Netfilter,iptables/OpenVPN/TCP guard:-(

我不会编程,但也不是一点都不会,我稍微会一些 :-)

iptables的手册也不能尽信啊

我很自豪的找到了一种截获数据包的秘籍,那就是使用conntrack的ctdir,第一步当然是看iptables的man手册,发现:--ctdir {ORIGINAL|REPLY}    Match packets that are flowing in the specified directio...

2012-02-29 21:37:39

阅读数:4816

评论数:4

不想当将军的士兵-不服从的士兵

不想当将军的士兵不是好士兵,这是我目前最烦的一句话,如今是一个被利欲薰黑了的世界,虽然人人有事做,却不见得事事有人做,不管你走到哪,听到的都是所谓的“个人发展”,对于一个文化群体大学生以及高科技行业的求职者而言,他们挂在嘴边的就是所谓的职业规划,这个让人不那么爽的词反而成了大多数人的求职筹码,不是...

2012-02-26 17:10:10

阅读数:3213

评论数:1

《计算机网络(第五版)》中学习理论与实践

谢老的这本书我几乎从第二版开始就一直读了,因此也至少读了4遍,这本书是国内不多的几本能看的讲计算机网络的书籍之一,其知名度也高,可以和谭浩强的C语言教程相比肩,书有名气了自然也就面临了众口难调的尴尬。查看评论不外乎就两类,一类说好,另一类说不好。    说这本书好的群体自然不必多说,受此影响你买来...

2012-02-25 21:27:56

阅读数:3573

评论数:1

Linux的ip_conntrack半景

ip_conntrack内置于Linux协议栈的Netfilter框架,其实现比较复杂,然而其逻辑却很简单。ip_conntrack追踪每一个流,一个流由五元组来定义,五元组这个网络基本术语就不解释了。因此ip_conntrack必然能对“哪里是一个流的开始”做出判断,虽然这种判断不总是精确的,详...

2012-02-25 20:53:52

阅读数:4656

评论数:0

动手写一个OpenVPN的wrapper来优化OpenVPN性能

OpenVPN,一个让人想说爱你不容易的VPN,曾经耗费了我大量精力的VPN,其性能,...最终还是不咋地!以下是一个大致的统计数据:纯千兆环境,4核心至强3.0GHZ处理器,OpenVPN使用BF-CBC加密,SHA1摘要,OpenVPN不绑定特定CPU,带宽可达20-30MB/s;纯千兆环境,...

2012-02-25 20:45:56

阅读数:13240

评论数:7

喜者自喜独自悲

喜者自喜独自悲!这是真的,当你喜欢上一样东西或者一个人或者一个思想的时候,你就会为之感到悲伤,这也是真的。可能你不信,那么回忆一下你刚刚喜欢上一个异性后的感觉,回忆一下刚刚参加工作之后的感觉,党员同志回忆一下刚刚入党之后的感觉...

2012-02-18 22:13:00

阅读数:2680

评论数:0

Linux平台使用网络加速卡提高转发性能

一直以来,Linux给人的印象都是服务器级别的,虽然有人拿它当桌面,也有手机使用它,但这都是少数,几乎从来都没有人拿它放在骨干网上当路由器,哪怕是接入层都少到几乎没有人使用Linux。Netfilter机制可以改变这个事实,因为Netfilter机制太强悍了,它几乎可以让你完全重新定制协议栈的行为...

2012-02-18 13:01:18

阅读数:6753

评论数:3

ebtables之BROUTING和PREROUTING的redirect的区别

ebtables和iptables实用工具都使用了Netfilter框架,这是它们一致的一方面,然而对于这两者还真有一些需要联动的地方。很多人不明白ebtales的broute表的redirect和nat表PREROUTING的redirect的区别,其实只要记住两点即可,那就是对于相同点,它们都...

2012-02-17 22:43:57

阅读数:13054

评论数:1

linux之ip_conntrack容易混淆的问题点滴

《再次深入到ip_conntrack的conntrack full问题》最后的一个问题提示ip_conntrack有一个event机制,可以主动通报ip_conntrack的一些事件,包括追踪信息到期删除等事件,通知给谁呢?当然是通知给所有感兴趣的模块了,其中之一就是用户态进程,这样用户态进程得知...

2012-02-16 22:41:04

阅读数:9694

评论数:1

再次深入到ip_conntrack的conntrack full问题

增加nf_conntrack_max固然可以缓解这个问题,或者说减小conntrack表项占据内核内存的时间也可以缓解之,然而这种补救措施都是治标不治本的.注解:不要过度减小NEW以及TCP的establish的CT状态的timeout的原因尽量不要减小NEW状态时间,因为对于某些恶劣的网络,一个...

2012-02-15 21:48:47

阅读数:15720

评论数:1

Linux Stateless无状态NAT-使用TC来配置

如果想在Linux上配置NAT,那么大家众所一言的就是使用iptables的NAT表来配置,iptables提供了灵活丰富的配置来配置SNAT和DNAT,然而我们知道iptables的NAT依赖了ip_conntrack,也就是说,凡是一个命中了NAT表规则的流就会有一条连接追踪生成,由于ip_c...

2012-02-13 22:46:45

阅读数:7168

评论数:5

Linux实现的ARP缓存老化时间原理解析

一.问题众所周知,ARP是一个链路层的地址解析协议,它以IP地址为键值,查询保有该IP地址主机的MAC地址。协议的详情就不详述了,你可以看RFC,也可以看教科书。这里写这么一篇文章,主要是为了做一点记录,同时也为同学们提供一点思路。具体呢,我遇到过两个问题:1.使用keepalived进行热备份的...

2012-02-11 22:00:09

阅读数:29457

评论数:0

从Linux协议栈代码和RFC看西厢计划原理

终于搞定了西厢计划的方案,由于一直无法下载那个内核模块,于是也就只能自己写了,在理解了西厢计划的原理之后,写这个模块并不很费事(其实为了简单不是写模块,而是直接修改内核协议栈代码),下面先说一下原理,然后再说一下关于内核修改的建议。序.西厢计划所谓西厢计划是一个借用历史小说而命名的欺骗GfW的方案...

2012-02-09 22:01:15

阅读数:10646

评论数:1

《备份CSDN博客正文到本地存档》续

在《备份CSDN博客正文到本地存档》一文中,采用硬编码的方式备份了CSDN上的博文,效果还不错,只是很多人遇到了编码的问题,这个比较容易解决。所谓编码问题无非就两点,第一就是浏览器的编码配置的不对,这样会导致用浏览器打开保存到本地的文章时出现乱码;第二就是操作系统的编码配置的不对,这样会导致保存到...

2012-02-06 22:03:02

阅读数:2503

评论数:0

OpenVPN单线程原因

本文简单说一下一个几乎没有人考虑过的问题,那就是为什么OpenVPN被设计成单线程单进程的。我曾经苦苦等待OpenVPN新版本的推出,第一件事就是看其ChangeLog,然而没有发现multiXXX,我一直都不理解多核时代为何还有单进程单线程的OpenVPN,这个答案在我通读了OpenVPN的ma...

2012-02-05 00:38:00

阅读数:5124

评论数:2

备份CSDN博客正文到本地存档

大哥有了新想法,然而没有技术,令人欣慰的是大哥想到了我,于是我便答应免费帮个忙,这是一个基于云的项目,具体细节也就不透露了,然而在实现的过程中,其中一个模块我觉得可以自用,于是我就想把这个模块抽出来,该模块的功能就是将CSDN博客上的文章下载到本地。        假期只完成了一个模板,虽然很垃圾...

2012-02-04 23:55:12

阅读数:4113

评论数:9

提示
确定要删除当前文章?
取消 删除