nginx控制iptables芝麻开门

2022-02-10 作者:

During maintenance of a production server, we use to encounter a problem like this – an internet-access-blocked port, say 3306 (mysql), is about to be open for a little while due to debugging needs, which is not uncommon, right? So how to make this easily operated, mostly secure, and automatically disabled after working – I guess this’s gonna help somehow.

A Linux server with whatever the distribution including iptables (e.g. CentOS, Rocky for now as example), Nginx, fcgiwrap, a simple shell script and a commonly used web browser, let’s say chrome, will be major ingredients on the recipe.

常做运维,总会遇到某些线上服务器,为了便于调试,在符合安全要求的基础上,需要相对便利的对公网短时定向开放某些端口。

昨天想了一招,用nginx操作shell脚本,对特定公网IP开口子,叫一声“芝麻开门”,便捷又安全。举例端口3306(mysql),系统是Rocky Linux 8(原CentOS 8)。

Doors of Durin

Doors of Durin

先查一下现有的防火墙规则,需要的话可以保存一下。换句话说,搞芝麻开门之前,先确定门是隐藏的;也即已经有相应(且持久化)的iptables rule确保到被保护端口的连接是DROP/REJECT状态。

然后就是fcgiwrap的安装,此处就不写nginx安装过程了,默认安装即可。

安装后增加两个systemd服务文件,并测试fcgiwrap服务生效。

【注】那俩服务文件,在Redhat之外的发行版上,fcgiwrap安装包可能自带,请针对所用版本自行检查。

接下来为一个新的nginx server准备个根目录,存放网页和之后控制iptables的脚本。

完整阅读本篇»

书评《美国成长三部曲》

2022-02-03 作者:

从电影出发,读过了整本 The Great Gatsby 但并未留下什么深刻的印象。而拜当今的CG技术以及对绿幕的滥用,那个年代的浮华,其实电影中表现的很好。

这会儿说起,就在2020年开春,国内疫情声势大噪的时候,出于对彼时国内外经济状况所见所感,我一心想要了解大洋彼岸之世界强国,在其空前繁荣(1920s)和绝后萧条(1930s)中的国计民生。

正所谓“困了有人递枕头,拎醋有人请螃蟹”。在附近书店晃悠时看到这套书《美国成长三部曲》,所谓开卷有益,打开一读,it’s kinda exactly what I expect –

  • 不是那种“一笔一句写人一生”的简史,在大时间轴上其实跨度很小,也即集中描写我想了解的时段。
  • 内容够细节够充实,从政府首脑到国计民生,无所不谈,无所不包。比如威尔逊的理想主义源于其独特的教育背景,又比如一战后的保守派所抨击的“道德滑坡”是如何体现在人们的穿着打扮和消费娱乐上,再看看实现越洋飞行的大英雄林德伯格对航空业乃至全国文化所造成的影响,以及涉其长子并惊动全国的绑架案等。至于佛罗里达炒地皮和楼花、牛市中对每一个微观的人其疯狂表现的描写、衰退中为了救市大佬们前赴后继的措施、银行挤兑在几天内蔓延全国的叙述 ……知道读的是史实,却远比小说精彩百倍。
  • 多描述,少评价,让我自己自己根据描述来想象,来思考,避免带节奏。从一战后习俗与道德变革、禁酒令、无线电/汽车/飞机等技术革新、政坛丑闻、意识形态斗争、佛罗里达房产热、柯立芝繁荣和牛市、政治与经济关系、衰退和救市、小政府到大政府的逐步变化、种族问题、二战后成长起来的中产阶层等等 —— 这套书大致做到不吹不黑不带节奏,不输出价值观(除了那个“社会制度=边跑边修的汽车”算一条),毕竟三十年代大萧条时,人家也考虑过借鉴毛熊哥计划经济先进经验不是么?

说真的,Florida炒地皮的章节,颇有身临其境之感。买地契击鼓传花那杠杆率玩的,珊瑚阁那威尼斯小船划的,戏剧性的飓风那刮得…… 让人不得不感慨,无论黑格尔有没有说过那句“人类唯一能从历史中吸取的教训就是,人类从来都不会从历史中吸取教训”,反正我是信了。

完整阅读本篇»

树莓派监控SANTAK UPS

2022-01-07 作者:

硬件:SANTAK TG-BOX 600 + RPi 4B (2GB) + Huawei ME909s-821

监控服务:NUT(Network UPS Tools)参考文章挺多,就不详解了;Pi上连了4G模块主要是掉电时可能无法得到Wired Ethernet供应,就发个短信而已,不如直接走wwan靠谱省心。

目前用的是standalone模式,回头有空查下文档试试netserver模式,看config文件介绍,猜测是client可以通过server知道市电挂了,从而在server之前关机?

完整阅读本篇»

METAR BCFG是团雾么?

2021-12-11 作者:

看下今天傍晚ZBAD的清一色“备降”,目的地基本是天津滨海(ZBTJ)和济南遥墙(ZSJN)。

看一眼原因,特情是天气警报,主导能见度150米……

这就好玩了,距离只有30km的我们,窗外视野异常的好,甚至依稀看到几颗星星。

回溯一下METAR信息,很有意思。

完整阅读本篇»

OpenWrt测试双WAN和双机高可用

2021-12-03 作者:

So here’s a quick example. OpenWrt shows capability to provide business-level internet access reliabilities – with not only load balancing/failover between 2 or more ISPs, but also VRRP based hardware (dual x86 vm in this experiment) level redundancy.

从以下的例子可以看出,OpenWrt基本满足了提供小型商业级Internet访问可靠性的初步要求。它不仅可以在多个ISP之间实现负载均衡以及故障切换,在此基础上同时提供基于VRRP的硬件冗余(本实验中为双x86虚拟机)。

 

先开仨虚拟机,前两台做OpenWrt,可以先做1台,复制1台。注意要安装mwan3和keepalived。

 

双WAN做好后,断开一路wan做测试。这里的wanb,用的是楼道里的不可靠wifi,通过Raspberry Pi向下路由一层转成有线网,能体现出不稳定的ISP接入状态。

本来是两路负载均衡的策略,wanb断开后,5s之内可以让所有对外请求都稳定落在wan上。

 

下一步,把MASTER的br-lan断开,模拟一个路由器硬件直接宕掉。

 

这个切换时间很短,还没反应过来,BACKUP就接管了VIP地址,对外请求几乎不受什么影响。

完整阅读本篇»