为了持续testing的目的,我希望有一个Apache服务器提供至less20毫秒延迟的静态文件。 我试图find一个类似的能力,但失败的Apacheconfiguration设置或插件。 tc和iptables的组合可能工作,但我只find一个方法来添加基于传出端口的延迟(这是每个客户端不同)。 variables IF = 1.0 IFSPEED = 100Mbps#从sudo / sbin / ethtool $ IF获取 DELAY = 1000毫秒 # #创buildHTB对象树 # sudo / sbin / tc qdisc add dev $ IF handle 1:root htb # #用classid创build一个有类的子桶 # sudo / sbin / tc class add dev $ IF parent 1:classid 1:11 htb rate $ IFSPEED […]
我有一个Web应用程序,我想限制file upload大小。 我想我会尝试使用这个squid,通过它的指令request_body_size_max。 我有我的networking服务器端口8080上运行,我已经在同一台服务器(Ubuntu 12.04 LTS)上安装鱿鱼3.1.19。 服务器运行在亚马逊的EC2上,如果这有什么区别的话。 squid.conf包含: http_port 3128 transparent 我添加到IPTables: iptables -t nat -A PREROUTING -p tcp –dport 8080 -j REDIRECT –to-port 3128 当我访问Web服务器时,鱿鱼日志的结果是: Forwarding loop detected. 我需要做什么来防止这种情况? 谢谢…
我正在考虑将下面的规则添加到我的IP表中: -A INPUT -p tcp -m state –state NEW -m recent –update –dport 80 –seconds 5 –hitcount 10 -j DROP -A INPUT -p tcp -m state –state NEW -m recent –set –dport 80 -j ACCEPT 以避免意外的基于Ajax的滥用(太多请求)我的Web API。 这种有状态的过滤是否被认为是资源密集型的,或者由于端口80请求的共同性而造成浪费?(比如速率限制端口22会导致更less的状态)? 我意识到在专用的防火墙中这样做是理想的,但我试图看看我可以在我的服务器上完成什么。
我正在使用iptables v1.4.7 / 8。 我用了下面的命令 iptables -A INPUT -s 10.0.4.247 -m time –utc –datestart 2013-5-23T7 –datestop 2013-5-23T9 -j DROP 我的时间 date -u Thu May 23 07:49:29 UTC 2013 iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination DROP all — 10.0.4.247 anywhere TIME starting from 2013-05-23 07:00:00 until date 2013-05-23 09:00:00 UTC Chain […]
我在iptables中使用这个(想要允许25端口只用于本地主机) iptables -A INPUT -p tcp -s localhost –dport 25 -j ACCEPT iptables -A INPUT -p tcp –dport 25 -j DROP 它工作完美,但我停止接收转发邮件(这是工作确定之前)。 我有一个规则在邮件configuration – >电子邮件发送到[email protected] – >转发到我的Gmail 我应该更改/添加我的iptables,以允许此转发,但端口25closures公开? 也许添加谷歌IP或其他东西? 非常感谢!
我有我的SSH服务器侦听端口555.我需要允许一个IP连接到端口22,然后让IPTablesredirect到555(这是因为连接到端口22的软件只能连接到端口22) 。 我目前的IPTables规则如下: Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT udp — anywhere anywhere udp dpt:domain ACCEPT tcp — anywhere anywhere tcp dpt:domain ACCEPT udp — anywhere anywhere udp dpt:bootps ACCEPT tcp — anywhere anywhere tcp dpt:bootps ACCEPT udp — anywhere anywhere udp dpt:domain ACCEPT tcp — anywhere anywhere tcp dpt:domain ACCEPT […]
当我们的虚拟服务器集合达到一定的规模时,我们从主机文件移动到DNS服务器。 但是,每次添加新服务器时,我们仍然需要在每台计算机上更新防火墙规则。 (因为提供者中的所有虚拟机都可以看到对方,包括其他客户机器,所以我们需要在iptables规则中列出可信地址列表) 人们用什么技术来集中pipe理IPTablesconfiguration? 目前最好的方法是上传一个新的ip列表到每台机器并重启防火墙。 有没有更好的办法? 如果我们能以某种方式将IPTables可信的附件与我们的DNS绑定, 在我们的DNS中定义的任何东西都被归类为可信的地址 – 但我认为没有这样的东西是可能的]
我想限制(通过iptables或其他)在80/443入站stream量来自我的负载平衡器的stream量。 我有公共IP(当然不会改变),但是我得到的唯一私有IP信息是一个范围(我正在使用Rackspace的“云负载均衡器”),我不希望有任何stream量进入除了我自己的负载平衡器(否则,有人知道我的服务器的IP可以创build一个云负载平衡器,并指向我的服务器)。 如果我使用公共IP,TCP握手不会造成很多延迟(与我的数据中心内部直接连接)? 当我遇到问题或更新时,我希望能够将服务器完全脱机,而不必在这些问题/更新期间弄乱底层networking垃圾。
我目前已经在我的服务器上设置了IPTables,将特定接口(venet0:1)上的某些端口转发到另一个IP上的另一台服务器。 我的configuration文件如下所示: # Generated by iptables-save v1.4.12 on Sat Jun 8 08:36:54 2013 *mangle :PREROUTING ACCEPT [480:39372] :INPUT ACCEPT [480:39372] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [339:44328] :POSTROUTING ACCEPT [339:44328] COMMIT # Completed on Sat Jun 8 08:36:54 2013 # Generated by iptables-save v1.4.12 on Sat Jun 8 08:36:54 2013 *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT […]
我写了一些规则,以防止除了我的路由器,在我的私人networking中的其他计算机的所有包信息。 这就是为什么我仍然希望我的电脑访问互联网。 这是我的规则: iptables -F iptables -P INPUT DROP iptables -A INPUT -m mac –mac-source xx:xx:Xx:xx:xx:xx -j ACCEPT 这是一个简单的规则。 xx:xx:xx:xx:xx:xx是路由器的mac地址。 我读的文件,所以我知道iptables -P INPUT DROP将丢弃所有数据包不符合下面的规则。 事实上,规则不起作用。 我只是访问我的路由器,但我无法访问互联网。 这是很难知道的,因为我确保所有来自Internet的包都通过我的路由器的mac地址来到我的电脑。 我写了规则来解决它: iptables -F iptables -P INPUT ACCEPT iptables -A INPUT -m mac ! –mac-source xx:xx:xx:xx:Xx:xx -j DROP 它的作品,但我想这个想法“拒绝所有,允许select”。 它在configuration和devise上更简单。 我希望有人让我明白为什么第一条规则不起作用。