前回まではmod_proxy_balancerで中〜大規模サーバーを運用するときの勘所をお話ししてきました。 これ以外にもmod_proxy_balancerな中〜大規模サーバーで気をつけるべき点はあります。それがiptablesとip_conntrack。 外部に直接晒されているサーバーはセキュリティーを確保するためにiptablesなどのファイヤウォールを導入しているかと思います。アクセス数がある程度以上になってくると、そのファイヤウォールが思わぬ足かせになってしまうと言うお話です。 iptablesはパケットフィルタリングを行うソフトウェアです。PCに入ってきたり、逆にPCから出て行くパケットを監視し、ルールに従い適宜フィルタリングを行います。 さて、iptablesでは、関連したパケットを追跡するために/proc/net/ip_conntrackというファイルを作り、パケットの情報
iptablesをリスタートしたらsshが切られる現象が起きまして。 最初は、テーブルの書き換え方がまずいのかな、と思ってはてなで聞いてみたりしていたのですが。 sshでアクセスしているサーバ上でiptablesをrestartさせると、ssh接続が切られてしまうのですけど、なんででしょう?- 人力検索はてな 調べた末に、iptablesを終了した際にKernelPanic起こしていたことが分りました。 おれ最前線ねっと – Kernel panic kernel panic は体に悪いぜ | DOOM! DOOMER!! DOOMEST!? Bug 456664 – Kernel panic when unloading ip conntrack modules 解決策については、おれ最前線ねっと – Kernel panicで書いていただいているとおり、Kernelを新しくするか、古く
メーカのルータは「あdソフィアjs歩ふぃjぱ」なので信用しない方がいいって、id:azurestoneさんに教えてもらったので、全裸でサーバのファイアー壁を設定する! id:hideden id:vkgtaro id:azurestoneさんに教えてもらいながら iptables設定したよ! # 全部不許可にする /sbin/iptables -P INPUT DROP /sbin/iptables -P FORWARD DROP /sbin/iptables -P OUTPUT DROP # 初期化する /sbin/iptables --flush /sbin/iptables --delete-chain # 自分自身を許可させる /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A OUTPUT -o lo -j ACCE
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く