我想将传入流量重定向到 iptables 正在工作的服务器,再重定向到 LAN 中的另一台服务器。但是,如果传入流量来自特定的外部 IP 地址,我只希望它能够工作。否则,流量应该被丢弃。
让我举一个例子来澄清它:
重定向示例
SERVER IP (172.26.0.99)Destination IP (172.26.0.11).删除示例
SERVER IP (172.26.0.99)DROPPED
我在同一个 IP 中有两个站点,配置如下:
我可以毫无问题地访问https://site2WithSSL.com和http://site1.com 。当有人想访问https://site1.com时,问题就出现了,nginx 用 site2WithSSL.com 回答我想避免这种情况。我的意思是,每当有人访问https://site1.com时,都不需要返回任何内容,或者只需重定向到https ://
配置是:
server {
listen 80;
server_name *.site1.com;
// ...
}
server {
server_name www.site2WithSSL.com;
return 301 $scheme://site2WithSSL.com$request_uri;
}
server {
listen 80;
listen 443 ssl;
server_name site2WithSSL.com;
ssl_certificate site2WithSSL.crt;
ssl_certificate_key site2WithSSL.key;
// ...
}
已解决:为每个站点使用不同的 ip
我有Nginx模块WebDAV工作,一切正常,除了包含任何方括号]或[. 该文件/文件夹从未显示在列表中。
我从来没有遇到过 Apache 的这个问题,所以我猜 Apache 正在自动进行一些重写。但是现在,我需要使用nginx。
我只是意识到它不适用于 char ª。显然,这是与转义某些字符有关的问题。
使用 Web 浏览器它可以工作,但不能使用 WebDAV 客户端(Cyberduck、Transmit、OSX Finder ...)
这是我的配置文件:
server {
server_name my.server.com;
root /home/web/dav;
dav_methods PUT DELETE MKCOL COPY MOVE;
dav_ext_methods PROPFIND OPTIONS;
auth_basic "Description";
auth_basic_user_file /etc/nginx/passwd.dav;
location / {
autoindex on;
client_body_temp_path /var/www/php5fpm/tmp/client-tmp 1 2;
create_full_put_path on;
client_max_body_size 50m;
dav_access user:rw group:r all:r;
}
}
调试信息:
我们公司正在TokuDB生产中使用,我们在试图减轻奴隶的滞后时遇到了很多问题。很奇怪,因为我们谈论的行很少......但是有一些数据它会滞后。
Slave 是一个只读的 DB。
有关更多信息,我们正在使用:
CPU:Intel(R) Core(TM) i5-2400 CPU @ 3.10GHz(4 核)
内存:16Gb
硬盘:2Tb ST2000DM001(EXT4 文件系统)
在这里您可以看到一些 I/O 性能输出。我把它贴在这篇文章的外面,因为我认为这样会更容易阅读。
iostat -x 1输出,当我们遇到滞后情况时
http://paste.laravel.com/bjv
fio, 对于磁盘 I/O:
http://paste.laravel.com/bjG
我们做了一些磁盘调整,摘自 Steven Corona 的书http://www.scalingphpbook.com:
noop.noatime并nodiratime在/etc/fstab/etc/security/limits.conf:* soft nofile 999999 * hard nofile 999999
我们在配置中做了一些调整:
掌握
# * Query Cache Configuration
query_cache_limit = 0
query_cache_size = 0
query_cache_type = 0
innodb_file_per_table = 1
innodb_file_format = barracuda
innodb_flush_method = O_DIRECT
innodb_flush_log_at_trx_commit = 1
innodb_log_file_size = 128M
innodb_buffer_pool_size = 13500M
innodb_read_io_threads = 16
innodb_write_io_threads = 16
innodb_io_capacity = 180
innodb_thread_concurrency = 4
奴隶
# * Query Cache Configuration
query_cache_limit = 0
query_cache_size = 0
query_cache_type = 0
innodb_file_per_table = 1
innodb_file_format = barracuda
innodb_flush_method = O_DIRECT
innodb_flush_log_at_trx_commit = 2
sync_binlog = 1
innodb_log_file_size = 128M
innodb_buffer_pool_size = 13500M
innodb_read_io_threads = 16
innodb_write_io_threads = 16
innodb_io_capacity = 180
innodb_thread_concurrency = 4
我想VLAN为 3 个来宾虚拟机创建一个。我已经拥有它并且每个虚拟机都可以ping相互连接,但问题是任何访客都无法访问互联网
主机中的网络配置
# /etc/network/interfaces
auto eth0
iface eth0 inet manual
auto br0
iface br0 inet static
address 188.165.x.x <------ Internet's public ip
netmask 255.255.255.0
network 188.165.255.0
broadcast 188.165.255.255
gateway 188.165.y.y <------- Internet's public gateway
bridge_ports eth0
bridge_fd 0
bridge_stp on
auto eth0.3
iface eth0.3 inet manual
mtu 1500
vlan_raw_device eth0
auto vlan3
iface vlan3 inet static
bridge_ports eth0.3
bridge_maxwait 0
bridge_stp off
address 172.69.0.1
netmask 255.255.255.0
network 172.69.0.0
broadcast 172.69.0.255
主机中的路由列表route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
172.69.0.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan3
188.165.255.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
0.0.0.0 188.165.y.y 0.0.0.0 UG 0 0 0 br0
brctl show主机
bridge name bridge id STP enabled interfaces
br0 8000.e840f20acc28 yes eth0
tap10.0
vif10.0
vif7.0
vlan3 8000.e840f20acc28 no eth0.3
log01
Ping 来宾 -> 主机工作
PING 172.69.0.1 (172.69.0.1) 56(84) bytes of data.
64 bytes from 172.69.0.1: icmp_req=1 ttl=64 time=0.155 ms
64 bytes from 172.69.0.1: icmp_req=2 ttl=64 time=0.100 ms
Traceroute 到,例如,Google 的 DNS ip
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 172.69.0.1 (172.69.0.1) 0.198 ms 0.237 ms 0.209 ms
2 * * *
如您所见,它死于主机 ip(网关)。
我不知道我做错了什么
我有一个带 geoip 的 nginx,但它不能正常工作。接下来的问题是:
$_SERVER['REMOTE_ADDR']Nginx 正在从而不是获取地理数据$_SERVER['HTTP_X_HAPROXY_IP'],它具有真实的客户端 ip。因此,报告的地理数据属于我的服务器 ip 而不是客户端 ip。
有没有人可能是修复它的错误?
Nginx 版本和编译模块:
nginx -V
nginx version: nginx/1.2.3
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --conf-path=/etc/nginx/nginx.conf --error-log- path=/var/log/nginx/error.log --http-client-body-temp-path=/var/lib/nginx/body --http-fastcgi-temp-path=/var/lib/nginx/fastcgi --http-log-path=/var/log/nginx/access.log --http-proxy-temp-path=/var/lib/nginx/proxy --http-scgi-temp-path=/var/lib/nginx/scgi --http-uwsgi-temp-path=/var/lib/nginx/uwsgi --lock-path=/var/lock/nginx.lock --pid-path=/var/run/nginx.pid --with-pcre-jit --with-debug --with-file-aio --with-http_addition_module --with-http_dav_module --with-http_geoip_module --with-http_gzip_static_module --with-http_image_filter_module --with-http_realip_module --with-http_secure_link_module --with-http_stub_status_module --with-http_ssl_module --with-http_sub_module --with-http_xslt_module --with-ipv6 --with-sha1=/usr/include/openssl --with-md5=/usr/include/openssl --with-mail --with-mail_ssl_module --add-module=/usr/src/nginx/source/nginx-1.2.3/debian/modules/nginx-auth-pam --add-module=/usr/src/nginx/source/nginx-1.2.3/debian/modules/nginx-echo --add-module=/usr/src/nginx/source/nginx-1.2.3/debian/modules/nginx-upstream-fair --add-module=/usr/src/nginx/source/nginx-1.2.3/debian/modules/nginx-dav-ext-module --add-module=/usr/src/nginx/source/nginx-1.2.3/debian/modules/nginx-syslog --add-module=/usr/src/nginx/source/nginx-1.2.3/debian/modules/nginx-cache-purge
nginx 站点 conf(前端机器)
server {
root /var/www/storage;
server_name ~^.*(\.)?mydomain.com$;
if ($host ~ ^(.*)\.mydomain\.com$) {
set $new_host $1.mydomain.com;
}
if ($host !~ ^(.*)\.mydomain\.com$) {
set $new_host www.mydomain.com;
}
add_header Staging true;
real_ip_header X-HAProxy-IP;
set_real_ip_from 10.5.0.10/32;
location /files {
expires 30d;
if ($uri !~ ^/files/([a-fA-F0-9]+)_(220|45)\.jpg$) {
return 403;
}
rewrite ^/files/([a-fA-F0-9][a-fA-F0-9])([a-fA-F0-9][a-fA-F0-9])([a-fA-F0-9][a-fA-F0-9])([a-fA-F0-9][a-fA-F0-9])([a-fA-F0-9]+)_(220|45)\.jpg$ /files/$1/$2/$3/$4/$1$2$3$4$5_$6.jpg break;
try_files $uri @to_backend;
}
location /assets {
if ($uri ~ ^/assets/r([a-zA-Z0-9]+[^/])(/(css|js|fonts)/.*)) {
rewrite ^/assets/r([a-zA-Z0-9]+[^/])/(css|js|fonts)/(.*)$ /assets/$2/$3 break;
}
try_files $uri @to_backend;
}
location / {
proxy_set_header Host $new_host;
proxy_set_header X-HAProxy-IP $remote_addr;
proxy_pass http://10.5.0.10:8080;
}
location @to_backend {
proxy_set_header Host $new_host;
proxy_pass http://10.5.0.10:8080;
}
}
nginx.conf(后端机器)
http{
...
##
# GeoIP Config
##
geoip_country /etc/nginx/geoip/GeoIP.dat; # the country IP database
geoip_city /etc/nginx/geoip/GeoLiteCity.dat; # the city IP database
...
}
fastcgi_params(后端机器)
### SET GEOIP Variables ###
fastcgi_param GEOIP_COUNTRY_CODE $geoip_country_code;
fastcgi_param GEOIP_COUNTRY_CODE3 $geoip_country_code3;
fastcgi_param GEOIP_COUNTRY_NAME $geoip_country_name;
fastcgi_param GEOIP_CITY_COUNTRY_CODE $geoip_city_country_code;
fastcgi_param GEOIP_CITY_COUNTRY_CODE3 $geoip_city_country_code3;
fastcgi_param GEOIP_CITY_COUNTRY_NAME $geoip_city_country_name;
fastcgi_param GEOIP_REGION $geoip_region;
fastcgi_param GEOIP_CITY $geoip_city;
fastcgi_param GEOIP_POSTAL_CODE $geoip_postal_code;
fastcgi_param GEOIP_CITY_CONTINENT_CODE $geoip_city_continent_code;
fastcgi_param GEOIP_LATITUDE $geoip_latitude;
fastcgi_param GEOIP_LONGITUDE $geoip_longitude;
haproxy.conf(前端机器)
defaults
log global
option forwardfor
option httpclose
mode http
retries 3
option redispatch
maxconn 4096
contimeout 100000
clitimeout 100000
srvtimeout 100000
listen cluster_webs *:8080
mode http
option tcpka
option httpchk
option httpclose
option forwardfor
balance roundrobin
server backend-stage 10.5.0.11:80 weight 1
$_SERVER转储: http: //paste.laravel.com/7dy
10.5.0.10前端私有ip和10.5.0.11后端私有ip在哪里
我正在使用Xen Virtualization我的 VM,并且在桥接模式下一切正常。我可以为每个 VM 分配一个公共 Internet ip。
我想VLAN为我的虚拟机安装一个,我正在考虑更改为vif-route模式。所以,重点是:我可以拥有一个 VLAN 并同时为我的 VM 分配不同的公共 IP 吗?
谢谢
我有Windows Server 2008客人 (hvm) 的问题。我无法为他运行网络接口。
我也有一个Debian guest,它工作正常,但我不能用Win2k8 guest. 当我启动 VM 时,机器死机了,我无法通过 ssh 连接到主机。
/etc/网络/接口
# The loopback network interface
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 188.165.B.C
netmask 255.255.255.0
network 188.165.B.0
broadcast 188.165.255.255
gateway 188.165.B.254
brctl 显示
bridge name bridge id STP enabled interfaces
eth0 8000.e840f20acc28 no peth0
/etc/xen/xend-config.sxp
...
(vif-script vif-bridge)
(network-script 'network-bridge')
...
/etc/xen/win2k8.cfg
# Networking
#
vif = [ 'ip=5.39.F.G,mac=yy:yy:yy:yy:yy:yy,type=ioemu,bridge=eth0' ]
/etc/xen/debian.cfg
# Networking
#
vif = [ 'ip=178.33.D.E,mac=xx:xx:xx:xx:xx:xx' ]
如您所见,在 中Debian guest我只需要指定一个 IP 地址和一个 MAC。但是如果我把它放在 中Win2k8 guest,机器就不会启动。
我正在使用 Xen 4.0
我已经等待 DNS 传播将近 24 小时了。我没有不耐烦,但我想知道我是否正确配置了我的区域,或者我有任何错误。
我认为这很好,因为如果我像我的 DNS 辅助一样使用我的服务器 dns,我可以很好地解析和查找主机。
;
; BIND data file for mydomain.net
;
$TTL 86400
@ IN SOA mydomain.net. mydomain.net. (
20120629 ; Serial
10800 ; Refresh 3 hours
3600 ; Retry 1 hour
604800 ; Expire 1 week
86400 ) ; Negative Cache TTL
;
@ IN NS ns1
@ IN NS ns2
IN MX 10 mail
ns1 IN A 5.39.X.Y
ns2 IN A 5.39.X.Z
/var/syslog 中没有关于绑定守护进程的任何错误。一切都正确吗?我最多只需要等待 48 小时即可进行正确的 DNS 传播吗?
使用绑定主机的名称服务器从远程计算机进行的 nslookup:
$ nslookup mydomain.net
Server: bind-host-ip
Address: bind-host-ip#53
Name: mydomain.net
Address: domain-ip
我KVM virtualization在 Debian 中有一个有 2 个来宾(Debian 和 Windows 2008)。我想共享一个“挂载点”,可以同时被 3 个系统(主机和 2 个来宾)访问。所以我唯一找到的是NFS/SMB网络存储。我选了NFS
由于我的以太网网络 (10/100),我在 3 个系统之间访问/传输文件的平均速度始终为 8~10MB/s。
SATA关键是是否有机会在不浪费磁盘速度的情况下获得用于在 3 个系统(同时)之间共享文件的增强系统。我的意思是,没有 10 MB/s 的以太网限制
auto eth0
iface eth0 inet manual
auto br0
iface br0 inet static
address aaa.bbb.ccc.xxx (public ip1)
netmask 255.255.255.0
network aaa.bbb.ccc.0
broadcast aaa.bbb.ccc.255
gateway aaa.bbb.ccc.254 (ISP gateway)
bridge_ports eth0
bridge_fd 9
bridge_hello 2
bridge_maxage 12
bridge_stp off
eth0是我的物理接口、br0网桥和vnet+VM 的接口
# brctl show
bridge name bridge id STP enabled interfaces
br0 8000.e840f20acc28 no eth0
vnet0
vnet1
vnet0并vnet1有两个公众不同的 ips。但是他们也使用主机的同一个网关(ISP网关)
我有这种情况并且一切正常,但我想配置我的 Shorewall 但我做不到。
我的接口是:
br0 (bridge of eth0)
tun0 (OpenVPN)
vnet* (each one of bridged interfaces with public IP's)
Public Main IP: 188.165.X.Y
OpenVPN IP's: 172.28.0.x
Bridge: public ip's
所以,我有 shorewall 的下一个配置:
/etc/shorewall/区域
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
inet ipv4
road ipv4
/etc/shorewall/接口
#ZONE INTERFACE BROADCAST OPTIONS
inet br0 detect routeback
road tun+ detect routeback
/etc/shorewall/政策
#SOURCE DEST POLICY LOG LIMIT: CONNLIMIT:
# LEVEL BURST MASK
$FW all ACCEPT
inet $FW DROP info
road all DROP
inet road DROP
/etc/shorewall/隧道
#TYPE ZONE GATEWAY GATEWAY
# ZONE
openvpnserver:1194 inet 0.0.0.0/0
问题是,即使 shorewall 正在运行,我也能够 ping 或连接到网桥后面的虚拟机
我刚刚在我的主机 KVM 中创建了一个存储池目录
# virsh pool-list --all
Name State Autostart
-----------------------------------------
guest_images_dir active yes
和信息:
# virsh pool-info guest_images_dir
Name: guest_images_dir
UUID: 720c6735-9ca0-e7c2-18cf-396c729a512e
State: running
Persistent: yes
Autostart: yes
Capacity: 920.54 GB
Allocation: 23.02 GB
Available: 897.51 GB
这是 XML
# cat /etc/libvirt/storage/autostart/guest_images_dir.xml
<pool type='dir'>
<name>guest_images_dir</name>
<uuid>720c6735-9ca0-e7c2-18cf-396c729a512e</uuid>
<capacity>0</capacity>
<allocation>0</allocation>
<available>0</available>
<source>
</source>
<target>
<path>/home/virtuals/shared_dir_kvm</path>
<permissions>
<mode>0700</mode>
<owner>-1</owner>
<group>-1</group>
</permissions>
</target>
</pool>
但我在我的来宾 Windows 2008 上看不到它。我还能做什么?
谢谢
我有一个奇怪的问题与(我认为)我的电缆路由器和我在 Apache2 中配置的虚拟主机有关。
关键是如果我将 Apache 的 http 端口设置为 80 并为其添加 NAT 规则,我将无法从 LAN 外部访问我配置的任何虚拟主机。否则,如果我将我的 Apache 端口设置为 81(或任何其他端口),并在我的路由器上设置相应的 NAT 规则,它就可以工作。
我的路由器是 ARRIS TG952S,我使用的是 Apache/2.2.22 (Debian)
端口配置文件
NameVirtualHost *:80
Listen 80
vhost1.mydomain.net.conf
<VirtualHost *:80>
ServerAdmin webmaster@localhost
ServerName vhost1.mydomain.net
ServerAlias vhost1.mydomain.net www.vhost1.mydomain.net
vhost2.mydomain.net.conf
<VirtualHost *:80>
ServerAdmin webmaster@localhost
ServerName vhost2.mydomain.net
ServerAlias vhost2.mydomain.net www.vhost2.mydomain.net
DNS 记录(使用FreeDNS)是:
mydomain.net --> pointing to another server
vhost1.mydomain.net --> pointing to my server
vhost2.mydomain.net --> pointing to my server
iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-apache-noscript tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443
fail2ban-apache tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443
fail2ban-ssh tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain fail2ban-apache (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0
Chain fail2ban-apache-noscript (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0
Chain fail2ban-ssh (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0
谢谢