acl

ACL作用 1、控制流量 2、在dcc中控制拨号条件 3、可用于路由信息过滤 ACL的分类 目前有两种主要的ACL:标准ACL和扩展ACL。 这两种ACL的区别是，标准ACL只检查数据包的源地址; 扩展ACL既检查数据包的源地址，也检查数据包的目的地址，同时还可以检查数据包的特定协议类型、端口号等。 如何区分in out方向？ 进入设备前ACL就起作用的设为in，进入设备后ACL才起作用的设为out。 你可以把设备想像成你家，ACL就是家里的大门。外面的人要通过大门进来你家，就要in；你家里面或者你家后花园送来的东西要从大门送到外面，就要out。 至于放在哪个位置，还是可以以门为例，比如ACL设在大门，那么经过大门的流量才受到影响，也就是说如果是从另一个门in或out则不受影响 对于标准型ACL，对于在网络中位置，因为只能匹配源，最好放置于接入交换机in方向。 来源： https://www.cnblogs.com/wdn135468/p/11937476.html

I'm a little stuck and unable to find the answer to this. In my app test I've created two Entities User and Comment both are mapped correctly. I have created a small controller which depending on the user will add the comment and the data to the ACL tables, if I create my comment as a standard user with the associated for of 'ROLE_USER', and Try to access it as user with the role 'ROLE_ADMIN' I get access denied, it seems to completely ignore the security.yml hierarchy. I know this works by adding instead of the userid the ROLE_USER etc but I don't want to do it this way. Examples of my code

I am attempting to route the following request to the appropriate servers based on the URL identified in the POST body below. I am hoping to accomplish this via a reverse proxy using HAProxy. E.g. I would like to direct all requests to HAProxy, than have HAProxy check if certain values exist in the POST body (E.g. the notification url value "pingpong"), and if this is the case, route the traffic to an endopint I will specify in the configs. POST /someURL/file.jsp HTTP/1.1 Host: 10.43.90.190:80 Content-Type: application/json Connection: keep-alive Accept: */* Content-Length: 256 {"Info": {

访问控制列表ACL（Access Control List）就是利用IP数据包中的元素来匹配数据包，所以ACL可以通过匹配IP报文中的5元素来对数据包实施“允许”“拒绝”等操作。 IP数据包中的元素，以承载TCP协议的IP数据包为例，它包含如下图所示的5个元素，这5个元素的组合能标识某数据包来龙（即源地址、源端口）去脉（即目的地址、目的端口）和通信方式（协议号），从而唯一标识了某类数据包。 图4-1 IP数据包 例如可以用ACL描述：不让任何终端使用Telnet登录，或者可以让每个终端经由SMTP向我们发送电子邮件。 ACL的类型根据不同的划分规则可以有不同的分类，具体参见表。 表4-1 ACL分类 划分规则 分类 应用场景 说明 对IPv4和IPv6的支持 ACL4 IPv4的应用场景 相对的命令行ACL4和ACL6会有差异 ACL6 IPv6的应用场景 相对的命令行ACL4和ACL6会有差异 按照命名方式 数字ACL 传统的ACL标识方法，用户创建ACL时，指定一个唯一的数字标识，后续的操作可以通过这个唯一的数字标识对ACL进行相关的操作。 - 名字ACL 用户在创建ACL时，可以为ACL指定一个名称。后续的操作可以通过这个唯一的名称确定一个ACL，从而对其进行相关操作。 名称相对于数字来说具有更为直观的标识和记忆的效果， S2700-52P-EI提供了灵活的ACL命令方式。

访问控制列表ACL（Access Control List）就是利用IP数据包中的元素来匹配数据包，所以ACL可以通过匹配IP报文中的5元素来对数据包实施“允许”“拒绝”等操作。 IP数据包中的元素，以承载TCP协议的IP数据包为例，它包含如下图所示的5个元素，这5个元素的组合能标识某数据包来龙（即源地址、源端口）去脉（即目的地址、目的端口）和通信方式（协议号），从而唯一标识了某类数据包。 图4-1 IP数据包 例如可以用ACL描述：不让任何终端使用Telnet登录，或者可以让每个终端经由SMTP向我们发送电子邮件。 ACL的类型根据不同的划分规则可以有不同的分类，具体参见表。 表4-1 ACL分类 划分规则 分类 应用场景 说明 对IPv4和IPv6的支持 ACL4 IPv4的应用场景 相对的命令行ACL4和ACL6会有差异 ACL6 IPv6的应用场景 相对的命令行ACL4和ACL6会有差异 按照命名方式 数字ACL 传统的ACL标识方法，用户创建ACL时，指定一个唯一的数字标识，后续的操作可以通过这个唯一的数字标识对ACL进行相关的操作。 - 名字ACL 用户在创建ACL时，可以为ACL指定一个名称。后续的操作可以通过这个唯一的名称确定一个ACL，从而对其进行相关操作。 名称相对于数字来说具有更为直观的标识和记忆的效果， S2700-52P-EI提供了灵活的ACL命令方式。

一、ZooKeeper的背景 1.1 认识ZooKeeper ZooKeeper---译名为“动物园管理员”。动物园里当然有好多的动物，游客可以根据动物园提供的向导图到不同的场馆观赏各种类型的动物，而不是像走在原始丛林里，心惊胆颤的被动 物所观赏。为了让各种不同的动物呆在它们应该呆的地方，而不是相互串门，或是相互厮杀，就需要动物园管理员按照动物的各种习性加以分类和管理，这样我们才能更加放心安全的观赏动物。 回到企业级应用系统中，随着信息化水平的不断提高，企业级系统变得越来越庞大臃肿，性能急剧下降，客户抱怨频频。拆分系统是目前我们可选择的解决系统可伸缩性和性能问题的唯一行之有效的方法。但是拆分系统同时也带来了系统的复杂性——各子系统不是孤立存在的，它们彼此之间需要协作和交互，这就是我们常说的分布式系统0。各个子系统就好比动物园里的动物，为了使各个子系统能正常为用户提供统一的服务，必须需要一种机制来进行协调——这就是ZooKeeper（动物园管理员）。 1.2 为什么使用ZooKeeper 我们知道要写一个分布式应用是非常困难的，主要原因就是局部故障。一个消息通过网络在两个节点之间传递时，网络如果发生故障，发送方并不知道接收方是否接收到了这个消息。他可能在网络故障迁就收到了此消息，也坑没有收到，又或者可能接收方的进程死了。发送方了解情况的唯一方法就是再次连接发送方，并向他进行询问

由于时间匆忙，要是有什么地方没有写对的，请大佬指正，谢谢。文章有点水，大佬勿喷 这篇博客不回去深度的讲解consul中的一些知识，主要分享的我在使用的时候的一些操作和遇见的问题以及解决办法。当然有些东西官方文档上面也是有的 学习一种工具最好的方式还是去看官方文档，这是血与泪的经验教训。 1.consul集群的搭建 consul是google开源的一个使用go语言开发的服务发现、配置管理中心服务。内置了服务注册与发现框 架、分布一致性协议实现、健康检查、Key/Value存储、多数据中心方案，不再需要依赖其他工具（比如ZooKeeper等）。当然与consul类似的工具还有很多几个：ZooKeeper， etcd 这里在讲解之前，我们需要知道的一些基本的东西，这里引用 别人的文章 ， @client CLIENT表示consul的client模式，就是客户端模式。是consul节点的一种模式，这种模式下，所有注册到当前节点的服务会被转发到SERVER，本身是不持久化这些信息。 @server SERVER表示consul的server模式，表明这个consul是个server，这种模式下，功能和CLIENT都一样，唯一不同的是，它会把所有的信息持久化的本地，这样遇到故障，信息是可以被保留的。 @server-leader 中间那个SERVER下面有LEADER的字眼

Consul Cluster with ACL 1.机器规划 2.先配置好三个Server，并启动一遍。 3.生成并配置agent-token，解决server agent ACL block问题 4.启动一个带ui的client agent 5.配置环境变量。 6.给web-ui 设置master_token 7.参考文章 这篇文章的目的：搭建带有ACL控制的consul1.5集群。 具体概念及配置说明，后面我会再写文章补充说明。 1.机器规划 我这里起了四台虚拟机，三台用作Server agent，一台用作Client agent。（说明：当然Client可以配置多个，这里由于开太多虚拟机比较耗费资源，就只设置了一个。） 机器ip(机器名) http端口（其他端口使用默认值） Agent类型 节点名称 10.211.55.28 node1 8500 server consul-server1 10.211.55.25 node2 8500 server consul-server2 10.211.55.26 node3 8500 server consul-server3 10.211.55.27 node4 7110 client 带ui consul-client1 2.先配置好三个Server，并启动一遍。 consul-server1.json {

目录 扩展ACL 末尾默认语句 案例 放置位置 基于时间的ACL 扩展ACL access-list 表号 处理方式 条件 表号：100-199 处理方式：permit（允许）deny(不允许) 条件：协议 源地址 目的地址 [运算符 端口号(eq 80)] 协议： ping :网络层 ICMP IP 传输层 ：TCP UDP 端口：80 应用层：FTP20/21 Telnet23 HTTP80 SMTP25 DNS53 应用层和网络层协议不需要端口号 传输层需要加端口号 末尾默认语句 access-list 100 deny ip any any 需要改为：access-list permit ip any any 案例 允许web 和 ftp 其他服务禁止访问 access-list 100 permit tcp any any eq 80 access-list 100 permit tcp any any eq 21 access-list 100 permit tcp any any eq 20 interface e0 ip access-group 100 out 案例2 access-list 100 denty tcp 200.1.1.1 0.0.0.0 eq 23 access-list 100 denty tcp 192.168.0.1 0.0.0.0 eq

一，准备工作 准备四台centos服务器，三台用于consul server 高可用集群，一台用于consul client作服务注册及健康检查。架构如下图所示 二，在四台服务器上安装consul 1，安装unzip 工具：yum install -y zip unzip 2，查看centos版本。uname -m,从 https://www.consul.io/downloads.html 获取下载地址 3，下载consul:wget https://releases.hashicorp.com/consul/1.6.2/consul_1.6.2_freebsd_amd64.zip 4，解压 :unzip consul_1.6.2_freebsd_amd64.zip 5，移动解压出来的文件到/etc/usr/bin：mv consul /etc/usr/bin 6，运行consul指令验证安装是否成功 三，配置consul 在四台服务器上分别在/tmp目录创建名为consul_config.json的文件，内容如下 服务端1配置文件 { "bootstrap_expect": 1, "datacenter": "kingsun_consul", "data_dir": "/tmp/consul", "node_name": "kingsun_consul_server_1",