Netfilter,iptables/OpenVPN/TCP guard:-(

我不会编程,但也不是一点都不会,我稍微会一些 :-)

推荐一个曲子

马克西姆-《出埃及记》这个曲子听起来很带劲,丝毫不差于《弥撒》...当你工作的时候,当你绞尽脑汁搞不定的时候,听听它当初听《弥撒》时,切身感受,刺激你的神经我想,《圣经》题材可能本来就是一种神预吧,也许是一种与生俱来的本能反射,带我们回到那个纯粹的时代当你的欲望被满足时,你会憎恨这欲望,这是真理当...

2012-03-29 21:41:06

阅读数:2415

评论数:2

关于IPv4协议的一点看法-地址空间,分段标识,LinuxNAT

IPv4实际上是一个被设计的很勉强的协议,远远没有TCP等传输层协议设计的好。对于它的升级版,IPv6,实际上我也一样不看好,虽然它解决了很多问题,扩展了地址空间,增加了协议堆栈化的支持...1.地址空间和路由模块对于IPv4而言,其起初的地址空间是分类的,此时的路由表因此也是分类的,最显然的高效...

2012-03-24 16:41:03

阅读数:5024

评论数:2

在bash中建立网络连接

近期在工作中碰到一个问题,需要建立一个TCP(或者UDP也可以)连接到另一台机器,只需要连接某个自定义的端口一下即可,连接后马上断开,不用发送任何数据,以此作为一种“心跳”的实现。实现这个需要编写一个TCP小程序放到心跳发起的机器上然后循环执行它。当然这个小程序越简单越好,于是就想到用python...

2012-03-24 14:43:23

阅读数:5486

评论数:1

STP是一个需要众力协作的协议

STP可以切掉交换以太网的环路,然而如果你真的不能容忍任何环路,必须使能所有交换机的STP协议,目前很多的本地以太网都是任意组建的,宗旨在于能用即可,而且很多低端的交换机并不支持STP协议...除了环路问题之外,还有一个比较隐蔽的问题更容易引入很奇怪的现象,毕竟很多以太网并不会连成环路,不需要冗余...

2012-03-21 19:07:49

阅读数:3163

评论数:0

Linux Bridge的镜像端口实现

很多种交换机上都可以配置镜像端口,也就是说所有的流量都要顺便发一份到镜像端口,一般都是在镜像端口上接一个主机,上面开启抓包或者审计程序,保证时刻监控网络流量。镜像端口解决了学习型交换机无法抓包的问题。    Linux实现了一个软件版本的Bridge,也正是一个交换机,只是可能端口少些,通过brc...

2012-03-21 19:02:13

阅读数:5426

评论数:1

初探BSD的ipfw防火墙

使用Mac OS X已经半年多了,很炫是真的,很悬也不假!Mac有太多太多的特性值得让你花大量的时间仔细琢磨,用起来让你自豪的找不着北,最终你会深信自己是一个很时尚的人...我承认自己很土,也不是什么果粉,更不是什么达人,因此我除了使用Mac最基本的功能外,几乎没有去深究其它。突然间,我发现Mac...

2012-03-17 21:04:50

阅读数:8165

评论数:3

深入浅出VMware的组网模式

大家都知道VMWare的三种组网模式,分别为Bridge,NAT,Host-Only。VMWare认为使用这三种组网模式则可以搭建出任意的网络拓扑了,事实上也正是如此。如果你对网络很精通,那么应该很容易就可以理解VMWare的网络配置模式,然而即使如此,VMWare由于只是一个虚拟机,没有形象的拓...

2012-03-17 10:25:44

阅读数:10347

评论数:14

用进化的观点学习网络协议

一般而言,我们比较习惯于用分层的观点来学习网络协议,这也是大学的教学方法。然而这种方式在前期如果有个地方理解不了只有死记硬背了。如果我们带着问题,并且试图去解决这些问题,最终恍然大悟,得到“原来XX协议就是解决这个问题的啊”这种感叹,那么学习效果一定事半功倍。    所谓带着问题学习,其实就是抛开...

2012-03-14 21:18:07

阅读数:3334

评论数:1

重读鲁迅

最近感觉很累,特别忙,特别烦乱,迷茫中也不忘提醒自己一句:哥依然愤青!很久没有充电了,历史没有继续看,只因为中世纪欧洲王室的谱系实在令人头大,一本CCIE路由与交换的书放包里净起到了锻炼臂力的作用,心想虽然考试考不过,起码也锻炼身体了,然而还是因为太重了终于决定不在地铁上丢人了。找了一本鲁迅的书,...

2012-03-14 21:15:38

阅读数:3327

评论数:1

Linux实现的IEEE 802.1Q VLAN

第一部分:VLAN的核心概念说起IEEE 802.1q,都知道是VLAN,说起VLAN,基本上也没有盲区,网络基础。然而说到配置,基本所有人都能顺口溜一样说出Cisco或者H3C设备的配置命令,对于Linux的VLAN配置却存在大量的疑问。这些疑问之所以存在我觉得有两点原因:1.对VLAN的本质还...

2012-03-14 21:12:16

阅读数:37813

评论数:12

IEEE 802.1d生成树协议小解

很多人都知道交换网络的生成树协议,然而很少人真正理解它,正如CCIE路由与交换考试指南中的对应章节所叙述的那样。学习一个网络协议,一定要很深入的理解才能学有所用,否则只能是过眼云烟。生成树协议的要旨在于对付交换网的环路引发的广播风暴,有人可能会问,网管自己把网络用线缆联成了环,怎样还要靠协议来擦屁...

2012-03-08 21:30:50

阅读数:11873

评论数:10

ebtables的OUTPUT链DNAT问题

man一下ebtables即可知道,或者随便想一下也会知道,ebtables在OUTPUT链上可以做DNAT,修改目的MAC地址,和iptables一样,到达OUTPUT链的时候已经经过路由表了,只不过对于桥设备,该路由表是一个“MAC地址-出口设备”的映射表。我们知道,IP层的OUTPUT链上作...

2012-03-03 21:43:16

阅读数:5232

评论数:0

Linux桥设备以及iptables的效率的一些问题

一.组播和网桥1.一般的IP服务都是和底层的网卡设备没有关系的,完全由路由来决定,但是组播除外,因为组播需要将一个网卡显式的加入到一个组播组当中,一边该接口可以接收组播包,因此IP层和链路层就联系了起来。2.使能桥接的系统上,由broute来判断数据包将此设备当成一个桥设备还是一个路由器设备,如果...

2012-03-03 16:22:26

阅读数:8699

评论数:0

实现透明防火墙的必备知识-Bridge Filter半景

Netfilter是一个可以高度定制协议栈的优良框架,早就已经被包含于Linux内核了,关于它的设计,可以在其官方网站上找到N多可以一看的东西。被讨论最多的就是HOOK点的位置的设计(人家老外关注的核心的设计,而不是如何去实现它,以及实现了之后的源码分析),最好还是看一下这些讨论。    若想实现...

2012-03-03 14:13:58

阅读数:8696

评论数:0

透明防火墙才是纯粹的防火墙

早在上大学时就有一个疑问,为什么防火墙看起来像是一台路由器,为了引入一个防火墙,你起码要多申请2个IP地址,还要配置复杂的路由保证通路,为了上述保证,你不得不重新规划你的网络,最最麻烦的就是为你的那个防火墙分配的那个IP地址,该地址可能会成为攻击者进入内部网的入口。到底是谁在保护谁啊?    真正...

2012-03-03 14:05:04

阅读数:7222

评论数:2

提示
确定要删除当前文章?
取消 删除