防火墙的工具,可以使用它来限制所有对本机的访问,允许特定的主机、特定的端口才能访问本机,还能设置那些协议能够访问本机。总之,很强大,也很简单。 二、filter chain原理简述 在开始之前,先看一下ip...
admin 10年前 (2014-09-13) 17146浏览 5评论
目前限速已经可以实现,但是限连接数由于iptables测connlimit模块不存在无法限速,hashlimit模块不正常也没法使用 限速脚本: #!/bin/sh # 定义进出设备(IDEV 内网接口,ODEV外网接口) IDEV="br...
admin 10年前 (2014-08-14) 3417浏览 0评论
此文源于近日公司安全部门给我们的一次分享,之前我一直以为会有类似于0day之类的东东(我自作多情了-_-!),结果分享的重头戏却是演示HTTP Slow Header 和 HTTP Slow POST 攻击。 第一次看到这个攻击方式是去年在刺的博客,...
admin 11年前 (2014-06-23) 4993浏览 0评论
做benchmark测试的过程中,总是会涉及到linux操作系统底层的设置导致无法充分利用机器的性能,在调试的过程中,不少资料没能和linux kernel版本对应上导致一些参数的设置错误。根据现有服务器的硬件条件和软件版本做相关优化,把一些实践的心...
admin 12年前 (2013-04-06) 5759浏览 0评论
限制带宽简直就是系统管理员的永恒话题之一。当然我这里就不讨论端口限速什么的了,百度一下一大把。但如果要的是限制某个特定进程的带宽,事情就有趣多了。 iptables 大多数文档还是提供的传统思路,用 iptables 的 owner 模块,给 --p...