关于ip_conntrack调整的一个好文   Tuning Linux firewall connection tracker ip_conntrackOverviewIf your Linux server should handle lots of connections, you can get into the problem with ip_conntrack iptables module. It limits number of simultaneous connections your system can have. Default value (in CentOS and most other distros) is 65536. To check how many entries in the conntrack table are occupied at the moment: cat /proc/sys/net/ipv4/netfilter/ip_conntrack_count Or you can dump whole table : cat /proc/net/ip_conntrack Conntrack table is hash table (hash map) of fixed size (8192 entries by default), which is used for primary lookup. When the slot in the table is found it points to list of conntrack structures, so secondary lookup is done using list traversal. 65536/8192 gives 8 – the average list length. You may want to experiment with this value on heavily loaded systems. Modifying conntrack capacity To see the current conntrack capacity...

报错ip_conntrack version 2.4 (8192 buckets, 65536 max) - 304 bytes per conntrack     大家都知道linux的iptables防火墙使用了ip_conntrack 内核模块实现连接跟踪功能，所有的进出数据包都会记录在连接跟踪表中，包括tcp，udp，icmp等，一旦连接跟踪表被填满以后，就会发生丢包，导致网络不稳定。 在大多数系统中，缺省的连接跟踪表大小是65536，可以通过下面2条命令查看缺省大小，sysctl  net.ipv4.netfilter.ip_conntrack_maxcat  /proc/sys/net/ipv4/netfilter/ip_conntrack_max 当需要扩大连接跟踪表时，首先需要先加载ip_conntrack 模块，再通过以下接口进行调整，例如：modprobe  ip_conntracksysctl  -w net.ipv4.netfilter.ip_conntrack_max = 655360（放大10倍）。 其实，ip_conntrack 模块支持一个隐含的模块参数hashsize（隐含参数意味着通过modinfo ip_conntrack查看时没有给出的模块参数），连接跟踪表其实是一张hash表，每个hash bucket（桶）有8条记录，因此65536条记录对应8192个has...

在百度找了很多centos7.0搭建VPN的教程，结果大量的教程都不对。文武双全用自己家里的微型电脑，安装了centos7.0并且尝试搭建一个VPN服务器。下面把修订版的教程分享给大家，此贴参考了大量百度搜索到的教程，感谢所有为本人贡献知识的人们。1，先看看你的主机是否支持pptp，返回结果为yes就表示通过。modprobe ppp-compress-18 && echo yes2，是否开启了TUN，有的虚拟机主机需要开启，返回结果为cat: /dev/net/tun: File descriptor in bad state。就表示通过。cat /dev/net/tun3，先更新下操作系统，系统自动会更新一堆的东西。yum update4，安装pppyum -y install ppp5，安装pptpd，百度到大量教程这里有错误。centos7.0下使用yum安装pptpd失败了，后来文武双全直接下载pptpd服务，手动安装的。这里说下详细的安装pptpd的教程。首先到 http://rpmfind.net/linux/rpm2html/search.php?query=pptpd 找到你操作系统所对应的pptpd的版本号。文武双全用的是centos7.0，那么对应的pptpd的版本号就是 pptpd-1.4.0-2.fc20.x86_64.rpm 。（pptpd-1.4.0-6.fc21.x86_64.rpm无法安装到centos7.0中，一定要注意。）使用wget 命令将ppt...

之前使用wdcp，被wdcp论坛中的各种一键升级脚本坑得死去活来。因为都是默认编译，所以这些脚本基本都没有附带任何功能。前不久在对抗CC攻击的过程中，文武双全把nginx和php都升级到目前的最高版本，顺便也解决了困扰我许久的wdcp下web服务拿不到真实ip的问题。特此奉上，根据wdcp官方论坛网友提供的nginx升级到任意版本的脚本，并且添加了新的编译语句。该脚本提供了附带识别真实ip的功能，用了各种cdn和阿里云的云盾的wdcp用户推荐使用哦。wdcp下nginx升级脚本的下载和安装nginx升级脚本的下载地址：http://www.yuandekai.com/down/2015/2/nginx_up.sh把脚本丢到服务器的/root目录，或者登陆服务器后，使用wget  http://www.yuandekai.com/down/2015/2/nginx_up.sh  命令下载；然后执行命令 sh nginx_up.sh 1.7.9 ；   这里1.7.9你可以填写你想升级到的任意版本nginx的版本号，我反正是直接升级到目前最高的nginx1.7.9版本了。个人建议：把服务器的nginx停掉再升级。我在nginx跑的时候升级，出现了两次升级完成后nginx.conf配置文件丢失的问题。。。我从老版本的nginx里复制了一份到升级后的nginx目录里，解决了这个问题。脚本增加了http_realip_module...

2015年2月10日下午，文武双全个人网站又被人攻击了，这次是使用webbench1.5压力测试工具发动的攻击。前后持续了一个多小时吧，看上去不像是故意帮我测试服务器的。倒像是用工具，持续不断的靠压测占满带宽，导致网站无法访问的攻击。来自美国单一ip的不间断webbench压力测试攻击此次攻击的ip，是来自于美国的单一ip：198.2.218.18。此ip在nginx里留下了，23716次攻击记录，每秒钟的并发链接在58次。如图所示：攻击的地址跟之前的也不一样，这一次主要攻击的是：http://www.yuandekai.com/category/emarkting  这个页面实际上是不存在的，应该返回404状态码的，但是文武双全的日志里竟然显示200；http://www.yuandekai.com/?s=a 这实际上是个查询页面，利用站内搜索查询所有包含“a”的页面，短期内大量的并发查询实际上对mysql是一个严峻的考验；文武双全个人网站被webbench压测攻击的日志服务器被webbench压测下的状态1，CPU没有被占满，nginx+php—fpm抗住压力；个人网站被webbench攻击下的内存占用并不高2，内存占用低于50%，此次使用阿里云的VNC，可以登录服务器，没有发生内存溢出的行为；3，带宽被占满，我3M的带宽，阿里云监控显示平均带宽占用为3.2M；文武双全解...

2014年底，文武双全个人网站刚刚遭受了一次CC攻击，详见文武双全个人网站遭遇严重CC攻击之总结 。2015年新年刚过，个人博客这又被攻击了。此次攻击是从2015年1月18日凌晨3点开始的，大约在2015年1月22日凌晨0点网站可以正常访问了。下面是此次应对CC攻击的总结，希望能够对大家以后防黑防CC有帮助。文武双全个人网站是在WDCP环境下和阿里云主机上，此文可能对以上用户有帮助。阿里云的云盾和云监控在CC面前很无力网站被CC攻击后的CPU走势图此次被CC攻击后，服务器一度无法VNC。无奈之下，我只能再次将网站加入云盾，寻求短暂保护。将云盾的罚值调整到最低的时候，云盾依然会不工作。云监控里，一点服务器的相关数据都获取不到。发生这种情况很有可能是CC攻击导致服务器内存溢出，linux将云盾和云监控的进程给杀掉了，这是我猜测的哈。而且那个蛋疼的wdcp后台，无法在云盾下获取真实ip的问题，我依然没解决。很有可能是wdcp的后台用的是单独的apache进程，需要修改wdcp的apache进程的配置文件，以后有时间再研究吧。此次CC攻击类型和上次几乎一样还是针对www.yuandekai.com这个网站的域名发动的DDOS攻击，手法跟上次几乎可以说一模一样。利用大量ip伪装成百度蜘蛛，不停的...

最近一个月的时间内，文武双全个人网站经历了三次CC攻击。而最近的这次，是个人博客在2015年遭受到的第二次攻击，编号2015002。这一次攻击大致起始于2015年1月26日凌晨1点，停止于1月28日凌晨2点。跟1月21日的攻击，相差不到一周的时间。文武双全把每一次遭受到攻击，都当做自己学习的好机会。下面是自己在这次攻击中的一些心得体会，希望对大家有帮助吧。此次CC攻击的一些特诊总结1，攻击者使用真实ip和代理ip混合攻击这一次文武双全发现了一个有趣的现象，发动攻击的ip从原来单一的代理ip伪装蜘蛛，改变为由真实ip和代理ip混合攻击。这样，如果仅仅通过seo日志分析软件来分析日志的话，不能够将攻击者的ip全部封掉。攻击手段的变化，意味着攻击者了解了我之前的防御手段。想来他一定是看过我的博客了，O(∩_∩)O哈哈~。2，攻击者每天用100个代理来发动攻击文武双全个人网站的日志做了切割，可以看到每一天的网站的详细日志。通过日志分析，我发现一个搞笑的事情。就是攻击者每天只用100个代理来发动攻击，一个不多一个不少。如果我想把这些ip手动添加到iptables封掉，那么意味着我每天得手动封掉100个ip，我会被这个攻击者玩死。哈哈，我确定这个攻击者看过我的博客，以及我...

ngx_http_proxy_module 模块翻译内容可能已经过旧。你可以通过 英文版本查看最近的更新。配置示例指令     proxy_buffer_size     proxy_buffering     proxy_buffers     proxy_busy_buffers_size     proxy_cache     proxy_cache_bypass     proxy_cache_key     proxy_cache_lock     proxy_cache_lock_timeout     proxy_cache_min_uses     proxy_cache_path     proxy_cache_use_stale     proxy_cache_valid     proxy_connect_timeout     proxy_cookie_domain     proxy_cookie_path     proxy_hide_header     proxy_http_version     proxy_ignore_cli...

配置范例指令     flv模块ngx_http_flv_module 为Flash Video(FLV)文件提供服务端伪流媒体支持通过返回以请求偏移位置开始的文件内容，该模块专门处理在查询串中有start参数的请求,和有预先设置到FLV头部的请求。这个模块并不是默认构建的，必须通过配置参数--with-http_flv_module来启用。配置范例 location ~ \.flv$ { flv; } 指令 语法: flv; 默认值: — 上下文: location 在当前location里使用这个模块处理请求。

HTTPS服务器优化SSL证书链合并HTTP/HTTPS主机基于名字的HTTPS主机带有多个主机名的SSL证书主机名指示兼容性配置HTTPS主机，必须在server配置块中打开SSL协议，还需要指定服务器端证书和密钥文件的位置： server { listen 443; server_name www.example.com; ssl on; ssl_certificate www.example.com.crt; ssl_certificate_key www.example.com.key; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!aNULL:!MD5; ... } 服务器证书是公开的，会被传送到每一个连接到服务器的客户端。而私钥不是公开的，需要存放在访问受限的文件中，当然，nginx主进程必须有读取密钥的权限。私钥和证书可以存放在同一个文件中： ssl_certificate www.example.com.cert; ssl_certificate_key www.example.com.cert; 这种情况下，证书文件同样得设置访问限制。当然，虽然证书和密钥存放在同一个文件，只有证书会发送给客户端，密钥不会发送。ssl_protocols和ssl_ciphers指令可以用来强制用户连接只能引入SSL/TLS那些强壮的协议版本和强大的加密算法。从1.0.5...