Pan Kot

To oznacza, że ktoś grzebał przy systemowych bibliotekach i nawet nie zdaje sobie z tego sprawy .

Nie pytaj .

Limitów nie ma, ale od zawsze było, że po przekroczeniu 5 TB rura Ci się skraca do tam 20 czy 10 mbps. W każdym kebabie.

Kimsyf ze starej oferty to Intel Atom N2800, 2 GB ramu, 500 GB dysk, 100 mbps rura i 5 TB transferu w cenie 20 zł / miesiąc (było 15, ale potem doszedł anty-ddos). API masz tutaj: https://api.ovh.com/console/ A regułek nie ma 20, tylko 100 .

O, doszło do tej sytuacji, o której wspominałem jakiś czas temu - użytkownicy chcą pozwać darmowy hosting za nie bycie już darmowym .

Jeśli chcesz wydajności to sumuj całość - ipset, multiport, a nawet takie rozwiązania jak firewall CSF się sprawdzą. Jak chcesz to zrobić po swojemu, musisz sam przetestować jak wydajne (lub też i nie) to będzie. Przy regułkach iptables głównie bierze udział procesor, Jeśli nie masz innych regułek, lub jesteś zaprawiony z iptables to możesz sobie zrobić regułę na -j ACCEPT poprawnych pakietów, które nie są SYNami, a pod tą regułką wrzucić tamte. Efekt końcowy będzie taki, że pakiety nie-synowe pójdą już w pierwszej regule, a przez resztę reguł przejdą tylko syny. Tyle, że nie mam pojęcia jak będzie z wydajnością takiego rozwiązania - na ogół się mówi, że powyżej 1k regułek iptables już spowalnia.

Nie zrobisz tego jedną regułą. Jedna reguła = traktowanie wszystkiego jako całość, możesz użyć -m multiport i --dports zamiast --dport, ale w tym wypadku prawdopodobnie również będzie sumował całość, a nie oddzielnie.

Z doświadczenia wiem, że regułki oparte o kraj są naprawdę słabe. Lepiej logować podejrzane zachowania (access.log + error.log) i napisać sobie własne filtry chociażby do fail2bana (jest naprawdę mocno modularny), tak żeby wycinać IPki w zależności od przewinień, aniżeli kraju z którego pochodzą. Oczywiście zrobisz jak uważasz.

Co ty, w serwery TS3 nikomu się nie chce pakować. Ja mam swój, ładnie przeze mnie określany na publiczno-prywatny - serwer jest dla mnie i znajomych (prywatny), ale nie mam nic przeciw, żeby przebywały na nim również osoby "spoza" kręgu wybranych, tak długo póki nie sprawiają problemów reszcie użytkowników. W ten sposób z początkowej ilości 10-20 osób, dziś zrobiło się 200, a mój serwer nie jest nigdzie reklamowany, poza jednym moim postem na jednym forum, które mnie bezpośrednio dotyczy, i jest to bardziej informacja, aniżeli reklama. Koszt prowadzenia takiego serwera to 20 zł miesiąc. Tak, 20 zł / miesiąc, jak doliczysz domenę, która nie jest obowiązkowa, to wyjdzie w porywach do 23 zł na miesiąc. Ale jak widać można również prowadzić serwer za 170 zł na miesiąc i wydawać 4 stówy na założenie profesjonalnego "firewalla". I jeszcze potem po forach sponsorów szuka taki jeden z drugim, a ich użytkownicy darzą ich takim ogromnym respektem, że nawet złotówki jak ich o to poproszą się nie dorzucą . Widać z góry, że użytkownicy mają głęboko gdzieś ten serwer, a ktoś tu na siłę próbuje nie wiem, pochwalić się liczbą userów? Podbudować sobie ego? Nie wiem, może to ja mam jakieś inne zasady na swoich usługach, że użytkownik ma jasno w regulaminie napisane, że używanie tego serwera to przywilej, a nie prawo . Nie podoba się - są inne serwery, nie będę u siebie nikogo na siłę trzymał. Efekt jest taki, że użytkownicy są wdzięczni za to, że mogą korzystać z mojego serwera, a nie mają go głęboko gdzieś i wprost adminowi mówią, że ch*ja dostanie . Jakby mi tak ktoś powiedział to od razu bana na pożegnanie by dostał. Zastanów się czy to co robisz ma jakikolwiek sens. I mówię to w dobrej wierze, bo jeśli wydajesz po 170 zł na miesiąc na serwer, 4 stówy na firewalla, dochodzi Ci koszt licencji TS'a i za to wszystko dostajesz figę z makiem, to jednak oznacza że coś tu jest nie tak. Może warto jednak przestać tracić czas i pieniądze na rzeczy, których nikt nie docenia i które ktoś ma głęboko w poważaniu? Zupełnie inaczej tworzy się rzeczy "dla siebie" niż "pod gimbazę", a jeśli ktokolwiek sądzi, że na TSie cokolwiek dzisiaj zarobi, czy to reklamą czy renomą, to powinien trzy razy walnąć głową w ścianę, bo wspieranie serwera TS przez docelowy target (gimbazę) jest ostatnią rzeczą, jaką można zrobić. Mi na ten przykład, nigdy nie zależało, nie zależy i nie będzie zależeć na zostaniu "krulem" gimbazowych teamspeaków, bo zamiast sobie ze znajomymi zagrać partyjkę w ulubioną grę to będę musiał banować osoby, które nie znają swojego miejsca. A tak każdy się szanuje, panuje miła i przyjemna atmosfera, a jak ktoś nieogarnięty się przypadkiem zagubi to szybko jest stawiany do pionu i podporządkowuje się, albo wychodzi.

Ja też ni cholery nie zrozumiałem.

Bo używasz ipsetu, który sumuje wszystko do całości. #!/bin/bash MAX="5" PORTY="5000 5001 5002 5003 5004 5005" for PORT in $PORTY; do iptables -A INPUT -p tcp --syn --dport $PORT -m connlimit --connlimit-above $MAX -j REJECT --reject-with tcp-reset done Pomysł do poprawienia we własnym zakresie przez czytelnika.

Pierdzielisz pan . http://uptime.justarchi.net/1116439/history Oprócz ostatniej "dużej" awarii łącza do GRA1 (34m downtime) nie zaobserwowałem żadnej większej niedostępności usługi na przestrzeni co najmniej tego roku. Raz w maju w nocy coś robili z łączem koło 2 w nocy i to by było na tyle. Dyski się monitoruje smartem, rzadko same z siebie padają. Podobnie jest z ramem, CPU i resztą podzespołów, w większości przypadków można przewidzieć, że coś walnie. Jeśli walnie podzespół - CPU, RAM to OVH z marszu wymieniają w serwerowni bez pytania, o ile masz włączony monitoring w panelu. Jak walnie dysk to w zasadzie też. Może to ja mam farta i trafiam na sytuacje, w których downtime nie przekracza godziny (a tak, mam kilka serwerów i zdarzały się już awarie).

OVH udostępnia API z większością funkcji, które nie są do wyklikania w panelu. Mój na ten przykład poza trybem stałym filtrowania (nie auto), ma jeszcze zablokowane na firewallu (od OVH) porty których nie używam, a że większość dzieciarni nie wali w 9987 tylko w "random" to 80% mocy ataku odbija się od samego OVHowskiego firewalla, a pozostałe 20% jest wycinane w mgnieniu oka przez anty-ddos. A jeśli nawet ktoś mądrzejszy walnie w 9987 to OVH to wycina w ciągu kilku sekund, a to co doleci nawet nie dotyka usług tylko jest dropowane przez kernel, a konkretnie CSF'a ze statusem invalid. Tak jak mówiłem, trzeba się znać, a nie udawać że się zna. Do końca życia nie zrozumiem jak w OVH komukolwiek może się opłacać to, co dostaje za 20 zł, nie zrozumiem po prostu tego, ale potrafię to docenić i zrobić z tego użytek. Poziom absurdu doszedł do tego stopnia, że jeśli ochrona anty-ddos jednego serwera w OVH by mi nie wystarczyła, to bym dokupił drugi serwer i load balancing zrobił.

Przepraszam, jeszcze raz, że co proszę? Mam serwer TS'a z licencją NPL na którym siedzi średnio 200 osób w godzinach szczytu, cała maszyna stoi na kimsyfie ze starej oferty o zaskakująco dużym koszcie 20 zł / miesiąc. Nie raz i nie dwa leciały prawdziwe DDoSy i żaden do tej pory serwera nie położył . Po prostu trzeba się znać, a nie udawać że się zna. Za 170 zł to można całą sieć serwerów o sumie ~10k slotów założyć.

Wiesz, decyzja należy do Ciebie . Jeśli ufasz osobom, które mają dostęp do zmian w configach to możesz zaryzykować, zacisnąć zęby i dostęp dać, chociaż ja nawet w takiej sytuacji preferowałbym dać dostęp po panelu, tym bardziej że wszystko z niego można wyklikać, włącznie z dyrektywami vhosta w nginxie.

Najprościej zrobić tak jak pisał spindritf w #11. Jeśli chcesz to zrobić całkowicie bezstratnie to musisz (niestety) postawić dwa serwery, które są całkowicie ze sobą zsynchronizowane w obydwie strony (wyżej wspomniany już imapsync), następnie zmienić rekord DNS i przez co najmniej te ~24-48h przeczekać falę zmian, następnie stary serwer możesz już wyłączyć i synchronizację również. Na ogół nie warto sobie tak utrudniać życia, bo większość serwerów/klientów respektuje w zupełności TTL i jeśli zrobisz to dobrze w nocy to szansa, że jakiś mail nie zostanie wysłany za pierwszym razem jest dość niska, a nawet i w takim wypadku przez 7 dni będą ponowne próby.

To będzie straszne co powiem, ale najbezpieczniejszym rozwiązaniem jest użycie frontendu dla usera, bez dostępu do backendu. Ja np. polecam panel ISPConfig, działa z moim ukochanym nginxem, user jest w stanie sobie założyć stronę, ustawić jej limity, klienta ftp, a nawet nginxowe rewrite'y sobie napisać. Poza tym do samej możliwości pisania configów dochodzi Ci jeszcze fakt ich weryfikacji, bo jeśli każdemu z userów dasz możliwość restartowania apache'a/nginxa po każdej zmianie to będziesz miał taki młyn na serwerze, że to poezja, a do tego dochodzi jeszcze sytuacja w której config będzie miał np. syntax errora i usługa już nie wstanie, np. po restarcie. Generalnie, jak nie jeden, to inny, ale panel, obowiązkowo, ew. jak masz siłę to własne rozwiązanie oparte o podobny scenariusz. Przy panelu jesteś swiadomy tego co user może wyklikać, a np. taki ISPConfig pomimo, że udostępnia doklejanie własnych linijek do configów vhostów, to jeszcze je weryfikuje (to czy nginx wstanie po restarcie, jeśli nie - przywraca "fallback"). Poza tym bardziej ufam open-sourceowym rozwiązaniom i ludziom, którzy doprecyzowali co user może wpisać w okienku niż własnym (nawet dość dobrym) skryptom, które mogą nie wychwycić wszystkiego. Korzystając z jakiegoś panelu zawsze jest szansa, że ktoś inny kiedyś już wpadł na podobny problem i go załatał. Stosowanie własnych rozwiązań to takie wpadanie i podnoszenie się z rowów .

Zasada #1 nagłych awarii w OVH, wchodzisz na http://travaux.ovh.net/, bierzesz jeden z pierwszych na górze i wrzucasz w translator .

Coś tam chyba wiedzą .

Tracing route to archi.justarchi.net [37.187.21.115] over a maximum of 30 hops: 1 1 ms <1 ms <1 ms 192.168.0.1 2 30 ms 23 ms 21 ms 89-72-128-1.dynamic.chello.pl [89.72.128.1] 3 12 ms 10 ms 10 ms 89-75-2-161.infra.chello.pl [89.75.2.161] 4 13 ms 13 ms 10 ms 84.116.253.229 5 8 ms 9 ms 12 ms pl-waw04a-rd1-ae13-2163.aorta.net [84.116.252.25] 6 11 ms 12 ms 13 ms 84.116.135.225 7 11 ms * 8 ms var-1-6k.pl.eu [213.251.130.69] 8 * * * Request timed out. 9 100 ms * 35 ms fra-1-6k.de.eu [213.251.128.113] 10 34 ms 35 ms 37 ms sbg-g1-a9.fr.eu [91.121.128.127] 11 * * * Request timed out. 12 1280 ms 1261 ms * vac1-0-a9.fr.eu [178.33.100.154] 13 * * * Request timed out. 14 1246 ms * * vac1-0-a9.fr.eu [178.33.100.154] 15 * * * Request timed out. 16 1251 ms * * vac1-0-a9.fr.eu [178.33.100.154] 17 * * * Request timed out. 18 * * * Request timed out. 19 * * * Request timed out. 20 * * * Request timed out. U mnie całkowicie nieprzejezdna . Też z UPC.

Yup, jakaś rura poszła. Trasa Polska - Francja do GRA1 nieprzejezdna. Z innych końców świata działa. LXDE od siebie bardzo gorąco polecam jeśli nie masz niewiadomo jakich wymagań i preferujesz "klasyczny" desktop. Każdy ma oczywiście swój gust, ale jak dla mnie to najszybsze i jednocześnie najładniejsze GUI jakie do tej pory znalazłem. Błyskotek nie ma, ale jest wszystko co potrzebne, a responsywność, zużycie prądu i pamięci jest najlepsze chyba ze wszystkich dziś dostępnych GUI.

To może zabrzmieć śmiesznie, ale wrzuć na pendrive'a/płytę jakąś dystrybucję Linuxa LiveCD z firmwarem (np. Linux Mint, Ubuntu) i spróbuj stamtąd odpalić Wi-Fi. Jak zadziała: winny windows - sterowniki, ich brak, OS i wszystko co się tyczy winzgrozy. Jeśli nie: winny sprzęt, prawdopodobnie karta sieciowa poszła.

DNSy są lepsze z prostego powodu - serwery DNS w 99.9% przypadków mają większy uptime i generalnie niższą awaryjność niż serwery hostujące strony. Do tego schodzi Ci potencjalny overhead, który wynika z rozrzucania requestów w samym nginxie. W większości przypadków loadbalancing na DNSach będzie lepszy.

Ja korzystam od dawna z LXDE. Jest cholernie szybkie, dość ładne, i nie mam zbyt dużych potrzeb od desktopu poza bardzo podstawowymi czynnościami.