作者:linux120
发布时间:November 12, 2014
分类:服务器配置
一、TC介绍
在linux中,TC有二种控制方法CBQ和HTB.HTB是设计用来替换CBQ的。它是一个层次式的过滤框架。TC包括三个基本的构成块: 队列规定qdisc(queueing discipline )、类(class)和分类器(Classifiers)
队列(queueing discipline):用来实现控制网络的收发速度。通过队列,linux可以将网络数据包缓存起来,然后根据用户的设置,在尽量不中断连接(如 TCP)的前提下来平滑网络流量。需要注意的是,linux对接收队列的控制不够好,所以我们一般只用发送队列,即“控发不控收”。它封装了其他两个主要 TC组件(类和分类器)。内核如果需要通过某个网络接口发送数据包,它都需要按照为这个接口配置的qdisc(排队规则)把数据包加入队列。然后,内核会尽可能多地从qdisc里面取出数据包,把它们交给网络适配器驱动模块。
最简单的QDisc是pfifo它不对进入的数据包做任何的处理,数据包采用先入先出的方式通过队列。不过,它会保存网络接口一时无法处理的数据包。
队列规则包括FIFO(先进先出),RED(随机早期探测),SFQ(随机公平队列)和令牌桶(Token Bucket),类基队列(CBQ),CBQ 是一种超级队列,即它能够包含其它队列(甚至其它CBQ)。
class用来表示控制策略。很显然,很多时候,我们很可能要对不同的IP实行不同的流量控制策略,这时候我们就得用不同的class来表示不同的控制策略了。
filter用来将用户划入到具体的控制策略中(即不同的class中)。比如,现在,我们想对xxa,xxb两个IP实行不同的控制策略(A,B),这时,我们可用filter将xxa划入到控制策略A,将xxb划入到控制策略B,filter划分的标志位可用u32打标功能或IPtables的 set-mark(大多使用iptables来做标记)功能来实现。
目前,TC可以使用的过滤器有:fwmark分类器,u32分类器,基于路由的分类器和RSVP分类器(分别用于IPV6、IPV4)等;其中,fwmark分类器允许我们使用 Linux netfilter 代码选择流量,而u32分类器允许我们选择基于 ANY 头的流量 .需要注意的是,filter(过滤器)是在QDisc内部,它们不能作为主体。
二、TC使用说明
在Linux中,Linux流量控制都是通过TC这个工具来完成的。通常, 要对网卡进行流量控制的配置,需要进行如下的步骤:
◆ 为网卡配置一个队列;
◆ 在该队列上建立分类;
◆ 根据需要建立子队列和子分类;
◆ 为每个分类建立过滤器。
数据包->iptables(在通过iptables时,iptables根据不同的ip来设置不同的mark)->TC(class)->TC(queue)
在TC 中使用下列的缩写表示相应的带宽:
◆ Kbps kiIobytes per second, 即”千字节每秒 ;
◆ Mbps megabytes per second, 即”兆字节每秒 ,
◆ Kbit kilobits per second,即”千比特每秒 ;
◆ Mbit megabits per second, 即”兆比特每秒 。
三、下载限速实例(针对某IP进行下载限速)
#iptables设置,在iptables里面设定mark值,
iptables -t mangle -A POSTROUTING -d 172.16.x.x -j MARK –set-mark 8
#添加tc规则队列,默认的
tc qdisc add dev eth0 root handle 1: htb default 256
说明:
命令中的”add“表示要添加
”dev“ eth0 表示要操作的网卡为eth0
”root“ 表示为网卡eth0添加的是一个根队列
”handle 1:“ 表示队列的句柄为1:。
“htb“ 表示要添加的队列为HTB队列
命令最后的”default 256 是htb特有的队列参数,意思是所有未分类的流量都将分配给类别1:256。
#为根队列创建相应的类别
#这里的rate指的是保证带宽,ceil是最大带宽。
tc class add dev eth0 parent 1: classid 1:1 htb rate 10mbps ceil 10mbps
说明:
命令中,”parent 1:”表示类别的父亲为根队列1:
“classid 1:1″表示创建一个标识为1:1的类别
“rate 10mbps”表示系统将为该类别确保带宽10mbps
“ceil 10mbps”表示该类别的最高可占用带宽为10mbps
#支类列表用于限制速度
tc class add dev eth0 parent 1: classid 1:256 htb rate 90mbps ceil 90mbps
#建立网络包过滤器,设置fw。的handle值与iptables设置障碍的mark值要对应。
tc filter add dev eth0 parent 1:0 protocol ip prio 1 handle 8 fw classid 1:1
通过iftop -F 172.16.x.0/24 -b 验证下IP的流量是否有限制。
上传限速,与下载限速差不多,iptables那条改为:
iptables -t mangle -A PREROUTING -s 172.16.x.x -j MARK –set-mark 2
作者:linux120
发布时间:November 11, 2014
分类:服务器配置
因海外Cpanel主机上有大量google黑名单域名机房要求处理,使用ll -alh /usr/local/apache/conf/sites | awk '{print $9}' | perl -p -i -e 's/.conf//g' >~/domainlist.txt批量导出域名列表作为参数输入到脚本即可。
#!/usr/bin/env ruby
#encoding:utf-8
require 'uri'
require 'net/http'
require 'open-uri'
def help()
print
"
==========================================================
Google Website Status Checking Tool Version 0.Any
1 Question Please Mail To Xiaozhl@35.cn
Usege: GoogleSiteStatus.rb SourceDomainList OutputFilename
==========================================================
"
exit
end
def checkcode(name)
begin
concat_name = "http:\/\/safebrowsing.clients.google.com\/safe
browsing\/diagnostic?client=Firefox&hl=en-US&site=http:\/\/#{name}"
open("#{concat_name}",
"User-Agent" =>"Mozilla/5.0 (Windows; U; Windows NT 6.1;
zh-CN; rv:1.9.2.15) Gecko/20110303 Firefox/3.6.15",
) { |f|
res = f.read
suspicious_checking = !res.index("Site is listed as suspicious").nil?
malicious_checking = !res.index("Malicious software includes").nil?
res = ''
if suspicious_checking or malicious_checking
status = "bad"
else
status = "good"
end
return "#{status},#{suspicious_checking},#{malicious_checking}"
}
rescue Exception => ex
p ex
return "000"
end
end
def response()
print "\nJob Starting...\n\n"
File.foreach($*[0]){ |line|
line = line.chomp
return_code = checkcode(line)
print line,"'s RESPONSE STRING is ",return_code,"\n"
check_status = !return_code.index("bad").nil?
if !check_status
file_handle = File.new($*[1],"a+")
file_handle.print(line,"|",return_code,"\n")
file_handle.close
end
}
print "\nJob Done.\n"
end
if $0 == __FILE__
begin
$*[2].nil? ? response : help
rescue
help
end
end
作者:linux120
发布时间:November 1, 2014
分类:服务器配置
“连接跟踪表已满,开始丢包”!相信不少用iptables的同学都会见过这个错误信息吧,这个问题曾经也困扰过我好长一段时间。此问题的解决办法有四种(nf_conntrack 在CentOS 5 / kernel <= 2.6.19中名为 ip_conntrack ):
一、关闭防火墙。 简单粗暴,直接有效
chkconfig iptables off
chkconfig ip6tables off
service iptables stop
service ip6tables stop
切记:在防火墙关闭状态下,不要通过iptables指令(比如 iptables -nL)来查看当前状态!因为这样会导致防火墙被启动,而且规则为空。虽然不会有任何拦截效果,但所有连接状态都会被记录,浪费资源且影响性能并可能导致防火墙主动丢包!
二、加大防火墙跟踪表的大小,优化对应的系统参数
1、状态跟踪表的最大行数的设定,理论最大值
CONNTRACK_MAX = RAMSIZE (in bytes) / 16384 / (ARCH / 32)
以64G的64位操作系统为例
CONNTRACK_MAX = 64*1024*1024*1024/16384/2 = 2097152
即时生效请执行:
sysctl –w net.netfilter.nf_conntrack_max=2097152
2、其哈希表大小通常为总表的1/8,最大为1/2。
CONNTRACK_BUCKETS = CONNTRACK_MAX / 8
同样64G的64位操作系统,哈希最佳范围是 262144 ~ 1048576 。
运行状态中查看
sysctl net.netfilter.nf_conntrack_buckets
通过文件 /sys/module/nf_conntrack/parameters/hashsize 进行设置。
或者新建 /etc/modprobe.d/iptables.conf,重新加载模块才生效:
options nf_conntrack hashsize=262144
3、还有些相关的系统参数`sysctl -a | grep nf_conntrack`可以调优(/etc/sysctl.conf ):
net.netfilter.nf_conntrack_max = 1048576
net.netfilter.ip_conntrack_tcp_timeout_established = 3600
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
三、使用祼表,添加“不跟踪”标识。如下示例更适合桌面系统或随意性强的服务器。因为它开启了连接的状态机制,方便和外部通信。修改 /etc/sysconfig/iptables 文件:
*raw
# 对TCP连接不启用追踪,解决ip_contrack满导致无法连接的问题
-A PREROUTING -p tcp -m tcp --dport 80 -j NOTRACK
-A PREROUTING -p tcp -m tcp --dport 22 -j NOTRACK
-A PREROUTING -p tcp -m tcp --dport 21 -j NOTRACK
-A PREROUTING -p tcp -m tcp --dport 11211 -j NOTRACK
-A PREROUTING -p tcp -m tcp --dport 60000:60100 -j NOTRACK
-A PREROUTING -p tcp -s 192.168.10.1 -j NOTRACK
-A OUTPUT -p tcp -m tcp --sport 80 -j NOTRACK
-A OUTPUT -p tcp -m tcp --sport 22 -j NOTRACK
-A OUTPUT -p tcp -m tcp --sport 21 -j NOTRACK
-A OUTPUT -p tcp -m tcp --sport 11211 -j NOTRACK
-A OUTPUT -p tcp -m tcp --sport 60000:60100 -j NOTRACK
-A OUTPUT -p tcp -s 192.168.10.1 -j NOTRACK
COMMIT
*filter
# 允许ping
-A INPUT -p icmp -j ACCEPT
# 对本地回路、第5张网卡放行
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth4 -j ACCEPT
# 连接状态跟踪,已建立的连接允许传输数据
-A INPUT -m state --state ESTABLISHED,RELATED,INVALID,UNTRACKED -j ACCEPT
# filter表里存在但在raw里不存在的,默认会进行连接状态跟踪
-A INPUT -s 192.168.10.31 -p tcp --dport 2669 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
或者干脆对所有连接都关闭跟踪,不跟踪任何连接状态。不过规则就限制比较严谨,进出都需要显式申明。示例如下:
*raw
# 对TCP/UDP连接不启用追踪,解决nf_contrack满导致无法连接的问题
-A PREROUTING -p tcp -j NOTRACK
-A PREROUTING -p udp -j NOTRACK
-A OUTPUT -p tcp -j NOTRACK
-A OUTPUT -p udp -j NOTRACK
COMMIT
*filter
# 允许ping
-A INPUT -p icmp -j ACCEPT
# 对本地回路和eth1放行
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
# 只允许符合条件的连接进行传输数据
-A INPUT -p tcp --dport 22 -j ACCEPT
-A INPUT -p tcp --sport 80 -j ACCEPT
-A INPUT -p udp --sport 53 -j ACCEPT
-A INPUT -p udp --sport 123 -j ACCEPT
# 出去的包都不限制
-A OUTPUT -p tcp -j ACCEPT
-A OUTPUT -p udp -j ACCEPT
# 输入和转发的包不符合规则的全拦截
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
效果如下图:
四、删除连接跟踪模块`lsmod | grep nf_conntrack`,不使用连接状态的跟踪功能。
1、删除nf_conntrack和相关的依赖模块,示例:
rmmod nf_conntrack_ipv4
rmmod nf_conntrack_ipv6
rmmod xt_state
rmmod xt_CT
rmmod xt_conntrack
rmmod iptable_nat
rmmod ipt_REDIRECT
rmmod nf_nat
rmmod nf_conntrack
2、禁用跟踪模块,把它加到黑名单(/etc/modprobe.d/blacklist.conf ):
# 禁用 nf_conntrack 模块
blacklist nf_conntrack
blacklist nf_conntrack_ipv6
blacklist xt_conntrack
blacklist nf_conntrack_ftp
blacklist xt_state
blacklist iptable_nat
blacklist ipt_REDIRECT
blacklist nf_nat
blacklist nf_conntrack_ipv4
3、去掉防火墙里所有和状态相关的配置(比如state状态,NAT功能),示例:
*filter
# 允许ping
-A INPUT -p icmp -j ACCEPT
# 对本地回路和第2张网卡放行
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
# 对端口放行
-A INPUT -p tcp --dport 1331 -j ACCEPT
# 对IP放行
-A INPUT -s 192.168.10.31 -j ACCEPT
#允许本机进行DNS查询
-A INPUT -p udp --sport 53 -j ACCEPT
-A OUTPUT -p udp -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
另外,防火墙的配置文件最好也改下,不要加载任何额外模块(/etc/sysconfig/iptables-config):
IPTABLES_MODULES="" # 不需要任何附加模块
IPTABLES_MODULES_UNLOAD="no" # 避免iptables重启后sysctl中对应的参数被重置为系统默认值
IPTABLES_SAVE_ON_STOP="no"
IPTABLES_SAVE_ON_RESTART="no"
IPTABLES_SAVE_COUNTER="no"
IPTABLES_STATUS_NUMERIC="yes"
IPTABLES_STATUS_VERBOSE="no"
IPTABLES_STATUS_LINENUMBERS="no"
往往我们对连接的跟踪都是基于操作系统的(netstat / ss ),防火墙的连接状态完全是它自身实现产生的。
总结:
防火墙有条件还是交给上层硬件设备完成会更好,使用系统防火墙一定要做调优;如果不需要防火墙的跟踪功能,规则简单的可以开启NOTRACK选项,条件允许的情况下就删除它吧!
作者:linux120
发布时间:October 18, 2014
分类:服务器配置
一、使用connlimit模块,控制并发访问(CC / DOS)量:
iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j LOG --log-prefix "WEB Attack"
示例配置如下:
*filter
-A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j LOG --log-prefix "WEB Attack"
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
sudo tail -f /var/log/messages
二、使用limit模块,限制连接建立(DDOS/ SYN)频率,示例:
*filter
-P INPUT DROP
-A INPUT -j SYN-FLOOD
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A SYN-FLOOD -m limit --limit 100/sec --limit-burst 300 -j RETURN
-A SYN-FLOOD -j DROP
COMMIT
三、使用recent模块,控制访问频率,示例:
*filter
-P INPUT DROP
-A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set --name HTTP
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp --dport 7722 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 300 --hitcount 10 --name HTTP -j LOG --log-prefix "HTTP Attack"
本例只打印日志,效果和并发控制相同。
作者:linux120
发布时间:August 6, 2014
分类:服务器配置
一、内核优化
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_syn_retries = 0
net.ipv4.tcp_synack_retries = 0
net.ipv4.tcp_max_syn_backlog = 65535
net.core.netdev_max_backlog = 65535
net.ipv4.tcp_max_tw_buckets = 65535
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_keepalive_time = 120
net.ipv4.tcp_fin_timeout = 30
net.ipv4.ip_local_port_range = 1024 65535
二、防火墙设置
*filter
:INPUT DROP [4:261]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1384:1035760]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m recent --set --name ddos --rsource
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m recent --update --seconds 60 --hitcount 30 --name ddos --rsource -j LOG --log-prefix "ddos"
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m recent --update --seconds 60 --hitcount 30 --name ddos --rsource -j DROP
-A INPUT -p icmp -m icmp --icmp-type 13 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 14 -j DROP
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
COMMIT
三、增加recent模块记录IP地址的数量(最大8100个)
# vi /etc/modprobe.conf
#增加下面一行
options ipt_recent ip_list_tot=3000 ip_pkt_list_tot=60
这里我们可以调整两个参数:
1) 允许的最大跟踪连接条目,CONNTRACK_MAX
2) 存储跟踪连接条目列表的哈希表的大小,HASHSIZE
3) 默认情况下,CONNTRACK_MAX = HASHSIZE * 8
# vi /etc/sysctl.conf
net.ipv4.netfilter.ip_conntrack_max = 1048576
复制代码
# vi /etc/modprobe.conf
options ip_conntrack hashsize=131072
复制代码
参考文章:
http://www.chinaunix.net/jh/36/596067.html
http://blog.sina.com.cn/s/blog_485acedb0100b9zt.html
- «
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- ...
- 12
- »