Пердолинг и оптимизации СС

# разрешаем доступ к вебсерверу на 80 порту только с адресов клаудфлер

Michael Peterson
May 26 · Unlisted

Помимо 80 порта стоит указать все порты, на которых у тебя работает сс через cloudflare (например 8080, 443, etc.), для этого просто вместо “dport 80” укажи “dport 443”

iptables -A INPUT -s 103.21.244.0/22 -p tcp — dport 80 -j ACCEPT &&
iptables -A INPUT -s 103.22.200.0/22 -p tcp — dport 80 -j ACCEPT &&
iptables -A INPUT -s 103.31.4.0/22 -p tcp — dport 80 -j ACCEPT &&
iptables -A INPUT -s 104.16.0.0/12 -p tcp — dport 80 -j ACCEPT &&
iptables -A INPUT -s 108.162.192.0/18 -p tcp — dport 80 -j ACCEPT &&
iptables -A INPUT -s 131.0.72.0/22 -p tcp — dport 80 -j ACCEPT &&
iptables -A INPUT -s 141.101.64.0/18 -p tcp — dport 80 -j ACCEPT &&
iptables -A INPUT -s 162.158.0.0/15 -p tcp — dport 80 -j ACCEPT &&
iptables -A INPUT -s 172.64.0.0/13 -p tcp — dport 80 -j ACCEPT &&
iptables -A INPUT -s 173.245.48.0/20 -p tcp — dport 80 -j ACCEPT &&
iptables -A INPUT -s 188.114.96.0/20 -p tcp — dport 80 -j ACCEPT &&
iptables -A INPUT -s 190.93.240.0/20 -p tcp — dport 80 -j ACCEPT &&
iptables -A INPUT -s 197.234.240.0/22 -p tcp — dport 80 -j ACCEPT &&
iptables -A INPUT -s 198.41.128.0/17 -p tcp — dport 80 -j ACCEPT &&
iptables -A INPUT -p tcp — dport 80 -j DROP

# наебываем проверку на даблпинг

данное действо просто блокирует прием и отправку определенных icmp-пакетов, типа echo (то, что приходит от ping), вообще можно просто заблокировать весь icmp-трафик введя только те строки, где стоит -j DROP (но могут быть проблемы, если что я не виноват)

iptables -A OUTPUT -p icmp — icmp-type 0 -j ACCEPT &&
iptables -A OUTPUT -p icmp — icmp-type 3 -j ACCEPT &&
iptables -A OUTPUT -p icmp — icmp-type 4 -j ACCEPT &&
iptables -A OUTPUT -p icmp — icmp-type 11 -j ACCEPT &&
iptables -A OUTPUT -p icmp — icmp-type 12 -j ACCEPT &&
iptables -A OUTPUT -p icmp -j DROP &&
iptables -A INPUT -p icmp — icmp-type 3 -j ACCEPT &&
iptables -A INPUT -p icmp — icmp-type 12 -j ACCEPT &&
iptables -A INPUT -p icmp -j DROP


ТО, ЧТО НИЖЕ НЕ ПОДХОДИТ ДЛЯ OPEN-VZ

# МЕНЯЕМ РЕЖИМ УПРАВЛЕНИЯ ПОТОКОМ НА TCP-BBR

1 проверяем версию ядра
uname -sr
если версия ядра ≥ 4.9 то переходи к шагу 3

2 обновляем ядро (актуально для старых версий убунты 16.04)
sudo apt update && sudo apt upgrade -y && sudo apt install linux-generic-hwe-16.04 — install-recommends;
reboot
после перезагрузки еще раз проверяем версию ядра

3 пердолим кернел

жмем sudo nano /etc/sysctl.conf изменяем net.ipv4.tcp_congestion_control на bbr добавляем в конец файла следующее:
# tcp bbr
net.core.default_qdisc=fq_codel

net.ipv4.tcp_congestion_control=bbr

Unlisted

    Michael Peterson

    Written by

    Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
    Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
    Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade