Posts on HiDa

屏蔽深信服BBC登录页粒子动画

Thu, 21 May 2026 10:50:57 +0800

前言

每次登录深信服 BBC（Business Behavior Control）时，都会被登录页面上那个花里胡哨的粒子动画困扰——漂浮的小点、连线，看起来酷炫，实际毫无用处，纯纯画蛇添足、华而不实，还白白浪费 CPU 和 GPU 资源。

解决方案

只需要在 uBlock Origin Lite 中添加一条自定义过滤规则，即可屏蔽这个烦人的粒子动画。

操作步骤

打开 uBlock Origin Lite 的选项页面（点击扩展图标 → 齿轮图标）
切换到 “我的规则”（My Rules） 选项卡
在规则输入框中添加以下规则：

<hostip>##canvas.particles-js-canvas-el

将 <hostip> 替换为你的深信服 BBC 服务器地址，例如：

10.0.0.1##canvas.particles-js-canvas-el

点击 “应用更改”（Apply changes）

规则说明

10.0.0.1 — 你的深信服 BBC 服务器 IP 地址
## — uBlock Origin 的元素隐藏语法
canvas.particles-js-canvas-el — 粒子动画使用的 Canvas 元素的 CSS 选择器

这条规则会让 uBlock Origin Lite 直接隐藏该 Canvas 元素，页面不再渲染粒子动画，登录页面瞬间清爽，CPU/GPU 占用也随之降低。

效果

添加规则后，深信服 BBC 登录页面将不再显示粒子动画，只保留干净的登录表单。页面加载更快，资源占用更低。

参考

firewalld 配置 internal 到 public 区域的流量转发

Mon, 18 May 2026 19:22:32 +0800

firewalld 支持通过 Policy 对象实现跨区域流量转发。本文介绍如何配置策略，允许 internal 区域的流量转发到 public 区域，使内网主机可以通过防火墙访问外部网络。

前提条件

firewalld 已安装并运行（systemctl status firewalld）
有 root 或 sudo 权限
了解 firewalld 的 Zone 和 Policy 概念

创建转发策略

firewalld 的 Zone 控制接口上的流量方向，而 Policy 用于定义跨区域的流量转发规则。我们需要创建一个 Policy，将 internal 作为入口区域，public 作为出口区域。

# 创建新策略
sudo firewall-cmd --permanent --new-policy allow-internal-to-public

# 设置入口区域（源）为 internal，出口区域（目标）为 public
sudo firewall-cmd --permanent --policy allow-internal-to-public --add-ingress-zone internal
sudo firewall-cmd --permanent --policy allow-internal-to-public --add-egress-zone public

# 设置动作为 ACCEPT，并给予高优先级（确保不被其他策略覆盖）
sudo firewall-cmd --permanent --policy allow-internal-to-public --set-target ACCEPT
sudo firewall-cmd --permanent --policy allow-internal-to-public --set-priority -100

关键参数说明：

参数	说明
`--add-ingress-zone`	流量进入的区域（源区域）
`--add-egress-zone`	流量出去的区域（目标区域）
`--set-target ACCEPT`	匹配该策略的流量默认放行
`--set-priority -100`	优先级数值越小越优先，负数确保优先于默认策略

开启伪装（MASQUERADE）

为了让内网 IP 的流量通过 public 区域的出口 IP 访问外部网络，需要为 public 区域开启源地址伪装（SNAT）：

sudo firewall-cmd --permanent --zone=public --add-masquerade

启用 IP 转发

Linux 内核默认关闭 IP 转发功能，需要手动开启：

# 临时启用（重启后失效）
sudo sysctl -w net.ipv4.ip_forward=1

# 永久启用
echo net.ipv4.ip_forward=1 | sudo tee -a /etc/sysctl.d/99-ipforward.conf

重载防火墙

以上所有 --permanent 操作需要重载后才会生效：

sudo firewall-cmd --reload

验证配置

# 查看策略列表
sudo firewall-cmd --get-policies

# 查看策略详情
sudo firewall-cmd --info-policy allow-internal-to-public

# 查看 public 区域是否开启伪装
sudo firewall-cmd --zone=public --query-masquerade

# 查看 IP 转发状态
sysctl net.ipv4.ip_forward

常见问题

内网主机无法访问外部？ 检查以下几点：

确认 net.ipv4.ip_forward 已设为 1
确认 public 区域的伪装已开启
确认 internal 区域的接口绑定正确：sudo firewall-cmd --zone=internal --list-all
确认内网主机的默认网关指向防火墙的 internal 接口 IP

策略优先级被覆盖？ 使用更小的优先级数值（如 -200），firewalld 优先级范围是 -32768 到 32767，数值越小越优先。

参考

在VyOS上运行ZeroTier实现站点间组网

Wed, 22 Apr 2026 10:42:28 +0800

前言

VyOS 是一个开源的路由器操作系统，ZeroTier 则是一个易于使用的 SD-WAN 方案。将两者结合，可以用 VyOS 作为各站点的网关设备，通过 ZeroTier 组建虚拟网络，实现站点间的安全通信。

相比传统的 IPsec VPN 或 BGP over WireGuard 方案，ZeroTier 的优势在于：无需公网 IP、无需手动配置隧道对端、通过 Central 控制台统一管理路由。适合中小规模的多站点部署。

本文基于 VyOS 1.4（Rolling Release）和 ZeroTier 官方 Docker 镜像，演示从容器部署到路由配置的完整流程。

网络拓扑

假设有 3 个站点，每个站点一台 VyOS 路由器，通过 ZeroTier 组网：

Site 1：RTR1，本地子网 10.1.0.0/24
Site 2：RTR2，本地子网 10.2.0.0/24
Site 3：RTR3，本地子网 10.3.0.0/24

ZeroTier 虚拟网络分配 10.13.0.0/16，每个节点通过 ZeroTier 自动分配一个 IP。

基础网络配置

确保每台 VyOS 有互联网连接和 DNS 解析：

configure
set interfaces ethernet eth0 address dhcp
set system name-server 223.5.5.5
commit
save

验证连通性：

ping 223.5.5.5 count 2

部署 ZeroTier 容器

VyOS 1.4 原生支持容器管理，我们使用 ZeroTier 官方 Docker 镜像。

1. 拉取镜像

add container image zerotier/zerotier:latest

VyOS 1.4 下载镜像时没有进度条，静默等待即可。用以下命令确认：

show container image

2. 创建持久化目录

将 ZeroTier 数据目录映射到 /config/ 下，确保重启后配置不丢失：

sudo mkdir -p /config/containers/zt1

3. 配置容器

configure
set container name zt1 allow-host-networks
set container name zt1 cap-add net-admin
set container name zt1 device tun destination /dev/net/tun
set container name zt1 device tun source /dev/net/tun
set container name zt1 image zerotier/zerotier:latest
set container name zt1 volume ZT_Path destination /var/lib/zerotier-one
set container name zt1 volume ZT_Path source /config/containers/zt1
commit
save

关键参数说明：

allow-host-networks：容器共享宿主网络栈，ZeroTier 创建的接口直接出现在 VyOS 上
cap-add net-admin：授予容器网络管理权限，允许创建虚拟网卡
device tun：将宿主的 TUN 设备映射进容器
volume ZT_Path：持久化 ZeroTier 的身份文件和配置

验证容器状态：

show container

映射 ZeroTier 接口

通过 devicemap 文件将 ZeroTier 网络映射为指定的以太网接口（如 zt0），便于后续配置防火墙策略：

sudo su
cd /config/containers/zt1
cat > devicemap << EOF
<NetworkID>=zt0
EOF
exit

将 <NetworkID> 替换为你在 ZeroTier Central 创建的网络 ID。然后重启容器使映射生效：

restart container zt1

加入 ZeroTier 网络

进入容器，执行 join 命令：

connect container zt1
zerotier-cli join <NetworkID>
exit

返回 200 join OK 表示加入成功。记录下 zerotier-cli info 输出的 Node ID。

在 Central 中授权节点

找到新加入的节点，将 Node ID 与各路由器对上
勾选 Auth 列的复选框授权
可选：为每个节点设置名称便于识别

授权后，在 VyOS 上确认接口已获取 IP：

show interfaces ethernet zt0

应能看到 ZeroTier 分配的 IP（如 10.13.x.x/16）。

配置路由

方法一：通过 ZeroTier Central 推送路由（推荐）

在 ZeroTier Central 的 Managed Routes 中添加各站点路由：

目标网段	Via（节点 IP）
10.1.0.0/24	10.13.x.1（RTR1）
10.2.0.0/24	10.13.x.2（RTR2）
10.3.0.0/24	10.13.x.3（RTR3）

路由会自动下发到所有节点。ZeroTier 将路由 metric 设为 5000，不会覆盖本地更优先的路由。

方法二：在 VyOS 上配置静态路由

如果不想依赖 Central 推送，也可以手动在 VyOS 上配置：

configure
# RTR1 上
set protocols static route 10.2.0.0/24 next-hop 10.13.x.2
set protocols static route 10.3.0.0/24 next-hop 10.13.x.3
commit
save

验证连通性

查看路由表确认路由已下发：

show ip route

从 RTR1 ping 其他站点：

ping 10.2.0.1 source-address 10.1.0.1 count 2
ping 10.3.0.1 source-address 10.1.0.1 count 2

注意事项

Managed Routes 上限：ZeroTier Central 限制每个网络最多 128 条托管路由
路由优先级：ZeroTier 推送的路由 metric 为 5000，本地静态路由默认 metric 20，后者优先
MTU：ZeroTier 虚拟接口 MTU 通常为 2800（内部会自动分片），一般无需调整
持久化：/config/ 下的文件在 save 和重启后会保留，容器数据和 devicemap 都在其中
容器自动启动：配置 set container name zt1 后，VyOS 重启会自动启动容器

扩展：大规模部署

如果站点数量超过 127 个（128 条路由减去默认路由），或者需要多租户隔离，可以考虑：

使用 BGP over ZeroTier 替代托管路由，实现更灵活的路由策略
结合 MPLS 实现多租户场景
自建 ZeroTier Planet/Moon 控制器，脱离 Central 的托管路由限制

总结

在 VyOS 上通过容器运行 ZeroTier 是一种轻量且易维护的组网方式。核心步骤只有：拉镜像、配容器、join 网络、授权、配路由。对于没有公网 IP 的站点，ZeroTier 可以通过 NAT 穿透建立 P2P 连接，无需额外的 VPN 网关或 DDNS 配置。

原文：Using ZeroTier for Site-to-Site Routing on VyOS

Alpine Linux 部署 SmokePing 网络监控

Wed, 25 Mar 2026 14:43:00 +0800

本文介绍如何在 Alpine Linux 系统上部署 SmokePing 网络延迟监控工具，使用 Caddy 作为 Web 服务器，FCGIWrap 处理 CGI 脚本。

系统要求

Alpine Linux 3.18+
2GB+ RAM（推荐 4GB+）
20GB+ 磁盘空间
网络连接正常

安装步骤

1. 安装必要软件包

# 更新软件包索引
apk update

# 安装 SmokePing 及相关组件
apk add fcgiwrap fcgiwrap-openrc caddy smokeping smokeping-openrc

# 创建 fcgiwrap 服务用户
useradd -r fcgiwrap-openrc

2. 创建数据目录

# 创建 SmokePing 数据目录
mkdir -p /var/lib/smokeping/Ping
mkdir -p /var/lib/smokeping/DNS

# 设置权限
chown smokeping:smokeping /var/lib/smokeping/Ping
chown smokeping:smokeping /var/lib/smokeping/DNS
chmod 777 /var/lib/smokeping/images/Ping
chmod 777 /var/lib/smokeping/images/DNS

3. 配置 Caddy Web 服务器

创建 Caddy 配置文件 /etc/caddy/Caddyfile：

{
 log {
 output file /var/log/caddy/access.log {
 roll_size 100MB # 单个日志文件最大 100MB
 roll_keep 10 # 保留最近 10 个日志文件
 roll_keep_for 720h # 保留 30 天（720 小时）
 }
 format console # 易读的格式，也可改用 json 格式（format json）
 }
}

http://192.168.1.100 {
 # 处理静态资源
 handle /js/* {
 root * /usr/share/webapps/smokeping/
 file_server
 }
 handle /css/* {
 root * /usr/share/webapps/smokeping/
 file_server
 }
 handle /imgcache/* {
 root * /usr/share/webapps/smokeping/
 file_server
 }
 handle_path /images/* {
 root * /var/lib/smokeping/images
 file_server browse
 }

 # 处理 CGI 请求
 handle {
 root * /usr/share/webapps/smokeping/
 reverse_proxy unix//run/fcgiwrap/fcgiwrap.sock {
 transport fastcgi {
 env SCRIPT_FILENAME /usr/share/webapps/smokeping/smokeping.cgi
 split ""
 }
 }
 }
}

4. 配置 SmokePing

创建配置文件 /etc/smokeping/config：

*** General ***

owner = Demo User
contact = admin@example.com
mailhost = mail.example.com
sendmail = /usr/sbin/sendmail
# NOTE: do not put the Image Cache below cgi-bin
# since all files under cgi-bin will be executed ... this is not
# good for images.
imgcache = /var/lib/smokeping/images
imgurl = /images
datadir = /var/lib/smokeping
piddir = /run/smokeping
cgiurl = http://192.168.1.100/smokeping.cgi
smokemail = /etc/smokeping/smokemail
tmail = /etc/smokeping/tmail
# specify this to get syslog logging
syslogfacility = local0
# each probe is now run in its own process
# disable this to revert to the old behaviour
# concurrentprobes = no

5. 配置告警规则

*** Alerts ***
to = admin@example.com
from = smokeping@example.com

# 定义各种告警规则
+hostdown
type = loss
# in percent
pattern ==0%,==0%,==0%, ==U
comment = 对端无响应

+bigloss
type = loss
# in percent
pattern ==0%,==0%,==0%,==0%,>20%,>20%,>20%
comment = 连续3次采样-丢包率超过20%

+lossdetect
type = loss
# in percent
pattern ==0%,==0%,==0%,==0%,>0%,>0%,>0%
comment = 连续3次采样-存在丢包

+someloss
type = loss
# in percent
pattern >0%,*12*,>0%,*12*,>0%
comment = 间断性丢包

+rttdetect
type = rtt
# in milli seconds
pattern <100,<100,<100,<100,<100,<150,>150,>150,>150
comment = 连续3次采样延迟增大-超过150ms

6. 配置数据库设置

*** Database ***

step = 300
pings = 20

# consfn mrhb steps total

AVERAGE 0.5 1 28800
AVERAGE 0.5 12 9600
 MIN 0.5 12 9600
 MAX 0.5 12 9600
AVERAGE 0.5 144 2400
 MAX 0.5 144 2400
 MIN 0.5 144 2400

7. 配置显示模板

*** Presentation ***

template = /etc/smokeping/basepage.html
htmltitle = yes
graphborders = no
# If enabled, treat all filter menu queries as literal strings instead of regex
literalsearch = no

+ charts

menu = Charts
title = The most interesting destinations

++ stddev
sorter = StdDev(entries=>4)
title = Top Standard Deviation
menu = Std Deviation
format = Standard Deviation %f

++ max
sorter = Max(entries=>5)
title = Top Max Roundtrip Time
menu = by Max
format = Max Roundtrip Time %f seconds

++ loss
sorter = Loss(entries=>5)
title = Top Packet Loss
menu = Loss
format = Packets Lost %f

++ median
sorter = Median(entries=>5)
title = Top Median Roundtrip Time
menu = by Median
format = Median RTT %f seconds

8. 配置探针

*** Probes ***

+ FPing

binary = /usr/sbin/fping

+ DNS
binary = /usr/bin/dig
lookup = g.cn
pings = 5
step = 180

9. 配置主从模式（可选）

*** Slaves ***
secrets=/etc/smokeping/smokeping_secrets
+boomer
display_name=boomer
color=0000ff

+slave2
display_name=another
color=00ff00

10. 配置监控目标

*** Targets ***

alerts = someloss
probe = FPing

menu = Top
title = Network Latency Grapher
remark = Welcome to the SmokePing website of <b>Example Company</b>. \
 Here you will learn all about the latency of our network.

+ Ping
menu = Ping
title = 10.0.0.14 Pings
alerts = hostdown,bigloss,lossdetect,someloss,rttdetect

++ server1
menu = 192.168.1.50
host = 192.168.1.50

++ server2
menu = 192.168.1.51
host = 192.168.1.51

+ DNS
menu = DNS
probe = DNS
alerts = hostdown,bigloss,lossdetect,someloss,rttdetect

++ dns-server
menu = 192.168.1.200
host = 192.168.1.200

启动服务

1. 启动并启用服务

# 启动 Caddy 服务
rc-service caddy start
rc-service caddy add

# 启动 SmokePing 服务
rc-service smokeping start
rc-service smokeping add

# 启动 fcgiwrap 服务
rc-service fcgiwrap start
rc-service fcgiwrap add

2. 检查服务状态

# 检查 Caddy 状态
rc-service caddy status

# 检查 SmokePing 状态
rc-service smokeping status

# 检查 fcgiwrap 状态
rc-service fcgiwrap status

验证部署

访问 http://192.168.1.100/smokeping.cgi 验证 SmokePing 是否正常工作。

常见问题

1. Caddy 启动失败

症状：rc-service caddy start 失败解决：

# 检查配置文件语法
caddy validate --config /etc/caddy/Caddyfile

# 检查端口占用
netstat -tlnp | grep 80
netstat -tlnp | grep 443

2. SmokePing 无法生成图表

症状：访问 CGI 脚本显示空白或错误解决：

# 检查 fcgiwrap 服务
rc-service fcgiwrap status

# 检查 CGI 脚本权限
ls -la /usr/share/webapps/smokeping/smokeping.cgi

# 检查数据目录权限
ls -la /var/lib/smokeping/

3. 权限问题

症状：无法创建数据或图片解决：

# 确保所有目录权限正确
chown -R smokeping:smokeping /var/lib/smokeping/
chmod -R 755 /var/lib/smokeping/
chmod -R 777 /var/lib/smokeping/images/

4. 网络连接问题

症状：SmokePing 无法 ping 目标主机解决：

# 测试 fping 命令
fping -c 5 10.0.0.14

# 检查防火墙设置
iptables -L -n

日志管理

1. Caddy 日志

# 查看 Caddy 访问日志
tail -f /var/log/caddy/access.log

# 查看系统日志
tail -f /var/log/messages | grep caddy

2. SmokePing 日志

# 查看 SmokePing 日志
tail -f /var/log/messages | grep smokeping

# 查看进程日志
journalctl -u smokeping -f

定期维护

1. 数据清理

SmokePing 会自动管理数据文件，但如果需要手动清理：

# 查看磁盘使用情况
du -sh /var/lib/smokeping/

# 清理旧的图片文件（如果需要）
find /var/lib/smokeping/images -type f -mtime +90 -delete

2. 服务重启

# 重启所有服务
rc-service caddy restart
rc-service fcgiwrap restart
rc-service smokeping restart

3. 配置备份

# 备份配置文件
tar -czf /backup/smokeping-config-$(date +%Y%m%d).tar.gz \
 /etc/caddy/Caddyfile \
 /etc/smokeping/smokeping.config

扩展功能

1. 添加更多监控目标

在配置文件的 *** Targets *** 部分添加新的目标：

+ new-host
menu = New Host
host = 192.168.1.100
alerts = hostdown,bigloss

2. 配置自定义告警

根据业务需求自定义告警规则：

+ custom-alert
type = rtt
pattern >1000,<1000,<1000,<1000,<1000,<1000,>2000
comment = 延迟异常增高

性能优化

1. 调整采样间隔

根据网络状况调整 step 参数：

step = 600 # 10 分钟采样一次，减少资源占用

2. 限制并发探针

如果资源有限，可以禁用并发探针：

# disable concurrent probes
concurrentprobes = no

通过以上配置，您将在 Alpine Linux 上成功部署一个功能完整的 SmokePing 网络监控系统，提供实时的网络延迟、丢包率和抖动监控。

参考资料

自定义smokeping告警(邮件+短信) - 详细的配置参数和优化建议

Gitea 完整实践指南：从部署到自动化

Fri, 13 Mar 2026 00:00:00 +0800

一、Gitea 概述

1.1 什么是 Gitea

Gitea 是一个轻量级的自托管 Git 服务，采用 Go 语言编写，是 GitHub 和 GitLab 的轻量替代方案。它提供了完整的代码托管功能，包括 Issues、Pull Requests、Wiki、CI/CD 等，同时保持了极低的资源占用。

为什么选择 Gitea？

特性	Gitea	GitLab	GitHub
资源占用	极低（100MB RAM）	高（2GB+ RAM）	SaaS
部署复杂度	简单	复杂	无需部署
数据控制	完全自控	完全自控	依赖第三方
国内访问	可部署内网	可部署内网	需代理

1.2 核心特性

轻量级：单个二进制文件，内存占用极低
易部署：支持二进制、Docker、包管理器多种方式
完整功能：Issues、PR、Wiki、CI/CD、LFS、包管理
插件系统：支持通过 Markdown 插件扩展功能
兼容性强：支持 GitHub/GitLab 导入，API 兼容

1.3 适用场景

个人/小团队代码托管 - 轻量快速启动
企业内网 Git 服务 - 数据完全自控
CI/CD 平台基础 - 结合 Actions 构建自动化流水线
镜像仓库中转站 - 在国内网络环境下加速访问

二、Gitea 部署与配置

2.1 系统要求

资源	最低配置	推荐配置
CPU	1核	2核+
内存	512MB	1GB+
磁盘	10GB	50GB+
操作系统	Linux/macOS/Windows	Linux 64位

2.2 二进制安装（推荐）

下载与安装

# 下载最新版本（国内用户建议使用镜像站点）
wget https://dl.gitea.io/gitea/1.22/gitea-1.22.0-linux-amd64

# 或使用 GitHub 镜像加速
wget https://mirror.ghproxy.com/https://github.com/go-gitea/gitea/releases/download/v1.22.0/gitea-1.22.0-linux-amd64

# 添加执行权限
chmod +x gitea-1.22.0-linux-amd64

# 移动到系统路径
sudo mv gitea-1.22.0-linux-amd64 /usr/local/bin/gitea

# 创建 gitea 用户
sudo useradd -r -m -d /var/lib/gitea -s /bin/bash gitea

配置 Systemd 服务

# 创建服务文件
sudo nano /etc/systemd/system/gitea.service

gitea.service 配置：

[Unit]
Description=Gitea
After=syslog.target
After=network.target
After=mariadb.service postgresql.service mysql.service

[Service]
Type=simple
User=gitea
Group=gitea
WorkingDirectory=/var/lib/gitea
ExecStart=/usr/local/bin/gitea web --config /etc/gitea/app.ini
Restart=always
Environment=USER=gitea
HOME=/var/lib/gitea

[Install]
WantedBy=multi-user.target

# 重载并启动服务
sudo systemctl daemon-reload
sudo systemctl enable gitea
sudo systemctl start gitea

# 查看状态
sudo systemctl status gitea

2.3 初始化配置

首次访问 http://your-server:3000 会进入初始化向导：

数据库配置（SQLite）

数据库类型：SQLite3
路径：/var/lib/gitea/data/gitea.db

SQLite 适合小规模部署，无需额外数据库服务，配置最简单。

基本设置

服务器域名：your-server.example.com
Gitea 基础 URL：https://your-server.example.com/
SSH 服务端口：22 或自定义
监听 HTTP 端口：3000

管理员账号

用户名：admin
密码：[设置强密码]
邮箱：admin@example.com

2.4 app.ini 配置文件详解

配置文件位置：/etc/gitea/app.ini

[server]
PROTOCOL = http
DOMAIN = your-server.example.com
ROOT_URL = https://your-server.example.com/
HTTP_PORT = 3000
DISABLE_SSH = false
SSH_PORT = 22
START_SSH_SERVER = true
LFS_START_SERVER = true

[database]
TYPE = sqlite3
PATH = /var/lib/gitea/data/gitea.db

[repository]
ROOT = /var/lib/gitea/repositories
SCRIPT_TYPE = bash
DEFAULT_PUSH_CREATE_PRIVATE = true

[lfs]
PATH = /var/lib/gitea/data/lfs

[service]
DISABLE_REGISTRATION = true
REQUIRE_SIGNIN_VIEW = true
REGISTER_EMAIL_CONFIRM = true

[session]
PROVIDER = file

2.5 国内网络环境适配

SSL 证书配置（Let’s Encrypt）

# 安装 certbot
sudo apt install certbot

# 申请证书
sudo certbot certonly --standalone -d your-server.example.com

# 证书路径
证书：/etc/letsencrypt/live/your-server.example.com/fullchain.pem
私钥：/etc/letsencrypt/live/your-server.example.com/privkey.pem

修改 app.ini：

[server]
PROTOCOL = https
CERT_FILE = /etc/letsencrypt/live/your-server.example.com/fullchain.pem
KEY_FILE = /etc/letsencrypt/live/your-server.example.com/privkey.pem

# 重启服务
sudo systemctl restart gitea

自签名证书（内网使用）

# 生成自签名证书
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
 -keyout /etc/ssl/private/gitea.key \
 -out /etc/ssl/certs/gitea.crt

# 设置权限
sudo chmod 600 /etc/ssl/private/gitea.key
sudo chmod 644 /etc/ssl/certs/gitea.crt

修改 app.ini 指向自签名证书路径。

三、Gitea Actions（CI/CD）

3.1 Actions 简介

Gitea Actions 是 Gitea 1.19+ 引入的 CI/CD 功能，兼容 GitHub Actions 语法。它由以下组件构成：

Gitea 实例：存储 Workflow 文件，触发构建任务
Act Runner：执行 Workflow 的 Runner 程序
Job：实际运行的工作单元

3.2 Act Runner 部署

下载与安装

# 下载 act runner
wget https://dl.gitea.com/act-runner/act-runner-0.2.10-linux-amd64

# 添加执行权限
chmod +x act-runner-0.2.10-linux-amd64
sudo mv act-runner-0.2.10-linux-amd64 /usr/local/bin/act-runner

# 创建 runner 用户
sudo useradd -r -m -d /var/lib/act-runner -s /bin/bash act-runner

注册 Runner

# 获取注册令牌（在 Gitea 管理页面获取）
# Gitea 设置 -> Actions -> Runners -> New Runner

# 注册 Runner
sudo -u act-runner act-runner register \
 --instance https://your-server.example.com \
 --token <your-token> \
 --name "linux-runner" \
 --labels "docker:docker"

# 创建 systemd 服务
sudo nano /etc/systemd/system/act-runner.service

act-runner.service 配置：

[Unit]
Description=Gitea Actions Runner
After=network.target

[Service]
Type=simple
User=act-runner
Group=act-runner
WorkingDirectory=/var/lib/act-runner
ExecStart=/usr/local/bin/act-runner daemon --config /var/lib/act-runner/config.yaml
Restart=always

[Install]
WantedBy=multi-user.target

# 启动服务
sudo systemctl daemon-reload
sudo systemctl enable act-runner
sudo systemctl start act-runner
sudo systemctl status act-runner

3.3 Workflow 编写

Workflow 文件位于仓库的 .gitea/workflows/ 目录下，使用 YAML 格式。

基本结构

name: CI Workflow

on:
 push:
 branches: [ main, develop ]
 pull_request:
 branches: [ main ]

jobs:
 build:
 runs-on: ubuntu-latest
 steps:
 - name: Checkout
 uses: actions/checkout@v4

 - name: Run tests
 run: |
 echo "Running tests..."
 make test

自动构建 Docker 镜像

name: Build and Push Docker Image

on:
 push:
 branches: [ main ]
 tags: [ 'v*' ]

jobs:
 build:
 runs-on: ubuntu-latest
 steps:
 - name: Checkout
 uses: actions/checkout@v4

 - name: Set up Docker Buildx
 uses: docker/setup-buildx-action@v3

 - name: Login to Registry
 uses: docker/login-action@v3
 with:
 registry: registry.example.com
 username: ${{ secrets.REGISTRY_USERNAME }}
 password: ${{ secrets.REGISTRY_PASSWORD }}

 - name: Build and push
 uses: docker/build-push-action@v5
 with:
 context: .
 push: true
 tags: registry.example.com/myapp:latest,registry.example.com/myapp:${{ github.ref_name }}
 cache-from: type=registry,ref=registry.example.com/myapp:buildcache
 cache-to: type=registry,ref=registry.example.com/myapp:buildcache,mode=max

自动化部署

name: Deploy to Server

on:
 push:
 branches: [ main ]

jobs:
 deploy:
 runs-on: ubuntu-latest
 steps:
 - name: Checkout
 uses: actions/checkout@v4

 - name: Deploy via SSH
 uses: appleboy/ssh-action@v1.0.0
 with:
 host: ${{ secrets.DEPLOY_HOST }}
 username: ${{ secrets.DEPLOY_USER }}
 key: ${{ secrets.DEPLOY_SSH_KEY }}
 script: |
 cd /opt/myapp
 git pull origin main
 docker-compose down
 docker-compose pull
 docker-compose up -d

3.4 国内网络优化

Runner 镜像源配置

在 Runner 服务器上配置 Docker 镜像加速：

# 修改 Docker daemon 配置
sudo nano /etc/docker/daemon.json

{
 "registry-mirrors": [
 "https://docker.m.daocloud.io",
 "https://docker.1panel.live"
 ]
}

# 重启 Docker
sudo systemctl restart docker

Workflow 中使用镜像加速

name: Build with Mirror

on: [push]

jobs:
 build:
 runs-on: ubuntu-latest
 container:
 image: ghcr.m.daocloud.io/catthehacker/ubuntu:act-latest
 steps:
 - uses: actions/checkout@v4

 - name: Configure npm mirror
 run: |
 npm config set registry https://registry.npmmirror.com

 - name: Configure pip mirror
 run: |
 pip config set global.index-url https://pypi.tuna.tsinghua.edu.cn/simple

 - name: Configure Go proxy
 run: |
 go env -w GOPROXY=https://goproxy.cn,direct

 - name: Build
 run: make build

超时配置（giteatimeout）

Actions Runner 在国内网络环境下容易遇到超时问题。需要在多个层面配置：

1. Runner 服务配置

修改 /var/lib/act-runner/config.yaml：

runner:
 # 连接超时（秒）
 fetch_timeout: 180
 # 运行超时（秒），0 表示不限制
 timeout: 10800 # 3 小时

2. Workflow 级别超时

jobs:
 build:
 timeout-minutes: 60 # 单个 Job 超时
 steps:
 - name: Download with retry
 run: |
 # 使用重试脚本
 for i in {1..3}; do
 curl -L -o package.tar.gz ${{ env.DOWNLOAD_URL }} && break
 echo "Retrying... ($i/3)"
 sleep 10
 done

3. 网络层面优化

# 增加系统网络超时
sudo sysctl -w net.ipv4.tcp_keepalive_time=600
sudo sysctl -w net.ipv4.tcp_keepalive_intvl=60
sudo sysctl -w net.ipv4.tcp_keepalive_probes=20

3.5 Secrets 管理

在仓库中配置敏感信息：

仓库设置 -> Secrets and variables -> Actions -> New Repository Secret

常用 Secrets：

REGISTRY_USERNAME - 镜像仓库用户名
REGISTRY_PASSWORD - 镜像仓库密码
DEPLOY_SSH_KEY - 部署服务器 SSH 私钥
DEPLOY_HOST - 部署服务器地址
DEPLOY_USER - 部署用户名

四、仓库镜像（Repository Mirror）

4.1 镜像功能概述

Gitea 支持两种镜像模式：

类型	方向	说明
Pull 镜像	远程 → Gitea	从 GitHub/GitLab 拉取更新到 Gitea
Push 镜像	Gitea → 远程	将 Gitea 的更改推送到远程

4.2 从 GitHub 同步（Pull 镜像）

配置步骤

在 GitHub 生成 Personal Access Token

GitHub 设置 -> Developer settings -> Personal access tokens -> Tokens (classic)
- 勾选 repo 权限

在 Gitea 创建 Pull 镜像

仓库设置 -> Mirroring -> Add New Pull Mirror

仓库地址：https://github.com/username/repo.git
用户名：your-github-username
密码：your-github-pat-token
同步间隔：8h（推荐）

手动触发同步

仓库设置 -> Mirroring -> Sync Now

配置文件方式

修改 app.ini：

[mirror]
ENABLED = true
DEFAULT_INTERVAL = 8h

4.3 推送到远程仓库（Push 镜像）

配置步骤

获取目标仓库认证信息
- GitHub：使用 Personal Access Token
- Gitee：使用 Personal Access Token（私有令牌）

在 Gitea 创建 Push 镜像

仓库设置 -> Mirroring -> Add New Push Mirror

仓库地址：https://gitee.com/username/repo.git
用户名：your-gitee-username
密码：your-gitee-token

触发时机
- 每次推送到 Gitea 仓库后自动推送
- 可配置推送特定分支

4.4 国内网络场景应用

Gitee 镜像中转架构

┌─────────┐ ┌─────────┐ ┌─────────┐
│ GitHub │ Pull │ Gitea │ Push │ Gitee │
│ (国外) │ ──────> │ (内网) │ ──────> │ (国内) │
└─────────┘ └─────────┘ └─────────┘
 ↑ ↓
 │ │
 └────────────── 团队克隆 ───────────────┘

实施步骤：

设置 GitHub → Gitea Pull 镜像
```
# GitHub 同步配置
[mirror]
INTERVAL = 4h
```
- 每 4 小时自动拉取 GitHub 更新
- 团队成员直接从 Gitea 克隆（内网快速）
设置 Gitea → Gitee Push 镜像
- 将 Gitea 仓库推送到 Gitee
- 外部合作伙伴从 Gitee 克隆
多地域镜像

在多个 Gitee 实例之间建立镜像链，实现就近访问。

私有仓库镜像

使用 SSH 密钥认证：

# 生成 SSH 密钥对
ssh-keygen -t ed25519 -C "gitea-mirror" -f ~/.ssh/gitea_mirror

# 公钥添加到 GitHub/Gitee
cat ~/.ssh/gitea_mirror.pub

在 Gitea 镜像配置中使用 SSH URL：

git@github.com:username/repo.git

4.5 镜像故障排查

常见问题

问题	原因	解决方案
认证失败	Token 过期	更新 PAT
同步超时	网络慢	增加超时时间、使用代理
LFS 文件未同步	LFS 未配置	配置 Git LFS
大仓库同步慢	历史记录大	浅克隆（–depth 1）

调试同步

# 查看 Gitea 日志
sudo journalctl -u gitea -f

# 手动测试镜像
cd /var/lib/gitea/repositories/username/repo.git
sudo -u gitea git fetch --all -v

LFS 同步配置

修改 app.ini：

[lfs]
STORAGE_TYPE = local
PATH = /var/lib/gitea/data/lfs

[server]
LFS_START_SERVER = true
LFS_JWT_SECRET = your-secret-key

五、高级话题

5.1 第三方认证集成

LDAP 集成

修改 app.ini：

[service]
ENABLE_CAPTCHA = false

[security]
ENABLE_LOGIN_SOURCE_COOKIE = true

[ldap]
ENABLED = true
SOURCE_NAME = Company LDAP
HOST = ldap-server.example.com:389
BIND_DN = cn=admin,dc=example,dc=com
BIND_PASSWORD = password
SEARCH_BASE = ou=users,dc=example,dc=com
USERNAME_ATTRIBUTE = uid
USER_FILTER = (&(objectClass=person)(|(uid=%[1]s)(mail=%[1]s)))
EMAIL_ATTRIBUTE = mail
NAME_ATTRIBUTE = givenName
SURNAME_ATTRIBUTE = sn

5.2 Webhook 集成

配置 Webhook 实现自动化通知：

仓库设置 -> Webhooks -> Add Webhook

常见集成：

企业微信机器人
钉钉机器人
Slack
自定义 HTTP 服务

5.3 安全加固

启用 2FA（双因素认证）
```
设置 -> 安全 -> 启用 2FA
```

API 限流

[api]
ENABLE_SWAGGER = false
MAX_RESPONSE_ITEMS = 50

审计日志

[log]
MODE = file
LEVEL = info

查看日志：

设置 -> 审计日志

六、参考资源

FRR OSPF Route-MAP 配置指南

Wed, 11 Mar 2026 00:04:00 +0800

概述

Route-Map 是 FRR (FRRouting) 中强大的路由策略工具，用于控制 OSPF 路由的发布和接收。通过 Route-Map，可以实现：

路由过滤
路由属性修改
条件路由发布

基本概念

Route-Map 结构

Route-Map 由一条或多条 sequence 组成，每个 sequence 有：

匹配条件 (match)：定义哪些路由会被处理
动作 (action)：permit（允许）或 deny（拒绝）
设置语句 (set)：修改路由属性

顺序执行

Route-Map 按序列号从小到大依次执行：

一旦匹配成功，执行对应动作并停止
如果所有 sequence 都未匹配，默认拒绝

常用匹配条件

匹配类型	说明	示例
`ip address`	匹配 IP 地址/前缀	`match ip address prefix-list LIST`
`interface`	匹配出接口	`match interface eth0`
`metric`	匹配路由开销	`match metric 100`
`protocol`	匹配路由协议类型	`match protocol ospf`
`next-hop`	匹配下一跳地址	`match ip next-hop A.B.C.D`
`tag`	匹配路由标签	`match tag 100`
`as-path`	匹配 AS 路径（BGP）	`match as-path 100`

支持的协议类型

ospf - OSPF 路由
static - 静态路由
connected - 直连路由
kernel - 内核路由
rip - RIP 路由
bgp - BGP 路由
isis - IS-IS 路由
pim - PIM 路由

配置示例

1. 基本路由过滤

场景：只允许特定网段的路由进入 OSPF

router ospf
 # 定义前缀列表
 ip prefix-list INTERNAL_NETS seq 5 permit 10.0.0.0/8 le 24
 ip prefix-list INTERNAL_NETS seq 10 permit 172.16.0.0/12 le 24
 ip prefix-list INTERNAL_NETS seq 15 permit 192.168.0.0/16 le 24
 ip prefix-list INTERNAL_NETS seq 20 deny any

 # 应用到路由重分发
 redistribute connected route-map FILTER_CONNECTED

# 定义 route-map
route-map FILTER_CONNECTED permit 10
 match ip address prefix-list INTERNAL_NETS

场景：过滤掉特定路由

# 定义要过滤的网段
ip prefix-list BLOCK_NETS seq 5 deny 192.168.100.0/24
ip prefix-list BLOCK_NETS seq 10 permit any

# 应用到路由注入
router ospf
 default-information originate route-map FILTER_DEFAULT

route-map FILTER_DEFAULT permit 10
 match ip address prefix-list BLOCK_NETS

2. 修改路由属性

场景：修改路由开销值

route-map SET_METRIC permit 10
 set metric 100

route-map SET_METRIC permit 20
 match ip address prefix-list SPECIAL_NETS
 set metric 50

# 应用
router ospf
 redistribute static route-map SET_METRIC

场景：根据路由类型设置不同开销

route-map METRIC_BY_TYPE permit 10
 match ip address prefix-list CRITICAL_NETS
 set metric 10

route-map METRIC_BY_TYPE permit 20
 match ip address prefix-list NORMAL_NETS
 set metric 100

3. 条件路由发布

场景：只在有特定路由时发布默认路由

# 定义匹配条件
ip prefix-list ISP_ROUTE seq 5 permit 0.0.0.0/0

route-map CONDITIONAL_DEFAULT permit 10
 match ip address prefix-list ISP_ROUTE

router ospf
 default-information originate route-map CONDITIONAL_DEFAULT always

4. 重分发控制

场景：从 BGP 重分发到 OSPF 时过滤路由

# 只允许特定 BGP 路由进入 OSPF
ip prefix-list FROM_BGP seq 5 permit 203.0.113.0/24
ip prefix-list FROM_BGP seq 10 permit 198.51.100.0/24
ip prefix-list FROM_BGP seq 15 deny any

route-map BGP_TO_OSPF permit 10
 match ip address prefix-list FROM_BGP
 set metric 50
 set metric-type type-1

router ospf
 redistribute bgp route-map BGP_TO_OSPF

场景：不同协议间重分发

# 静态路由重分发
route-map STATIC_TO_OSPF permit 10
 match ip address prefix-list STATIC_NETS
 set metric 20

# 直连路由重分发
route-map CONNECTED_TO_OSPF permit 10
 match interface eth0 eth1
 set metric 10

router ospf
 redistribute connected route-map CONNECTED_TO_OSPF
 redistribute static route-map STATIC_TO_OSPF

5. 基于 OSPF 协议的匹配

场景：只处理 OSPF 协议的路由

# 匹配所有 OSPF 路由
route-map ONLY_OSPF permit 10
 match protocol ospf
 set metric 50

# 在重分发时应用
router ospf
 redistribute connected route-map ONLY_OSPF

场景：排除 OSPF 路由，处理其他协议

# 排除 OSPF 路由，只允许其他协议的路由
route-map EXCLUDE_OSPF permit 10
 match protocol static
 match protocol connected
 match protocol kernel
 set metric 20

route-map EXCLUDE_OSPF deny 20
 match protocol ospf

# 或者使用更简洁的方式
route-map FILTER_PROTOCOL permit 10
 match protocol static
 set metric 30
!
route-map FILTER_PROTOCOL permit 20
 match protocol connected
 set metric 10
!
# 默认拒绝其他协议（包括 ospf）

场景：根据 OSPF 路由类型处理

# 区分 OSPF 内部路由和外部路由
route-map OSPF_INTERNAL permit 10
 match protocol ospf
 match ip address prefix-list INTERNAL_PREFIX
 set metric 10

route-map OSPF_EXTERNAL permit 20
 match protocol ospf
 set metric 100

router ospf
 redistribute ospf route-map OSPF_EXTERNAL

6. 区域间路由控制

# 区域间路由过滤
router ospf
 area 1 filter-list prefix IN_AREA1 in
 area 1 filter-list prefix OUT_AREA1 out

ip prefix-list IN_AREA1 seq 5 deny 192.168.10.0/24
ip prefix-list IN_AREA1 seq 10 permit 10.0.0.0/8 le 24
ip prefix-list IN_AREA1 seq 15 permit 172.16.0.0/12 le 24
ip prefix-list IN_AREA1 seq 20 permit 192.168.0.0/16 le 24

常用命令

查看配置

# 显示 route-map 配置
show route-map

# 显示前缀列表
show ip prefix-list

# 显示 OSPF 路由表
show ip ospf route

# 显示 OSPF 数据库
show ip ospf database

# 显示 route-map 统计信息
show ip protocols ospf

调试命令

# 启用 OSPF 调试
debug ospf lsa
debug ospf zebra

# 查看路由重分发情况
show ip ospf redistribute

# 查看各协议路由
show ip route ospf
show ip route static
show ip route connected
show ip route bgp

# 查看 route-map 匹配统计
show ip route-map detail

最佳实践

1. 命名规范

# 使用描述性的名称
route-map FILTER_EXTERNAL_STATIC permit 10
route-map SET_METRIC_INTERNAL permit 10
route-map BGP_TO_OSPF permit 10

2. 序列号规划

# 使用 10 的倍数，方便插入新规则
route-map EXAMPLE permit 10
route-map EXAMPLE permit 20
route-map EXAMPLE permit 30

# 后续可以在 10 和 20 之间插入
route-map EXAMPLE permit 15

3. 默认拒绝策略

# 总是添加最后的拒绝规则
route-map EXAMPLE permit 10
 match ip address prefix-list ALLOW_NETS
!
route-map EXAMPLE deny 20
!
# 隐含的 deny any 在最后

4. 测试配置

# 临时设置为 permit 观察效果
route-map TEMP_DEBUG permit 100
 set metric 999

# 确认无误后调整
no route-map TEMP_DEBUG permit 100

故障排查

问题 1：路由未按预期发布

# 检查 route-map 配置
show route-map

# 检查前缀列表匹配
show ip prefix-list

# 检查 OSPF 进程
show ip ospf
show running-config | section router ospf

问题 2：路由开销未生效

# 检查 route-map 是否正确应用
show ip protocols ospf

# 验证 set 语句
show route-map <name>

# 检查路由表
show ip route ospf

问题 3：所有路由都被过滤

# 检查是否忘记 permit 规则
show route-map

# 确认最后一条规则
route-map EXAMPLE permit 100

问题 4：协议匹配不生效

# 检查路由协议类型
show ip route

# 确认 route-map 中的 protocol 匹配
show route-map
show running-config | section route-map

# 验证特定协议的路由
show ip route ospf
show ip route static
show ip route connected

# 检查匹配统计
show ip route-map detail

实战案例

案例：多出口路由选路

# 定义 ISP1 的路由
ip prefix-list ISP1_ROUTES seq 5 permit 203.0.113.0/24

# 定义 ISP2 的路由
ip prefix-list ISP2_ROUTES seq 5 permit 198.51.100.0/24

# 修改 ISP1 路由开销
route-map PREFER_ISP1 permit 10
 match ip address prefix-list ISP1_ROUTES
 set metric 10

route-map PREFER_ISP1 permit 20
 match ip address prefix-list ISP2_ROUTES
 set metric 100

router ospf
 redistribute static route-map PREFER_ISP1

案例：路由聚合

# 创建聚合路由
ip route 10.0.0.0/8 Null0

# 控制聚合路由发布
route-map AGGREGATE_ROUTE permit 10
 set metric 50
 set metric-type type-1

router ospf
 redistribute static route-map AGGREGATE_ROUTE

还有一条命令，全局过滤prefix-list BLOCKNET中匹配的路由条目

ip protocol ospf route-map BLOCKNET

参考资源

Netbox 迁移到 k3s

Sat, 28 Feb 2026 12:37:00 +0800

本文记录了将 Netbox 从旧环境迁移到 k3s 集群的过程。

迁移步骤

1. 备份数据库

使用 pg_dump 导出 Netbox 数据库，排除变更日志表以减小备份体积：

pg_dump --username netbox --password --host localhost --exclude-table-data=extras_objectchange netbox > netbox.sql

2. 删除旧 Pod

为了避免 Pod 竞争和锁定问题，先删除现有的 Netbox Pod：

kubectl delete po netbox-68cbd8b854-2hvgp

3. 修改 PostgreSQL 认证方式

临时禁用密码认证

# 进入 PostgreSQL Pod
kubectl exec -it netbox-postgresql-0 -- sed -ibak 's/^\([^#]*\)md5/\1trust/g' /opt/bitnami/postgresql/conf/pg_hba.conf

# 重新加载配置
kubectl exec -it netbox-postgresql-0 -- pg_ctl reload

创建新数据库和用户

kubectl exec -it netbox-postgresql-0 -- psql -U postgres

DROP DATABASE netbox;
CREATE DATABASE netbox;
ALTER USER netbox WITH PASSWORD 'balabalabala';
ALTER DATABASE netbox OWNER TO netbox;

-- PostgreSQL 15 及以上版本需要
\connect netbox;
GRANT CREATE ON SCHEMA public TO netbox;

恢复密码认证

kubectl exec -it netbox-postgresql-0 -- sed -i 's/^\([^#]*\)trust/\1md5/g' /opt/bitnami/postgresql/conf/pg_hba.conf
kubectl exec -it netbox-postgresql-0 -- pg_ctl reload

4. 恢复数据库

kubectl exec -it netbox-postgresql-0 -- sh -c "PGPASSWORD=balabalabala psql -U netbox -d netbox < /tmp/netbox.sql"

参考资料

wget用Content-Disposition字段值为文件名

Thu, 22 Jan 2026 14:17:37 +0800

基本用法

wget可以通过--content-disposition参数使用HTTP响应头中的Content-Disposition字段来设置下载文件的文件名。

wget [--no-check-certificate] --content-disposition 'url'

详细说明

Content-Disposition头字段

Content-Disposition是HTTP响应头中的一个字段，用于指示如何处理响应内容。当服务器希望浏览器下载文件而不是显示时，会使用这个字段。

常见的格式：

Content-Disposition: attachment; filename="example.pdf"
Content-Disposition: attachment; filename*=UTF-8''%E4%BE%8B%E5%AD%90.pdf

参数说明

--content-disposition: 启用对Content-Disposition头的支持
--no-check-certificate: 跳过SSL证书验证（可选，用于自签名证书）

实际应用场景

1. 动态文件下载

当下载链接指向动态生成的文件时，服务器会通过Content-Disposition指定正确的文件名：

wget --content-disposition "https://example.com/download.php?id=123"

2. 中文文件名处理

对于包含中文字符的文件名，Content-Disposition可能会使用URL编码：

wget --content-disposition "https://example.com/中文文件.pdf"

wget会自动处理URL编码的文件名。

3. 批量下载

结合其他参数使用：

# 后台下载，使用Content-Disposition文件名
wget -b --content-disposition "https://example.com/file.zip"

# 限制下载速度，使用Content-Disposition文件名
wget --limit-rate=100k --content-disposition "https://example.com/large-file.iso"

高级用法

结合其他wget参数

# 断点续传，使用Content-Disposition文件名
wget -c --content-disposition "https://example.com/big-file.tar.gz"

# 递归下载，使用Content-Disposition文件名
wget -r --content-disposition "https://example.com/files/"

脚本中的应用

在shell脚本中批量处理下载任务：

#!/bin/bash

URLS=(
 "https://example.com/file1.pdf"
 "https://example.com/file2.doc"
 "https://example.com/数据.xlsx"
)

for url in "${URLS[@]}"; do
 echo "正在下载: $url"
 wget --content-disposition "$url"
done

注意事项

1. 安全性考虑

谨慎使用--no-check-certificate参数，可能存在安全风险
建议在可信网络环境中使用

2. 文件名冲突

如果多个URL返回相同的文件名，wget会自动添加数字后缀：

document.pdf
document(1).pdf
document(2).pdf

3. 编码问题

确保终端支持UTF-8编码以正确显示中文文件名
在某些系统上可能需要额外的配置

4. 服务器支持

并非所有服务器都正确设置Content-Disposition头，某些情况下可能需要手动指定文件名：

# 如果Content-Disposition不可用，使用-O参数指定文件名
wget -O custom-name.pdf "https://example.com/download"

故障排除

常见问题

文件名显示乱码
```
# 设置locale
export LANG=zh_CN.UTF-8
```

下载失败

# 检查HTTP头
curl -I "https://example.com/download"

文件名被截断

# 检查服务器返回的完整Content-Disposition头
wget --spider --server-response "https://example.com/download"

替代方案

如果wget不可用，也可以使用其他工具：

使用curl

curl -J -O "https://example.com/download"

使用Python

import requests
import os

url = "https://example.com/download"
response = requests.get(url, headers={'User-Agent': 'Mozilla/5.0'})
filename = response.headers.get('content-disposition', '').split('filename=')[-1].strip('"')
with open(filename, 'wb') as f:
 f.write(response.content)

Netbox升级到v4.4版本后Racks视图空白问题

Fri, 17 Oct 2025 00:36:10 +0800

Netbox升级到4.4版本后，打开Racks视图，发现页面空白。打开页面控制台发现报错oobErrorNoTarget.查询资料发现，问题在于新引入的"HTMX Navigation"功能。临时方案为：打开用户设置，“HTMX Navigation"选项选择"Disabled”

资料

https://github.com/netbox-community/netbox/issues/20043

格式化ssh配置文件,空格替换为TAB

Mon, 29 Sep 2025 23:10:12 +0800

sed 's/[[:blank:]]\{2,\}/\t/g' config