- 博客(5)
- 资源 (4)
- 收藏
- 关注
RSS订阅原创 天啊,原来计算机就是佛,信则灵
去北京出差,解决一个网络问题。客户的所作所为真的让我大伤脑筋,这简直就是不是在进行实施前的联调,这简直是在预研!客户那边负责人是个技术人员,虽说他不懂更深层的理论知识,但是我觉得他就是神!我们公司A,和公司B,公司C联调,遇到一个很奇怪却又不得不满足的需求,可以说这个需求是政策上造成的人为障碍,然而我们不得不去努力搞定它,所有我们3家都是,我们必须联合起来搞定它! 因为这个事我已经是第二次来
2012-09-19 00:56:21
5257
3
原创 五元组和防火墙
目前大多数防火墙还是传统的基于五元组的防火墙,我觉得这太差劲了,我认为只有第七层防火墙才是真正的防火墙,五元组不能标示一个应用,正如tcp的80端口并不总是代表http一样,想要标示一个应用,你必须去分析第七层的协议头,而不是联合第三层,第四层的协议头,毕竟我们需要匹配一个第七层的应用,那就要需要第七层的协议头!然而第七层解析的问题何在?我觉得这有两方面,第一方面是谁提供了匹配的内容,也就是协议头
2012-09-17 19:28:16
11006
原创 TPROXY与ip_conntrack
《socket的IP_TRANSPARENT选项实现代理》中,介绍了IP_TRANSPARENT可以使得保留源IP地址的方法,但是使用了ip_conntrack,我们知道ip_conntrack是要么全部conntrack,要么一个不conntrack的,除非你使用了notrack target,但是判决到底使不使用notrack也需要一番功夫,有没有什么办法可以不使用ip_conntrack却又
2012-09-17 19:20:20
8372
原创 基于连接的每IP限速实现
在《修改netfilter的limit模块实现基于单个ip的流量监控》中,介绍了一种方式实现针对一个网段每个IP地址的流量控制,如果细化到流,那个就叫做针对每个流的流量控制,我们知道,一个IP地址可以和很多流相关联,针对流的流控限制的不是主机,而是主机上的一个连接,它的约束要比针对IP地址的流控更加小。 然而如何来实现这个呢?实际上在Linux中,几乎所有的流控都可以用TC工具配置出
2012-09-06 21:35:06
9830
原创 Linux的rp_filter与策略路由
Linux的rp_filter用于实现反向过滤技术,也即uRPF,它验证反向数据包的流向,以避免伪装IP攻击,但是它和Linux的策略路由却很容易发生冲突,其本质原因在于,uRPF技术强制规定了一个反向包的“方向”,而实际的路由是没有方向的。策略路由并没有错,错就错在uRPF增加了一个路由概念本身并没有且从不考虑的约束。典型的例子如下。0.基本环境内网口:eth0外网口1:eth1外网口2:eth
2012-09-05 18:14:55
20888
一个iptables的stateless NAT模块实现
2014-12-27
模块化的nf-HiPAC
2014-11-21
关于linux内核以及其他个人体会的文集
2009-09-07
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人