我想limit_req_zone在不同位置使用相同的(即相同的请求率),但使用不同的burst值limit_req。以下配置应该能够在一次突发事件中为 2 个页面和最多 10 个支持资产提供服务。测试正常,但这是正确的做法吗,还是我需要两个不同的limit_req_zone指令?
http {
limit_req_zone $binary_remote_addr zone=lr_zone:10m rate=1r/s;
#...
server {
#...
location / {
limit_req zone=lr_zone burst=2 nodelay;
#...
}
location ~ ^/(css|fonts|images|pdf)/ {
limit_req zone=lr_zone burst=10 nodelay;
#...
}
}
}
在我的双栈 LAN 中,绑定服务器解析本地域(*.something.internal)的 A 和 AAAA 记录:
# bind zone file db.internal
webserver1.something IN AAAA 2001:908:532:bca0:211:32ff:fee5:8627
webserver1.something IN A 192.168.78.93
所有 LAN 网络服务器都监听 IPv4 和 IPv6。访问服务器时,IPv6 优先(如预期),但Firefox 和 Safari 中的本地客户端(也充当网络服务器)除外。Chrome 对所有服务器都使用 IPv6 地址。我使用了这三种浏览器中开发人员工具的“网络”选项卡来比较和验证行为。
我也在about:networking#dnslookuptoolFirefox 中使用了该功能,Firefox 仅为我的客户端持续反转 IPv4 / IPv6 IP 的顺序。
下一步,我使用 curl 进行了检查,看到了(几乎)相同的事情。curl 首先解析 IPv6,然后继续使用本地机器的 IPv4 地址:
# This is my local client and webserver
curl -Iv https://static.something.internal/
* Host static.something.internal:443 was resolved.
* IPv6: 2001:908:532:bca0:10e0:6db1:72f1:9c2f
* IPv4: 192.168.78.55
* Trying 192.168.78.55:443...
* Connected to static.something.internal (192.168.78.55) port 443
# This is another webserver on the LAN
curl -Iv https://nuc.something.internal/
* Host nuc.something.internal:443 was resolved.
* IPv6: 2001:908:532:bca0:1e69:7aff:feaf:7455
* IPv4: 192.168.78.42
* Trying [2001:908:532:bca0:1e69:7aff:feaf:7455]:443...
* Connected to nuc.something.internal (2001:908:532:bca0:1e69:7aff:feaf:7455) port 443
为什么 Firefox、Safari 和 curl 会优先为本地计算机使用 IPv4(与 Chrome 不同)? 这可能与请求是从域解析到的同一个 IPv6 地址发送的这一事实有关(即使 curl 在强制使用时毫无问题地使用此地址curl -Iv -6 https://static.something.internal)?
/etc/hosts注意:如果我在本地机器上填充(使用127.0.0.1和::1作为其域)而不是使用我的 DNS 服务器,则所有应用程序都会优先考虑 IPv6(使用 Firefox 和 Safari 重复了以下 curl 测试):
curl -Iv https://static.something.internal/
* Host static.something.internal:443 was resolved.
* IPv6: ::1
* IPv4: 127.0.0.1
* Trying [::1]:443...
* Connected to static.something.internal (::1) port 443
我的设置使用映射来Expires为各种静态文件定义不同的标头(基于其 mime 类型)。对于代理内容 ( uwsgi_pass),我使用静态Expires标头:
map $sent_http_content_type $expires {
default off;
text/html 7d;
text/css 180d;
application/font-woff2 1y;
application/pdf 1y;
~image/ 1y;
}
server {
listen 443 ssl http2;
server_name example.com;
location / {
uwsgi_pass django;
expires 7d;
}
location ~ ^/(css|fonts|images|pdf|html)/ {
root /var/www/django/static/;
expires $expires;
}
}
使用映射(通过$expires变量)代理内容不起作用。nginx 有什么方法可以识别代理内容的 mime 类型来完成这项工作吗?
location / {
uwsgi_pass django;
expires $expires;
}
(编辑)正如阿列克谢所建议的,我这样做了:
map $upstream_http_content_type $expires2 {
default off;
text/html 2d;
text/plain 20d;
text/css 180d;
}
location / {
uwsgi_pass django;
expires $expires2;
}
不幸的是,仍然没有将Expires标头添加到通过 uwsgi 传递的内容中。
我将自动学习的示例配置放置/etc/rspamd/statistic.conf在/etc/rspamd/local.d/classifier-bayes.conf:
autolearn {
spam_threshold = 6.0;
junk_threshold = 4.0;
ham_threshold = -0.5;
check_balance = true;
min_balance = 0.9;
}
并重新启动 rspamd,但似乎没有学习到垃圾邮件/火腿。我错过了什么?
谢谢,扬
我想为 Postfix 使用以下配置:
smtpd_relay_restrictions = permit_mynetworks reject_sender_login_mismatch permit_sasl_authenticated defer_unauth_destination, check_policy_service unix:private/policyd-spf
smtpd_sender_login_maps = hash:/etc/postfix/controlled_envelope_senders
controlled_envelope_senders包含我的 SASL 用户的单个条目:
[email protected] [email protected]
此设置大部分工作正常,但有两个问题。
Feb 6 08:28:21 eden postfix/submission/smtpd[568746]: connect from cable-87-79-207-4.nc.de[87.79.207.4]
Feb 6 08:28:21 eden postfix/submission/smtpd[568746]: F0F207F941: client=cable-87-79-207-4.nc.de[87.79.207.4], sasl_method=PLAIN, [email protected]
Feb 6 08:28:22 eden postfix/cleanup[568753]: F0F207F941: message-id=<[email protected]>
Feb 6 08:28:22 eden postfix/qmgr[568743]: F0F207F941: from=<[email protected]>, size=770, nrcpt=2 (queue active)
virtual_alias_domains,mail.log 中有一个警告:Feb 6 08:45:35 eden postfix/smtpd[568806]: warning: restriction `reject_authenticated_sender_login_mismatch' ignored: no SASL support
我没有指定reject_authenticated_sender_login_mismatch,并且这些消息不是由经过身份验证的发件人发送的——那么这个警告指的是什么?
谢谢,扬
我的邮件提供商 (posteo.de) 在 HELO/EHLO 交换期间提供了一个 FQDN(例如 mout2.posteo.de)——policyd-spf(见下文)可以看到这一点——但接收服务器上的 SpamAssassin 将中继标记为提供没有 FQDN 或域:
Feb 2 06:17:10 eden policyd-spf[478301]: prepend Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=185.67.36.66; helo=mout02.posteo.de; [email protected]; receiver=<UNKNOWN>
Feb 2 06:17:10 eden postfix/smtpd[478286]: 502C97F91B: client=mout02.posteo.de[185.67.36.66]
Feb 2 06:17:10 eden postfix/cleanup[478303]: 502C97F91B: message-id=<[email protected]>
Feb 2 06:17:10 eden spamd[423260]: spamd: connection from 127.0.0.1 [127.0.0.1]:60310 to port 783, fd 6
Feb 2 06:17:10 eden spamd[423260]: spamd: processing message <xxxxx> for xxx:111
Feb 2 06:17:13 eden spamd[423260]: spamd: clean message (0.8/6.0) for xxx:111 in 3.6 seconds, 1910 bytes.
Feb 2 06:17:13 eden spamd[423260]: spamd: result: . 0 - DKIM_SIGNED,DKIM_VALID,DKIM_VALID_AU,DKIM_VALID_EF,FSL_HELO_NON_FQDN_1,HELO_NO_DOMAIN,SPF_PASS,UNPARSEABLE_RELAY,URIBL_BLOCKED scantime=3.6,size=1910,required_score=6.0,rhost=127.0.0.1,raddr=127.0.0.1,autolearn=no autolearn_force=no
为什么 SpamAssassin 看不到明显存在的 FQDN?
谢谢,扬
我有一个相当标准的 Postfix 配置来将邮件转发到多个域(设置包括 postsrsd 和 spamassassin/spamass-milter,它们工作正常):
myhostname = mail.mydomain.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = $myhostname, localhost.localdomain, localhost
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
virtual_alias_domains = mydomain.com, otherdomain.com, thirddomain.com
virtual_alias_maps = hash:/etc/postfix/virtual
但是,Postfix 不是只为 virtual_alias_maps 中定义的地址接收(和转发)邮件,而是尝试向各种邮件服务器发送欺诈性消息,如下所示:
Jan 29 15:52:41 localhost postfix/qmgr[354872]: D07D97F95E: from=<>, size=12267, nrcpt=1 (queue active)
Jan 29 15:52:41 localhost postfix/qmgr[354872]: 9C1C77F952: from=<>, size=11583, nrcpt=1 (queue active)
Jan 29 15:52:41 localhost postfix/smtp[362942]: connect to mail.visceration.co[2606:4700:3032::ac43:8c58]:25: No route to host
Jan 29 15:52:41 localhost postfix/smtp[362942]: connect to mail.visceration.co[2606:4700:3033::6815:369f]:25: No route to host
Jan 29 15:52:41 localhost postfix/smtp[362943]: connect to mail.smartsnakepro.us[2606:4700:3031::6815:efe]:25: No route to host
Jan 29 15:52:42 localhost postfix/smtp[362944]: 9C1C77F952: to=<[email protected]>, relay=mail.gethoys.me[137.184.49.234]:25, delay=139007, delays=139006/0.03/0.76/0.1, dsn=4.7.1, status=deferred (host mail.gethoys.me[137.184.49.234] said: 454 4.7.1 <[email protected]>: Relay access denied (in reply to RCPT TO command))
Jan 29 15:53:11 localhost postfix/smtp[362942]: connect to mail.visceration.co[172.67.140.88]:25: Connection timed out
Jan 29 15:53:11 localhost postfix/smtp[362943]: connect to mail.smartsnakepro.us[104.21.14.254]:25: Connection timed out
Jan 29 15:53:11 localhost postfix/smtp[362943]: connect to mail.smartsnakepro.us[2606:4700:3033::ac43:a0d9]:25: No route to host
Jan 29 15:53:41 localhost postfix/smtp[362942]: connect to mail.visceration.co[104.21.54.159]:25: Connection timed out
如何防止我的邮件服务器对这些连接做出反应?为什么不涉及 smtpd(因为它在合法的邮件转发中)?
谢谢,扬
我目前在三个 Django 应用程序 (Apache/mod_wsgi) 前使用 nginx 的 proxy_cache 进行基于文件的缓存。对于某些位置/URL,我禁用了 proxy_cache 并改为在 Django 应用程序中使用 Memcached(每个视图)。现在我想知道将 nginx 指向 Memcached 是否更有效率。
我在这里读到,nginx 可以提供来自 Memcached 的页面——但是 Django 在为每个视图缓存配置时是否将完整的页面写入 Memcached(并且它是否根据 @cache_page 参数设置过期日期)?
我为一些虚拟域配置了 Postfix。当我检查通过我的服务器传送的消息的标头时,这些域之一显示为“已接收”标头的一部分:
Received: from actual.hostname.tld (virtual.domain.tld [1.2.3.4])
为什么 virtual.domain.tld 出现在这个标题中?它始终是相同的域,尽管 Postfix 的 main.cf 包含 9 virtual_alias_domains。