Хиты 250k являются достаточным количеством. Вам будут нужны больше, чем IIS или Apache, чтобы заставить его работать - главным образом экспертные знания. Любой может поднять веб-сервер и выполнить его, но выполнять его хорошо Вам нужен опыт всех его недостатков (и Вы будете думать, что IIS имеет больше, чем большинство, если Вы происходите из *, отклоняют фон).
например, Slashdot обслуживает 4 миллиона страниц в месяц, и у них есть большая инфраструктура. Вы надеетесь быть пятой частью размер! Таким образом, пока IIS может сделать это, больший вопрос состоит в том, можно ли сделать это. Необходимо будет изучить много совершенно новых технологий, и возможности являются решением, не будет так же хорошо как материал, к которому Вы привыкли, это также возьмет Вас намного дольше.
Так, если бы я был бизнесменом, продающим это, то я попытался бы заставить их передумать - показывают им Ваши существующие сайты для клиентов, данные в качестве примера из больших систем, сообщают им о рисках в новой платформе. Не, как будто Вы не можете сделать работы в наборе инструментов non-.NET, не, как будто существуют очень немногие сеть devs, кто не знает.NET, существует мало причины пойти с нею в этом случае.
Мне удалось без проблем перезагрузить ваш ip6tables-dump. Я предлагаю вам сначала попробовать создать свой брандмауэр с помощью команды ip6tables, а затем сбросить его. отладка может быть намного проще.
вы можете начать с чистого листа - firewall.sh, который выглядит следующим образом:
#!/bin/bash
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
ip6tables -F
ip6tables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
ip6tables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
будьте осторожны - это предотвратит любой обмен данными по ipv6. надеюсь, у вас есть канал связи console / out of band / ipv4. если нет, добавьте хотя бы:
ip6tables -A INPUT -p tcp --dport 22 -j ACCEPT
после того, как вы довольны скриптом брандмауэра, вы можете запустить ip6tables-save> your.rules .
Не знаю, откуда у вас эта мерзость, но лучшее, что вы можете сделать, - это удалить ее и начать с нуля. Его основная проблема заключается в том, что он излишне сложен и труден для понимания, даже если он может работать (и я не уверен, читая его, поэтому я определенно не собираюсь его тестировать).
Брандмауэры должны быть такими же простыми по возможности: принимайте только то, что вам нужно, и отвергайте все остальное. Следуйте этому, и вам не понадобятся никакие сложные и трудные для понимания правила.
Итак, давайте взглянем на работающий брандмауэр IPv6 iptables. Я только что сделал это с одного из моих действующих серверов:
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
Мы установили политики по умолчанию для таблиц на ACCEPT; трафик будет фактически отброшен правилами в каждой таблице. Это дает нам больше гибкости. В частности, для таблицы OUTPUT всегда должна быть установлена политика по умолчанию ACCEPT, если только вы не собираетесь блокировать исходящие соединения.
-A INPUT -m rt --rt-type 0 --rt-segsleft 0 -j DROP
-A FORWARD -m rt --rt-type 0 --rt-segsleft 0 -j DROP
-A OUTPUT -m rt --rt-type 0 --rt-segsleft 0 -j DROP
Это устраняет проблему безопасности IPv6 Routing Header Type 0 . Он должен стоять перед любыми другими правилами. (Обратите внимание, что современные ядра, начиная с 2.6.21.1 , автоматически отбрасывают этот трафик и не нуждаются в этих правилах. Если у вас предыдущее ядро, обратитесь к поставщику вашего дистрибутива за патчем для CVE-2007-2242 .) Явные правила для RH0 давно устарели и больше не нужны в современных системах Linux.
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Он принимает текущий трафик для любых существующих подключений, которые мы уже приняли с помощью других правил.
-A INPUT -p ipv6-icmp -j ACCEPT
Мы принимаем все пакеты ICMP. В отличие от IPv4, не рекомендуется блокировать трафик ICMPv6, поскольку IPv6 в гораздо большей степени зависит от него.
-A INPUT -i lo -j ACCEPT
Мы принимаем весь трафик от / к локальному интерфейсу.
-A INPUT -m state --state NEW -m udp -p udp --dport 546 -d fe80::/64 -j ACCEPT
Мы принимаем трафик DHCPv6. Если вы используете автоконфигурацию без сохранения состояния или статически настраиваете свои машины, в этом нет необходимости.
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
Они принимают новые соединения для ssh и http.
-A INPUT -j REJECT --reject-with icmp6-port-unreachable
-A FORWARD -j REJECT --reject-with icmp6-port-unreachable
В конце наших правил мы отклоняем весь трафик, который не соответствует правилу , используя "порт недоступен". Это приводит к стандартному сообщению «Соединение отклонено» на другом конце и эффективно скрывает тот факт, что у нас есть брандмауэр. Такие инструменты, как nmap сообщают, что все наши порты «закрыты», а не «отфильтрованы», и им гораздо труднее определить, есть ли у нас даже брандмауэр.
COMMIT
Это фиксирует все записи таблицы.
Если вы используете автоконфигурацию без сохранения состояния или статически настраиваете свои машины, в этом нет необходимости.-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
Они принимают новые соединения для ssh и http.
-A INPUT -j REJECT --reject-with icmp6-port-unreachable
-A FORWARD -j REJECT --reject-with icmp6-port-unreachable
В конце наших правил мы отклоняем весь трафик, который не соответствует правилу , используя "порт недоступен". Это приводит к стандартному сообщению «Соединение отклонено» на другом конце и эффективно скрывает тот факт, что у нас есть брандмауэр. Такие инструменты, как nmap сообщают, что все наши порты «закрыты», а не «отфильтрованы», и им гораздо труднее определить, есть ли у нас даже брандмауэр.
COMMIT
Это фиксирует все записи таблицы.
Если вы используете автоконфигурацию без сохранения состояния или статически настраиваете свои машины, в этом нет необходимости.-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
Они принимают новые соединения для ssh и http.
-A INPUT -j REJECT --reject-with icmp6-port-unreachable
-A FORWARD -j REJECT --reject-with icmp6-port-unreachable
В конце наших правил мы отклоняем весь трафик, который не соответствует правилу , используя "порт недоступен". Это приводит к стандартному сообщению «Соединение отклонено» на другом конце и эффективно скрывает тот факт, что у нас есть брандмауэр. Такие инструменты, как nmap сообщают, что все наши порты «закрыты», а не «отфильтрованы», и им гораздо труднее определить, есть ли у нас даже брандмауэр.
COMMIT
Это фиксирует все записи таблицы.
мы отклоняем весь трафик, который не соответствует правилу, используя «порт недоступен». Это приводит к стандартному сообщению «Соединение отклонено» на другом конце и эффективно скрывает тот факт, что у нас есть брандмауэр. Такие инструменты, как nmap сообщают, что все наши порты «закрыты», а не «отфильтрованы», и им гораздо труднее определить, есть ли у нас даже брандмауэр.COMMIT
Это фиксирует все записи таблицы.
мы отклоняем весь трафик, который не соответствует правилу, используя «порт недоступен». Это приводит к стандартному сообщению «Соединение отклонено» на другом конце и эффективно скрывает тот факт, что у нас есть брандмауэр. Такие инструменты, как nmap сообщают, что все наши порты «закрыты», а не «отфильтрованы», и им гораздо труднее определить, есть ли у нас даже брандмауэр.COMMIT
Это фиксирует все записи таблицы.
У меня была такая же проблема с ошибкой фиксации. Я использую Debian Wheezy, но подозреваю, что проблема та же. Похоже, что базовая установка Debian (по крайней мере, та, которую я использую) не поддерживает отслеживание соединений для ipv6. Это приводит к сбою строк, которые пытаются отслеживать состояние соединения ( -m state ...
), хотя ip6tables-restore, к сожалению, недостаточно любезен, чтобы сообщить вам об этом. Хорошая новость заключается в том, что эту проблему можно решить без особых проблем:
# apt-get install conntrack
# reboot
Я уверен, что перезагрузку можно обойти, но я не уверен, какую службу нужно перезапустить, чтобы это работало, поэтому я просто перезапускаю торговый центр. После этого наборы правил, подобные тем, которые опубликованы здесь, которые используют отслеживание соединений с отслеживанием состояния, похоже, работают нормально.