HexBlog

0%

发表于 更新于 分类于

认证与授权

  • Authentication(认证)
    • 用户的用户名和密码是否能通过检验。
  • Authorizantion(授权)
    • 用户是否被允许访问服务或资源。

nsswitch&pam

阅读全文 »

发表于 更新于 分类于

简单开启22号端口

1
2
3
iptables -t filter -A INPUT -j DROP -s 172.0.0.1 -p 22
iptables -t filter -A INPUT -j ACCEPT -s 172.16.0.0/16 -d 172.16.100.1 -p tcp --dport 22 
iptables -t filter -A OUTPUT -j ACCEPT -s 172.16.100.7 -d 172.16.0.0/16 -p tcp --sport 22

state模块使用例程

禁止向外打开新的tcp连接

1
2
3
iptables -A OUTPUT -m state --state NEW -p tcp -s 172.16.0.107 -j DROP
iptables -t filter -A INPUT -p tcp --dport 22 -d 172.16.0.107 -j ACCEPT 
iptables -t filter -A OUTPUT -p tcp --sport 22 -s 172.16.0.107 -j ACCEPT

允许ping自己

1
2
3
4
iptebles -P INPUT DROP
iptebles -P OUTPUT DROP 
iptables -t filter -A INPUT -p icmp --icmp-type 8 -m state --state NEW,ESTABLISHED -d 172.16.0.107 -j DROP
iptebles -t filter -A OUTPUT -p icmp --icmp-type 0 -m state --state ESTABLISHED -s 172.16.0.107 -j ACCEPT

防止反弹shell

1
iptables -t fliter -A OUTPUT -m state -s 172.16.0.107 --state ESTABLISHED -j ACCEPT

ftp协议的特殊性

因为ftp很特殊,ip_nat_ftp ip_conntrack_ftp 模块需要先装载

配置文件在/etc/sysconfig/iptables-config,在IPTABLES_MODULES后面填上ip_nat_ftp 和 ip_conntrack_ftp 即可,因为ip_nat_ftp依赖ip_conntrack_ftp 所以只需要装载ip_nat_ftp

1
iptables -t filter -A OUTPUT -p tcp -s 172.16.0.107 -m state --state RELATED -j ACCEPT

ip_conntrack是很重要的,但是高访问的情况下可能会阻断一部分的传入连接

ip_conntrack内核控制(旧版内核)

1
2
/proc/sys/net/ipv4/netfilter/ip_conntrack_[protocol]
/proc/sys/net/ipv4/ip_conntrack_max

nf_conntrack内核控制

1
2
3
/proc/sys/net/netfilter/nf_conntrack_[protocol]
/proc/sys/net/netfilter/nf_conntrack_max
/proc/sys/net/nf_conntrack_max

显式扩展

-m state //状态 -m iprange //ip区段 -m multiport //离散端口,最多15个 -m connlimit //最大连接数 -m limit //流量控制 traffic control(流量控制) token bucket filter -m string //匹配字符串 -m recent //定义规则 防止ddos

设置连接约束

1
2
3
4
iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 3 -j DROP //约束最大连接数
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH //设置新连接 //不会拦截,因为没有目标,但是会更新记录
iptables -A INPUT -p tcp --dport 22 -m state --state NEW --update --second 300 --hitcount 3 --name SSH -j DROP //检查记录是否符合条件

    --dnat
    --snat

-j target 【target译作动作】

-j ACCEPT DROP RESPECT LOG 自定义链 MASQUERADE //ppp拨号,外网地址是动态获取的时候使用

从主链转发到自定义链

iptables -A INPUT -j 自定义链

从自定义链返回主链

iptables -A 自定义链 -j RETURN

抓包

tcpdump -i 网卡 -nn -X icmp

对nat表的操作

SNATDNATPNAT
Sourcedestinationport
源地址转换目标地址转换端口地址转换
1
2
iptables -t nat -A PREROUTING -p tcp -d 172.16.100.107 -j SNAT --to-source 更换的源地址:端口 
iptables -t nat -A PREROUTING -p tcp -d 172.16.100.107 -j DNAT --to-destination 更换的目标地址:端口

DMZ 区域 非军事化区 服务器使用nat做跳板访问

创建自定义链

1
iptables -t filter -N Docker

发表于 更新于 分类于

#物理层

传输介质

分类

导引性-有线

  • 铜线
  • 光缆

非导引性-无限

  • 无线电
  • 卫星

有线

同轴电缆

  • 基带同轴电缆
    • 50Ω,用于数字传输(屏蔽层为铜)
  • 宽带同轴电缆
    • 75Ω,用于模拟传输()屏蔽层为铝
  • 粗缆
    • 最大传输距离500m,两端安装终接器,确保电缆屏蔽层接地
  • 细缆
    • 最大传输距离为185m,两头按住概念BNC1头,接在T型连接器2两端

双绞线

  • 逆时针方向绞合而成

    • 用于消除近端串扰 Crosstalk3
    • 绞距越小,越均匀,抵消效果越好,传输性能越好(高类网线和低类网线一个重要区别就是绞距不同4

  • 非屏蔽双绞线-UTP

    • 优点
    • 成本低
      • 易于安装
      • 尺寸低
    • 缺点
      • 易受干扰
      • 距离性能受到绞距影响
    • 五类双绞线
      • 提供10-100M的数字带宽,其中两对线分别用于收、发
      • 1000M以太网中,用到了全部的四对线
      • 最大传输距离100m,广泛用于局域网

  • 屏蔽双绞线-STP

    • 优点
      • EMI5RFI6干扰

  • 缺点 - 成本高

    • 不易安装

  • 加了两层屏蔽层,用于每对线和全部四对线外

  • 网屏双绞线-ScTP

    • 每个线对的屏蔽层去掉

  • 线序

    • 直通线
      • 不同设备
    • 交叉线
      • 同种设备

电力线

  • 没有普及,未来技术

光纤

  • 构成
    • 光导纤维
    • 玻璃覆盖层
    • 外层
  • 原理
    • 光的全反射
      • 当光从光密物质射向光疏物质,入射角大于临界角,光发生全反射
      • 光全锁闭在光密物质中,全反射钱箱
  • 优点
    • 重量轻
      • 非常细的光导纤维
    • 损耗低
    • 不受电磁干扰影响
    • 带宽、容量大
  • 缺点
    • 昂贵
    • 易断裂
  • 分类
    • 单模光纤
    • 多模光纤
  • 光传输系统构成
    • 光源
    • 传输介质
    • 探测器
  • 修复
    • 光纤连接器
    • 机械拼接,直接使用套管夹紧 10%损耗
    • 熔合 无损耗

  1. BNC接头是监控工程中用于摄像设备输出时导线和摄像机的连接头。↩︎

  2. 一个同轴结构的端处分成三个方向,外形成“T”形的高频的连接器。↩︎

  3. 串扰在电子学上是指两条信号线之间的耦合现象。这是因为空间距离近的信号线之间会出现不希望的电感性和电容性耦合从而互相干扰。电容性耦合会引发耦合电流,而电感性耦合则引发耦合电压↩︎

  4. ↩︎

  5. 电磁干扰:Electromagnetic Interference-电磁干扰是指电子产品工作会对周边的其他电子产品造成干扰↩︎

  6. 射频干扰: Radio Frequency Interference-射频干扰是在接收机所接收的信号频率或非常接近此频率处产生的干扰↩︎

发表于 更新于 分类于

计算机网络模型

OSI七层模型

Open System Inerconnection 开放性系统互联

OSI七层模型
7. Application 应用层:软件交流协议
6. Presentation 表示层:对数据的压缩解压缩,加密解密,把比特信息转换为一定格式的数据流
5. Session 会话层:会话的建立,连接,拆除
4. Transport 传输层:核心层之一,负责端到端连接,例如负责TCP的可靠性传输
3. Network 网络层:核心层之一,最优路径1,从源主机送达至目标机,以ip地址2作为主机标识
2. Data Link 数据链路层:提供介质访问服务。通过MAC3提供可靠的帧传递。提供差错控制、流控等
1. Physical 物理层:提供透明的比特流,任何可以表示两种状态的信号都可以。只管传输,不关心内容
  • 七层模型每一层都完成特定功能,都为其上一层服务,每一层都使用下一层提供的服务【第一层和第七层除外】

DOD模型

Department of Defense Model 美国国防部模型

TCP/IP四层模型
4. Application 应用层4
3. Transport 传输层5
2. Internet 网络层6
1. Network Access 物理层7

OSI模型和TCP/IP模型的不同

  • TCP/IP更简洁;OSI更易开发,更容易排除故障
  • TCP/IP是在实践中产生的,OSI只是一种理论模型

OSI没有流行的原因

  • 糟糕的时机
    • TCP/IP已经流行
    • 参杂了太多政策考量
    • 庞大,笨拙

数据传输

发方工作

  1. 封装打包,由高到低,逐级打包
  2. 每一层上,加上头部信息
    1. OSI上三层,信息被表示为一定格式的数据流 DataStream
    2. 数据流到达传输层,会被切割为方便传输的数据段 Segment,并加上段头,标明序列号,端口号等信息
    3. 数据段传到网络层,添加分组头成型分组 (Packet)分组头部中包含了寻址主机的IP和其他一些信息
    4. 分组传到数据链路层,添加帧头,帧头包含物理地址,校验和
    5. 帧到了物理层,被转换为比特流,被传送
    6. MAC、IP头、TCP头、UDP头帧格式、详解

收方工作

  • 逐层去掉头部,获取报文内部信息

关于协议数据单元,不同层也有好多种说法

  1. 应用层的PDU8叫数据流或者报文
  2. 运输层(也叫传输层)PDU叫报文段,数据段,用户数据报
  3. 网络层的是分组、包、IP数据报、数据报
  4. 数据链路层的是帧
  5. 物理层的是比特流

协议作用于对应层之间,层与层之间有接口,接口用于服务的调用

任何一次通信,都是由发方的封装开始,接收方的解封装结束

  1. 最优路径就是路由最短路径↩︎

  2. IP(Internet Protorol)地址,用于标识/寻找主机↩︎

  3. MAC(Media Access Control Address)地址也称为局域网地址(LAN Address),MAC位址以太网地址(Ethernet Address)或物理地址。不做修改的情况下,一般是唯一的。MAC地址用于在网络中唯一标示一个网卡,一台设备若有一或多个网卡,则每个网卡都需要并会有一个唯一的MAC地址。一个网卡亦可以虚拟出多个虚拟网卡,每个虚拟网卡都会有各自的MAC地址和ip地址↩︎

  4. 等同于OSI模型中的5-7层↩︎

  5. 等同于OSI模型中的4层↩︎

  6. 等同于OSI模型中的3层↩︎

  7. 等同于OSI模型中的1-2层↩︎

  8. PDU (Protocol Data Unit)是指对等层次之间传递的数据单位↩︎

发表于 更新于 分类于

自动配置代理链接

1
https://prudent-travels.000webhostapp.com/pac.php?a=SOCKS5&b=127.0.0.1:10808