----------------------------------------一、connlimit模块模块实现实现连接数限定connlimit--connlimit-above[num]:连接数限定#iptables-AINPUT-s172.16.0.0/16-ptcp--dport80-mconnlimit!--connlimit-above5-jACCEPT#默认为DROP时,表示不超过5个连接数时,允许访问------..
分类:
其他好文 时间:
2015-05-26 19:09:22
阅读次数:
160
在添加magent代理后,做memcached测试的发现,如果并发很高,数据库的连接数居高不下,按理讲随着将key存入缓存中,连接数应该慢慢降下来才对,但是当并发低的时候却很正常。
由于在启动memcached时,加入了-vvv参数打印内部状态信息,查看日志:
29: going from conn_parse_cmd to conn_write
29: going from conn_wri...
分类:
其他好文 时间:
2015-05-21 10:57:43
阅读次数:
140
net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait=30net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait=30net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait=30echo100000>/proc/sys/net/netfilter/nf_conntrack_maxnet.ipv4.tcp_fin_timeout=30修改系?.
分类:
其他好文 时间:
2015-03-17 14:29:02
阅读次数:
209
1.支持Layer7的nf_conntrack真的没有必要做走火入魔之后,你会觉得需要赶紧将“基于五元组的数据流”改成“基于应用层协议固定偏移的数据流”,赶紧动手,越快越好!于是此人在支持zone conntrack的Linux 3.17内核上为nf_conn增加了几个字段:bool l7; //布尔型,表示是否要进行layer7的匹配。u32 offset; //应用层流标识的偏移u32 off...
分类:
系统相关 时间:
2015-02-08 18:13:50
阅读次数:
232
前些日子完成了一个extensionfornf_conntrack底层基础设施,后来写了一个测试代码,将:1.一个数据流两个方向的路由结果;2.如果数据流目的地是本机,则和该流关联的socket;缓存在了conntrack的extension中。这意味着什么?这意味着可以将几乎所有的查找操作都压缩在conntrack..
分类:
其他好文 时间:
2015-02-01 12:14:58
阅读次数:
218
前些日子完成了一个extension for nf_conntrack底层基础设施,后来写了一个测试代码,将:1.一个数据流两个方向的路由结果;2.如果数据流目的地是本机,则和该流关联的socket;缓存在了conntrack的extension中。这意味着什么? 这意味着可以将几乎所有的查找操作都压缩在conntrack的查找中:1.路由可以保存在conntrack中;2.sock...
分类:
其他好文 时间:
2015-02-01 12:11:12
阅读次数:
148
前面说过很多次,conntrack作为一中连接跟踪机制,如果它本身是可扩展的,那么将会是多么令人激动的一件事,当你看了N多文档代码之后,你发现它确实是可以扩展的,但是却没有感到激动,因为你可能发现:1.它可以注册一个account扩展,但是计数机制却很原始;2.我希望增加一个新..
分类:
系统相关 时间:
2015-01-17 23:38:20
阅读次数:
404
前面说过很多次,conntrack作为一中连接跟踪机制,如果它本身是可扩展的,那么将会是多么令人激动的一件事,当你看了N多文档代码之后,你发现它确实是可以扩展的,但是却没有感到激动,因为你可能发现:1.它可以注册一个account扩展,但是计数机制却很原始;2.我希望增加一个新型的扩展,却不得不重新编译内核;怎么办?我曾经很生气地默默指责过当初实现这个的人,想当然的认为将扩展本身也做成可扩展的,而...
分类:
系统相关 时间:
2015-01-17 23:34:51
阅读次数:
430
内核与用户态通信的接口简直太多了,有时候如果非要将它们分个三六九等也是不合适的,比如臭名昭著的ioctl,一旦臭起来就抽到底了,没人说它得好。有
时候它并非想象中的那么坏,绝大多数是因为人们误用了它们,然后哪位大师说了一句它不好,从此以后人们就随大师而去了...对于..
分类:
其他好文 时间:
2014-12-21 01:57:56
阅读次数:
275
内核与用户态通信的接口简直太多了,有时候如果非要将它们分个三六九等也是不合适的,比如臭名昭著的ioctl,一旦臭起来就抽到底了,没人说它得好。有时候它并非想象中的那么坏,绝大多数是因为人们误用了它们,然后哪位大师说了一句它不好,从此以后人们就随大师而去了...对于ioctl,对应到socket类型文件描述符上,就是get/setsockopt两个接口函数,其实我不明白从函数名称上区分操作类型和从命...
分类:
其他好文 时间:
2014-12-20 22:13:43
阅读次数:
265
