Veröffentlicht unter Asterisk
|
Verschlagwortet mit Asterisk, iLbc
|
Anders als viele glauben kann ein Linux “Router” nicht nur ein Default Gateway besitzen sondern mehrere. Das macht bei 2 Szenarien Sinn:
- Autofailover
Definiert man 2 Default Routen etwa mit:
route add default gw 172.16.1.1 dev eth1
route add default gw 172.16.2.1 dev eth2
So wird die zweite Default Route dann verwendet, wenn die erste einen Timeout liefert.
- Loadbalancing
Das geht auch ganz einfach:
ip route del default
ip route add default equalize nexthop via 172.16.1.1 dev eth1 nexthop via 172.16.2.1 dev eth2
. Am besten trägt man das in /etc/rc.d/rc.local ein. Dann übersteht es auch einen Reboot.
Beiden Methoden ist übrigens gemein, dass der Timeout einer ausgefallenen Default Route noch angepasst werden muss. Der Default Timeout liegt bei stolzen 300 Sekunden.
cat /proc/sys/net/ipv4/route/gc_timeout
300
Das bedeutet, dass erst nach 5 Minuten die entsprechende Route deaktiviert wird. Umstellen kann man diesen Wert über sysctl. Also in /etc/sysctl.conf folgendes eintragen:
net.ipv4.route.gc_timeout = 10
und mit
aktivieren
Artikel als PDF exportieren. Anders als viele glauben kann ein Linux "Router" nicht nur ein Default Gateway besitzen sondern mehrere. Das macht bei 2 Szenarien Sinn:
Autofailover
Definiert man 2 Default Routen etwa mit:
route add default gw 172.16.1.1 dev eth1
route add default gw 172.16.2.1 dev eth2
So wird die zweite Default Route dann verwendet, wenn die erste einen Timeout liefert.
Loadbalancing
Das geht auch ganz einfach: ip route del default
ip route add default equalize nexthop via 172.16.1.1 dev eth1 nexthop via 172.16.2.1 dev eth2 . Am besten trägt man das in /etc/rc.d/rc.local ein. Dann übersteht es auch einen Reboot.
Beiden Methoden ist übrigens gemein, dass der Timeout einer ausgefallenen Default Route noch angepasst werden muss. Der Default Timeout liegt bei stolzen 300 Sekunden.
cat /proc/sys/net/ipv4/route/gc_timeout
300Das bedeutet, dass erst nach 5 Minuten die entsprechende Route deaktiviert wird. Umstellen kann man diesen Wert über sysctl. Also in /etc/sysctl.conf folgendes eintragen:net.ipv4.route
Veröffentlicht unter Routing
|
Verschlagwortet mit Default Gatway, Linux, Routing
|
Veröffentlicht unter Allgemein
|
Verschlagwortet mit Bash
|
Ok ok, natürlich geht es auch einfacher. Ab Apache 2.2.7 ist mod_substitute dabei. Dann sehe der wichtige Part vom Eintrag in der Konfig wie folgt aus:
<IfModule mod_substitute.c>
AddOutputFilterByType SUBSTITUTE text/html
Substitute s|http://blog.it4sport.de/wp-content/plugins|https://blog.it4sport.de/wp-content/plugins|ni
</IfModule>
Veröffentlicht unter Wordpress
|
Verschlagwortet mit Apache, SSL, Wordpress
|
Das Admininterface meines Blogs schütze ich logischerweise mit ssl. Dazu habe ich in die wp-config.php folgendes Eingetragen:
define('FORCE_SSL_ADMIN', true);
define('FORCE_SSL_LOGIN', true);Jetzt habe ich aber auch Plugins installiert, die von https scheinbar noch nie was gehört haben. Jedenfalls funktionieren ein paar Sachen im Backend danach nicht mehr sauber. Eigentlich der Hammer und eigentlich ein Grund die entsprechenden Plugins gleich zu entsorgen. Wären die nur nicht mal so praktisch … Also muss wohl ein Workaround her. Zugegeben, der Workaround ist eher der Holzhammer aber erfunktioniert. Folgendes habe ich beim vhost in Apache ergänzt:
ExtFilterDefine sslfix_rstf mode=output intype=text/html \
cmd="/bin/sed 's|http://blog.it4sport.de/wp-content/plugins|https://blog.it4sport.de/wp-content/plugins|g' -"
<Location /wp-admin>
SetOutputFilter sslfix
</Location>Wichtig, dass es auf die Location “/wp-admin” eingegrenzt ist und damit nur bei der Administration anschlägt. Ansonsten bremst das schon ordentlich. In der mod_ext_filter steht zur Performance folgendes:
Even when the performance characteristics are not suitable for production use, mod_ext_filter can be used as a prototype environment for filters.
Artikel als PDF exportieren. Das Admininterface meines Blogs schütze ich logischerweise mit ssl. Dazu habe ich in die wp-config.php folgendes Eingetragen:
define('FORCE_SSL_ADMIN', true);
define('FORCE_SSL_LOGIN', true);
Jetzt habe ich aber auch Plugins installiert, die von https scheinbar noch nie was gehört haben. Jedenfalls funktionieren ein paar Sachen im Backend danach nicht mehr sauber. Eigentlich der Hammer und eigentlich ein Grund die entsprechenden Plugins gleich zu entsorgen. Wären die nur nicht mal so praktisch ... Also muss wohl ein Workaround her. Zugegeben, der Workaround ist eher der Holzhammer aber erfunktioniert. Folgendes habe ich beim vhost in Apache ergänzt:
ExtFilterDefine sslfix_rstf mode=output intype=text/html \
cmd="/bin/sed 's|http://blog.it4sport.de/wp-content/plugins|https://blog.it4sport.de/wp-content/plugins|g' -"
SetOutputFilter sslfix
Wichtig, dass es auf die Location "/wp-admin" eingegrenzt ist und damit nur bei der Administration anschlägt. Ansonsten bremst das sc
Veröffentlicht unter Wordpress
|
Verschlagwortet mit Apache, SSL, Wordpress
|
… ich hätte da einen Wunsch.
Nachdem ich nun von Xing auf Facebook umgestellt habe, ist mir gleich ein Wunsch für Weihnachten in den Sinn gekommen. Ich weiß nicht ob es dafür schon eine Lösung gibt. Wenn nicht, dann kann mir entweder das Christkind, Facebook oder ein paar kreative Köpfe helfen.
Nun um was dreht sich mein Wunsch? Bisher war mir ziemlich egal was Freunde von mir alles in Twitter so ablassen. Nachdem aber fast alle nun ihren Twitter Account in Facebook integriert haben, wird meine Facebook Seite von soviel Banalität überschwemmt, dass ich mir einen Banalitätsfilter sehnlichst herbei sehne. Nicht falsch verstehen, ich habe nichts gegen gelegentliche Meldungen auf Twitter oder wenn jemand was lustiges sieht. Ich habe aber was dagegen, wenn einzelne auf meiner Freunde List mich alle paar Minuten mit banalen sinnlosen Meldungen zuschießen und diese Personen 90% der Beiträge auf der Startseite bei Facebook ausmachen.
Kennt jemand einen entsprechenden Filter?
Vielleicht würde es auch reichen, wenn ich die Meldungen einzelner Freunde per “Daily Digest” bestellen könnte. So würde ich dann eben nur einmal am Tag einen Eintrag mit allen Updates bekommen. Gibt’s das schon?
Artikel als PDF exportieren. ... ich hätte da einen Wunsch.
Nachdem ich nun von Xing auf Facebook umgestellt habe, ist mir gleich ein Wunsch für Weihnachten in den Sinn gekommen. Ich weiß nicht ob es dafür schon eine Lösung gibt. Wenn nicht, dann kann mir entweder das Christkind, Facebook oder ein paar kreative Köpfe helfen.
Nun um was dreht sich mein Wunsch? Bisher war mir ziemlich egal was Freunde von mir alles in Twitter so ablassen. Nachdem aber fast alle nun ihren Twitter Account in Facebook integriert haben, wird meine Facebook Seite von soviel Banalität überschwemmt, dass ich mir einen Banalitätsfilter sehnlichst herbei sehne. Nicht falsch verstehen, ich habe nichts gegen gelegentliche Meldungen auf Twitter oder wenn jemand was lustiges sieht. Ich habe aber was dagegen, wenn einzelne auf meiner Freunde List mich alle paar Minuten mit banalen sinnlosen Meldungen zuschießen und diese Personen 90% der Beiträge auf der Startseite bei Facebook ausmachen.
Kennt jemand einen entsprechenden Filter?
Vielleicht würde
Veröffentlicht unter Diverses
|
Verschlagwortet mit Baalität, Facebook
|
Veröffentlicht unter DNS
|
Verschlagwortet mit DNS, Google
|
Nachdem ich mit einer kommerziellen bei Idle-Verbindungen immer rausgeflogen bin habe ich mir das Thema mal auf Linux Büchsen genauer angesehen. Es gibt zwei wichtige Schrauben:
- /proc/sys/net/ipv4/tcp_keepalive*
Über die 3 Kernel Parameter tcp_keepalive_time, tcp_keepalive_intvl, tcp_keepalive_probes kann man dem Kernel mit geben wie häufig er Keepalive Pakete verschickt. Das hilft, wenn man zwischen Client und Server eben solch kommerziellen Firewalls hat, die eine idlen Verbindung sehr schnell trennen. Details dazu hier.
- /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_*
Über diese Kernel Parameter regelt man auf Linux Firewalls selbst wie hoch die entsprechenden Timeouts sind. Am wichtigsten ist hier wohl der Parameter ip_conntrack_tcp_timeout_establishe, welcher per Default auf 432000 Sekunden (=5 Tage) steht. D.h. Linux-Firewalls würden per Default erst nach 5 Tagen idle Verbindungen trennen. Speziell auf Firewalls mit viel Traffic kann es schon mal vernünftig sein, den Wert zu verkleinern. Bei der kommerziellen Firewall, die mich genervt hatte, waren 30 Minuten eingestellt. Ein zu hoher Wert kann im schlimmsten Fall dafür sorgen, dass die Conntrack Tabelle voll läuft und man eine Meldung wie diese bekommt:
Nov 20 12:43:24 hostname kernel: ip_conntrack: table full, dropping packet.
Nicht schön!
Die Anzahl der aktuell aktiven und inaktiven TCP Verbindungen kann man übrigens ganz leicht per snmp abfragen. Die beiden OIDs sind .1.3.6.1.2.1.6.5.0 für aktive und .1.3.6.1.2.1.6.6.0 für passive (das kann OpenNMS von Haus auf). Direkt am System geht es gesamt mit:
[root@host]# cat /proc/net/ip_conntrack| wc -l
10333
Bei der Unterscheidung zwischen den einzelnen Stati hilft grep, awk, sort … 
PS: Wie die Parameter über den Reboot hin rettet erklärt man sysctl bzw. man sysctl.conf
Artikel als PDF exportieren. Nachdem ich mit einer kommerziellen bei Idle-Verbindungen immer rausgeflogen bin habe ich mir das Thema mal auf Linux Büchsen genauer angesehen. Es gibt zwei wichtige Schrauben:
/proc/sys/net/ipv4/tcp_keepalive*
Über die 3 Kernel Parameter tcp_keepalive_time, tcp_keepalive_intvl, tcp_keepalive_probes kann man dem Kernel mit geben wie häufig er Keepalive Pakete verschickt. Das hilft, wenn man zwischen Client und Server eben solch kommerziellen Firewalls hat, die eine idlen Verbindung sehr schnell trennen. Details dazu hier.
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_*
Über diese Kernel Parameter regelt man auf Linux Firewalls selbst wie hoch die entsprechenden Timeouts sind. Am wichtigsten ist hier wohl der Parameter ip_conntrack_tcp_timeout_establishe, welcher per Default auf 432000 Sekunden (=5 Tage) steht. D.h. Linux-Firewalls würden per Default erst nach 5 Tagen idle Verbindungen trennen. Speziell auf Firewalls mit viel Traffic kann es schon mal vernünftig sein, den Wert zu verkl
Veröffentlicht unter Allgemein
|
Verschlagwortet mit conntrack, OpenNMS, TCP, timeouts
|
Veröffentlicht unter SSH
|
Verschlagwortet mit SSH, ssh-copy-id
|
