Есть шкафы с таким подавлением. По итогу становится тише, но не полностью.
Здесь на хабре даже обозревали такой. Можно попробовать поискать:
https://habrahabr.ru/company/stss/blog/279245/
Судя по коду, нет. Там вообще 443-й порт не проверяется. Да и как? Тут надо делать аналог ssl bumping (SSL-Bump) как в сквиде, чтобы как клиент подключиться, и увидеть куда запрос направлен (но не его содержание..).
Блокировки не одобряю, но сейчас приходится думать как на работе это реализовать. В первую очередь от забывчивых пользователей, которые не выключают торрент-клиенты…
В моем комментарии речь не про ps|grep, а про то, что же такое grep [m]atch
Что же до автора статьи — он решил именно так. Я pgrep тоже использую, но привычка — страшная сила! Да и само по себе это отвечает конвейерной сути никсов: вначале просто ps -aux, потом немного отсортировать и т.п., не всегда стоит задача сразу отгрепать.
В любом случае — спасибо за напоминание. Кто-то начнет с правильных утилит сразу.
Это очень интересный хак, я хоть и имею огромный опыт в никсах, его отчего-то пропустил. Он позволяет без дополнительных костылей убрать вывод самого грепа в выводе. Пример:
# ps x|grep mysql
24383 ? S 0:00 /bin/sh /usr/bin/mysqld_safe --datadir=/var/lib/mysql --pid-file=/var/lib/mysql/mysql.pid
25301 ? S 0:00 /bin/sh /usr/bin/mysqld_safe --datadir=/var/lib/mysql --pid-file=/var/lib/mysql/mysql.pid
29419 pts/2 S+ 0:00 grep mysql
# ps x|grep [m]ysql
24383 ? S 0:00 /bin/sh /usr/bin/mysqld_safe --datadir=/var/lib/mysql --pid-file=/var/lib/mysql/mysql.pid
25301 ? S 0:00 /bin/sh /usr/bin/mysqld_safe --datadir=/var/lib/mysql --pid-file=/var/lib/mysql/mysql.pid
Заметили разницу? Обычно в примерах в сети видна конструкция «grep something | grep -v grep», а если сделать «grep [s]omething», то something попадет, а сам grep — уже нет, т.к. при строковом сравнении something!=[s]omething.
Это очень поверхностно, можно подробно найти в сети (выше дали неплохую ссылку). Но очень удобно.
Отчего такое пренебрежение HAProxy? Каждый инструмент хорош по-своему.
Недавно потребовалось «отбалансировать» TCP (суть — несколько линков к офису и они ненадежны), решил попробовать nginx stream модуль. Но возник конфликт интересов — из-за продвижения Nginx Plus из этого модуля (и не только из него) выкинули health check… По итогу Nginx слишком долго переключался между линками, иногда вообще не переключался, так и ждал когда же ответит сервис. Тюнинг таймаутов, весов и прочего не помогал.
Поставил HAProxy и влет поднял балансировку — переключения происходят быстро, встроенный health check работает надежно… Вот тебе и nginx (при этом я его большой фанат — начал применять очень и очень давно, много иностранцев подсадил на него...).
Это частный случай, для веб-балансировки он (nginx) в целом работает стабильно. Плюс когда требуется по вирт.хостам раскидывать и т.п., тут nginx намного удобнее. Правда и тут можно HAProxy поставить — зависит от задач.
Может кто уже такое делал (в принципе, не должно быть особо сложно — но я сейчас гриппую, не могу собрать мозги в кучку...):
1) есть nginx фронт на публичном IP
2) есть nginx back на публичном IP
3) есть amazon route53
4) основной трафик идет на 1 и с него проксируется на 2
5) если 1 упал, то route53 обновляет DNS и запросы идут уже на 2
Вопрос в том как правильно запрашивать сертификаты ведь нужно их иметь и на 1 и на 2.
Допустимо ли иметь разные сертификаты (и позволит ли LE) для одних и тех же доменов, причем если в нормальном режиме, то оба запроса будут проходить через 1 (с точки зрения LE).
Пока что обдумываю вариант с редиректами на hostname 1 и 2 чтобы гарантированно направлять ACME на них, но это не отвечает на вопрос позволит ли LE два (а если три?!) сертификата для одного и того же домена и не отзовет ли он предыдущий сразу после выдачи/обновления последнего…
Более того, проект полностью стал платным… Грусть. Теперь проще собирать свою базу, чем рассчитывать на других. Либо заплатить и вылить все. В любом случае, грусть и печаль.
И даже сама постановка такого вопроса опасна! Если данные сколь нибудь важны для организации, то они будут и делать и проверять бекапы.
Здесь на хабре даже обозревали такой. Можно попробовать поискать:
https://habrahabr.ru/company/stss/blog/279245/
Попробую параллельно поднять ваш конфиг и сравнить.
Блокировки не одобряю, но сейчас приходится думать как на работе это реализовать. В первую очередь от забывчивых пользователей, которые не выключают торрент-клиенты…
Что же до автора статьи — он решил именно так. Я pgrep тоже использую, но привычка — страшная сила! Да и само по себе это отвечает конвейерной сути никсов: вначале просто ps -aux, потом немного отсортировать и т.п., не всегда стоит задача сразу отгрепать.
В любом случае — спасибо за напоминание. Кто-то начнет с правильных утилит сразу.
Заметили разницу? Обычно в примерах в сети видна конструкция «grep something | grep -v grep», а если сделать «grep [s]omething», то something попадет, а сам grep — уже нет, т.к. при строковом сравнении something!=[s]omething.
Это очень поверхностно, можно подробно найти в сети (выше дали неплохую ссылку). Но очень удобно.
Недавно потребовалось «отбалансировать» TCP (суть — несколько линков к офису и они ненадежны), решил попробовать nginx stream модуль. Но возник конфликт интересов — из-за продвижения Nginx Plus из этого модуля (и не только из него) выкинули health check… По итогу Nginx слишком долго переключался между линками, иногда вообще не переключался, так и ждал когда же ответит сервис. Тюнинг таймаутов, весов и прочего не помогал.
Поставил HAProxy и влет поднял балансировку — переключения происходят быстро, встроенный health check работает надежно… Вот тебе и nginx (при этом я его большой фанат — начал применять очень и очень давно, много иностранцев подсадил на него...).
Это частный случай, для веб-балансировки он (nginx) в целом работает стабильно. Плюс когда требуется по вирт.хостам раскидывать и т.п., тут nginx намного удобнее. Правда и тут можно HAProxy поставить — зависит от задач.
1) есть nginx фронт на публичном IP
2) есть nginx back на публичном IP
3) есть amazon route53
4) основной трафик идет на 1 и с него проксируется на 2
5) если 1 упал, то route53 обновляет DNS и запросы идут уже на 2
Вопрос в том как правильно запрашивать сертификаты ведь нужно их иметь и на 1 и на 2.
Допустимо ли иметь разные сертификаты (и позволит ли LE) для одних и тех же доменов, причем если в нормальном режиме, то оба запроса будут проходить через 1 (с точки зрения LE).
Пока что обдумываю вариант с редиректами на hostname 1 и 2 чтобы гарантированно направлять ACME на них, но это не отвечает на вопрос позволит ли LE два (а если три?!) сертификата для одного и того же домена и не отзовет ли он предыдущий сразу после выдачи/обновления последнего…