Записи с тэгом ‘iptables’

Перезагрузка HAProxy и потеря запросов

Thursday, November 7th, 2013

В другой витрине толстяк в фартуке мясника резал младенцев. Это была наглядная пропаганда общественной благотворительности.

Борис Виан «Пена дней»

lost

Разбирая странные ошибки фронтенда, возникновение которых удивительным образом коррелирует с моментами, когда я произвожу перезагрузку HAProxy (service haproxy reload), я выяснил, эта самая перезагрузка работает совсем не так, как я думал. Вопреки ожиданием при перезагрузке процесс вовсе не перечитывает конфигурационные файлы и продолжает работать дальше. На самом деле порождается новый процесс haproxy с новым pid'ом. Он через unix-сокет забирает у старого процесса все сессионные данные и просит того освободить порт и умереть. Дождавшись освобождения порта, он биндится на него и как ни в чём не бывало продолжает принимать новые соединения и обслуживать старые. Но…

(more…)

Метки: , ,
Категория: HAProxy, Linux | Нет комментариев »


Traffic Control. Шейпинг трафика в Linux

Wednesday, August 25th, 2010

Закон на всех уровнях бытия — один и тот же: свой следущий мир мы выбираем посредством знания, обретённого здесь. И если здесь мы предпочли невежество, и знание наше осталось прежним, — следующий наш мир ничем не будет отличаться от нынешнего, все его ограничения сохранятся.

— «Чайка Джонатан Ливингстон»

Так уж получается, что те или иные задачи возникают иногда неожиданно, я бы даже сказал: спонтанно. Не всегда возможно быть готовым к мгновенному решению – частенько надо почитать мануалы, погуглить, почесать репу и разобраться. Ещё частенько для решения совсем маленькой и проходной подзадачи  требуется умение пользоваться некоторыми инструментами, создававшимися для более вдумчивого, комплексного и “профессионального” использования. Так было, например, с netfilter/iptables. Так случилось и с утилитой tc для управления трафиком в ядре Linux. Возникла задача (в рамках более крупной) ограничить сетевой трафик между двумя серверами некоторой полосой. Сделать это надо было как можно более просто, прозрачно и быстро. Задача была решена, а заодно выявилась необходимость набросать ещё одну памятку на будущее.

Итак, управляем сетевым трафиком в Linux.

(more…)

Метки: ,
Категория: Linux | 2 Комментариев »


Рецепты iptables

Thursday, April 1st, 2010

Знать и помнить все особенности iptables – это очень здорово. Но маловероятно. К тому же на просторах сети иногда попадаются интересные находки в плане обеспечения безопасности. Иногда сам что-то придумаешь и хочется записать. В общем, решил сделать подборку примеров использования iptables на будущее.
Ещё недавно была статья по главным концепциям iptables – Memento iptables. Буду считать, что это её логическое продолжение. Тем более, что изначально не было планов разделять информацию на два разных поста.
(more…)

Метки: ,
Категория: Linux, Security | Нет комментариев »


Memento Mori iptables

Tuesday, March 30th, 2010

Look around just people, can you hear their voice
Find the one who’ll guide to the limits of your choice
The experience of survival
Try to think about it…
That’s the chance to live your life and discover
Try to think about it
The experience of survival
— Enigma // The Screen Behind The Mirror

Вынужден признать, что настраивать межсетевой экран netfilter в Линуксе приходится чрезвычайно редко, отчего каждый раз многое приходится вспоминать и нагугливать заново. В связи с этим решил написать себе ещё одну памятку, к которой по мере надобности можно обращаться. Катарсиса не будет, так что за подробной документацией и руководствами можно пойти по ссылкам, перечисленным в конце статьи.
Итак, что мы имеем. В состав ядра Linux версии 2.4 и выше входит компонент netfilter, выполняющий функции фильтрации и преобразования трафика, то бишь брандмауэр (он же файрволл). Напомню, что в более старых версиях ядра был ipchains. Так вот. Для управления этим брандмауэром используется утилита iptables, позволяющая создавать цепочки, указывать правила, критерии и действия по умолчанию, добавлять счётчики, проверять корректность параметров и кое-что ещё.
Смотрим…

(more…)

Метки: , ,
Категория: Linux, Security | 4 Комментариев »