lsstarboy的学习日记lsstarboy.blog.chinaunix.net

海纳百川有容乃大,壁立千仞无欲则刚。

  • 博客访问: 2802276
  • 博文数量: 659
  • 博客积分: 15410
  • 博客等级: 上将
  • 技术积分: 6913
  • 用 户 组: 普通用户
  • 注册时间: 2007-05-16 08:11
  • 认证徽章:
个人简介

独学而无友,则孤陋而寡闻!

文章分类

全部博文(659)

文章存档

2017年(7)

2016年(43)

2015年(25)

2014年(15)

2013年(41)

2012年(62)

2011年(125)

2010年(157)

2009年(94)

2008年(45)

2007年(45)

微信关注

IT168企业级官微



微信号:IT168qiye



系统架构师大会



微信号:SACC2013

订阅
热词专题

发布时间:2013-02-26 21:26:52

Title: Why Apache Traffic ServerNotice: Licensed to the Apache Software Foundation (ASF) under one or more contributor license agreements. See the NOTICE file distributed with this work for additional information regarding copyright ownership. The ASF licenses .........【阅读全文】

阅读(1395) | 评论(0) | 转发(0)

发布时间:2013-02-26 11:22:00

net.inet.tcp.rfc1323: 1FC 1323协议是TCP的高性能扩展——为了调整、改善和优化网络速度和吞吐量。有大窗口TCP Large Window Extensions等特性。net.inet.tcp.rfc3465: ——影响代理的mail.sina.com.cn的附件上传本文档提出了TCP拥塞窗口增长的一种修改算法,它在安全性以及性能上更优;不同于RFC2581文档规.........【阅读全文】

阅读(1904) | 评论(0) | 转发(0)

发布时间:2013-02-25 08:48:26

突然发现putty在选择后就跑到粘贴板上去了,可以在windows中直接ctrl+V!在网上搜了一下,总结:(一)复制:  (1)左键选择,就相当于ctrl+C;  (2)左键双击,选择一个单词;  (3)左键双击不抬起鼠标,左右移动,则以单词为单位选择;  (4)三击为选择一行;  (5)三.........【阅读全文】

阅读(3494) | 评论(0) | 转发(0)

发布时间:2013-02-07 14:48:30

1、ipfw show只会显示规则,不会显示其他的内容,比如nat、pipe、queue、table、fib都显示不出来,这些“子命令”(我这样称呼他们)都需要单独命令才能显示出来。 没有添加具体规则的话,数据包不会向queue或pipe中走的。 pipe相当于修好了三车道的路; queue相当于给三个车道划好了线,分配好哪条左转,哪条直行,哪.........【阅读全文】

阅读(792) | 评论(0) | 转发(0)

发布时间:2013-02-03 20:59:13

前些日子出现ping的limit限制,这个很容易理解,是ping的扫描或DDOS。这几天又出现“Limiting open port RST response from XXX to 200 packets/sec”,想找内核变量,但是一直没找到,实在没办法,搜源代码!终于搜到了,原来跟icmp是一家子的,用同一个内核变量,即:net.inet.icmp.icmplim=200,代码如下:文件.........【阅读全文】

阅读(2061) | 评论(0) | 转发(0)
给主人留下些什么吧!~~

adx1102011-06-18 19:43

lsstarboy: 哪一个条件过不去?
没有任何显示,那有什么表现?.....
http://blog.chinaunix.net/space.php?uid=349058&do=album&picid=64947

就是这样~空白,没有下一步

回复  |  举报

adx1102011-06-17 20:29

redhat6.0企业版64位的,php5.3.2 apache2.2 安装claroline1.10.4到第三步检查必要条件时过不去了,没有任何显示和提示。。。头大ing

回复  |  举报

superzjq2011-06-17 10:18

感觉ipfw的nat实现机制有些问题啊  虽然现在是内核nat  
但整个机制还是沿用natd的  貌似开发团队都把精力放在dummynet上了  
我想大多数人第一次接触ipfw的nat时估计都难以适应吧  
再配合动态规则无异于雪上加霜..

不知老师有没有在实际生产环境中使用过动态规则呢,会不会对网络性能造成影响呢?
诸如负载过高、网络延时、部分应用无法正常工作等?  
.

回复  |  举报

superzjq2011-06-10 23:38

非常感谢老师的关注:)使用skipto可以解决这个问题
但还有点疑问,one_pass不是只跟nat和pipe有关吗,limit应该是属于动态规则吧 ?
在下不才  针对两种情况进行了测试
net.inet.ip.fw.one_pass = 0
# ipfw show
00100     9     529  allow ip from 192.168.1.0/24 to any in via em1 limit src-addr 100
00200     0       0  nat 1 ip from 192.168.1.0/24 to any out via em0
00300     0       0  nat 1 ip from any to me in via em0
00400     3     373  allow ip from any to any(用来匹配所有重新进入ipfw的数据包)
65535     0       0  deny ip from any to any

net.inet.ip.fw.one_pass = 1
# ipfw show
00100     8     480  allow ip from 192.168.1.0/24 to any in via em1 limit src-addr 100
00200     0       0  nat 1 ip from 192.168.1.0/24 to any out via em0
00300     0       0  nat 1 ip from any to me in via em0
00400     0       0  allow ip from any to 192.168.1.0/24 out via em1
65535    45    1262  deny ip from any to any

其中em0接外网,em1接内网,有没one_pass都一样,数据包一被limit匹配后就没了下文
只能跟skipto一起使用,不知道是不是BUG,还是说有哪些地方需要设置
我用的是FreeBSD 8.2,内核配置都是默认的

回复  |  举报

superzjq2011-05-26 17:59

老师您好,能否帮我看下这段配置
ipfw add allow ip from 192.168.1.0/24 to any in via em1 limit src-addr 10
ipfw add nat 1 ip from 192.168.1.0/24 to any out via em0
ipfw add nat 1 ip from any to me in via em0
ipfw nat 1 config if em0 log
ipfw add allow ip from any to any

    em0接外网,em1接内网,做了NAT,想限制每IP连接数,已经明确指定了方向和接口,但不知为何数据包被第一条limit匹配后就无法到达第二条的nat上了,去掉第一条的limit部分后则完全没有问题,实在是让我郁闷不已,望不吝赐教

回复  |  举报
留言热议
请登录后留言。

登录 注册