作者归档:阿端

关于阿端

我真的是一名专业的命理师

How to set limits for services in RHEL and systemd

发表评论

Environment

  • Red Hat Enterprise Linux (RHEL) 7, 8, 9
  • systemd

Issue

How can I set the limits for services started at boot time via systemd?

Limits set in /etc/security/limits.conf or /etc/security/limits.d/*.conf are ignored.

Resolution

A service definition can be extended as described in the systemd.unit(5) man page in the section “Example 2. Overriding vendor settings”, and in the Red Hat Enterprise Linux 7 System Administrator’s Guide, Section 8.6. Creating and Modifying systemd Unit Files

To change a single service:

Using tftp.service as an example, create a new tftp.service.d directory under /etc/systemd/system, and then create a conf file in that directory which extends (or overrides) the settings for the service. In this example, the number of open file descriptors is limited to 500,000.

# mkdir -p /etc/systemd/system/tftp.service.d/
# cat >/etc/systemd/system/tftp.service.d/filelimit.conf <<EOF
[Service]
LimitNOFILE=500000
EOF

The change is applied after reloading the daemon configuration and restarting the service.

# systemctl daemon-reload
# systemctl restart tftp.service

The systemd-delta and systemctl status tftp.service commands both show that the service definition has been extended.

# systemd-delta --type=extended
[EXTENDED]   /usr/lib/systemd/system/tftp.service → /etc/systemd/system/tftp.service.d/filelimit.conf

1 overridden configuration file found.

# systemctl status tftp.service
● tftp.service - Tftp Server
   Loaded: loaded (/usr/lib/systemd/system/tftp.service; indirect; vendor preset: disabled)
  Drop-In: /etc/systemd/system/tftp.service.d
           └─filelimit.conf
  ...

The available limits are described in the following section from the systemd.exec(5) man page:

LimitCPU=, LimitFSIZE=, LimitDATA=, LimitSTACK=, LimitCORE=, LimitRSS=,
       LimitNOFILE=, LimitAS=, LimitNPROC=, LimitMEMLOCK=, LimitLOCKS=,
       LimitSIGPENDING=, LimitMSGQUEUE=, LimitNICE=, LimitRTPRIO=,
       LimitRTTIME=
           These settings control various resource limits for executed
           processes. See setrlimit(2) for details. Use the string infinity to
           configure no limit on a specific resource.

Note: Most process resource limits configured with these options are per-process, and processes may fork in order to acquire a new set of resources that are accounted independently of the original process, and may thus escape limits set. Also note that LimitRSS= is not implemented on Linux, and setting it has no effect. Often it is advisable to prefer the resource controls listed in systemd.resource-control(5) over these per-process limits, as they apply to services as a whole, may be altered dynamically at runtime, and are generally more expressive. For example, MemoryMax= is a more powerful (and working) replacement for LimitRSS=.

To set a limit for all services

Instead create a drop in file in /etc/systemd/system.conf.d/ and use the Default version of the limit:

# mkdir -p /etc/systemd/system.conf.d/
# cat >/etc/systemd/system.conf.d/10-filelimit.conf <<EOF
[Manager]
DefaultLimitNOFILE=500000
EOF

Important: Some services may have resource limits that cannot be changed in this way. One such example is sendmail which changes the resource limit for the maximum number of open files to 1024 (and can modify other resource limits). It is not possible to change these resource limits for sendmail – they are set explicitly and are not changable via sendmail configuration. This behaviour is not a defect, it is the expected behaviour for programs that manage and set their own resource limits.

Root Cause

Limits defined in /etc/security/limits.conf or /etc/security/limits.d/*.conf are set by pam when starting login session. This is configured by following line from /etc/pam.d/system-auth-ac:

session     required      pam_limits.so

Since daemons started by systemd don’t employ pam login session, the limits can be set only in the service unit file.

This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.

Debian 11 默认官方源//中科大源/sources.list

发表评论

一、备份现有apt源配置

mv /etc/apt/sources.list /etc/apt/sources.list.old

二、替换为其他apt源

1、替换为默认官方源

cat > /etc/apt/sources.list << EOF
deb https://deb.debian.org/debian/ bullseye main contrib non-free
deb-src https://deb.debian.org/debian/ bullseye main contrib non-free

deb https://deb.debian.org/debian/ bullseye-updates main contrib non-free
deb-src https://deb.debian.org/debian/ bullseye-updates main contrib non-free

deb https://deb.debian.org/debian/ bullseye-backports main contrib non-free
deb-src https://deb.debian.org/debian/ bullseye-backports main contrib non-free

deb https://deb.debian.org/debian-security/ bullseye-security main contrib non-free
deb-src https://deb.debian.org/debian-security/ bullseye-security main contrib non-free
EOF

2、替换为中科大源

cat > /etc/apt/sources.list << EOF
deb https://mirrors.ustc.edu.cn/debian/ bullseye main contrib non-free
deb-src https://mirrors.ustc.edu.cn/debian/ bullseye main contrib non-free

deb https://mirrors.ustc.edu.cn/debian/ bullseye-updates main contrib non-free
deb-src https://mirrors.ustc.edu.cn/debian/ bullseye-updates main contrib non-free

deb https://mirrors.ustc.edu.cn/debian/ bullseye-backports main contrib non-free
deb-src https://mirrors.ustc.edu.cn/debian/ bullseye-backports main contrib non-free

deb https://mirrors.ustc.edu.cn/debian-security/ bullseye-security main contrib non-free
deb-src https://mirrors.ustc.edu.cn/debian-security/ bullseye-security main contrib non-free
EOF

三、更新apt索引

apt update

Linux 端口转发

发表评论

什么是端口转发?

准确来讲叫流量转发,因为流量是基于端口的,所以一般称为端口转发。

比如我有一台香港小鸡,去程回程仅对移动线路(CMI),电信联通均绕道日本NTT线路,我买了一台广州移动 NAT 机做中转,那么就是访问路径就是:本地电信 -> 广州移动IP:50001 -> 香港小鸡IP:49001,换言之,我本地电信访问广州移动IP:50001,就等于访问香港小鸡IP:49001。

为什么要转发?

有些小鸡,对你所在的运营商网络线路不太友好,造成晚高峰看 YouTube 卡顿,通过国内机房、数据中心中转,网速会有质的飞跃。比如电信CN2 GIA、联通9929、移动CMI等国际出口,都是极品线路,有关三大运营商国际出口线路的介绍,可点击这里。

其次,由于服务器上跑了web服务,443和80端口不能被某些不可描述的力量给和谐掉,故而可在本机另启一个端口,转发至本机的443上。

用什么转发?

推荐 iptables 或者 firewalld,都是内核级别的转发,性能损耗极少。
如果用 gost/brook 等第三方工具转发,流量大或者连接数过多的时候 cpu 和负载压力变大,对于 nat 小鸡特别不友好。

基于 firewalld 转发

CentOS 7 开始,系统默认防火墙工具为 firewalld,当然 Debian 也是可以安装 firewalld,firewalld 和 iptables 本质上都是用户空间中管理防火墙的工具,最终还是调用内核空间的 netfilter,firewalld 是没有“四表五链”的概念的。

以下为实验环境

服务器公网 IP私网 IP端口用途
广州移动1.1.1.1192.168.100.150001中转
香港小鸡2.2.2.2192.168.100.249001404

以下在 广州移动中转 NAT 机 上进行

安装 firewalld 

# Debian 11
apt install firewalld -y

查看 firewalld 运行状态,显示绿色 active 说明服务运行正常

systemctl status firewalld

查看当前使用区域是否为 public

firewall-cmd --get-default-zone

开启内核转发

echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
echo "net.core.default_qdisc = fq" >> /etc/sysctl.conf
echo "net.ipv4.tcp_congestion_control = bbr" >> /etc/sysctl.conf
sysctl -p

开启 public 区域中 ip 伪装,不开启 ip 伪装是不能设置端口转发的

firewall-cmd --zone=public --add-masquerade --permanent

将 广州移动 50001 端口 的流量转发至 香港小鸡 49001 上

firewall-cmd --zone=public --add-forward-port=port=50001:proto=tcp:toport=49001:toaddr=2.2.2.2 --permanent

允许 50001 端口被外部访问

firewall-cmd --zone=public --add-port=50001/tcp --permanent
firewall-cmd --zone=public --add-port=50001/udp --permanent

重载防火墙服务,使之生效

firewall-cmd --reload

以上 广州移动 NAT 中转机 就已经设置好了,如果你的 v2ray/trojan/ssr/web 服务均运行在 香港小鸡 443 端口上,接下来还要把 香港小鸡 49001 端口 流量转发至 本机 443 上,也就是本机内部的端口。

以下在 香港小鸡 上进行

firewall-cmd --zone=public --add-forward-port=port=49001:proto=tcp:toport=443 --permanent

同理,重载防火墙

firewall-cmd --reload

查询防火墙端口转发配置

firewall-cmd --zone=public --list-forward-ports

删除防火墙端口转发配置

firewall-cmd --zone=public --remove-forward-port=port=50001:proto=tcp:toport=49001:toaddr=2.2.2.2

基于 iptables 转发

iptables 是 CentOS 6 系统默认防火墙工具,CentOS 7 也可以使用,实验环境与上述一样。【注意:同一套环境,iptables 和 firewalld 二选一】

以下在 广州移动 上进行

开启内核转发

echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p

将 广州移动 50001 端口 的流量转发至 香港小鸡 49001 上

iptables -t nat -A PREROUTING -p tcp --dport 50001 -j DNAT --to-destination 2.2.2.2:49001
iptables -t nat -A POSTROUTING -p tcp -d 2.2.2.2 --dport 49001 -j SNAT --to-source 192.168.100.1

保存配置

iptables-save

下面设置 香港小鸡 内部端口转发,将 49001 端口流量转发至本机 443 上,在 香港小鸡 上进行

iptables -t nat -A PREROUTING -p tcp --dport 49001 -j REDIRECT --to-port 443

如果想删除本机端口转发,命令如下

iptables -t nat -D PREROUTING -p tcp --dport 49001 -j REDIRECT --to-port 443

查看 iptables 转发配置

iptables -t nat -nL --line

注意事项:

以上 广州移动 50001 端口 转发至 香港小鸡 49001 端口,是跨机房,没有专线联络的情况下进行的。如果同机房,不同机器的转发,命令需要用 内网 IP,比如

iptables -t nat -A PREROUTING -p tcp --dport 50001 -j DNAT --to-destination 192.168.100.2:49001
iptables -t nat -A POSTROUTING -p tcp -d 192.168.100.2 --dport 49001 -j SNAT --to-source 192.168.100.1

一些建议

个人不推荐什么一键脚本、面板什么的,虽然便捷,对小白很友好,但显得很冗余,小鸡配置都比较低,甚至有 1C + 387M + 10G HDD 的配置,跑个 CentOS 操作系统已经很不容易。当然如果是大盘鸡,当我没说XDD

六爻理象的思维转换

发表评论

特别说明:本文摘自互联网,作者:山西 王虎应 先生

我前几天参加我一个学生的婚礼去了一次北京,在北京期间,一个女同志求测她哥哥的病,大家看看这个卦是如何把握,如何入手的,用的都是基础的东西。

卯月庚申日(日空:子丑),得地水师变雷泽归妹
          坎宫:地水师 (归魂)     兑宫:雷泽归妹 (归魂)
六神  伏神   本    卦         变    卦
螣蛇       父母癸酉金 ▅▅ ▅▅ 应    官鬼庚戌土 ▅▅ ▅▅ 应
勾陈       兄弟癸亥水 ▅▅ ▅▅      父母庚申金 ▅▅ ▅▅
朱雀       官鬼癸丑土 ▅▅ ▅▅   ╳→ 妻财庚午火 ▅▅▅▅▅
青龙       妻财戊午火 ▅▅ ▅▅ 世    官鬼丁丑土 ▅▅ ▅▅ 世
玄武       官鬼戊辰土 ▅▅▅▅▅      子孙丁卯木 ▅▅▅▅▅
白虎       子孙戊寅木 ▅▅ ▅▅   ╳→ 妻财丁巳火 ▅▅▅▅▅

这个卦说难也难,说不难也不难,主要是对基础的知识理解如何。卦出来当然就是先取用神了,这个卦只有一个兄弟爻,比较好取,不需要选择。

兄弟亥水在第五爻,先看日月的作用如何,月是不生兄弟爻的,但日生,从日月上来看,这个用神不能算弱。

日月好比一个衡量东西新旧、旺衰的标准器,从生克角度来看,日月的作用是相同的,这个卦用神月不克日生很好,但日月只看衰旺,而判断吉凶还需要看卦里动爻的变化。

大家必须记住,卦出来先定吉凶,然后再看细节,不要本末倒置了。这个卦官鬼是忌神,发动来克兄弟爻,而且化回头生,这个官鬼就有力量克兄弟爻。可能有的人认为兄弟得日生,而官鬼空,被月克,又被动爻寅木克,根本没有力量克兄弟爻,这样理解就错了。

为什么呢?因为兄弟爻是静爻,而官鬼是动爻,动爻再弱,也可以克静爻的,古人说成是神兆机于动,我用一个比较通俗的话来讲——就是瘦死的骆驼比马大,动爻再弱,也可以克静爻的,这是六爻的法则。现在克不动,将来旺的时候就可以克,现在空,出空时候就可以克,因为时空的在变化的,五行的力量也随着时间的变化而变化,而日生用神只能说目前病情比较稳定,但不能说没有危险,卦里元神没有动,而忌神动了就不好。

我们再细看,官鬼动克兄弟,初爻的寅木和兄弟相合,这个合里面隐藏了许多信息,寅木对用神兄弟亥水来说,是用神的病地,临白虎动,白虎也主病,那么这个子孙寅木就是病的信息,合兄弟爻,就是兄弟疾病缠身。初爻是什么?初爻为脚,被合了,就是不能走路了,所以我判断她哥哥走路不行了。再看元神酉金月破,酉可以对应去年,去年是元神实破的年,所以我判断她哥哥去年走路不行了,走不动了。

那么官鬼丑土是起什么作用呢?官鬼是土,在四爻是胃的爻位,土是胃,四爻也是胃,这个爻克兄弟,就是胃上出问题了。兄弟临勾陈,勾陈为肿胀,就是癌的信息,所以判断是胃癌。

可能有人因为官鬼丑土空,不能克兄弟,实际上这个是思维的问题。从衰旺角度看,丑土空而弱,是克不了亥水,但这里有象暗藏,是空土来克,土既然是胃,这个空土就是胃上有孔,胃上有孔,就要出血,所以是胃出血,加胃癌。

那么什么要用丑来定病,而不用亥水呢?亥水不是被克了吗,被克和克者都可以当病看的,我认为是这样看,兄弟亥水得日生,现在还有力量,所以我判断她哥哥的病要将来转移到胸腔,因为五爻为胸腔,实际上已经转移到了胸腔,而且转移到淋巴了。

子孙寅木刚才当病来讲,现在我们还要把思维再转换一下,因为理、象是矛盾的,而看卦要理象都用,子孙是医药,临白虎,白虎主手术,兄弟去年就得了病,合就是稳定,所以这个子孙寅木临白虎就是手术,合兄弟爻,久病合当然好,所以我判断正月她哥哥做了手术,现在病情稳定了。这个断语还参考官鬼,因为官鬼被月克,用神得日生,说明目前比较好,日表示目前,但官鬼有变爻化回头生,后面的力量很大,所以发展趋势是不好,我判断辰月开始要不好,到未月就出问题.

为什么呢?辰月官鬼力量大了,用神被克入墓,但这个只是对用神不利而已,不是应期,应期从官鬼丑土判断,现在丑土空,动来克,空克不到兄弟,大家看,这个时候我就讲丑土空不能克兄弟了,这是理的用法,刚才判断病时用的是象,未月冲丑,冲空则实,而兄弟也被克,这个卦里寅木动克官鬼,未月寅木入墓,也不能克官鬼,这个官鬼丑土就很厉害了,所以这个月不好,这就是从生克衰旺的角度判断,也就是理上的判断。

从上面的判断来看,大家应该可以看出,六爻预测理象的重要,而且也应该看出理象的矛盾的,但又是统一的 ,所以没有对理象正确的把握和认识,是提高不了六爻预测水平的,这是一个大的思维转变,我以前看卦,在无意识地用这个东西。

问:王老师,寅木受日冲有什么象?
六爻观自在:日是元神,也可以理解为医院,和医疗方法,日是金,主西方,就是西医,生兄弟,就是用西医看病治疗。而子孙寅木,为草药,木是草,元神临日,说明现在用的是西医,冲子孙寅木,就是医院排斥中医,不用草药治疗,这些都是从象的角度看。

问:寅木受日冲,是否还可理解为,削弱了子孙制鬼的力量
六爻观自在:可以的,这个也是矛盾的地方。子孙是木,因为子孙克了忌神,就是草药,用中医可以治疗。

问:动逢冲不是更旺吗?
六爻观自在:动逢冲更动,这个也对,这个也体现了理象矛盾的一面,为什么呢?因为子孙寅木是兄弟的病地,金冲子孙寅木,就是不让子孙寅木和兄弟合,也就是让把病除掉,但这个冲使子孙动得更厉害,而子孙动又合兄弟,金生用,也可以理解为手术,说明这个手术使病的病转移了,也说明这个人的癌是低分化,是不能动手术的。

问:是不是可以理解为中医效果要差点?
六爻观自在:不是。手术是暂时的稳定,但手术也使癌转移了,这些都是矛盾的判断,都是从矛盾的角度来看象的和理的,但都成立。

问:这里矛盾的地方很多,应用起来难以把握。
六爻观自在:这就需要思维转换,如果突破了这个思维,水平就可以上一个很高的层次,我以前无意识地用理象的东西,但有时候也觉得从道理上说不通,因为许多概念困饶我们,四年前突然才悟出六爻有理和象的区别。

问:如果王老师开药方,这病用何法可治?
六爻观自在:我不是医生,只是判断而已。
因为我们所在的世界,就是以矛盾的形式来存在的,事事有矛盾,而我们预测的事物都是处于矛盾的状态,如果我们还用孤立的眼光看东西看卦,那样就看不透处于矛盾状态的卦了。因为所有事物的矛盾的,所以它用卦来表现,也是用矛盾的形式来表现的,只有把这层思维突破,看卦才能看透。

这个思维的转变,我想需要一个过程,不是一天两天才能转的。象这样的卦很多,我几乎三两天就可以遇到,因为突破了这个思维,所以把以前看不出的东西也看出来了,我让大家看增删卜易,为的就是把理的东西把握好,这样讲到象的时候不会乱了思维,因为理是根本,象是用来服务于理的,象分七个层次,古书零碎地有一些,不系统,学好理可以救人,学好象可以服人。今天就讲到这里。

许多人学习了六爻好几年了,可是越学越糊涂,这不是大家不用功,也不是六爻预测的方法有问题, 而是有许多六爻的概念和理解我们没有认识清楚,这个不但是我们有些糊涂,就连古人也糊涂的很,有人说预测学是个模糊学,但求测的人则想清楚知道自己的情况,而我们往往用古人流下的方法预测时许多概念搞不清楚,发现许多规律和概念矛盾,不知道如何是好,所以许多人学了好几年,还在基础上徘徊,也学不会给人预测,其实这是不知道六爻预测里是有理象之分的原因,我们所在的世界是一个充满矛盾的世界,所以每个事物都是处于矛盾的状态,而卦表现的就是矛盾复杂的事物,所以卦也是以矛盾的形式来体现的,如果大家把这个理象思维理解了,许多预测里的规律法则和基本概念就不会觉得矛盾了。

那么什么是六爻的理法呢:

这个大家都知道,也就是五行生克,所以五行是构成世界的基本元素,是世界上事物发展的动力,世界上所有的事物的发展,都是五行生克引起的,六爻预测里,理法就是用五行生克规律来表示事物吉凶的,所以,六爻凡是以五行生克来表示吉凶的部分,都属于理法范围。理是事物的本质,但世界不是单一的,卦的表现也不是单一的;所以我们看卦的时候也要知道卦并不是单单以五行生克而表现的,而是除过五行生克以外,还有象的东西存在.

那么什么是象呢?

这个也是我多年预测中发现的, 六爻有理象的区别,理好比事物的内因 ,象好比事物的外因, 理象是一个矛盾的统一体, 所谓六爻的象就是表示事物现象的信息, 象是用来表示事物具体形式的东西, 这个不是谁创造的, 而是六爻预测体系中客观存在的东西, 只是古人没有发现它们的存在而已,

什么是属于象的范围呢?六亲、六神、卦象, 都是象的范围.

而有的东西是理象并存的, 比如,退神,月破,空亡等, 所以有象的东西存在,有的是理象病存,所以许多人越学越糊涂, 分不清楚到底如何分别,而对于有的概念,觉得好象互相矛盾, 实际上只要把理象的概念搞清楚后,许多觉得矛盾的东西,就感到不矛盾了, 而且把卦中的许多东西看清楚了, 象不是预测的主体,理才是预测的主体, 象是服务于理的, 理是用来救人的东西,象是用来服人的东西,只有两者结合,预测才是完美的,

具体来说,矛盾在什么地方? 古人在预测预测丈夫疾病的时候,说最好丈夫自己来预测, 为什么呢? 因为理象的概念没有搞清楚, 因为理象的概念没有搞清楚,官鬼代表疾病 ,又代表丈夫,如果是官鬼为病 ,就应该克好, 而如果是丈夫又不应该克, 预测自己的病也是, 官鬼持世.到底克好,还是不克好? 我想许多人肯定很模糊, 这就是因为理象没有分开,扰乱了我们的思维,

我们刚才说,六亲是属于象的范围, 因为它是用来表达意思的, 而不是主吉凶的, 许多人一见官鬼卦里动,就不知道如何判断, 不知道官鬼是工作动,还是有灾祸, 实际上官鬼本身没有好坏了区别, 它不主吉凶, 只是表达一个意思而已, 如果预测自己的病,官鬼持世就是自己有病了, 这是因为官鬼有病的意思, 但这个病好不好,吉凶如何,就要看世爻是什么六亲, 只看世爻衰旺来判断,这样就不会因为官鬼在世上该不该克了。 关于理象的东西,讲起来不是一两句话可以讲完的。

我们用具体是卦例来看看它们矛盾在什么地方,又如何把它们区别开来。 通过具体是卦,这样才能才会对六爻的理象有个基本的了解:比如说这样一个卦:这是前几天我的一个学生问我的,

寅月辛卯日,一个女的测婚姻,得泽天决变雷天大壮

          坤宫:泽天夬         坤宫:雷天大壮 (六冲)
六神  伏神   本    卦         变    卦
螣蛇       兄弟丁未土 ▅▅ ▅▅      兄弟庚戌土 ▅▅ ▅▅
勾陈       子孙丁酉金 ▅▅▅▅▅ 世 ○→ 子孙庚申金 ▅▅ ▅▅
朱雀       妻财丁亥水 ▅▅▅▅▅      父母庚午火 ▅▅▅▅▅ 世
青龙       兄弟甲辰土 ▅▅▅▅▅      兄弟甲辰土 ▅▅▅▅▅
玄武 父母乙巳火 官鬼甲寅木 ▅▅▅▅▅ 应    官鬼甲寅木 ▅▅▅▅▅
白虎       妻财甲子水 ▅▅▅▅▅      妻财甲子水 ▅▅▅▅▅ 应

我悟:子孙化退化破不能克官鬼是理,而世爻动而化退,想离开相处的二人世就是象,这两点是矛盾的!

这个子孙有许多意思,子孙可以主喜乐,也是婚姻不好的因素,子孙没有力量克官鬼,一般应该断好,但这样断就错了——并不是子孙有力量没有力量克官鬼的问题,

我们先给大家分析一下这个卦矛盾的地方,女的预测婚姻,用神官鬼,这个卦官鬼旺,日月都是官鬼,日月都是官鬼,但子孙是忌神, 持世发动了,应该是不好,而子孙不旺,又化退化破,有没有力量克官鬼呢? 这个就是疑惑的地方。

待时而用,这个子孙有许多意思,子孙可以主喜乐,也是婚姻不好的因素,子孙没有力量克官鬼,一般应该断好,但这样断就错了——并不是子孙有力量没有力量克官鬼的问题,首先官鬼临应爻,应为夫妻的爻位,官鬼临之,就是正位,所以古人对这个规律有个断语——就是官鬼临应必称心,说明她喜欢这个男的,而子孙在世上发动,克官鬼,又是不想和他发展下去的意思,在世上动,就是她主动分手,这个是不是和她喜欢对方是矛盾的?

如果这样看卦,就不好判断了,这个虽然矛盾,但有其矛盾的理由,这个信息的矛盾,也是一种卦在表达某种信息的形式,我们再看这个卦的其他信息,

(1)世爻化退,是不是她又不想分手了? 因为子孙化退,就不克官鬼了,实际上这个化退,不是单纯的子孙化退,而是世爻化退,这个时候,判断要不管世是什么六亲,而单看世爻的变化,

(2)应动他人改张,世动自己有变,这个世爻的动,不管出现好坏,都是因为自己这方面引起的,世爻代表的是求测的人,化退就是表示自己要退出两人相处的人生舞台。

而子孙还有另外一个意思——-子孙为快乐的意思,子孙化退,就是不高兴,化破,就是心情不好,这个破是因为什么呢/ 破是被月冲破,月和官鬼的地支一样,就是因为男朋友的事不高兴了,心情不好了,这就是多重取信息,这些信息就是六爻理的象,也就是卦爻表达的意思。

(3)日月在预测婚姻时代表父母,一般月为对方父母, 日为自己的父母,子孙发动本来克官鬼的,而月冲破,变爻就不能克了,这个破是因为应上的官临月冲破的,说明什么? 说明这个男的不想分手 ,阻止分手的事情发生。

(4)而六爻又这样一个规律,爻之动者,日冲,如果不是休囚,为冲之愈动,也就是加速这个事情的发展,子孙动克官鬼,日冲使这个子孙动的更厉害,日代表预测人的父母,所以预测人的父母肯定是想让他们分手,这个就找到了原因,应该是女的父母不同意这个男的,这样也就把前面的矛盾解决了,要不为什么喜欢对方又要分手? 这些都是因为理象引起的,子孙化退化破不能克官鬼是理,而世爻动而化退,想离开相处的二人世就是象,这两点是矛盾的,如果不清楚六爻是理象之分,就不清楚这个世上的子孙,到底是化退好?还是不好。

(5)其实里面还有许多信息, 这个世爻发动,被日冲动的更厉害,日是什么六亲? 也是官鬼,女的预测婚姻,官鬼代表男的,说明另外还有一个男的,也想让她和现在的朋友分手,让她快点分手,实际上另外真是又有一个男的追求她,因为她喜欢现在的朋友,但自己的父母不同意,而这个女的是一种什么想法? 就要看世爻的意向的什么,世爻动和三爻是辰土合了,辰土是兄弟爻,在六亲里表示某种阻力,也主竞争对手,因为古人说,兄为夺标之客,在这里就是和这个男的抢她的人,世爻动而去合辰土,就表示她自己又想和这个追求她的男的结合的意思,这个卦变了六冲卦,六冲为散, 根据我们刚才的许多判断,两个人肯定要分手的,不要看这个子孙不是很旺,这是个独发的卦,神兆机于动,已经表明的事物发展的趋势。

什么时候分开,就要从理上来判断,子孙化退不克官鬼,但辰月合住就不退,这就是分手的时间。一般申也可以应,因为化破了,按应期都可以 ,但辰比申先到。通过这个卦,我简单地把六爻理象矛盾的地方,和他们各自表达的信息做了一个分析。

Ansible 管理 Windows Server

发表评论

如何用 Ansible 管理 Windows Server?Ansible 官方文档指出,需要以下两条先决条件:
PowerShell version 3.0 or NEW
.NET Framework 4.0 or NEW

一般情况下,Windows Server 2012 (含)以上的版本,PowerShell 和 .NET Framework 是满足以上两个条件的,那么 Windows Server 2008 如何被 Ansible 管理呢?当然如果网络条件允许的情况下,可以通过 官方脚本 自动升级,否则需要下载 离线安装包

一、作业环境

Operating System IP Remark
Windows Server 2008 R2 172.50.1.172 Ansible Client

二、开始吧

1.升级 PowerShell 和 .NET Framework

  • 参考本文前言超链接
  • 重新启动 Windows Server 2008 R2 之后,检查升级是否成功
get-host

图1

图1

2.开启 winrm 服务

# 1.查看powershell执行策略
get-executionpolicy

# 2.更改powershell执行策略为remotesigned【输入y确认】
set-executionpolicy remotesigned

# 3.配置winrm service并启动服务
winrm quickconfig

# 4.修改winrm配置,启用远程连接认证【这里是PowerShell的命令,如果用cmd的话,@前面的' 和 末尾的' 要去掉的】【如图2所示】
winrm set winrm/config/service/auth '@{Basic="true"}'
winrm set winrm/config/service '@{AllowUnencrypted="true"}'

# 5.查看winrm service启动监听状态【如果有应答,说明服务配置并启动成功了】【如图3所示】
winrm enumerate winrm/config/listener

图2

图2

图3

图3

3.设置防火墙

允许 5985 端口入站通过

同网段机器,不过防火墙,端口一般都是通的,如果跨机房,需要允许 5985 通过

四、小贴士

  • 升级PowerShell到4.0要先升级.Net Franmwork;
  • 开启 winrm 服务在 CMD 下、PowerShell 下 语法是不一样的 ,本文是在 PowerShell 下进行的,有截图为证;

CentOS 离线安装 docker

发表评论

一、引言

生产环境中,很多时候都无法访问互联网,如何安装 docker 服务,官方推荐使用编译好的二进制包方案。本文以 CentOS 7 为例

二、先决条件

  • 64 位安装
  • 版本 3.10 或更高版本的 Linux 内核, 建议使用适用于您的平台的最新版本的内核
  • iptables 1.4 或更高版本
  • git 版本 1.7 或更高版本
  • ps 可执行文件,通常由 procps 或类似包提供
  • XZ Utils 4.9 或更高版本
  • 正确安装的 cgroupfs 层次结构

三、让我们开始吧

1.下载(官方安装包在这里
$ curl -LO https://download.docker.com/linux/static/stable/x86_64/docker-20.10.17.tgz
2.解压
$ tar -zxvf docker-20.10.17.tgz
3.移动二进制可执行文件至 /usr/bin 【官方推荐的 executable path, 一定要在这里,否则可能在 systemd 执行中有些问题】
$ sudo cp docker/* /usr/bin
4.编辑守护进程启动文件 /etc/systemd/system/docker.service
[Unit]
Description=Docker Application Container Engine
Documentation=https://docs.docker.com
After=network-online.target firewalld.service
Wants=network-online.target
  
[Service]
Type=notify
# the default is not to use systemd for cgroups because the delegate issues still
# exists and systemd currently does not support the cgroup feature set required
# for containers run by docker
ExecStart=/usr/bin/docker/dockerd -H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock
ExecReload=/bin/kill -s HUP $MAINPID
# Having non-zero Limit*s causes performance problems due to accounting overhead
# in the kernel. We recommend using cgroups to do container-local accounting.
LimitNOFILE=infinity
LimitNPROC=infinity
LimitCORE=infinity
# Uncomment TasksMax if your systemd version supports it.
# Only systemd 226 and above support this version.
#TasksMax=infinity
TimeoutStartSec=0
# set delegate yes so that systemd does not reset the cgroups of docker containers
Delegate=yes
# kill only the docker process, not all processes in the cgroup
KillMode=process
# restart the docker process if it exits prematurely
Restart=on-failure
StartLimitBurst=3
StartLimitInterval=60s
  
[Install]
WantedBy=multi-user.target
5.重载守护进程文件
$ systemctl daemon-reload
6.加入开机自启
$ systemctl enable docker.service

PVE 开启硬件直通功能

发表评论

敲黑板:一定要结合自己的实际硬件配置,再进行操作。

一、环境介绍

  • 主板:ASUS PRIME B250M-PLUS
  • CPU:Intel Pentium G4600

二、让我们开始吧

1.主板开启 VT-X

  • 重启电脑,进入 BIOS(Dell 或者 F2)
  • 按 F7,进入“Advanced Mode”——“Advanced(高级)”——“CPU Configuration(CPU设置)”——拉到最底部找到“Intel Virtual Technology(虚拟化技术)”选项,把“Disabled(禁用)”修改为“Enabled(启用)”
  • 按 F10 保存并退出

2.开启 iommu

# 编辑grub
vi /etc/default/grub

# 注释并修改 GRUB_CMDLINE_LINUX_DEFAULT
GRUB_CMDLINE_LINUX_DEFAULT="quiet intel_iommu=on iommu=pt"

# 退出保存(按下 ESC,打开大写键,输入 ZZ)

# 更新 grub
update-grub

3.加载相应内核模块

# 加载模块
echo vfio >> /etc/modules
echo vfio_iommu_type1 >> /etc/modules
echo vfio_pci >> /etc/modules
echo vfio_virqfd >> /etc/modules

# 更新内核参数
update-initramfs -k all -u

# 重启服务器
reboot

4.验证是否开启 iommu

# 验证是否开启 iommu
dmesg | grep iommu

# 出现以下,则表示成功
[ 0.329978] iommu: Default domain type: Translated 
[ 1.341100] pci 0000:00:00.0: Adding to iommu group 0
[ 1.341116] pci 0000:00:01.0: Adding to iommu group 1
[ 1.341126] pci 0000:00:02.0: Adding to iommu group 2
[ 1.341137] pci 0000:00:14.0: Adding to iommu group 3
[ 1.341146] pci 0000:00:17.0: Adding to iommu group 4

旁路由自定义防火墙规则

发表评论
看到 flippy 有说 N1 做旁路由的话不要忘了加自定义防火墙规则:
iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE

先解释一下这个规则:iptables 修改 NAT 表,使经过 eth0 的网卡的流量的源 IP 伪装成 eth0 的 IP,而且是动态伪装(直接读取 eth0 的 IP 地址)

为什么要这么做:
一般小伙伴的 N1 只配置了一个 LAN 口,WAN 口是没有使用,或者直接把 WAN 口删了,这个时候 N1 作为辅助网关,LAN 口负责把数据转发给主路由网关,默认是不会修改你的源 IP 的。



转发过程讲解:
手机(192.168.0.4)向外发一个包,先发到辅助网关N1(192.168.0.2),辅助网关并没有修改这个包的源地址(192.168.0.4),这个包由N1转发给主路由(192.168.0.1)再到外网;回应的包回来的时候,到了主路由,主路由一查 NAT 表,发现是手机(192.168.0.4)的,就直接发给手机了,根本不经过N1。

这个时候是可以上网的(不能留学),但是这样会导致很多功能无法使用,比如说去广告,回来的包都不经过N1,怎么去广告呢?科学留学也成了问题了,回来的包不经过N1,谁去给你解密呢???所以需要加一句:iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE,把去程包的源IP改为N1的IP,这样回程包先发给N1,N1完成了一系列不可描述的功能后,N1再根据NAT表,发送给相应设备。

上面这句话是我之前的解释,经过我证明,说法错误。原因是去广告和科学留学会正向代理设备,本身就会进行SNAT(源地址转换),所以不存在发回来的包找不到源设备的问题,是可以正常去广告和科学留学的。貌似可不加了,是吗?请继续观帖。

N1作为旁路时,推荐加上iptables规则,原因如下:
1. 不加的话,主路由会错误显示N1的IP,N1替谁转发了流量,主路由就会显示为谁的IP,这不逼死强迫症吗?
2. flippy帖子里有说,N1作为旁路由时,Padavan固件路由作为主路由时,开启硬加速的情况下,可能会存在微信或者QQ图片打不开等问题,其中具体原因可能就在于N1没有做SNAT,导致去广告或者留学白名单(如微信、QQ)回城不经过N1。
3. 加上无害,反而可以解决一些奇奇怪怪的问题。


有没有可以不用加的方法?
方法是有的,添加一个WAN口,关闭LAN口桥接,WAN口和LAN口共用eth0,WAN口发出数据的时候,会自动做SNAT,回来的包会先回到N1,再返给设备。

总结:什么时候需要设置 iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE ?
需要设置情况:
1. 主路由开DHCP(未指向旁路由网关),旁路由关DHCP,旁路由只有LAN口工作,其他设备需设置静态网关为旁路由,需要设置。
2. 主路由开DHCP(未指向旁路由网关),旁路由开DHCP(强制模式开),旁路由只有LAN口工作,其他设备通过强制DHCP获取旁路由网关,需要设置。
3. 主路由开DHCP(指向旁路由网关),旁路由关DHCP,旁路由只有LAN口工作,需要设置。
4. 主路由关DHCP,旁路由开DHCP,旁路由只有LAN口工作,需要设置。
不需要设置的情况:
1. 旁路由WAN LAN共用eth0,不用设置。
2. 单臂路由情况,N1作为拨号路由(有拨号就有WAN口),不用设置。


终极记忆口诀:没wan就加!