shijin741231的博客

网络架构摘要 本文介绍了一种基于Nginx和华为防火墙的负载均衡架构方案。该方案采用Nginx作为服务网关，负责SSL证书卸载和HTTP请求转发至后端服务。华为防火墙则承担NAT和负载均衡功能，通过虚拟IP映射到多台Nginx服务器，并实施健康检查。文章详细说明了Nginx的配置流程，包括主配置文件设置、默认站点配置（拒绝无域名访问）以及自定义代理服务配置（支持HTTP/HTTPS）。该方案适用于外网流量和负载较低的场景，同时提供了高负载情况下的替代方案建议（独立负载均衡设备或LVS）。配置重点包括SSL证

公司出口IP是北京移动，一直用了很多年，结果昨天突然登录网页版抖音突然显示IP为“太原”了。咨询了服务商，也没办法。索性在公司托管IDC机房搭一个代理服务器，跳转一下。

以防万一, Centos6需要安装xinetd。key的权限必须是600。

内网需要使用NFS服务挂载到其他服务器，用做数据备份使用。

摘要：Ubuntu 22.04中用户shijin无法使用Tab补全，原因是创建时未加-m参数导致家目录缺少环境文件。解决方法是从/etc/skel/复制.bashrc和.profile到用户目录，并修正权限。测试确认补全功能恢复。根本原因是useradd默认不创建家目录，需通过-m参数实现。完整流程包括文件复制、权限修改和功能验证。（149字）

配置centos7.9上的bond。用三块网卡绑定做链路聚合

记录logrotate配置切换应用日志文件。

本文详细介绍了OpenSSL 3.5.0的安装步骤：首先提供GitHub和国内镜像下载地址；然后说明需安装zlib等依赖包；接着分步讲解解压、编译配置（含shared、zlib、no-comp等参数说明）、备份旧文件、安装、创建软链接、添加动态库路径等操作；最后通过version命令验证安装成功。文中特别强调了编译选项的作用，如shared生成动态库、zlib支持压缩、no-comp禁用SSL/TLS压缩功能。整个流程覆盖了从下载到验证的完整安装过程。

整理在CentOS 7.9和Ubuntu 24.04上，MegaCLI 工具的安装与常用命令。

Fedora release 37 换阿里源，启用时间同步服务

扩容Linux系统的LVM，包括扩容物理卷、扩容逻辑卷和扩容文件系统

CentOS 7 马上就停止支持服务了，未雨绸缪，整理Ubuntu 22.04的 初始化脚本。

使用Xshell软件生成ssh秘钥，正常连接服务器。

以前一直使用秘钥登录Linux，最近新装了一台Ubuntu 22.04，照旧部署公钥，使用私钥登录，结果SecureCRT 登录没有问题，使用Xshell登录一直报“所选的用户密钥未在远程主机上注册,请再试一次”。

当不能全面禁止Linux所有用户账号使用密码登录，强制使用密钥登录时，可以使用passwd -l 或 usermod -L 的命令锁定某个账号的密码，锁定后账号可以使用密钥登录，但不能使用密码登录，且登录后不能修改密码。这样实现了强制个别用户使用密钥登录的目的。

DNAT是在请求进入PREROUTING时发生的，修改数据包的目地IP，然后查找路由；de-DNAT是在响应进入POSTROUTING时发生的，根据之前建立的nf_conntrack，修改响应数据包的源IP，然后发出。同样SNAT是在请求进入POSTROUTING时发生的，修改数据包的源IP，然后发出；de-SNAT响应进入PREROUTING时发生的，根据之前建立的nf_conntrack，修改响应数据包的目地IP，然后查找路由。

使用tcpdump的pcap-filter过滤器，可以准确抓包内数据，能用于多层协议封装的抓包业务场景。

Linux rp_filter、arp_filter、arp_ignore、arp_announce参数说明。我查看了参考资料，又去查阅了官方文档，凭着我的理解整理了以下文档。

Linux的ipvlan分l2层、l3和l3s三种mode，bridge、private、vepa三种flags，在同一父接口上均不可混用。其中l2是2层，l3和l3s是3层，区别是l3s支持iptables conntrack；bridge、private、vepa决定同父接口下子接口之间的通讯，bridge允许直接通讯、private禁止通讯、vepa可以通过外部转发通讯。ipvlan子接口均可以与外部网络通讯，需要外部网络、路由支持；bridge可经与父接口相同网络命名空间下的其它子接口转发通讯。

ubuntu下没有 centos中的/proc/net/nf_conntrack文件，需要使用conntrack命令查看。

简述Iptables conntrack，介绍概念、参数，并给出推荐配置

通过单台宿主机上配置多个命名空间，并在其中创建vlan1和vlan2，验证了相同vlan下，网络是通的。配合启用NAT转发，通过三层也可以实现不同vlan之间的通讯。

通过Linux bridge 开启接口hairpin的方式，模拟macvlan vepa在外部交换支持802.1q的情况下，同一父网卡下的多个子网卡之间是可以通讯的。通过将宿主机物理网卡加入到Linux bridge中，使用bridge桥接内外网络，可以实现内部macvlan vepa子网卡访问外部网络。

Linux创建Macvlan网络，记录如下。

Bridge概念详见Linux brctl 命令，虚拟网络设备 LinuxBridge 管理工具Macvlan概念详见Linux brctl 命令，虚拟网络设备 LinuxBridge 管理工具通过Linux bridge 开启接口hairpin的方式，模拟macvlan vepa在外部交换支持802.1q的情况下，同一父网卡下的多个子网卡之间是可以通讯的。