我正在尝试通过添加 [req.ssl_sni] 来扩展自定义 haproxy 日志格式。在 Ubuntu 上使用的 haproxy 版本是 1.6.3。
前端配置如下:
bind *:443
mode tcp
tcp-request inspect-delay 5s
tcp-request content accept if { req_ssl_hello_type 1 }
tcp-request content reject
log-format [...]{%[req.ssl_sni]}
Where[...]表示其他运行良好的日志选项。前端在 TCP 模式下运行,在不解密的情况下转发 TLS 会话。
预期的日志输出类似于{my.server.com}有效的 TLS 会话。我看到的日志输出始终是{-}(一个破折号而不是服务器名称),即使后端服务器成功处理了 TLS 会话。我必须更改什么才能在日志中查看实际的 SNI 值?
我有一个 Ubuntu 16.04 服务器,它充当具有多个 (VLAN) 接口的路由器。默认情况下,rp_filter所有接口都启用(反向路径过滤)。我想保持这种状态,但只为一个接口例外。(应允许来自该接口的数据包具有与该接口的任何路由目标地址不对应的源 IP 地址。)
假设这个接口的名称ens20.4是 ,它的 vlan-raw-device 是ens20,并且目标接口(用于测试数据包流)被命名ens20.2(尽管它应该适用于任何目标接口)。
我试图只设置rp_filter属性ens20.4,但没有成功:
echo 0 > /proc/sys/net/ipv4/conf/ens20.4/rp_filter
因此,出于测试目的,我还禁用rp_filter了 vlan-raw-device 和测试目标接口:
echo 0 > /proc/sys/net/ipv4/conf/ens20/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/ens20.2/rp_filter
仍然没有成功,带有“欺骗”源 IP 地址的数据包仍然被丢弃。只有当我禁用所有接口时,数据包才能通过rp_filter:
echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter
但是,我仍然想为所有其他接口保留反向路径过滤 - 我错过了什么?
我有一个 WSUS 服务器配置为从本地存储为所有客户端管理和提供更新。
是否可以将 WSUS 配置为仍然管理所有更新,但强制某些客户端直接从 Microsoft 下载更新(使用远程存储),而不影响其他客户端?
编辑:所需配置更改的位置并不重要,无论是服务器端还是客户端,两者都是可能的。