Почему петлевой трафик должен быть авторизован с помощью iptables для получения веб-доступа?
Нет, это не делает. Проблема не с типом диска (spinning/non-spinning), это с фиксацией дисковых буферов от RAM до диска. Если питание внезапно выходит, некоторые из этих буферов никогда не могут предаваться диску, и барьеры включения улучшают Ваши возможности восстановления файловой системы.
Существует также дополнительная проблема со встроенным кэшем диска, никогда не предаваемым диску (или микросхемы флэш-памяти). То единственное применяется, если у Вас есть кэширование записи, включил на диске (обратная запись) и может укусить Вас независимо от установки barriers.
Диск с аварийным батарейным питанием обычно берется для значения диска, выполненного контроллером с батарейкой (BBU). У них есть батареи, которые могут хранить незафиксированные данные в течение многих месяцев, таким образом, катастрофический отказ или отключение питания не потеряют непротиворечивость файловой системы. BBUs обычно являются опциями на классе сервера системы RAID.
Часто, машина с UPS гарантировала, что работала правильно (или другой гарантируемый источник питания) может быть безопасным также.
Я не сделал бы этого на ноутбуке. У меня никогда не было расширения [234], файловые системы портят на мне, даже в ext2 дни, но Ваш пробег могут варьироваться. Вы обмениваете некоторое повышение производительности по стоимости (персональной/денежной) из потери данных. Мое предложение: смонтируйте файловую систему с и без барьеров, выполните сравнительные тесты и поймите увеличение производительности. Если это незначительно или не стоит риска (который необходимо будет оценить сами), оставьте опции монтирования как они.
Приложение: разве аккумулятор для ноутбука не является тем же как UPS? В этом случае да, аккумулятор для ноутбука очень похож на UPS, но аккумулятор для ноутбука не контролируется так тщательно и обусловливается как UPS, потому что он действительно не разработан как средство дублирования. Вы покупаете UPS для дополнительной защиты, таким образом, дизайн отражает это: батарея обусловливается, проверяется и контролируется. Все кроме самых дешевых единиц UPS имеют ‘батарею, отказавшую’ световые сигналы, предупреждения, и даже отправьте прерывания SNMP для уведомления администратора проблемы.
Это не имеет место с аккумуляторами для ноутбука. Ваш аккумулятор для ноутбука будет стареть и переставать работать без ноутбука, являющегося знающим. Шахта на ее второй батарее, и это перестало работать: при случае это просто теряет много заряда в очень короткое время, и ноутбук ничего не узнал (когда питание выходит, индикатор времени выполнения батареи все еще говорит ‘30 минут, оставленных’).
Моя точка - то, что UPS более надежен, чем отбивающий ноутбука, но лучший вопрос был бы...
Разве UPS или аккумулятор для ноутбука не являются тем же как дисковым контроллером BBU? И ответ на это является звучным нет. Ваш UPS продолжит приводить в действие компьютер, это только что было жесткой перезагрузкой, но когда диск будет сброшен, любые незафиксированные секторы обратной записи будут потеряны навсегда. С BBU можно просто отключить сервер, сохранить его в течение шести месяцев, переместить его в другую страну, разъем, он въезжает задним ходом, и момент, Вы поражаете питание в кнопку, незафиксированные буферы (наконец) записаны в диск. Так как это может составить несколько концертов данных, BBU является довольно существенной частью набора для серверного оборудования. Контроллер обусловливает резервный аккумулятор намного лучше, чем средний UPS. На наших серверах Dell это выполняет моделирования выброса каждую неделю и может отправить Вас, IM/SMS/Email/SNMP захватывает/шумит Ваши уши прочь, когда это обнаруживает, что цикл заряда/выброса или ожидаемый ресурс аккумулятора выходит из допуска. Это также отключит кэширование записи, когда BBU будет в меньше, чем оптимальное условие. Именно этот вид среды получает что-то от отключения барьеров.
На практике, тем не менее, любой менеджер вычислительного комплекса, который настаивает на хост-адаптерах с аварийным батарейным питанием, вряд ли отключит меры по обеспечению безопасности файловой системы. :) (я знаю, что не делаю),
Вам, очевидно, не нужно lo для доступа в Интернет. Но возможно у Вас есть локальный сервер DNS (средство передачи) выполнение. DNS использует UDP, и веб-доступ требует DNS в дополнение к HTTP.
Ваши правила не позволяют (связал) ответы ICMP BTW. Это, вероятно, приведет к проблемам (если Вы не будете использовать пониженные значения для MSS/MTU). Но Вы даже не позволяете исходящий ICMP так, чтобы путь исследование MTU would't даже работал.
Это будет зависеть от действительно ли INPUT и/или OUTPUT цепочки установлены на ACCEPT несопоставленные пакеты. Если они, Вам не нужны никакие правила вообще. Если Вы не изменили его, это - вероятно, значение по умолчанию.
Те последние 2 правила позволяют любой трафик от или до lo интерфейс (т.е. 127.0.0.1/:: 1), не просто UDP. Если Вы не соединяетесь с веб-сервером на локальном рабочем столе, у них нет отношения к HTTP.
-
1, "Если Вы не подключаете к веб-серверу на локальном рабочем столе... отношения к HTTP": это что я хотя также. Политика по умолчанию, ПРИНИМАЮТ для всего IN./FORW/OUT. Самые последние правила
-j DROPдля IN./FORD/OUT. Тем не менее, существует что-то в сети или машине, которая является, требует, чтобы работали пакеты UDP, отправленные на петлевой интерфейс для доступа в Интернет. Я проверил журналы: UDP к/отloбыли отброшены и именно тогда я не мог получить доступ к Интернету. Доступ в Интернет возвращается путем разрешения tcp/udp/etc на петлевом интерфейсе. Это странно. – dgo.a 29.06.2013, 10:42
Я могу делайте только предположения, потому что вы не указали свои политики по умолчанию. Найдено в верхней части вывода iptables -S . Я предполагаю, что вы вводите ограничения, и у вас есть что-то вроде этого.
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP
Отлично! Теперь ваша машина полностью невидима, с завязанными глазами, привязанными и завязанными кляпами по отношению к IP-пакетам. Это почти так же хорошо, как отключить его от сети Ethernet.
Итак, если вы хотите иметь надежду в этом жестоком, темном мире, вам придется установить некоторые правила, чтобы принимать некоторые пакеты, возможно, встретить кого-нибудь с ножом, чтобы перерезать ваши веревки, но какие пакеты правильные One?
Требуется правило вывода, чтобы разрешить пакетам достигать портов, используемых серверами для трафика http / https
-A OUTPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
Правило INPUT необходимо, чтобы разрешить пакеты в ваш браузер с портов, используемых для трафика http / https.
-A INPUT -p tcp -m multiport --sports 80,443 -m conntrack --ctstate ESTABLISHED -j ACCEPT
Теперь вы можете УСТАНОВИТЬ НОВЫЕ http / https-соединения из своего веб-браузера и получать информацию, возвращающуюся через эти УСТАНОВЛЕННЫЕ соединения.
В чем проблема? Невозможно получить информацию о DNS, вы должны иметь возможность вводить IP-адреса веб-сайтов, которые хотите посетить, в своем веб-браузере, но это не совсем то, что мы хотим. Трафик DNS обрабатывается через порт 53 по протоколу UDP.
-A OUTPUT -p udp --dport 53 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
И чтобы получить эти удобные ответы, нам нужно проделать еще несколько отверстий в этой повязке на глаза.
-A INPUT -p udp --sport 53 -m conntrack --ctstate ESTABLISHED -j ACCEPT
Теперь есть свет, его можно услышать, скажем, если вы сделаете DNS-запрос к одному из серверов Google.
dig @8.8.8.8 slashdot.org
Такой ответ! Но, возможно, ваш браузер все еще не может понять, где на самом деле находится slashdot в мире. По крайней мере, один дистрибутив (Ubuntu) настроен для использования внутреннего DNS-прокси, поэтому вам нужно будет иметь возможность разговаривать с самим собой (остальной мир в любом случае скучен), установив правила, позволяющие вам общаться в качестве сервера на порт 53
-A OUTPUT -o lo -p udp --sport 53 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A INPUT -i lo -p udp --dport 53 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
Обратите внимание на тонкую разницу между этими правилами «Я - мой собственный сервер» и предыдущими «Я просто хочу увидеть мировые правила». Также -o lo и -i lo указывают, что этот сервер будет обслуживать только эту машину, что является хорошей мерой, чтобы избежать втягивания в некоторые сложные атаки типа возврата DNS.
Теперь вы должны увидеть, что ваш браузер снова работает.