三月 18
前两天刚刚吹牛过咱的squid服务器半年安全生产无事故,这个,牛皮一吹,立马遭报应了,今天立马有人投诉上网开网页总是时断时续的---其实我自己也碰到了这个问题,不过总以为是我查的东西撞到了大墙,一直没有在意,结果......
好惨的说:
Continue reading »
三月 12
前几个礼拜看着运行的好好好的squid服务器在cacti里面的图表忽然接连冒出了两个突起?真是百思不得其解:我是知道squid服务程序重启会导致squid的snmp计数器重置,直接在cacti的性能监视图上的表现就是会冒出如上图去年十月份的那个高高的尖峰。可是那段时间我的squid服务器一直运作良好啊,根本没有重启过,那这两个尖峰是怎么冒出来的呢?真是想不明白。
今天闲来无事,查看了下这台squid的mgr:info信息,我终于悟道了:
Continue reading »
一月 30
这两天跟扶凯同学讨论了一下refresh_pattern这个参数对squid行为的影响,略有心得,小纪录一下。
在squid.conf.default里面,refresh_pattern参数下面的注释是这样的:
TAG: refresh_pattern
usage: refresh_pattern [-i] regex min percent max [options]
Basically a cached object is:
FRESH if expires < now, else STALE
STALE if age > max
FRESH if lm-factor < percent, else STALE
FRESH if age < min
else STALE
以上所有的时间都是以分钟为单位计算。
很容易看懂是不是?
- refresh_pattern指出的缓冲对象过期了,这个对象过期。(这不是废话嘛!)
- refresh_pattern指出的缓冲对象在squid的cache缓冲的时间大于max的话,这个对象过期。
- refresh_pattern指出的缓冲对象的lm-factor大于等于percent的话,这个对象过期。
- refresh_pattern指出的缓冲对象在squid的cache缓冲的时间小于min的话,这个对象不过期。
可是,这个lm-factor到底是怎么算的?有什么具体意义?估计好多同学搞不清楚了吧。来,look,下面的图:
上面这张图来自于《Squid.Definitive.Guide》第七章,对squid的LM-factor算法作出了一个很直观的描述。
Continue reading »
一月 11
如果你只是要搞个自己玩的socks服务器,ss5的配置还是相对简单的:简单到甚至完全不修改配置,直接一个service ss5 start,你就得到了一个可以用的socks服务器。
只是如果你敢把这样不经过配置的socks服务器挂到网络上的话,估计不出2个小时,就会有一票的人扫描到你的socks服务。考虑到socks服务可以直接代理外网的用户到内部网络的访问,这可不仅仅是被占用带宽的问题,直接的,你的网络就门洞大开了,安全有问题、后果很严重。
那么,先总结一下我的需求吧:
- 所有登陆到Ss5服务的用户需要通过身份验证
- 一部分用户允许其通过Ss5访问的资源不受限制
- 另外一部分的合法用户用户限制每用户可使用的带宽
这个要求应该算是普遍的要求了,那么,根据这部分需求,我们来修改一下ss5的配置,按照之前文章编译出来的Ss5的rpm安装之后,Ss5的配置文件主要都放在/etc/opt/ss5目录底下,我们这个简单配置只需要修改这个目录之下的相关文件即可。
Continue reading »
一月 09
ss5 socks server是一个相当完善的SOCKS v4 以及 v5 服务软件,支持Linux、Freebsd、Solaris。性能上相当不错,据官方网站介绍,在一台跑在Linux kernel 2.6.x的IBM x360的服务器,有跑到每秒2500个并发连接的纪录。ss5还提供了用户带宽控制功能,这可好像是目前唯一能找到的提供此功能的开源Socks服务了。
安装版本:3.6.4-3
系统安装环境:trustix 3.0.5
因为ss5有提供编译rpm的spec文件,所以就自己编了个给trustix 3.0.5的rpm来用,这样软件管理会方便些。
ss5的作者Matteo Ricchetti为了这个rpm包的东西能加入fedora,跟fedora的人认认真真地沟通了半年,真是佩服他这种一板一眼的认真劲。
下了最新版的ss5的软件包之后,发现要直接作成给trustix 3.0.5用的rpm还是不成的,一部分是因为trustix调整了部分initscripts的路径,另外一部分就是作者的疏忽了。做了相应的调整之后,才总算折腾出了一个给trustix 3.0.5用的比较完善的rpm包。我作的修改大致如下:
- 根据trustix的initscripts路径作了调整
- 修正了ss5的服务启动脚本中的一些错误
- 修正了ss5的spec文件中的一些文件目录的权限设置
- 增加了ss5的logrotate设置
- 增加了ss5的服务启动参数设置文件:/etc/sysconfig/ss5
然后直接用rpmbuild编译一个rpm安装包出来就可以直接安装使用了。
- rpmbuild -bb --target=i686 /usr/src/trustix/specs/ss5.spec
- rpm -ivh /usr/src/trustix/rpms/i686/ss5-3.6.4-3.i686.rpm
可惜尝试着编译出来带epoll支持的ss5没法工作,我只好放弃了ss5对epoll的支持。
具体的修改如下,对于使用其他系统的兄弟,大致可以参考一下
Continue reading »