Netfilter,iptables/OpenVPN/TCP guard:-(

我不会编程,但也不是一点都不会,我稍微会一些 :-)

体会瞬间的舒爽

我不喜欢理发,即使头发再长我也不理,并不是说我懒惰,也不能说我个性,而是我在等待一个长发能把人折磨到极点的机会,那么什么机会呢?炎炎夏日,大风,沙满天,潮湿闷热,偶尔阳光刺肤...长发飘于面前遮望眼,发尖偶然刺入瞳孔,眨眼间心生杂念,头皮被茂密的发根覆盖,铺陈着沙尘,汗就这样从后脑勺开始溢出,奇痒...

2012-04-28 12:44:05

阅读数:2628

评论数:8

为何不能在INPUT链上进行SNAT呢

如果你man一下iptables,会发现:   SNAT       This  target  is only valid in the nat table, in the POSTROUTING chain. ...然而我认为在INPUT上做SNAT有时还是有必要的。下面说一下原因。     ...

2012-04-27 18:15:28

阅读数:3483

评论数:1

socket的IP_TRANSPARENT选项实现代理

socket有一个IP_TRANSPARENT选项,其含义就是可以使一个服务器程序侦听所有的IP地址,哪怕不是本机的IP地址,这个特性在实现透明代理服务器时十分有用,而其使用也很简单:int opt =1;setsockopt(server_socket,SOL_IP, IP_TRANSPAREN...

2012-04-27 18:14:00

阅读数:12996

评论数:0

VPN隧道防火墙的实现

在“仅仅可用”这个前提下,你相信仅仅靠配置就能实现VPN隧道防火墙么?首先看一下什么是VPN隧道防火墙。如下图所示:它有以下的特点:1.首先它是一台网关设备,且是VPN隧道的一个端点;2.它可以在内网接口截获感兴趣流量进而加密送入隧道;3.它可以在外网接口截获那些“本应该通过隧道却没有通过隧道”的...

2012-04-27 18:07:01

阅读数:5100

评论数:0

程序的本质在于逻辑

有时候,特定的场合下,你会发现写一个bash脚本都会带来这样那样的问题,有些地方没有考虑到,而有些则过于冗余。即使你熟悉N中高级语言,同时精通底层汇编语言,又精通网络协议,配置各类网络设备已经到了炉火纯青的地步,即使如此,如果你是一个毫无逻辑的人,或者一时半会儿没有彻底理解需求导致逻辑不清晰,你都...

2012-04-21 13:30:35

阅读数:4192

评论数:7

返璞归真的OpenVPN的p2p模式

曾几何时,OpenVPN的server模式蒙蔽了人们的双眼,被视为是一个巨猛的革新,于是一个OpenVPN服务器可以支持多个OpenVPN客户端了,server模式下的c2c模式更是加剧了我们向server模式的靠拢,以至于到了现在,很多人已经遗忘了OpenVPN的p2p模式,而只记得server...

2012-04-21 13:27:07

阅读数:13703

评论数:3

完全基于中断的统一进程调度系统

4.4BSD中将内核态下的进程根据其行为赋予了不同的优先级,然而中断可以打破进程的执行,并且中断还可以发布一些所谓的软中断,以高于进程优先级的优先级来执行,这看起来不是很和谐。实际上,可以使用更加和谐的方式统一处理进程的运行,中断处理以及软中断处理,那就是将所有的执行绪都统一为“中断”的概念。如下...

2012-04-21 13:23:27

阅读数:3263

评论数:0

UNIX命令行管道机制-UNIX哲学

UNIX从来都不是为人机交互而设计的,而是为程序之间的交互而设计的。用了多年Linux,从起初的羡慕,崇拜,到初学时的不解,混乱,愤怒,后来失望,困惑,...最终发现,如果你真的非要和Windows相比较的话,UNIX的人机交互确实表现不佳,正是这种不佳才导致了在使用过程中的种种问题,比如愤怒,比...

2012-04-21 13:21:12

阅读数:6293

评论数:1

软件脱离硬件的束缚才真正成为软件

当想法脱离纸和笔时,才能被称为思想!近日读了《Linux/Unix设计思想》,得到了很多启发。一直以来,人们认为软件运行于硬件之上。这是事实。然而严重依赖某种硬件的软件事实上只是一个奴隶而已,一旦硬件主人风光不再,那么它也寿终正寝了。因此编写可移植性的代码是最最重要的,随着硬件的多样化,汇编语言越...

2012-04-21 13:14:24

阅读数:3292

评论数:4

返璞归真的Linux BFS调度器

自Linux 2.6以来(严格说应该是2.5),O(n)调度器被人们认为是一种千年之前就应该抛弃的东西被重重的甩开了,此后出现了O(1),CFS等,再也没人提起O(n)了。说实话,Linux的调度器远比标准Unix的来得复杂,因为Linux被用于不同的场合,从手机一直到大型服务器,跨度如此之大就需...

2012-04-13 23:05:53

阅读数:6833

评论数:5

IP地址规划的重要性

在搭建一个局域网的时候,IP地址规划的意义重大。如果你的网络永远不会被扩展和定制,那么你可以随意的规划IP地址,只要能保证路由是通的就可以了。然而如果将来有一天你需要对已有的网络进行拓展,那么就需要精心安排地址了。原则就是:尽量使逻辑上同类的地址规划成连续的地址,并且起始地址最好是2的次幂。这样做...

2012-04-07 13:59:16

阅读数:4977

评论数:0

Netfilter与FreeBSD的网络包过滤

在Linux中,使用Netflter来进行包过滤,所有的逻辑都要挂接在Netfilter的某个或者某些HOOK点上,并且实现成该HOOK点上的一个或者多个hook函数,这在Netfilter框架中是用nf_hook_ops结构体来表示的,整个Netfilter的框架如下图所示:上图中有一部分被称为...

2012-04-07 11:29:28

阅读数:5628

评论数:0

Netfilter和Netgraph

很多的高性能网络设备都基于BSD系统,而不是Linux。不管什么操作系统,其协议栈的实现都是大同小异,这里面做的最统一的估计就是Windows NT的NDIS了,其次是BSD,Linux也许派不上号吧,主要的性能以及功能差异在协议栈上看不出来,主要要看如何扩展以及定制协议栈,Windows的NDI...

2012-04-02 17:39:57

阅读数:4906

评论数:0

唐都长安引发的思考

唐都长安,长宽8公里有余,8公里,什么概念,周长32公里有余...8公里什么距离?它是上海中环/罗山路交叉口到川沙华东路的距离,基本上围起来的面积就是上海内环高架围起来的面积...        那是一个没有机动车的时代,那是一个被认为没有同城快递的时代...没有机动车是真的,真的没有同城快递吗?...

2012-04-02 16:46:46

阅读数:5247

评论数:1

FreeBSD之netgraph简要解析

FreeBSD的netgraph真是太帅了,它到底是个什么玩艺呢?知道Linux的Netfilter的不少,那么就用Netfilter来类比吧。netgraph是一个基于图的钩子系统,正如其名称所展示的那样,什么样的图呢?很简单,就是通过边连接的节点,和数据结构里面学到的一样。netgraph系统...

2012-04-02 14:06:45

阅读数:8546

评论数:2

提示
确定要删除当前文章?
取消 删除