弹霄博科

问题背景&现象 在用户群中，有同学反馈 1Panel 的 FTP 功能上传文件比同类服务慢很多，尝试换了很多种连接工具，均没有效果。 我咨询了一下他的环境，Debian 12 + 最新版本的 1Panel，他说他那边是机房内网互传文件，理论上不会有公网抖动的影响。但就是很慢。用其它面板提供的 FTP 服务，上传小图片都是秒传，但是用 1Panel 之后，传相同的图片大概要 7s 以上。卡顿明显。 复现问题首先我在实验环境中安装了 Debian 12 + v1.10.20-lts 社区版的 1Panel，根据文档，安装了 pure-ftpd 并做了相关的配置。我尝试用 FileZilla 连接 1Panel 的 FTP 服务并上传几个文件，发现确实会感觉有明显的卡顿。 和另外一家的面板对比，他们的速度非常快。 So,这是为什么呢？ 分析对照了配置，我发现 1Panel 的配置没有什么特别的。从配置上没有定位到问题。于是我开始通过抓包，看整个 FTP 传输的过程的数据包，看看他卡在哪里了。 使用 WireShark 抓包，将时间戳作为列展示出来，查找整个过程中时延较大的...

在 7.x 专业版雷池中增加了一个配置同步的功能，使用配置同步功能，可以将主节点的配置分发给从节点，从而实现 WAF 的多活。 本文以 Version 7.1.1-lts 为例进行测试，具体绑定操作参考配置同步文档。 配置很容易跟随文档操作即可。使用该功能只要保证从可以访问主，主从版本授权和版本一致即可。无架构和配置要求。 测试环境说明测试环境是河北地域的一台 amd64 的节点作为主，拉了一台在北京地域的 arm64...

这是继 长亭雷池 WAF 专业版体验小记 ，又一次测试长亭雷池 WAF 专业版。 200 多天过去了，雷池从 5.x 疯狂内卷到 7.x，那么 7.x 的雷池究竟怎么样呢？ 本文以 Version 7.1.0 为例进行功能性测试。 功能上的新亮点1、NGINX 配置增强我们发现这个版本相较历史版本，雷池在保持安全功能的基础上，增强了 NGINX 相关功能。以往大家有特殊需求，在自定义 NGINX 配置时，常常被发现自己自定义配置被 WAF 下发的配置覆盖，或者要增删一个 Header，却要在后台改动配置。可对 Header 进行自由配置，支持全局和站点级配置。既可以继承全局配置，还可以根据站点自定义。在界面支持了 location 级别的自定义配置。 2、优化日志功能专业版本支持记录访问日志，错误日志，这对合规有相当大的帮助。对于人机验证和身份认证，这个版本也可以查看认证日志了。溯源链路会更加完整。 3、SSL 合规专业版支持全局配置 ssl_protocols 和 ssl_ciphers。远离不安全的 SSL/TLS...

Follow 是一款近期一直十分火热的新产品。你可以把它简单的理解为一款新的 RSS 阅读器，但，它绝不是一款单纯的阅读器，它可以订阅网站内容、B站UP主、小红书博主、微博博主、小宇宙播客、YouTube 视频，甚至还可以订阅 Follow 用户，以及用户分享的订阅列表等等，非常值得一试。 本站已经开通了 Follow 专用订阅账号，欢迎关注：弹霄博科V 目前 Follow 还是邀请制，如果您需要 Follow 激活码，可以发邮件给我，有机会获得激活码。 邮箱：tocker#16iot.cn 主题：Follow 激活码

DHCPv6 是 IPv6 环境下地址分配的一种协议，可以将网络配置参数从服务器段分配到客户端。DHCPv6-PD（Prefix Delegation，前缀分配）是 DHCPv6 的扩展，字如其名，其注重的是前缀分配，即服务器端将一个子网范围的前缀地址段和其他网络配置（如 DNS）下发到客户端。 当服务器端将一个前缀下发给客户端（当然这个客户端一般是边界路由器），同时会在这个客户端的上联设备上生成对应的路由，此时你可以在这个客户端（路由器）的本地接口上使用这个前缀下的任意 /64 子网地址。 类比 IPv4，相当于运营商给你了个 /24，这个 /24 内其他地址你说了算，可以在你的网络中任意分配。DHCPv6-PD...

在之前的博客中，我记录了我通过 GREv6 的方式将北京和老家的局域网组在了一起。在今年的规划中，我期望组建一张更大的网，将自己不同环境下的服务器和节点有序的组织起来。 在朋友的推荐下，我选择了 EasyTier 作为 SDWAN 方案，进行组网配置。 EasyTier 是一款一个简单、安全、去中心化的内网穿透 SDWAN 组网方案，使用 Rust 语言和 Tokio 框架实现。它安全可靠，无中心节点依赖，全链路零拷贝，性能开销小，支持穿透、智能路由，支持多种平台（x86，arm 等等），最重要的一点，它对 IPv6 的支持非常好。 现网环境介绍和需求目前需要的是平替掉之前通过 GRE 方式实现的京冀的网络互联。北京和河北均支持移动运营商接入，所以还是打算两边走移动对接，这样可能会受到结算新政策的影响小一点。 北京河北的主路由器均是 Mikrotik 的 RouteOS，为了尽量减小对现网的调整，本次接入采用旁路方式进行接入，两方均旁挂在各自区域的主路由器下。河北区域采用虚拟机部署 EasyTier，北京则采用 RK3399 盒子进行接入。各自区域的 EasyTier...

更多时候，我们会使用到 HTTPS。对于服务器端的 HTTPS 配置，需要配置密钥证书、加密算法套件、TLS 版本等信息。一直疑惑如何选择加密算法套件和 TLS 版本是如何选择和搭配的，工作中也遇到过因为 TLS 版本和加密套件选择有误带来的种种麻烦。今天抽了点时间，以最常见的服务器中间件组件 NGINX 为例，整理了协议常用的 HTTPS 配置，供大家参考使用。 SSL/TLS截止到目前，SSL/TLS 共推出过 6 个版本，SSL2/SSL3/TLS1.0/TLS1.1/TLS1.2/TLS1.3，其中 TLS1.3 是目前最新版本，SSL2 和 SSL3 由于存在过多的漏洞，现在已经被弃用了，在一些安全扫描中，会强制要求使用 TLS1.2 以上的版本。 CipherSuite在 NGINX 中，OpenSSL 负责处理 HTTPS 连接，提供 SSL/TLS 加密，确保数据在互联网上传输时的安全性。所以 NGINX 支持哪些加密算法套件是由 NGINX 所使用的 OpenSSL...

我有几台盒式工控设备需要重装系统，这个设备不像传统服务器一样，没有 VGA、HDMI 输出，只有前面板一个 Console 接口。所以我们只能使用这个 Console 接口安装系统了。 默认我们下载的镜像，他会模式以显示方式输出内容，所以我们得手动调整一下。以 Ubuntu 为例，先用 Rufus 制作启动 U 盘，选 iso 模式即可，方便我们调整配置。 修改启动项配置 /boot/grub/grub.cfg，复制以下内容到文件对应位置，见贴图。 12345serial --unit=0 --speed=115200 --word=8 --parity=no --stop=1terminal_input serial consoleterminal_output serial consoleconsole=tty0 console=ttyS0,115200n8 保存，插到盒子上，选从 U 盘启动。 电脑使用 Console 线连接，配置对应 COM 端口号，波特率 115200,8n1。 然后你就可以看到文本安装操作系统的界面了，和使用...

这是雷池社区版动态防护功能小测的下篇。 雷池在 v6.2.0 版本中对动态防护功能的能力进行了进一步释放，新版本不仅支持了不限数量的动态加密，还在专业版中支持快速加解密，JS 防护能力也取消了数量限制。 今天我们以 v6.3.0 版本为例，分析一下雷池的 JS 动态混淆功能。 组件架构依托于 t1k-c 优秀的能力，可以对 Tengine 反代的 Response Type 及 Response Body 进行检测。负责 JS 加密的程序是 safeline-chaos，和之前 HTML 动态防护是同一个组件。 动态混淆测试我们先用一个最简单的例子，看一下动态混淆大概做了哪些工作。 这是原 JS 文件的代码： 123456789101112131415161718192021222324252627282930313233var $hello = 'world';// for leichifunction test(){console.log('hello leichi.');}let fun =...

今天突然发现我的虚拟化管理平台 vSphere Web Client 无法打开了。提示 500 服务器错误，无法登录了。 随后我登录了 vCenter Server 的设备管理页面（Port 5480），去看是否有服务存在异常，发现页面并没有现实服务异常。抱着重启可以解决 99% 的问题，我就先重启了 vCenter Server 的 VM。 等到重启结束之后，vSphere Web Client 彻底打不开了。提示 No Healthy Upstream。 这种情况，一般是 vSphere 某些服务挂了，于是我又继续检查了服务。发现 vAPI 服务出现了告警，但是提示运行正常的。应该不是这个服务的问题。 对服务列表进行排序，发现很多启动类型为自动的服务当前运行状态均为停止。这就有些异常了。 为了更好的抓取日志，我们登录了 vCenter Server 的 SSH 终端。 切换到 shell 中执行 service-control --start --all 重启服务，果然有服务无法启动报错了。 这个服务无法启动，可能是因为证书过期导致的。 1for i in...