2011年08月_iteye_5014

别为iptables日志付出太多-一种Linux防火墙优化方法

日志很重要，然则别为其付出太多。日志多用于审计和排错，在核心网络或者大负载服务器上，它很重要，然而却不是核心业务。如果确认了自己的网络是安全的，请关掉日志。内核有时候会因为日志不堪重负的。在iptables防火墙上，使用ULOG而不是LOG纪录iptables日志，因为LOG使用耗时的printk，而ULOG则使用netlink直接将日志广播给用户态，真不行就overrun，而不是...

2011-08-27 11:22:00 166

大一统的Netfilter-一种Linux防火墙优化方法

1.背景目前，Linux的防火墙是基于Netfilter实现的。Netfilter可谓是无所不能，Netfilter的官网的patch-o-matic-ng补丁中几乎每天都会有更新，都会有更好玩的东西。然而基本上做过测试的都知道，在大量规则存在的情况下，Netfilter会导致网络性能下降，这非常不适合做压力测试。Netfilter的网站上以及内核开发社区或者说各大论坛上的大牛们几乎都在关注功...

2011-08-27 10:54:00 874

工作和生活中，...

这个世界本来就是不完美的，因此不要对你身边的人太苛刻。。。猛士夜归，颜色憔悴，然则归魂抖擞！上善若水，下流至贱！别来这套！比如有些人天生愚钝，你就不能要求他有眼色。。。他注定要失败，做什么都不会成功，虽然他自我感觉良好，很狂妄，只是多读了几本破书罢了如果你觉得你做的对，那么你要不要在乎被骂。。。即使你真的很卖力有自己的想法，何必在乎多喝一裤裆子尿凝于物而不归于心，集精气斥于...

2011-08-21 15:16:00 75

使用VIM将一行X509证书分解为多行的方式

引：数字证书有多种格式，对于经过base64编码的证书而言，如果你将所有内容合并成一行，微软操作系统还是能正确解析的，然而如果你使用OpenSSL的x509命令解析，就会报错，可见，微软的兼容行太强了，特别是对自己的东西。今日工作中遇到合为一行的数字证书，在windows下可以被认出，然而在Linux下却不行，于是需要将一行的证书分解为64个字符一行的证书，然后加上-----BEGIN ...

2011-08-20 19:00:00 148

编写iptables模块实现不连续IP地址的DNAT-POOL

1.背景《路由应用-使用路由实现负载流量均衡》的第3.3节，并没有给出如何配置一个pool，那是因为在Linux 2.6.10之上，已经不再支持配置不连续IP地址的pool了，如果看iptables的man手册，将会得到以下信息：In Kernels up to 2.6.10 you can add several --to-destination options. For those ...

2011-08-20 18:58:00 603

第一时间捕获段错误(segment fault)的详细信息

不使用gdb也能捕获段错误的详细信息，事实上，使用gdb是一件很麻烦的事情！第一，gdb功能太过强大，诊断个段错误真是大材小用，如果不会用还要学...其次，很多系统并没有安装这个工具。因此最好的办法就是“自报死因”。在Linux中，这是很容易做到的，本文给出一种方式。1.理解“自报死因”这个机制的前提1.1.SIGSEGV信号是可以捕获的1.2.siginfo中对于SIGSEGV而言其si_a...

2011-08-20 10:18:00 612

路由应用-使用路由实现负载流量均衡

1.问题要实现负载流量均衡，有很多方法，在Linux上LVS是一种不错的选择，然则配置却相对复杂，其实现原理很奇怪，在Netfilter的INPUT链上实现了一个HOOK，然后处理后再将数据包OUTPUT出去。我们知道Netfilter的HOOK方式虽然功能强大，几乎无所不能(你甚至可以在里面注册一个USB设备检测程序)，然而过多的条件判断和处理逻辑在网络多并发大负载的情况下会严重影响性能，因...

2011-08-14 10:54:00 431

Linux路由应用-使用策略路由实现访问控制

引：一般而言，访问控制并不是路由模块完成的，而是防火墙的职责，如果你使用Linux的，这是iptables的职责。然而有时候，特别是在策略很多的情况下，使用iptables会极大降低网络性能，这是Netfilter的filter表的本质决定的，具体的优化参见《Linux的Netfilter框架深度思考-对比Cisco的ACL》。 Linux有一个很实用的特性可以在某些情形下代替iptabl...

2011-08-14 10:51:00 988

开玩笑的台风

很多次，看似很猛的台风都是最终跟上海开个玩笑，路过了连门都不进，然而大家却都摆好了酒席准备为其接风洗尘...为何？实际上稍微有点气象知识的都知道，上海处于夏季风上岸和冬季风下海的关键位置，因此此地根本就不会有任何的辐合线存在，并且此地并不处于陆地深海边界，或者(亚)热带等气候带边界，气候单一，几乎仅受季风影响，实际上上海根本就不是名副其实的沿海城市...现在想想，台风会在此地登陆吗？别说登...

2011-08-06 23:18:00 78

totoxian