Так. А в постфикс?

Например, я могу такое сделать с помощью sendmail (вместо знака ?). docker#4 - sendmail -Ac -q15m shared mail queue - /var/spool/clientmqueue Есть ещё какие-нибудь варианты? Не с sendmail

Сьушайте, раз в полгода забываю. Что в linux принято ставить в качестве мейл субмишн программ? Например без демона - чтобы слал во вне

Я конечно слоупок, но nullmailer же

https://untroubled.org/nullmailer/

@Civiloid again

М?

Спамеры заебли

Можешь меня пинать еще

Удали спам тогда

Но вообще да, какой-то лютый ад начался

Где?

Я это вроде как грохнул уже, что-то глючит

Кто-то ещё это видит?

Кто-то ещё это видит?

Не вижу, убрано

Хм... Проксирование HTTPS стрима с разруливанием по SNI, это круто. Но ip-то как ппокинуть?

Какой IP?

Клиента?

Да

В http протоколе IP прокидывается через хедеры, во всяких заголовках X-Forwarded-For и т.д.

А на низком уровне IP прокидывать конечно отвратительная идея.

Что делать-то? :) У DNS кстати есть client subnet

Так а что прокидывать в хедерах невозможно?

Я не хочу терминировать SSL на проксе

proxy protocol

вопрос только в том сможет ли он по SNI выцепить хост

но он как раз призван решать проблему проксирования того не знаю что без разбора, но чтоб сохранить внешний IP

https://www.nginx.com/resources/admin-guide/proxy-protocol/#http

Можно tcp проксировать с proxy protocol

Но бонусов от такого проксирования не много

https://www.nginx.com/resources/admin-guide/proxy-protocol/#http

О

Но бонусов от такого проксирования не много

Ээээ... не перекодирование?

Но бонусов от такого проксирования не много

он хочет избавиться от двойного ssl вроде )

Да

так что бонус будет как раз в том что он сможет проксировать tcp а sslить будет бэкэнд

Да

Ну там есть stream модуль

Да

Ну там есть stream модуль

ну вот выше про прокси протокол ) кажется это в чистом виде оно

Именно

И у него должен быть доступ до sni имени

Угу. Там есть

(Я не проверял так как у нас везде перешифровка идёт -- благо она дико дешёвая)

И у него должен быть доступ до sni имени

краткая история - он уже дошел до SNI и проксирования, но получался двойной ssl, а если в чистом виде гнать tcp без прокси протокола то непонятно source ip какой был реально

Парни, а вот такой вопрос, решили мы значится просканировать 2млн страниц в инете, завели апач нуч, накрутили ему побольше потоков, и завели шарманку. На стотысячной странице нас блокирует провайдер со ссылкой на абьюс месадж от какого-то webiron.com. В письме от него написанно мол, вы попадаете под какие-то критерии, почитать про которые можно тут: https://www.webiron.com/supporthome/view-article/33-criteria-for-what-makes-a-bot-bad.html. Сами виддите, по ссылке какаято херота, а не 33 критерия. Так вот в чем вопрос: что могло послужить причиной, может кто встречался?

я бы сменил провайдера

Логично :)

Кстати можете угадывать провайдера, думаю с 1й попытки большинство отгадает ггггг

хетзнер!

(Я не проверял так как у нас везде перешифровка идёт -- благо она дико дешёвая)

Это не правда

Кстати можете угадывать провайдера, думаю с 1й попытки большинство отгадает ггггг

так сделает любой провайдер, а некотоыре ещё и зачарджат сразу за то что попользовали и аккаунт забанят на всегда вместе с карточкой

хетцнер ещё очень полайт в таком

Так а чо не так, хде почитать?

Сканируйте через ботнеты как все нормальные люди.

Это не правда

А почему перешифровка дорогая?

Ну тоесть, AES он бесплатный фактически, ибо аппаратный(можно делать 4гбита на ядро). EC* очень дешёвый. Клиентский RSA тоже не дорогой, да там и connection reuse такой что его даже не видно в топе.

а разве "аппаратный" - синоним "бесплатный"?)

аппаратный синоним?

зануда

у меня правда на фразе сломался парсер (

ERROR: S client not available

а разве "аппаратный" - синоним "бесплатный"?)

оно настолько дешевое, что затратами можно принебречь

не под любой нагрузкой конечно, но как бы не про rtb речь

Ну тоесть, AES он бесплатный фактически, ибо аппаратный(можно делать 4гбита на ядро). EC* очень дешёвый. Клиентский RSA тоже не дорогой, да там и connection reuse такой что его даже не видно в топе.

если деньги жечь взять lewisburg ( ~150 гбит с чипсета )

а разве "аппаратный" - синоним "бесплатный"?)

Да. 4гбита на ядро это бесплатно

если деньги жечь взять lewisburg ( ~150 гбит с чипсета )

первая ссылка в гугле сказала что это город такой. Я крепко задумался о идее.

первая ссылка в гугле сказала что это город такой. Я крепко задумался о идее.

Да, город получше будет =) . https://www.servethehome.com/wp-content/uploads/2017/07/Intel-Lewisburg-PCH-QuickAssist-Technology-QAT-Crypto.jpg

Да, город получше будет =) . https://www.servethehome.com/wp-content/uploads/2017/07/Intel-Lewisburg-PCH-QuickAssist-Technology-QAT-Crypto.jpg

я просто плохо знаю кодовые имена интеловых платформ

и у меня в голове с ходу не возникает соотвтетствие платформы и кодового имени чипсета

так что я лично за то что надо таки взять город )

А почему перешифровка дорогая?

Ну потому что онадорогая. На вшивом сайте я вдруг nginx в топе вижу. Не смертельно, но это не бесплатно

@Unkledolan это чипсет под новые их Skylake-EP?

@Unkledolan это чипсет под новые их Skylake-EP?

Да там две версии будут, чипсеты с сетью и qat и отдельные модули

Ну потому что онадорогая. На вшивом сайте я вдруг nginx в топе вижу. Не смертельно, но это не бесплатно

Так хендшейк новый сильно дороже чем просто шифровать сидеть)

Да там две версии будут, чипсеты с сетью и qat и отдельные модули

Там щас с ssl библиотеками запара -- асинхронщина есть у OpenSSL, но сделана через жопу

Там щас с ssl библиотеками запара -- асинхронщина есть у OpenSSL, но сделана через жопу

Ага, у меня была бредовая идея взять старых 8950 и в nas затолкать

Ну потому что онадорогая. На вшивом сайте я вдруг nginx в топе вижу. Не смертельно, но это не бесплатно

Я думаю perf top там покажет что это RSA в сторону клиента, это можно пофиксить через ECDSA, v4 Xeon и OpenSSL 1.0.2+

А что такое особенное в в4 ксеоне появилось?

они в каждом релизе что-то по чуть-чуть подкручивают )

AVX2

AVX2

оно в V3 уже норм )

в v3 еще появились средства аккаунтинга потребления L3 кэш-памяти и bandwidth'а софтом, а в v4 можно через специальное апи ограничивать per cgroup

типа дать 1МБ L3 кэша вот этой группе

правда требует ядра помоему 4.12

Я думаю perf top там покажет что это RSA в сторону клиента, это можно пофиксить через ECDSA, v4 Xeon и OpenSSL 1.0.2+

1.02% libcrypto.so.1.0.0 [.] 0x00000000000c5143 1.00% libcrypto.so.1.0.0 [.] 0x00000000000c5690 0.98% libcrypto.so.1.0.0 [.] 0x00000000000c5138 0.87% libcrypto.so.1.0.0 [.] 0x00000000000c5152 0.86% libcrypto.so.1.0.0 [.] 0x00000000000c517a 0.83% libcrypto.so.1.0.0 [.] 0x00000000000c5678 0.81% libcrypto.so.1.0.0 [.] 0x00000000000c56a8 0.79% libcrypto.so.1.0.0 [.] 0x00000000000c5191 0.78% libcrypto.so.1.0.0 [.] 0x00000000000c5682 0.76% libcrypto.so.1.0.0 [.] 0x00000000000c516d 0.72% libcrypto.so.1.0.0 [.] 0x00000000000c56b3 0.71% libcrypto.so.1.0.0 [.] 0x00000000000c56c1 0.69% libcrypto.so.1.0.0 [.] 0x00000000000c5603 0.68% libcrypto.so.1.0.0 [.] 0x00000000000c569a 0.65% libcrypto.so.1.0.0 [.] 0x00000000000c5159 0.65% libcrypto.so.1.0.0 [.] 0x00000000000c561a 0.64% libcrypto.so.1.0.0 [.] 0x00000000000c566a 0.61% libcrypto.so.1.0.0 [.] 0x00000000000c5648 0.60% libcrypto.so.1.0.0 [.] 0x00000000000c5660 0.58% libcrypto.so.1.0.0 [.] 0x00000000000c5124 0.58% libcrypto.so.1.0.0 [.] 0x00000000000c4c66 0.54% libcrypto.so.1.0.0 [.] 0x00000000000c4c9c 0.54% libcrypto.so.1.0.0 [.] 0x00000000000c512d 0.52% libcrypto.so.1.0.0 [.] 0x00000000000c518d 0.52% libcrypto.so.1.0.0 [.] 0x00000000000c5183 0.52% libcrypto.so.1.0.0 [.] 0x00000000000c5140 0.50% libcrypto.so.1.0.0 [.] 0x00000000000c5196 хз что это. может и RSA да

Мы как-то v3 проскочили

кстати интересно, какой софт первым научится через это новое апи снимать статистику по памяти и кэшу )

сетевой обычно умеет ( т.к. очень пичот, если кэш для пакетов кто-то вымыл )

сетевой обычно умеет ( т.к. очень пичот, если кэш для пакетов кто-то вымыл )

Ну там прям новая аппаратная фича )

позволяющая прибить кусок кэша или памяти к группе процессов

Она была с v3 только с индексом xxx8