- 博客(9)
- 资源 (4)
- 收藏
- 关注
原创 别为iptables日志付出太多-一种Linux防火墙优化方法
日志很重要,然则别为其付出太多。日志多用于审计和排错,在核心网络或者大负载服务器上,它很重要,然而却不是核心业务。如果确认了自己的网络是安全的,请关掉日志。内核有时候会因为日志不堪重负的。在iptables防火墙上,使用ULOG而不是LOG纪录iptables日志
2011-08-27 11:22:19 6394
原创 大一统的Netfilter-一种Linux防火墙优化方法
1.背景目前,Linux的防火墙是基于Netfilter实现的。Netfilter可谓是无所不能,Netfilter的官网的patch-o-matic-ng补丁中几乎每天都会有更新,都会有更好玩的东西。然而基本上做过测试的都知道,在大量规则存在的情况下,Netfilter会导
2011-08-27 10:54:19 6006 1
原创 工作和生活中,...
这个世界本来就是不完美的,因此不要对你身边的人太苛刻。。。猛士夜归,颜色憔悴,然则归魂抖擞!上善若水,下流至贱!别来这套!比如有些人天生愚钝,你就不能要求他有眼色。。。他注定要失败,做什么都不会成功,虽然他自我感觉良好,很狂妄,只是多读了几本破书罢了如果你
2011-08-21 15:16:04 3542 2
原创 使用VIM将一行X509证书分解为多行的方式
引:数字证书有多种格式,对于经过base64编码的证书而言,如果你将所有内容合并成一行,微软操作系统还是能正确解析的,然而如果你使用OpenSSL的x509命令解析,就会报错,可见,微软的兼容行太强了,特别是对自己的东西。 今日工作中遇到合为一行的数字证书,在wi
2011-08-20 19:00:00 4538 1
原创 编写iptables模块实现不连续IP地址的DNAT-POOL
1.背景《路由应用-使用路由实现负载流量均衡》的第3.3节,并没有给出如何配置一个pool,那是因为在Linux 2.6.10之上,已经不再支持配置不连续IP地址的pool了,如果看iptables的man手册,将会得到以下信息:In Kernels up to 2
2011-08-20 18:58:13 11251 1
原创 第一时间捕获段错误(segment fault)的详细信息
不使用gdb也能捕获段错误的详细信息,事实上,使用gdb是一件很麻烦的事情!第一,gdb功能太过强大,诊断个段错误真是大材小用,如果不会用还要学...其次,很多系统并没有安装这个工具。因此最好的办法就是“自报死因”。在Linux中,这是很容易做到的,本文给出一种方式。1.理解
2011-08-20 10:18:53 11590 5
原创 路由应用-使用路由实现负载流量均衡
1.问题要实现负载流量均衡,有很多方法,在Linux上LVS是一种不错的选择,然则配置却相对复杂,其实现原理很奇怪,在Netfilter的INPUT链上实现了一个HOOK,然后处理后再将数据包OUTPUT出去。我们知道Netfilter的HOOK方式虽然功能强大,几乎无所不能
2011-08-14 10:54:01 6907
原创 Linux路由应用-使用策略路由实现访问控制
引:一般而言,访问控制并不是路由模块完成的,而是防火墙的职责,如果你使用Linux的,这是iptables的职责。然而有时候,特别是在策略很多的情况下,使用iptables会极大降低网络性能,这是Netfilter的filter表的本质决定的,具体的优化参见《Linux的Ne
2011-08-14 10:51:33 16577 4
原创 开玩笑的台风
很多次,看似很猛的台风都是最终跟上海开个玩笑,路过了连门都不进,然而大家却都摆好了酒席准备为其接风洗尘...为何?实际上稍微有点气象知识的都知道,上海处于夏季风上岸和冬季风下海的关键位置,因此此地根本就不会有任何的辐合线存在,并且此地并不处于陆地深海边界,或者(亚)热带等气候
2011-08-06 23:18:04 3738 1
一个iptables的stateless NAT模块实现
2014-12-27
模块化的nf-HiPAC
2014-11-21
关于linux内核以及其他个人体会的文集
2009-09-07
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人