shijin741231的博客

CentOS 7 马上就停止支持服务了，未雨绸缪，整理Ubuntu 22.04的 初始化脚本。

使用Xshell软件生成ssh秘钥，正常连接服务器。

以前一直使用秘钥登录Linux，最近新装了一台Ubuntu 22.04，照旧部署公钥，使用私钥登录，结果SecureCRT 登录没有问题，使用Xshell登录一直报“所选的用户密钥未在远程主机上注册,请再试一次”。

当不能全面禁止Linux所有用户账号使用密码登录，强制使用密钥登录时，可以使用passwd -l 或 usermod -L 的命令锁定某个账号的密码，锁定后账号可以使用密钥登录，但不能使用密码登录，且登录后不能修改密码。这样实现了强制个别用户使用密钥登录的目的。

DNAT是在请求进入PREROUTING时发生的，修改数据包的目地IP，然后查找路由；de-DNAT是在响应进入POSTROUTING时发生的，根据之前建立的nf_conntrack，修改响应数据包的源IP，然后发出。同样SNAT是在请求进入POSTROUTING时发生的，修改数据包的源IP，然后发出；de-SNAT响应进入PREROUTING时发生的，根据之前建立的nf_conntrack，修改响应数据包的目地IP，然后查找路由。

使用tcpdump的pcap-filter过滤器，可以准确抓包内数据，能用于多层协议封装的抓包业务场景。

Linux rp_filter、arp_filter、arp_ignore、arp_announce参数说明。我查看了参考资料，又去查阅了官方文档，凭着我的理解整理了以下文档。

Linux的ipvlan分l2层、l3和l3s三种mode，bridge、private、vepa三种flags，在同一父接口上均不可混用。其中l2是2层，l3和l3s是3层，区别是l3s支持iptables conntrack；bridge、private、vepa决定同父接口下子接口之间的通讯，bridge允许直接通讯、private禁止通讯、vepa可以通过外部转发通讯。ipvlan子接口均可以与外部网络通讯，需要外部网络、路由支持；bridge可经与父接口相同网络命名空间下的其它子接口转发通讯。

ubuntu下没有 centos中的/proc/net/nf_conntrack文件，需要使用conntrack命令查看。

简述Iptables conntrack，介绍概念、参数，并给出推荐配置

通过单台宿主机上配置多个命名空间，并在其中创建vlan1和vlan2，验证了相同vlan下，网络是通的。配合启用NAT转发，通过三层也可以实现不同vlan之间的通讯。

通过Linux bridge 开启接口hairpin的方式，模拟macvlan vepa在外部交换支持802.1q的情况下，同一父网卡下的多个子网卡之间是可以通讯的。通过将宿主机物理网卡加入到Linux bridge中，使用bridge桥接内外网络，可以实现内部macvlan vepa子网卡访问外部网络。

Linux创建Macvlan网络，记录如下。

Bridge概念详见Linux brctl 命令，虚拟网络设备 LinuxBridge 管理工具Macvlan概念详见Linux brctl 命令，虚拟网络设备 LinuxBridge 管理工具通过Linux bridge 开启接口hairpin的方式，模拟macvlan vepa在外部交换支持802.1q的情况下，同一父网卡下的多个子网卡之间是可以通讯的。