2 http代理服务器（3-4-7层代理）-网络事件库公共组件、内核kernel驱动摄像头驱动tcpip网络协议栈、netfilter、bridge好像看过！！！！但行好事莫问前程--身高体重180的胖子

目前google发布了tcpbbrv2+fixbug=tcpbbrv3 https://github.com/google/bbr/blob/v3/README.md https://datatracker.ietf.org/meeting/117/materials/slides-117-ccwg-bbrv3-algorithm-bug-fixes-and-public-internet-deployment-00   http代理服务器（3-4-7层代理）-网络事件库公共组件、内核kernel驱动摄像头驱动tcpip网络协议栈、netfilter、bridge好像看过！！！！...

 发送窗口、接收窗口和拥塞窗口 滑动窗口机制中涉及三个重要概念： 发送窗口 发送窗口是发送端在操作系统内开辟的一块缓冲区，用来存放当前需要发送的数据，也称为发送缓存。发送端使用发送窗口进行流量控制。 接收窗口（RWND，Receiver Window） 接收窗口是接收端在操作系统内开辟的一块缓冲区，设备会将收到的来不及处理的报文放入接收缓冲区，也称为接收缓存。接收端使用接收窗口进行流量控制。 拥塞窗口（CWND，CongestionWindow） 拥塞窗口是发送端根据自己估计的网络拥塞程度而设置的窗口值。发送端使用拥塞窗口进行流量控制。 通常TCP通信是双向的，...

iptables-traw-IPREROUTING-ptcp--dport80-jLOG iptables-traw-IPREROUTING-ptcp--dport80-jLOG--log-level3--log-prefix"ipt-err:" 可以指定log级别 日志级别可通过syslog定义进行查看。另外LOG目标还可指定参数：–log-tcp-sequence，–log-tcp-options，–log-ip-options，–log-uid和–log-macdecode。 mansyslog defineKERN_EMERG"<0>"/systemisunus...

ebtables中有三张表filter，nat，broute，六条链INPUT，FORWARD，OUTPUT，PREROUTING，POSTROUTING和BROUTING ebtables-AINPUT--log-levelinfo--log-ip--log-ip6--log-arp--log-prefix'ebtable/input' !/bin/bash insert(){ ebtables-tbroute-IBROUTING-pipv4--ip-proto17--log--log-prefix'ebtable/broute-BROUTING'--log-leveldebug--lo...

  xx产品有个功能是对任何端口的访问都会被记录。它的实现原理是iptables的NFLOG NFLOG是什么 它是一个target，就像ACCEPT、DROP等可以作为iptables-j后的参数值 iptables-AINPUT-ptcp-mtcp--dport80-jNFLOG--nflog-group40--nflog-prefixTCPDUMP-PCAP-IN tcpdump-inflog:40-v-wnf40.pcap //此时tcpdump必须使用-w参数报文报文 tcpdump-inflog:40-v-wnf40.pcap tcpdump:listeningonnflo...

iptable中 四个表的优先级顺序如下： raw:对收到的数据包在连接跟踪前进行处理。一般用不到，可以忽略 一旦用户使用了raw表，raw表处理完后，将跳过nat表和ip_conntrack处理，即不再做地址转换和数据包的链接跟踪处理了 mangle:用于修改报文、给报文打标签，用得也较少。 nat:主要用于做网络地址转换，SNAT或者DNAT filter:主要用于过滤数据包 数据在按优先级经过四个表的处理时，一旦在某个表中匹配到一条规则A,下一条处理规则就由规则A的target参数指定，后续的所有表都会被忽略。target有如下几种类型： ACCEPT:直接允许数据包通过 ...

linuxTcpSmallQueue 考虑以下场景 有两个tcp，其中一个连接的cwnd非常大，应用程序尽可能地发包 或者有个应用程序一直往外无限制地发送udp包如果没有一种机制公平地限定各个连接的发送数量，底层的qdisc/网卡队列就会被高发包率的应用占用，同时造成上层tcp计算RTT和cwnd的偏差，以及bufferbloat问题。 尤其对于默认采用pfifo_fastqdisc算法来说非常常见，因为基本上只使用一个队列(大多数流的TOS=0) TCPSmallQueuesQuestion内核草案  我们可以调整 /proc/sys/net/ipv4/tc...

  一、Nginx的配置文件nginx.conf Nginx的配置文件每一行就是一条命令。 最外层的为核心模块的配置参数（类型：NGX_CORE_MODULE）；内部嵌套的为各个子模块的配置。 events{}为事件模块（类型：NGX_EVENT_MODULE） http{}为HTTP模块 （类型：NGX_HTTP_MODULE） http模块内还会嵌套多层 多层嵌套会在后续的event模块中介绍。这里只介绍最顶层的core模块的解析。 配置的层次结构如下图：         MainCO...

　　如何优雅的关闭关闭这个fd，如果只是一个简单的fd直接调用close就行，但是如果要是一个框架那就接到资源回收复用内存泄漏等问题； 来看看ngx是用怎样的思路处理事务结束动作； 　　每个HTTP请求都有一个引用计数，每派生出一种新的会独立向事件收集器注册事件的动作时（如ngx_http_read_client_request_body方法或者ngx_http_subrequest方法），都会把引用计数加1，这样每个动作结束时都通过调用ngx_http_finalize_request方法来结束请求，而ngx_http_finalize_request方法实际上却会在引用计数减1后先检查引用...

　　　　HTTP包体的长度有可能非常大，不同业务可能对包体读取处理不相同，比如waf，也许会读取body内容或者只是读取很少的前几十字节。所以根据不同业务特性，对httpbody数据包处理方式不同，nginx核心本身不会主动读取请求体，这个工作是交给请求处理阶段的模块处理，ngx里面目前提供了接口读取body接口ngx_http_read_client_request_body(ngx_http_request_tr,)ngx_http_client_body_handler_ptpost_handler)；请求体的读取一般发生在nginx的contenthandler中，一些nginx内置的...

HTTP处理数据包，有的业务不需要，此时只需要将数据包文读取后丢弃，但是ngx为什么还要提供一个丢弃接口呢？？？解决了什么问题？？ ------对于HTTP模块而言，放弃接收包体就是简单地不处理包体了，可是对于HTTP框架而言，并不是不接收包体就可以的。因为对于客户端而言，通常会调用一些阻塞的发送方法来发送包体，如果HTTP框架一直不接收包体，会导致实现上不够健壮的客户端认为服务器超时无响应，因而简单地关闭连接，可这时Nginx模块可能还在处理这个连接。因此，HTTP模块中的放弃接收包体，对HTTP框架而言就是接收包体，但是接收后不做保存，直接丢弃。HTTP模块调用的ngx_http_dis...

 　　在处理完http的头部信息后 然后在处理request-body信息ngx_http_process_request-------- -----------ngx_http_process_request_headers（ngx_http_process_request_header）头部行解析完毕后调用函数ngx_http_process_request_header ngx_http_process_request：设置read和write的回调函数ngx_http_request_handler，ngx_http_request_handler通过状态机来判断是...

首先看下连接池的获取以及释放   ngx_connection_tngx_get_connection(ngx_socket_ts,ngx_log_tlog)//从连接池中获取一个ngx_connection_t{ngx_uint_tinstance;ngx_event_trev,wev;-----------------------------------------------instance=rev->instance;ngx_memzero(rev,sizeof(ngx_event_t));ngx_memzero(wev,sizeof(ngx_event_t));...

尝试获取锁，如果获取了锁，那么还要将当前监听端口全部注册到当前worker进程的epoll当中去 获取失败就需要确保此时ls-fd没有被epoll监听   ngx_int_tngx_trylock_accept_mutex(ngx_cycle_tcycle){if(ngx_shmtx_trylock(&ngx_accept_mutex)){//ngx_log_debug0(NGX_LOG_DEBUG_EVENT,cycle->log,0,"acceptmutexlocked");//如果本来已经获得锁，则直接返回Okif(ngx_accept_mutex...

　　简要而说：accept到连接后根据fd构建一个connection 由于是http；重新封装为http-connection；同时设置fd的读回调； 回调函数根据是否是https/http进行区别   ngx_http_init_connection(ngx_connection_tc)//当建立连接后开辟ngx_http_connection_t结构，这里面存储该服务器端ip:port所在server{}上下文配置信息，和server_name信息等，然后让//ngx_connection_t->data指向该结构，这样就可以通过ngx_connectio...

之前做网络设备portal认证时有个需求有没有做!!portalserver实现多机热备，此处涉及到网络设备做四层/五层代理。 先看看如果要是做到每个服务器认证数量一样多！！那实现负载均衡有哪些方法呢？？ 轮询 每个请求按时间顺序逐一分配到不同的后端服务器，如果后端服务器down掉，能自动剔除。 ip_hash 每个请求按访问ip的hash结果分配，这样每个访客固定访问一个后端服务器，可以解决session的问题 加权轮询法 不同的后端服务器可能机器的配置和当前系统的负载并不相同，因此它们的抗压能力也不相同。给配置高、负载低的机器配置更高的权重，让其处理更多的请；而配置低...

1、HTTP方法 GET：获取资源，GET方法用来请求访问已被URI识别的资源 POST：传输（上传和下载）实体主体，POST方法用来传输实体的主体。虽然用GET方法也可以传输实体的主体，但一般不用GET方法进行传输，而是用POST方法。虽说POST的功能与GET很相似，但POST的主要目的并不是获取响应的主体内容。 PUT：传输文件PUT方法用来传输文件。就像FTP协议的文件上传一样，要求在请求报文的主体中包含文件内容，然后保存到请求URI指定的位置。 HEAD：获得报文首部HEAD方法和GET方法一样，只是不返回报文主体部分。用于确认URI的有效性及资源更新的日期时间等DELETE：删除文...

  http代理服务器（3-4-7层代理）-网络事件库公共组件、内核kernel驱动摄像头驱动tcpip网络协议栈、netfilter、bridge好像看过！！！！但行好事莫问前程--身高体重180的胖子

　　目前出现一个bug：网络设备代理https进行ssl卸载时出现一个问题，证书校验失败问题；原因是目前设备的证书没有带上rootca；导致客户端校验证书失败！ 现在看看证书校验逻辑 三、证书校验 这一节对前文 ​​2.6证书校验​​提到的证书校验流程进行详细介绍： 1、X.509数字证书结构举例 2、客户端如何校验服务端下发的公钥证书？ 3.1、X.509数字证书 了解证书校验原理之前，先认识一下X.509证书的结构。 ​​X.509​​​是密码学里​​公钥证书​​​的​​格式标准​​​，当前​​X.509​​​证书已应用在包括​​TLS/SSL​​​在内的众多网络协议里。一个...