小知识记录：第四篇

1.裸设备与文件系统IO性能结合Oracle说明20问
-----------------------------------------------------------------------
裸设备，也叫裸分区（原始分区），是一种没有经过格式化，不被Unix通过文件系统来读取的特殊字符设备。本文收集裸设备和Oracle问答20例。
　　1．什么叫做裸设备？
裸设备，也叫裸分区（原始分区），是一种没有经过格式化，不被Unix通过文件系统来读取的特殊字符设备。它由应用程序负责对它进行读写操作。不经过文件系统的缓冲。
　　2．如何辨别裸设备？
　　在Unix的/dev 目录下，有许多文件，其中有两个大类：字符设备文件和块设备文件。
　　字符设备特殊文件进行I/O操作不经过操作系统的缓冲区，而块设备特殊文件用来同外设进行定长的包传输。字符特殊文件与外设进行I/o操作时每次只传输一个字符。而对于块设备特殊文件来说，它用了cache机制，在外设和内存之间一次可以传送一整块数据。裸设备使用字符特殊文件。在/dev 目录下，你可以看到许多这样的文件。
　　3．使用裸设备的好处
　　因为使用裸设备避免了再经过Unix操作系统这一层，数据直接从Disk到Oracle进行传输，所以使用裸设备对于读写频繁的数据库应用来说，可以极大地提高数据库系统的性能。当然，这是以磁盘的 I/O 非常大，磁盘I/O已经称为系统瓶颈的情况下才成立。如果磁盘读写确实非常频繁，以至于磁盘读写成为系统瓶颈的情况成立，那么采用裸设备确实可以大大提高性能，最大甚至可以提高至40％，非常明显。
　　而且，由于使用的是原始分区，没有采用文件系统的管理方式，对于Unix维护文件系统的开销也都没有了，比如不用再维护I-node，空闲块等，这也能够导致性能的提高。
　　4．如何决定是否应该使用裸设备？
　　判断是否使用裸设备要从以下方面进行考虑：首先，数据库系统本身需要已经被比较好的经过了优化。优化是一门很有些技术的话题，很难简单地讲述。其次，使用Unix命令来辨别是否存在磁盘读写瓶颈。比如Unix的vmstat, sar 等命令都可以较好的进行鉴别。如果决定采用裸设备，需要磁盘上还有空闲的分区。否则，就要新添磁盘，或者对原有系统重新规划。
　　5．什么系统必须使用裸设备？
　　如果使用了Oracle 并行服务器选项，则必须采用裸设备来存放所有的数据文件，控制文件，重做日志文件。只有把这些文件放到裸设备上，才能保证所有Oracle 实例都可以读取这个数据库的文件。这是由Unix操作系统的特性决定的。
　　还有一种情况是，如果你想使用异步I/O，那么在有些Unix上也必须采用裸设备。这个需要参考具体Unix的相关文档。
6．能够使用一个磁盘的第一个分区作为裸设备吗？
　　可以，但是不推荐。在Unix的比较旧的版本是银行，磁盘的第一个分区常常包含这个磁盘的一些信息，以及逻辑卷的一些控制信息。若这些部分被裸设备覆盖的话，磁盘就会变得不可识别，导致系统崩溃。
　　较新的Unix版本不会发生这样的情况，因为它们采用了更复杂的技术来管理磁盘，逻辑卷的一些信息。
　　但是，除非很确信不要使用磁盘的第一个分区来作为裸设备。
　　7．我可以把整个裸设备都作为Oracle的数据文件吗？
　　不行。必须让数据文件的大小稍微小于该裸设备的实际大小。至少要空出两个oracle块的大小来。
　　8．裸设备应该属于那个用户？
　　应该由root来创建裸设备，然后再分配给Oracle用户以供使用。同时还要把它归入Oracle用户所在的那个组里边（通常都是DBA）。
　　9．在创建数据文件时如何指定裸设备？
　　和普通文件没有什么太大的区别，一样都是在单引号里边写上裸设备的详细路径就可以了。举一个例子：要在创建一个表空间，使用两个裸设备，每个分别为30M的大小，Oracle块的大小为4K，可以用下面的命令：
　　CREATE TABLESPACE RAW_TS
　　DATAFILE '/dev/raw1' size 30712k
　　DATAFILE '/dev/raw2' size 30712k;
　　10.Oracle块的大小和裸设备有什么关系吗？
　　Oracle会必须是裸设备上物理块大小的倍数。
　　11．如何在裸设备上进行备份？
　　在裸设备上，不能使用Unix实用程序来进行备份，唯一的办法是使用最基本的Unix命令：DD来进行备份。比如：dd if=/dev/raw1 of=/dev/rmt0 bs=16k。dd的具体语法可以参考unix手册，或者联机帮助。你也可以先用dd把裸设备上的数据文件备份到磁盘上，然后再利用Unix实用程序进一步处理。
　　12．如果我没有使用Oracle并行服务器选项，我可以在数据库上让一部分数据文件使用文件系统，另一部分使用裸设备吗？
　　可以。但是这样的话，会使备份过程更加复杂。
13．我应该把联机重做日志文件放到裸设备上吗？
　　这是一个极好的选择。联机重做日志文件是写操作非常频繁的文件，放到裸设备上非常合适。如果你使用了并行服务器选项，那么联机重做日志文件必须放到裸设备上面。
　　14．可以把归档日志文件放到裸设备上吗？
　　不行。归档日志文件必须放到常规的Unix文件系统上面，或者直接放到磁带上面去。
　　15．我可以在裸设备上边放置多个数据文件吗？
　　不行。所以你必须在设置裸设备时非常小心。太小的话，会导致空间很快用完，太大的话，空间就白白浪费了。
　　16．因应该把几个裸设备放到同一个物理磁盘上吗？
　　这样做不好。因为使用裸设备就是为了提高磁盘读写速度。而把多个裸设备放到同一个物理磁盘上会导致读写竞争，这样对于提高I/O速度是不利的。应该尽量分散裸设备到不同的物理磁盘上，最好是分散到不同的磁盘控制器上。这是最佳选择。
　　17．需要把所有裸设备都定义成同样的大小吗？
　　这不是必须得，但是划分成同样的大小对于管理数据库比较有利。
　　18．为了在Unix上使用裸设备，我需要改变Unix核心参数吗？
　　不需要。但可以选择减小缓冲区的大小，如果没有别的应用也在同一台Unix机器上运行。因为运用了裸设备以后，不再使用Unix的系统缓冲区。
　　19．为了提高读写速度，在操作系统级别上，还有什么办法可以采取吗？
　　使用RAID（廉价冗余磁盘阵列）也是非常有效的办法，尤其实那种读写非常频繁的系统。
　　20．在考虑了以上所有方面后，还能有什么办法可以提高性能的吗？
　　这就需要对Oracle 进行优化，并且购买更多的磁盘和磁盘控制器，来分散I/O到不同的磁盘上。
注：摘自网上，时间较久，可能不准
-----------------------------------------------------------------------

2.IPtables中SNAT、DNAT和MASQUERADE的含义
-----------------------------------------------------------------------
SNAT是source networkaddress translation的缩写，即源地址目标转换。比如，多个PC机使用ADSL路由器共享上网，每个PC机都配置了内网IP，PC机访问外部网络的时候，路由器将数据包的报头中的源地址替换成路由器的ip，当外部网络的服务器比如网站web服务器接到访问请求的时候，他的日志记录下来的是路由器的ip地址，而不是pc机的内网ip，这是因为，这个服务器收到的数据包的报头里边的“源地址”，已经被替换了，所以叫做SNAT，基于源地址的地址转换。

DNAT是destination networkaddress translation的缩写，即目标网络地址转换，典型的应用是，有个web服务器放在内网配置内网ip，前端有个防火墙配置公网ip，互联网上的访问者使用公网ip来访问这个网站，当访问的时候，客户端发出一个数据包，这个数据包的报头里边，目标地址写的是防火墙的公网ip，防火墙会把这个数据包的报头改写一次，将目标地址改写成web服务器的内网ip，然后再把这个数据包发送到内网的web服务器上，这样，数据包就穿透了防火墙，并从公网ip变成了一个对内网地址的访问了，即DNAT，基于目标的网络地址转换。

MASQUERADE，地址伪装，算是snat中的一种特例，可以实现自动化的snat。

在iptables中有着和SNAT相近的效果，但也有一些区别，但使用SNAT的时候，出口ip的地址范围可以是一个，也可以是多个，例如：

如下命令表示把所有10.8.0.0网段的数据包SNAT成192.168.5.3的ip然后发出去，
iptables-t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source192.168.5.3

如下命令表示把所有10.8.0.0网段的数据包SNAT成192.168.5.3/192.168.5.4/192.168.5.5等几个ip然后发出去
iptables-t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source192.168.5.3-192.168.5.5

这就是SNAT的使用方法，即可以NAT成一个地址，也可以NAT成多个地址，但是，对于SNAT，不管是几个地址，必须明确的指定要SNAT的ip，假如当前系统用的是ADSL动态拨号方式，那么每次拨号，出口ip192.168.5.3都会改变，而且改变的幅度很大，不一定是192.168.5.3到192.168.5.5范围内的地址，这个时候如果按照现在的方式来配置iptables就会出现问题了，因为每次拨号后，服务器地址都会变化，而iptables规则内的ip是不会随着自动变化的，每次地址变化后都必须手工修改一次iptables，把规则里边的固定ip改成新的ip，这样是非常不好用的。

MASQUERADE就是针对这种场景而设计的，他的作用是，从服务器的网卡上，自动获取当前ip地址来做NAT。
比如下边的命令：
iptables-t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE

如此配置的话，不用指定SNAT的目标ip了，不管现在eth0的出口获得了怎样的动态ip，MASQUERADE会自动读取eth0现在的ip地址然后做SNAT出去，这样就实现了很好的动态SNAT地址转换。
-----------------------------------------------------------------------

3.iptables TCPOPTSTRIP
iptables -t mangle -A POSTROUTING -p tcp -j TCPOPTSTRIP --strip-options timestamp
-j TCPOPTSTRIP表示将从tcp数据包删除选项，--strip-options timestamp指定删除选项为时间戳

4.iptables 的mangle表
mangle表的主要功能是根据规则修改数据包的一些标志位，以便其他规则或程序可以利用这种标志对数据包进行过滤或策略路由。
内网的客户机通过Linux主机连入Internet，而Linux主机与Internet连接时有两条线路，它们的网关如图所示。现要求对内网进行策略路由，所有通过TCP协议访问80端口的数据包都从ChinaNet线路出去，而所有访问UDP协议53号端口的数据包都从Cernet线路出去。
这是一个策略路由的问题，为了达到目的，在对数据包进行路由前，要先根据数据包的协议和目的端口给数据包做上一种标志，然后再指定相应规则，根据数据包的标志进行策略路由。为了给特定的数据包做上标志，需要使用mangle表，mangle表共有5条链，由于需要在路由选择前做标志，因此应该使用PREROUTING链，下面是具体的命令。
iptables -t mangle -A PREROUTING -i eth0 -p tcp
--dport 80 -j MARK --set- mark 1
iptables -t mangle -A PREROUTING -i eth0 -p udp
--dprot 53 -j MARK --set- mark 2
以上命令在mangle表的PREROUTING链中添加规则，为来自eth0接口的数据包做标志，其匹配规则分别是TCP协议、目的端口号是80和UDP协议、目的端口号是53，标志的值分别是1和2。数据包经过PREROUTING链后，将要进入路由选择模块，为了对其进行策略路由，执行以下两条命令，添加相应的规则。

ip rule add from all fwmark 1 table 10
ip rule add from all fwmark 2 table 20
以上两条命令表示所有标志是1的数据包使用路由表10进行路由，而所有标志是2的数据包使用路由表20进行路由。路由表10和20分别使用了ChinaNet和Cernet线路上的网关作为默认网关，具体设置命令如下所示。

ip route add default via 10.10.1.1 dev eth1 table 10
ip route add default via 10.10.2.1 dev eth2 table 20
以上两条命令在路由表10和20上分别指定了10.10.1.1和10.10.2.1作为默认网关，它们分别位于ChinaNet和Cernet线路上。于是，使用路由表10的数据包将通过ChinaNet线路出去，而使用路由表20的数据包将通过Cernet线路出去。

参考：https://blog.csdn.net/wangcg123/article/details/91361233

5.ip命令讲解
https://www.jianshu.com/p/b13d0cf7177f

6.iptables raw表
RAW表可以应用在那些不需要做nat的情况下，以提高性能。如大量访问的web服务器，可以让80端口不再让iptables做数据包的链接跟踪处理，以提高用户的访问速度。

7.iptables表的处理顺序
基本步骤如下：
1. 数据包到达网络接口，比如 eth0。
2. 进入 raw 表的 PREROUTING 链，这个链的作用是赶在连接跟踪之前处理数据包。
3. 如果进行了连接跟踪，在此处理。
4. 进入 mangle 表的 PREROUTING 链，在此可以修改数据包，比如 TOS 等。
5. 进入 nat 表的 PREROUTING 链，可以在此做DNAT，但不要做过滤。
6. 决定路由，看是交给本地主机还是转发给其它主机。
到了这里我们就得分两种不同的情况进行讨论了，一种情况就是数据包要转发给其它主机，这时候它会依次经过：
7. 进入 mangle 表的 FORWARD 链，这里也比较特殊，这是在第一次路由决定之后，在进行最后的路由决定之前，我们仍然可以对数据包进行某些修改。
8. 进入 filter 表的 FORWARD 链，在这里我们可以对所有转发的数据包进行过滤。需要注意的是：经过这里的数据包是转发的，方向是双向的。
9. 进入 mangle 表的 POSTROUTING 链，到这里已经做完了所有的路由决定，但数据包仍然在本地主机，我们还可以进行某些修改。
10. 进入 nat 表的 POSTROUTING 链，在这里一般都是用来做 SNAT ，不要在这里进行过滤。
11. 进入出去的网络接口。完毕。
另一种情况是，数据包就是发给本地主机的，那么它会依次穿过：
7. 进入 mangle 表的 INPUT 链，这里是在路由之后，交由本地主机之前，我们也可以进行一些相应的修改。
8. 进入 filter 表的 INPUT 链，在这里我们可以对流入的所有数据包进行过滤，无论它来自哪个网络接口。
9. 交给本地主机的应用程序进行处理。
10. 处理完毕后进行路由决定，看该往那里发出。
11. 进入 raw 表的 OUTPUT 链，这里是在连接跟踪处理本地的数据包之前。
12. 连接跟踪对本地的数据包进行处理。
13. 进入 mangle 表的 OUTPUT 链，在这里我们可以修改数据包，但不要做过滤。
14. 进入 nat 表的 OUTPUT 链，可以对防火墙自己发出的数据做 NAT 。
15. 再次进行路由决定。
16. 进入 filter 表的 OUTPUT 链，可以对本地出去的数据包进行过滤。
17. 进入 mangle 表的 POSTROUTING 链，同上一种情况的第9步。注意，这里不光对经过防火墙的数据包进行处理，还对防火墙自己产生的数据包进行处理。
18. 进入 nat 表的 POSTROUTING 链，同上一种情况的第10步。
19. 进入出去的网络接口。完毕。
iptables raw表的使用
增加raw表，在其他表处理之前，-j NOTRACK跳过其它表处理
状态除了以前的四个还增加了一个UNTRACKED
例如：
可以使用 “NOTRACK” target 允许规则指定80端口的包不进入链接跟踪/NAT子系统
iptables -t raw -A PREROUTING -d 1.2.3.4 -p tcp --dport 80 -j NOTRACK
iptables -t raw -A PREROUTING -s 1.2.3.4 -p tcp --sport 80 -j NOTRACK
iptables -A FORWARD -m state --state UNTRACKED -j ACCEPT

8.Linux内核参数之rp_filter
----------------------------------------------------------------------
rp_filter参数用于控制系统是否开启对数据包源地址的校验。
rp_filter参数有三个值，0、1、2，具体含义：
0：不开启源地址校验。
1：开启严格的反向路径校验。对每个进来的数据包，校验其反向路径是否是最佳路径。如果反向路径不是最佳路径，则直接丢弃该数据包。
2：开启松散的反向路径校验。对每个进来的数据包，校验其源地址是否可达，即反向路径是否能通（通过任意网口），如果反向路径不同，则直接丢弃该数据包。

如果这时候开启了rp_filter参数，并配置为1，则系统会严格校验数据包的反向路径。从路由表中可以看出，返回响应时数据包要从eth0网卡出，即请求数据包进的网卡和响应数据包出的网卡不是同一个网卡，这时候系统会判断该反向路径不是最佳路径，而直接丢弃该请求数据包。（业务进程也收不到该请求数据包）
解决办法：
1.修改路由表，使响应数据包从eth1出，即保证请求数据包进的网卡和响应数据包出的网卡为同一个网卡。
2.关闭rp_filter参数。（注意all和default的参数都要改）
1)修改/etc/sysctl.conf文件，然后sysctl -p刷新到内存。
2)使用sysctl -w直接写入内存：sysctl -w net.ipv4.conf.all.rp_filter=0
3)修改/proc文件系统： echo "0">/proc/sys/net/ipv4/conf/all/rp_filter

开启rp_filter参数的作用
1. 减少DDoS攻击
校验数据包的反向路径，如果反向路径不合适，则直接丢弃数据包，避免过多的无效连接消耗系统资源。
2. 防止IP Spoofing
校验数据包的反向路径，如果客户端伪造的源IP地址对应的反向路径不在路由表中，或者反向路径不是最佳路径，则直接丢弃数据包，不会向伪造IP的客户端回复响应。

Ps：两种常见的非法攻击手段：
1. DDos攻击(Distribute Deny of Service)
分布式拒绝服务攻击。通过构造大量的无用数据包向目标服务发起请求，占用目标服务主机大量的资源，还可能造成网络拥塞，进而影响到正常用户的访问。
2. IP Spoofing（IP欺骗）
IP Spoofing指一个客户端通过伪造源IP，冒充另外一个客户端与目标服务进行通信，从而达到某些不可告人的秘密。
---------------------------------------------------------------------

9.MySQL 5.7 中文全文检索使用教程
---------------------------------------------------------------------
在MySQL 5.7.6之前，全文索引只支持英文全文索引，不支持中文全文索引，需要利用分词器把中文段落预处理拆分成单词，然后存入数据库。
从MySQL 5.7.6开始，MySQL内置了ngram全文解析器，用来支持中文、日文、韩文分词。
ngram全文解析器
ngram就是一段文字里面连续的n个字的序列。ngram全文解析器能够对文本进行分词，每个单词是连续的n个字的序列。
MySQL 中使用全局变量ngram_token_size来配置ngram中n的大小，它的取值范围是1到10，默认值是2。通常ngram_token_size设置为要查询的单词的最小字数。如果需要搜索单字，就要把ngram_token_size设置为1。在默认值是2的情况下，搜索单字是得不到任何结果的。因为中文单词最少是两个汉字，推荐使用默认值2。
全局变量ngram_token_size的两种设置方法：
1、启动mysqld命令时
mysqld --ngram_token_size=2

2、修改MySQL配置文件
[mysqld]
ngram_token_size=2

创建全文索引
1、创建表的同时创建全文索引
CREATE TABLE articles (
id INT UNSIGNED AUTO_INCREMENT NOT NULL PRIMARY KEY,
title VARCHAR (200),
body TEXT,
FULLTEXT (title, body) WITH PARSER ngram
) ENGINE = INNODB;

2、通过 alter table 的方式来添加
ALTER TABLE articles ADD FULLTEXT INDEX ft_index (title,body) WITH PARSER ngram;

3、直接通过create index的方式
CREATE FULLTEXT INDEX ft_index ON articles (title,body) WITH PARSER ngram;

全文检索模式
常用的全文检索模式有两种：
1、自然语言模式(NATURAL LANGUAGE MODE) ，
自然语言模式是MySQL 默认的全文检索模式。自然语言模式不能使用操作符，不能指定关键词必须出现或者必须不能出现等复杂查询。
2、BOOLEAN模式(BOOLEAN MODE)
BOOLEAN模式可以使用操作符，可以支持指定关键词必须出现或者必须不能出现或者关键词的权重高还是低等复杂查询。
----------------------------------------------------------------

10.iptables限制同一IP连接数，防防CC/DDOS攻击
----------------------------------------------------------------
启动sftp本机的iptables防火墙功能，限制每个ip连接22端口（sftp连接端口即是ssh端口）最大为50个，当超过50后的连接数的流量就会被DROP掉！
同时iptables需要开放50000-65535范围的端口的访问（linux系统最大的端口为65535）

cat /etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
#-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 50 --connlimit-mask 0 -j DROP
-A INPUT -m state --state NEW -m tcp -p tcp --dport 50000:65535 -j ACCEPT
#-A INPUT -j REJECT --reject-with icmp-host-prohibited //注意这两行需要注释掉！否则设置的策略无效！
#-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

=================================解释说明===========================================
上面限制端口连接数主要用到的模块是connlimit。
-A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 50 --connlimit-mask 0 -j DROP
说明输入的目标端口是22，也就是访问sftp本机22端口的流量，如果连接数大于50，则DROP流量，connlimit-above这个是连接数的统计，
如果大于50就满足条件，connlimit-mask这个是定义那组主机，此处跟的一个数值是网络位，即子网掩码，也就是connlimit-mask 0 这个ip组的连接数大于connlimit-above 50则DROP掉！

总体描述为流量过滤端口和连接数以及网络位，如果满足第一条，则拒绝，流量不再匹配下边的规则，如果不匹配，则第二条规则会允许流量。
--connlimit-mask 0 即子网掩码为0，表示所有的ip，也就是说不管什么ip，只要连接此服务器的22端口超过3个，则DROP。

如果将--connlimit-mask 0去掉，则子网掩码默认是32，也就是说某个ip连接此服务器的22端口超过50个，则DROP掉！
如果有51台机器，每台机器连接一个，则不会被DROP掉！

也就是说connlimit-above 3这个的数量所限制的区域是由--connlimit-mask 0而定！
================iptables限制同一IP连接数，防防CC/DDOS攻击================
1）限制与80端口连接的IP最大连接数为50，可自定义修改。
[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j DROP

2）使用recent模块限制同IP时间内新请求连接数。

下面策略表示：60秒有10个新连接，超过记录日志。
[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10
-j LOG --log-prefix 'DDOS:' --log-ip-options

下面策略表示：60秒10个新连接，超过丢弃数据包
[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j DROP

可以在iptables配置文件中
[root@localhost ~]# vim /etc/sysconfig/iptables //删除原来的内容输入如下内容 保存
# Generated by iptables-save v1.3.5 on Sun Dec 12 23:55:59 2010
*filter
:INPUT DROP [385263:27864079]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4367656:3514692346]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 80 -m state –state NEW -m recent –set –name WEB –rsource
-A INPUT -p tcp -m tcp –dport 80 -m state –state NEW -m recent –update –seconds 5 –hitcount 20 –rttl –name WEB –rsource -j DROP
-A INPUT -p tcp -m multiport –ports 21,22,80 -j ACCEPT
-A INPUT -p tcp -m tcp –tcp-flags SYN,RST,ACK SYN -m ttl –ttl-eq 117 -j DROP
-A INPUT -p tcp -m tcp –tcp-flags SYN,RST,ACK SYN -m length –length 0:40 -j DROP
-A INPUT -p tcp -m tcp ! –tcp-flags SYN,RST,ACK SYN -m state –state NEW -j DROP
COMMIT
# Completed on Sun Dec 12 23:55:59 2017

以上配置，说明此设定仅对外开放21(FTP),22(SSH),80(http网站）三个TCP端口。设置80端口5秒内20个连接。

/etc/init.d/iptables restar
----------------------------------------------------------------

11.wireshake抓包，包字段说明
TSV是Timestamp Value字段。它与序列号一起用于唯一地标识段（因为序列号可以换行）。
TSER是Timestamp Echo Reply字段。这在确认消息中使用。它保存上次接收到的TSV值的副本。它可用于往返时间估计（RTT=当前时间-TSER）。

12.ECMP
ECMP是一个逐跳的基于流的负载均衡策略，当路由器发现同一目的地址出现多个最优路径时，会更新路由表，为此目的地址添加多条规则，对应于多个下一跳。可同时利用这些路径转发数据，增加带宽。ECMP算法被多种路由协议支持，例如：OSPF、ISIS、EIGRP、BGP等。在数据中心架构VL2中也提到使用ECMP作为负载均衡算法。
对于未开启ECMP的网络来说，无法充分利用路径资源。如图1所示，假设从S0到Server的为S0-S1-S2-S4即图中橘色路径，那么即便存在另一条等价路径，蓝色路径，路由器仍然会每次选择第一条橘色路径转发数据。除非此条路径发生拥塞，才会重新选择路径。
当开启ECMP功能时，便可同时利用两条路径，进行基于流的负载均衡，例如主机A到Server的数据流选择橘色路径，主机B到Server的数据流选择蓝色路径。
ECMP的路径选择策略有多种方法：
哈希，例如根据源IP地址的哈希为流选择路径。
轮询，各个流在多条路径之间轮询传输。
基于路径权重，根据路径的权重分配流，权重大的路径分配的流数量更多。
存在的问题：
1.可能增加链路的拥塞
ECMP并没有拥塞感知的机制，只是将流分散到不同的路径上转发。对于已经产生拥塞的路径来说，很可能加剧路径的拥塞。而使用哈希的方法，产生哈希碰撞也会增加链路的拥塞可能。

2.非对称网络使用效果不好
例如图2中，A与h3之间的通信，ECMP只是均匀的将流通过B,D两条路径分别转发，但实际上，在B处可以承担更多的流量。因为B后面还有两条路径可以到达h3。

3.基于流的负载均衡效果不好
ECMP对于流大小相差不多的情况效果更好，而对于流大小差异较大，例如大象流和老鼠流并存的情况下，效果不好。如图2，主机h1到A的流量为15，h2到A的流量为5。那么无论为h1的流量选择哪条路径都会发生拥塞。但若将h1的流拆分成两部分传输，可以避免拥塞的情况。

以上，为使用ECMP算法进行负载均衡的分析，在数据中心这种突发性流量多，大象流与老鼠流并存的环境中，需要慎重考虑选择的负载均衡策略，ECMP简单易部署但也存在较多问题需要注意。

涉及的网络图：
h1--->A--->B--------->|h3
|---->B--->C--->|
|
h2--->A--->D-----|---->h3

13.maxmemory-policy 六种方式
volatile-lru：只对设置了过期时间的key进行LRU（默认值）
allkeys-lru ： 删除lru算法的key
volatile-random：随机删除即将过期key
allkeys-random：随机删除
volatile-ttl ： 删除即将过期的
noeviction ： 永不过期，返回错误

14.diff命令
该命令用于对比两个文件的差异
参数：
-a diff预设只会逐行比较文本文件
-b 不检查空格字符的不同
-C/c 显示全部内文，并标出不同之处
-i 不检查大小写的不同
-w 忽略全部的空格字符
-y 以并列的方式显示文件的异同之处
显示结果说明：
diff log2014.log log2013.log
---------------------
3c3
< 2014-03
---
> 2013-03
8c8
< 2013-07
---
> 2013-08
11,12d10
< 2013-11
< 2013-12
-----------------------
"3c3"和"8c8"表示log2014.log和log20143log文件在3行和第8行内容有所不同；"11,12d10"表示第一个文件比第二个文件多了第11和12行
diff log2014.log log2013.log -y -W 50
-----------------------
2013-01 2013-01
2013-02 2013-02
2014-03 | 2013-03
2013-04 2013-04
2013-05 2013-05
2013-06 2013-06
2013-07 2013-07
2013-07 | 2013-08
2013-09 2013-09
2013-10 2013-10
2013-11 <
2013-12 <
-----------------------
"|"表示前后2个文件内容有不同
"<"表示后面文件比前面文件少了1行内容
">"表示后面文件比前面文件多了1行内容

15.nginx三个重要配置项说明
》tcp_nodelay #这个选项仅在将连接转变为长连接的时候才被启用
怎么可以强制socket在它的缓冲区里发送数据？
一个解决方案是 TCP 堆栈的 TCP_NODELAY 选项。这样就可以使缓冲区中的数据立即发送出去。

Nginx的 TCP_NODELAY 选项使得在打开一个新的 socket 时增加了TCP_NODELAY选项。
但这时会造成一种情况：
终端应用程序每产生一次操作就会发送一个包，而典型情况下一个包会拥有一个字节的数据以及40个字节长的包头，于是产生4000%的过载，很轻易地就能令网络发生拥塞。
为了避免这种情况，TCP堆栈实现了等待数据 0.2秒钟，因此操作后它不会发送一个数据包，而是将这段时间内的数据打成一个大的包。这一机制是由Nagle算法保证。
Nagle化后来成了一种标准并且立即在因特网上得以实现。它现在已经成为默认配置了，但有些场合下把这一选项关掉也是合乎需要的。现在假设某个应用程序发出了一个请求，希望发送小块数据。我们可以选择立即发送数据或者等待产生更多的数据然后再一次发送两种策略。
如果我们马上发送数据，那么交互性的以及客户/服务器型的应用程序将极大地受益。如果请求立即发出那么响应时间也会快一些。以上操作可以通过设置套接字的 TCP_NODELAY = on 选项来完成，这样就禁用了Nagle 算法。（不需要等待0.2s）
》tcp_nopush
在 nginx 中，tcp_nopush 配置和 tcp_nodelay "互斥"。它可以配置一次发送数据的包大小。也就是说，它不是按时间累计  0.2 秒后发送包，而是当包累计到一定大小后就发送。在 nginx 中，tcp_nopush 必须和 sendfile 搭配使用。
》sendfile
sendfile实际上是 Linux2.0+以后的推出的一个系统调用，web服务器可以通过调整自身的配置来决定是否利用 sendfile这个系统调用。
不用 sendfile的传统网络传输过程：
read(file,tmp_buf, len);
write(socket,tmp_buf, len);
硬盘 >> kernel buffer >> user buffer>> kernel socket buffer >>协议栈
一般来说一个网络应用是通过读硬盘数据，然后写数据到socket 来完成网络传输的。上面2行用代码解释了这一点，不过上面2行简单的代码掩盖了底层的很多操作。来看看底层是怎么执行上面2行代码的：
1、系统调用 read()产生一个上下文切换：从 user mode 切换到 kernel mode，然后 DMA 执行拷贝，把文件数据从硬盘读到一个 kernel buffer 里。
2、数据从 kernel buffer拷贝到 user buffer，然后系统调用 read() 返回，这时又产生一个上下文切换：从kernel mode 切换到 user mode。
3、系统调用write()产生一个上下文切换：从 user mode切换到 kernel mode，然后把步骤2读到 user buffer的数据拷贝到 kernel buffer（数据第2次拷贝到 kernel buffer），不过这次是个不同的 kernel buffer，这个 buffer和 socket相关联。
4、系统调用 write()返回，产生一个上下文切换：从 kernel mode 切换到 user mode（第4次切换了），然后 DMA 从 kernel buffer拷贝数据到协议栈（第4次拷贝了）。

上面4个步骤有4次上下文切换，有4次拷贝，我们发现如果能减少切换次数和拷贝次数将会有效提升性能。在kernel2.0+ 版本中，系统调用 sendfile() 就是用来简化上面步骤提升性能的。sendfile() 不但能减少切换次数而且还能减少拷贝次数。

用 sendfile()来进行网络传输的过程：
sendfile(socket,file, len);
硬盘 >> kernel buffer (快速拷贝到kernelsocket buffer) >>协议栈
1、系统调用sendfile()通过 DMA把硬盘数据拷贝到 kernel buffer，然后数据被 kernel直接拷贝到另外一个与 socket相关的 kernel buffer。这里没有 user mode和 kernel mode之间的切换，在 kernel中直接完成了从一个 buffer到另一个 buffer的拷贝。
2、DMA 把数据从 kernelbuffer 直接拷贝给协议栈，没有切换，也不需要数据从 user mode 拷贝到 kernel mode，因为数据就在 kernel 里。

步骤减少了，切换减少了，拷贝减少了，自然性能就提升了。这就是为什么说在Nginx 配置文件里打开 sendfile on 选项能提高 web server性能的原因。