Netfilter,iptables/OpenVPN/TCP guard:-(

我不会编程,但也不是一点都不会,我稍微会一些 :-)

天啊,原来计算机就是佛,信则灵

去北京出差,解决一个网络问题。客户的所作所为真的让我大伤脑筋,这简直就是不是在进行实施前的联调,这简直是在预研!客户那边负责人是个技术人员,虽说他不懂更深层的理论知识,但是我觉得他就是神!我们公司A,和公司B,公司C联调,遇到一个很奇怪却又不得不满足的需求,可以说这个需求是政策上造成的人为障碍,然...

2012-09-19 00:56:21

阅读数:3986

评论数:3

五元组和防火墙

目前大多数防火墙还是传统的基于五元组的防火墙,我觉得这太差劲了,我认为只有第七层防火墙才是真正的防火墙,五元组不能标示一个应用,正如tcp的80端口并不总是代表http一样,想要标示一个应用,你必须去分析第七层的协议头,而不是联合第三层,第四层的协议头,毕竟我们需要匹配一个第七层的应用,那就要需要...

2012-09-17 19:28:16

阅读数:7368

评论数:0

TPROXY与ip_conntrack

《socket的IP_TRANSPARENT选项实现代理》中,介绍了IP_TRANSPARENT可以使得保留源IP地址的方法,但是使用了ip_conntrack,我们知道ip_conntrack是要么全部conntrack,要么一个不conntrack的,除非你使用了notrack target,...

2012-09-17 19:20:20

阅读数:6352

评论数:0

Windows上的OpenVPN如何封装真实IP作为源地址

OpenVPN引入了一个虚拟的网段,进而每个节点都有一个虚拟的IP地址。为了在加入OpenVPN之后保证原有的网络拓扑不更改,必要的做法就是不让虚拟IP跑出VPN节点之外,也就是说虚拟IP地址不能在任何非VPN网段出现,因为在加入OpenVPN之前,根本就没有这些IP地址,现在加入了,也不应该有。...

2012-09-17 19:07:43

阅读数:5718

评论数:2

基于连接的每IP限速实现

在《修改netfilter的limit模块实现基于单个ip的流量监控》中,介绍了一种方式实现针对一个网段每个IP地址的流量控制,如果细化到流,那个就叫做针对每个流的流量控制,我们知道,一个IP地址可以和很多流相关联,针对流的流控限制的不是主机,而是主机上的一个连接,它的约束要比针对IP地址的流控更...

2012-09-06 21:35:06

阅读数:7146

评论数:1

Linux的rp_filter与策略路由

Linux的rp_filter用于实现反向过滤技术,也即uRPF,它验证反向数据包的流向,以避免伪装IP攻击,但是它和Linux的策略路由却很容易发生冲突,其本质原因在于,uRPF技术强制规定了一个反向包的“方向”,而实际的路由是没有方向的。策略路由并没有错,错就错在uRPF增加了一个路由概念本身...

2012-09-05 18:14:55

阅读数:17223

评论数:0

提示
确定要删除当前文章?
取消 删除