Netfilter,iptables/OpenVPN/TCP guard:-(

我不会编程,但也不是一点都不会,我稍微会一些 :-)

压力下慰劳下自己

最近特别忙,特别累,积压的工作像山一样,且并不只有三座。心力交瘁,每天除了一股子决心之外,剩下的全是迷茫…         身体和心理都大不如前了,也许是真的太累了。和同事扳手腕时刚使上劲手腕就抽了,晚上搬水的时候,上楼梯脚一使劲就崴了,这是严重的缺钙,熬夜到凌晨就犯困,早上起不来,天天迟到。这在...

2011-11-26 21:58:43

阅读数:3408

评论数:3

VMWare桥接到tap

拎着个挺重的MacBook,公司家里两地乱跑。内装有Linux  VMware 开发机,要随时和公司的svn交互。在公司好办,mac os支持位置配置,直接将VMware桥接到以太网卡即可。可是在家里,在mac上启动vpn,在VMware里面要配置一大堆路由,很麻烦。你别说让我在VMware里面启...

2011-11-26 00:12:13

阅读数:3657

评论数:0

我看到残风依然在飘

突然我看到残风依然在飘然而火在烧君不见孤烟升起我看见雾霾吞噬大地然而尘埃落定君不见阳光被洗礼我很容易入睡期间不易再醒来梦里的无畏让我无悔舍弃醉后的欣慰,毅然入睡而不管是噩梦,还是伤悲梦魇使我的烟灰阻塞了呼吸没有安慰周一的黎明使我陶醉周末的黄昏让我很累…

2011-11-24 22:55:35

阅读数:2019

评论数:0

《最后的兵团》观后

老婆回家后在经历了3周的无政府煎熬后,我终于振作了起来。周末就看史诗电影,选了一遍,大多是看过,有个《最后的兵团》还没有看过,因此就瞄准了它。         影片主要讲述罗马帝国最后的皇帝奥古斯都·罗慕路斯被逼退位后的逃亡史,颇悲凉。昔日的荣光不再的罗马帝国如今成了蛮族驰骋的坐落,让人心酸。令人...

2011-11-24 21:47:38

阅读数:3648

评论数:0

OpenVPN的包过滤机制

OpenVPN是和网络结合的非常紧密的一款VPN,事实上,每一个VPN框架都和IP网络结合的很紧密,因此在此首先劝一下那些想搞VPN的朋友们,一定要先彻底精通TCP/IP网络协议栈,特别是IP路由,防火墙原理之后再去啃OpenVPN或者其它的VPN,否则会事倍功半的,仅仅看懂源代码和灵活配置,灵活...

2011-11-24 21:46:38

阅读数:7596

评论数:2

历史的观点看山寨文化

Linux的可以高度定制的特性既是福音又是祸水,它灵活的同时也把事情搞复杂了。前些天看了一篇老外发愤的对linux的控诉,说什么他恨透了linux,说要永远转向windows,其实说实话,linux的友好性确实和windows还差很远。Windows的服务配置可以用友好统一的GUI来完成,而Lin...

2011-11-20 14:11:52

阅读数:4317

评论数:5

Linux进程防杀/防崩溃monitor的实现

对于自行实现的很多服务,很多人喜欢用一个专门的监控进程来监控自己的服务,为了防止监控进程也崩掉,甚至使用了经典的双进程监控。不说别的,光编写调试这个双进程就够我喝一壶的啦,对于我这样专门写bug的家伙来讲,更是一件揪心的差事。就算有一天,我不再写bug了,可以操作系统的关卡你又过不了了,难关重重。...

2011-11-20 12:46:35

阅读数:8407

评论数:0

关于OpenVPN文章的目录

本文对前面的关于OpenVPN的文章做一个总结,分了几个类别,也方便自己以后查阅和更正。一.基本理论篇1. vpn原理及实现--一般理论2. vpn原理及实现--隧道的一种实现3. vpn原理及实现--虚拟网卡构建vpn4. vpn原理及实现--tcp还是udp5. Linux平台VPN技术概论6...

2011-11-19 13:29:23

阅读数:31066

评论数:17

Mac OS X上安装OpenVPN

这完全是一次需求驱动的行为,而不是工作驱动或者兴趣驱动的行为。我准备完全放弃我那牛慢的台式机,完全使用MacBook,而且绝不安装Windows虚拟机。因此所有 Windows上有的软件在Mac上都要能找到对应物,当然也包括OpenVPN,因为我需要使用OpenVPN连入公司。        ...

2011-11-19 02:30:32

阅读数:25668

评论数:4

OpenVPN关于push-peer-info的实现

OpenVPN在help中列举了push-peer-info选项,可是man手册中却没有,google之,发现了以下的帖子以及回复: Subject:how to use --push-peer-info under 2.2-RC2? Flow: I'm testing out 2.2-RC...

2011-11-18 22:56:38

阅读数:4843

评论数:0

OpenVPN高级路由技术-反向推送信息

在《VPN的概念以及要点》中,我指出了OpenVPN构建的网络是单向的,也就是说在不手工配置系统路由的情况下,只能由OpenVPN客户端一侧发起连接。这是因为OpenVPN服务器会把自己一侧的路由推送至OpenVPN客户端,反之,OpenVPN客户端却不能把自己一侧的路由推送给OpenVPN服务器...

2011-11-17 22:14:52

阅读数:8519

评论数:1

OpenVPN高级路由技术-扩展成巨大的网络

OpenVPN内部实现了一个路由器的功能,其源代码的multi_get_instance_by_virtual_addr函数执行路由查找的工作,这种路由是OpenVPN的内部路由,也就是说这种路由是OpenVPN配置并查找的,和外部的系统路由是完全独立的。        OpenVPN内部路由和...

2011-11-16 22:31:47

阅读数:7566

评论数:0

OpenVPN的高级路由技术-内部路由

1.server模式以及点对点模式的OpenVPN 前文好几次说过,虽然OpenVPN也可以创建隧道,该隧道封装了IP数据报或者以太帧,然而却和使用IPSec VPN的网络拓扑无法做到兼容,这是因为在网对网模式下,默认配置下,使用tun虚拟网卡模式的OpenVPN的客户端虚拟网卡上要强制做SNA...

2011-11-15 23:23:23

阅读数:22644

评论数:1

自我陶醉

自己买了一瓶杏花村!痛饮。 庞统喝的就是杏花村,庞统比诸葛亮有能力,可是一山不容二虎,庞统选择了牺牲。我不知道司马懿喝什么酒,我也不知道陆逊喝什么酒,可是我知道他俩也都懂一山不容二虎的道理,因此他俩没有走到一起,也没有和诸葛亮走到一起,于是三足鼎立。庞统啊庞统,你要是再找个主子,就是四蹄鼎立了....

2011-11-13 20:57:10

阅读数:2632

评论数:1

完全在用户态实现IPSec VPN

IPSec的复杂性之一在于它和内核协议栈实现高度相关,造成升级和管理的不便,如果能在用户态实现IPSec,那么所有的客户端就可以使用这种用户态的IPSec了。      需要特别注意的是,如果你拥有一台IPSec硬件网关,那么不考虑NAT穿越的情况下其实IPSec也是很不错的,IPSec的困难在...

2011-11-13 01:27:26

阅读数:6716

评论数:5

SSL VPN和IPSec VPN的区别以及部署

SSL VPN和IPSec VPN的区别是什么,如果你希望找到答案,随便用一个搜索引擎,当你输入SSL VPN后按一个空格,智能联想就会帮你填充IPSec,可见很多人都在找二者的区别。找这二者的区别的目的是进行一个选择,到底用SSL VPN呢还是用IPSec?搞了一天VPN了,临睡我想我又能为互联...

2011-11-12 23:29:20

阅读数:19712

评论数:2

VPN的概念以及要点

VPN是一种安全的虚拟网络,对它的解释多种多样,有的侧重于隧道封装,有的侧重于访问控制,有的侧重于https,不管怎么说,这些都可以被称为VPN,对于最终用户,他们根本不管自己使用的网络是如何保证安全的,但是对于研发人员,如果不理解VPN的实现方式以及该实现的要点,那就枉做研发了。周末,一个人闲来...

2011-11-12 16:58:19

阅读数:8117

评论数:3

ip_conntrack还应该做更多

ip_conntrack将无状态的在高层有联系的单个IP数据报用状态联系了起来,实际上是在更底层破坏了分组交换网的单分组转发的原则。 ip_conntrack基于五元组来追踪一个流,在流的开头或者涉及到状态切换的时候设置一些状态和cache,属于同一流的后续分组就可以共享这些状态和cache,这...

2011-11-09 20:45:49

阅读数:2858

评论数:0

我有一个好弟弟

如今,太多的人在乎着兄弟情,高中兄弟,大学兄弟,...身边的兄弟也许被身处都市的人们所遗忘,亲兄弟也许早已被遗忘,都是家人,有什么呢?是没什么?其实我一直都以为这没什么。国庆前,我想买台笔记本电脑,这并不过分,身为IT人,至今没有自己的电脑,就算有,连eclipse都没法运行,然而家里穷,情何以堪...

2011-11-07 22:47:41

阅读数:3333

评论数:9

用Netfilter模块实现基于令牌桶的每IP地址流量控制

在《修改netfilter的limit模块实现基于单个ip的流量监控》的最后,写了一个修订版的match回调函数,但是修订的版本还只是能监控单包或者两包的流量,粒度还是过于粗糙,因此使用传统的令牌桶的方式更好。在数据结构上,没有必要真的实现一个令牌桶,而是基于时间的流逝生成受控制数量的令牌即可-以...

2011-11-07 21:10:01

阅读数:5424

评论数:0

提示
确定要删除当前文章?
取消 删除