Netfilter,iptables/OpenVPN/TCP guard:-(

我不会编程,但也不是一点都不会,我稍微会一些 :-)

iptables的手册也不能尽信啊

我很自豪的找到了一种截获数据包的秘籍,那就是使用conntrack的ctdir,第一步当然是看iptables的man手册,发现:--ctdir {ORIGINAL|REPLY}    Match packets that are flowing in the specified directio...

2012-02-29 21:37:39

阅读数 4866

评论数 4

不想当将军的士兵-不服从的士兵

不想当将军的士兵不是好士兵,这是我目前最烦的一句话,如今是一个被利欲薰黑了的世界,虽然人人有事做,却不见得事事有人做,不管你走到哪,听到的都是所谓的“个人发展”,对于一个文化群体大学生以及高科技行业的求职者而言,他们挂在嘴边的就是所谓的职业规划,这个让人不那么爽的词反而成了大多数人的求职筹码,不是...

2012-02-26 17:10:10

阅读数 3251

评论数 1

《计算机网络(第五版)》中学习理论与实践

谢老的这本书我几乎从第二版开始就一直读了,因此也至少读了4遍,这本书是国内不多的几本能看的讲计算机网络的书籍之一,其知名度也高,可以和谭浩强的C语言教程相比肩,书有名气了自然也就面临了众口难调的尴尬。查看评论不外乎就两类,一类说好,另一类说不好。    说这本书好的群体自然不必多说,受此影响你买来...

2012-02-25 21:27:56

阅读数 3612

评论数 1

Linux的ip_conntrack半景

ip_conntrack内置于Linux协议栈的Netfilter框架,其实现比较复杂,然而其逻辑却很简单。ip_conntrack追踪每一个流,一个流由五元组来定义,五元组这个网络基本术语就不解释了。因此ip_conntrack必然能对“哪里是一个流的开始”做出判断,虽然这种判断不总是精确的,详...

2012-02-25 20:53:52

阅读数 4701

评论数 0

喜者自喜独自悲

喜者自喜独自悲!这是真的,当你喜欢上一样东西或者一个人或者一个思想的时候,你就会为之感到悲伤,这也是真的。可能你不信,那么回忆一下你刚刚喜欢上一个异性后的感觉,回忆一下刚刚参加工作之后的感觉,党员同志回忆一下刚刚入党之后的感觉...

2012-02-18 22:13:00

阅读数 2715

评论数 0

Linux平台使用网络加速卡提高转发性能

一直以来,Linux给人的印象都是服务器级别的,虽然有人拿它当桌面,也有手机使用它,但这都是少数,几乎从来都没有人拿它放在骨干网上当路由器,哪怕是接入层都少到几乎没有人使用Linux。Netfilter机制可以改变这个事实,因为Netfilter机制太强悍了,它几乎可以让你完全重新定制协议栈的行为...

2012-02-18 13:01:18

阅读数 6864

评论数 3

ebtables之BROUTING和PREROUTING的redirect的区别

ebtables和iptables实用工具都使用了Netfilter框架,这是它们一致的一方面,然而对于这两者还真有一些需要联动的地方。很多人不明白ebtales的broute表的redirect和nat表PREROUTING的redirect的区别,其实只要记住两点即可,那就是对于相同点,它们都...

2012-02-17 22:43:57

阅读数 13234

评论数 1

linux之ip_conntrack容易混淆的问题点滴

《再次深入到ip_conntrack的conntrack full问题》最后的一个问题提示ip_conntrack有一个event机制,可以主动通报ip_conntrack的一些事件,包括追踪信息到期删除等事件,通知给谁呢?当然是通知给所有感兴趣的模块了,其中之一就是用户态进程,这样用户态进程得知...

2012-02-16 22:41:04

阅读数 9863

评论数 1

再次深入到ip_conntrack的conntrack full问题

增加nf_conntrack_max固然可以缓解这个问题,或者说减小conntrack表项占据内核内存的时间也可以缓解之,然而这种补救措施都是治标不治本的.注解:不要过度减小NEW以及TCP的establish的CT状态的timeout的原因尽量不要减小NEW状态时间,因为对于某些恶劣的网络,一个...

2012-02-15 21:48:47

阅读数 16150

评论数 1

Linux Stateless无状态NAT-使用TC来配置

如果想在Linux上配置NAT,那么大家众所一言的就是使用iptables的NAT表来配置,iptables提供了灵活丰富的配置来配置SNAT和DNAT,然而我们知道iptables的NAT依赖了ip_conntrack,也就是说,凡是一个命中了NAT表规则的流就会有一条连接追踪生成,由于ip_c...

2012-02-13 22:46:45

阅读数 7294

评论数 5

Linux实现的ARP缓存老化时间原理解析

一.问题众所周知,ARP是一个链路层的地址解析协议,它以IP地址为键值,查询保有该IP地址主机的MAC地址。协议的详情就不详述了,你可以看RFC,也可以看教科书。这里写这么一篇文章,主要是为了做一点记录,同时也为同学们提供一点思路。具体呢,我遇到过两个问题:1.使用keepalived进行热备份的...

2012-02-11 22:00:09

阅读数 30902

评论数 0

从Linux协议栈代码和RFC看西厢计划原理

终于搞定了西厢计划的方案,由于一直无法下载那个内核模块,于是也就只能自己写了,在理解了西厢计划的原理之后,写这个模块并不很费事(其实为了简单不是写模块,而是直接修改内核协议栈代码),下面先说一下原理,然后再说一下关于内核修改的建议。序.西厢计划所谓西厢计划是一个借用历史小说而命名的欺骗GfW的方案...

2012-02-09 22:01:15

阅读数 10846

评论数 1

《备份CSDN博客正文到本地存档》续

在《备份CSDN博客正文到本地存档》一文中,采用硬编码的方式备份了CSDN上的博文,效果还不错,只是很多人遇到了编码的问题,这个比较容易解决。所谓编码问题无非就两点,第一就是浏览器的编码配置的不对,这样会导致用浏览器打开保存到本地的文章时出现乱码;第二就是操作系统的编码配置的不对,这样会导致保存到...

2012-02-06 22:03:02

阅读数 2534

评论数 0

备份CSDN博客正文到本地存档

大哥有了新想法,然而没有技术,令人欣慰的是大哥想到了我,于是我便答应免费帮个忙,这是一个基于云的项目,具体细节也就不透露了,然而在实现的过程中,其中一个模块我觉得可以自用,于是我就想把这个模块抽出来,该模块的功能就是将CSDN博客上的文章下载到本地。        假期只完成了一个模板,虽然很垃圾...

2012-02-04 23:55:12

阅读数 4164

评论数 9

提示
确定要删除当前文章?
取消 删除