端口转发

NAT IPv4地址只有32位，最多只能提供大致42.9亿个唯一IP地址，当设备越来越多时，IP地址变得越来越稀缺，不能为每个设备都分配一个IP地址。于是，作为NAT规范就出现了。NAT（Network Address Translation，网络地址转换）是1994年提出的，其当在专用网内部的一些主机本来已经分配到了本地IP地址（即仅在本专用网内使用的专用地址），但现在又想和因特网上的主机通信（并不需要加密）时，可使用NAT方法。每个NAT设备负责维护一个包含本地IP、端口和外网IP、端口的映射表。所有使用本地地址的主机在和外界通信时，都要在NAT路由器上将其本地地址转换成全球IP地址，才能和因特网连接。其大致过程如下： NAT的实现方式有如下三种，即： 静态转换(Static NAT)：将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址； 动态转换(Dynamic NAT)：将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址，当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式； 端口多路复用(Port NAT)：改变外出数据包的源端口并进行端口转换，即端口地址转换

1 、配置文件相关命令 [Quidway]display current-configuration 显示当前生效的配置 [Quidway]display saved-configuration 显示 flash 中配置文件，即下次上电启动时所用 的配置文件 reset saved-configuration 檫除旧的配置文件 reboot 交换机重启 display version 显示系统版本信息 2 、基本配置 [Quidway]super password 修改特权用户密码 [Quidway]sysname 交换机命名 [Quidway]interface ethernet 1/0/1 进入接口视图 [Quidway]interface vlan 1 进入接口视图 [Quidway-Vlan-interfacex]ip address 10.1.1.11 255.255.0.0 配置 VLAN 的 IP 地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 静态路由＝网关 3 、 telnet 配置 [Quidway]user-interface vty 0 4 进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password 设置口令模式 [S3026-ui-vty0-4]set

ssh有3种转发：本地转发，远程转发，动态转发。 1、本地转发：当client和ssh-client的方向一致的时候，就是本地转发。 限制：1）client直接访问server被防火墙阻挡。2）ssh通讯双向允许。 比如：client想访问server上的393端口，但是被2者之间的防火墙挡住了，防火墙允许ssh访问。这时，使用ssh的本地转发，将本应该访问server:393的数据转发的本地的7000（假设）端口上，然后，再由ssh将本地7000端口的数据通过ssh隧道发送到server的393端口。这样就完成了本地转发。 例子： #将client上访问7001端口的数据，全部转发到server上的389端口， #这里的localhost指的是server ssh -L 7001:localhost:389 Server 2、远程转发。当client和ssh-client不一致的时候，使用远程转发。 限制：1）client不能直接访问server，2）也不能通过ssh访问server，3）server访问client时被允许的。 这是为啥，方向不一致的原因，我们把ssh-client配置到server上，把ssh-server配置到client上，这样就可以利用ssh通信了。 例子：在远程的server上执行： #7001端口是Client上的，localhost指server，

（本文源于转载或摘抄整理） 一：前言 防火墙，其实说白了讲，就是用于实现Linux下访问控制的功能的，它分为硬件的或者软件的防火墙两种。无论是在哪个网络中，防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作，这就是防火墙的策略，规则，以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙，叫网络层的防火墙，还有7层的防火墙，其实是代理层的网关。 对于TCP/IP的七层模型来讲，我们知道第三层是网络层，三层的防火墙会在这层对源地址和目标地址进行检测。但是对于七层的防火墙，不管你源端口或者目标端口，源地址或者目标地址是什么，都将对你所有的东西进行检查。所以，对于设计原理来讲，七层防火墙更加安全，但是这却带来了效率更低。所以市面上通常的防火墙方案，都是两者结合的。而又由于我们都需要从防火墙所控制的这个口来访问，所以防火墙的工作效率就成了用户能够访问数据多少的一个最重要的控制，配置的不好甚至有可能成为流量的瓶颈。 二：iptables 的历史以及工作原理 1.iptables的发展: iptables的前身叫ipfirewall （内核1.x时代）,这是一个作者从freeBSD上移植过来的，能够工作在内核当中的，对数据包进行检测的一款简易访问控制工具。但是ipfirewall工作功能极其有限(它需要将所有的规则都放进内核当中

Kippo是一个中等交互的SSH蜜罐，提供了一个可供攻击者操作的shell，攻击者可以通过SSH登录蜜罐，并做一些常见的命令操作。 当攻击者拿下一台服务器的权限后，很可能会进行小范围的端口探测或者批量的端口扫描，以便横向扩展，获取更多服务器的控制权，因此部署内网SSH蜜罐，把攻击者引诱到蜜罐里来，触发实时告警，即可让安全人员及时知道已经有攻击者渗透内网、知道哪台服务器已被控制、以及攻击者在蜜罐上做了哪些操作。 如何把攻击者引诱到蜜罐里来，除了要看蜜罐是否具备主动欺骗能力外，还要看蜜罐在公司网络中的部署密度。网络安全域通常会要求不同的网段是隔离的，而且攻击者很可能是先在同一网段进行扫描，不会上来就扫描全网。所以如果只有一台蜜罐服务器，攻击者的扫描行为很可能不会触碰到蜜罐，也就不会触发蜜罐告警，所以理想情况是在所有网段均部署诱捕节点，但如果都用服务器部署的话，又太浪费资源，所以我们通过端口转发的方式，利用虚拟机、虚拟vlan网卡、现有服务器等方式来充当诱捕节点。 一、蜜罐架构图 二、蜜罐的搭建 1、Kippo 1.1 Kippo的安装 GitHub地址：https://github.com/desaster/kippo 安装环境：centos7 为确保蜜罐服务器的安全，建议在windows服务器上安装vmware，然后安装centos。 下载代码、安装相关的依赖 复制代码 1 git

第1章 防火墙的介绍 1.1 防火墙的介绍 1.1.1 概念 动态管理防火墙服务(图形界面和linux界面都可以实现) 支持不同防火墙的区域信息 属于传输层次的防火墙 1.1.2 防火墙的默认规则 经过防火墙进入的流量默认是阻止的 经过防火墙流出的流量默认是允许的 1.2 防火墙常见的区域介绍 1.2.1 概念介绍 区域相当于防火墙配置好的策略模板信息,直接就可以使用 1.2.2 图示介绍 1.2.3 防火墙区域的应用规则 一个地址或者接口只能设置一个zone区域来进行匹配规则信息 不同的源地址可以对同一个区域进行不同的匹配规则信息 运行时（runtime)：修改规则马上生效,但是临时生效 持久配置（permanent）： 修改后需要重载才会生效 1.2.4 防火墙常见的 9 种区域 1.2.4.1 名词解释 只有传出网络连接可用 意思是只有服务器本身出去的流量,客户端接收到回应才可 以进来,如果不是回应的流量是进不来的 只接受被选择的网络连接 意思是客户端发送请求的时候,指定的服务我是允许通过的,没有 我指定的服务我是不允许的. 1.2.4.2 区域解释 drop 输入的数据包默认经过防火墙会丢弃并且无回应,只有传出网络连接可用 block 拒绝所有出入的数据包并且进行回应一条禁止主机ICMP的消息,只有传出网 络连接可用 public 只接受被选择的网络连接,用于公共区域。

网络七层模型 https://blog.csdn.net/a369189453/article/details/81193661 网络七层协议的通俗理解 https://www.cnblogs.com/evan51/p/7994109.html TCP/IP协议（一）网络基础知识 网络七层协议 https://www.cnblogs.com/mike-mei/p/8548238.html 最近又看到这个七层模型了，一直都记不住这个七层模型，就算背住了也很快忘记。主要原因还是因为没有真实的使用场景，也没能理解其中的原理。但是这个东西是计算机网络的基础，既然碰巧看到就顺便整理一下吧。很多知识的梳理都是通过文章来理解贯通的，所以在计算机开发中对于技术的应用对敲代码；对于抽象的知识多写文章，自然而然的就懂了。 关于七层模型的介绍 七层模型，也称为OSI（Open System Interconnection）参考模型，是国际标准化组织（ISO）制定的一个用于计算机或通讯系统间互联的标准体系。它是一个七层的、抽象的模型体，不仅包括一系列抽象的术语或概念，也包括具体的协议。 ISO 就是 Internationalization Standard Organization（国际标准组织）。 起源 看一下OSI的起源和出现过程还是挺有意思的。 OSI的大部分设计工作实际上只是Honeywell

1.1.2.1 Linux系统-防火墙策略管理 文章目录 1.1.2.1 Linux系统-防火墙策略管理 一、防火墙策略介绍 二、firewall防火墙 三、iptables防火墙 一、防火墙策略介绍 作用: 提供一道保护性的安全屏障,起到保护隔离作用,隔离公网和私网之间 分类：硬件防火墙 软件防火墙 程序：RHEL6以下iptables命令，RHEL7以上firewalld命令 firewalld底层是调用包过滤防火墙iptables 包过滤防火墙:工作在3层,对ip包进行过滤处理 二、firewall防火墙 （一）firewall防火墙介绍 1.firewall防火墙安装 yum install firewalld #安装服务 systemctl start firewalld #开启服务 systemctl enable firewalld #开机自启 systemctl status firewalld #查看状态 firewall-cmd命令操作 firewall-config图形化操作 2.防火墙预设安全区域 规则：根据所在的网络场地区分,预设保护规则集,匹配即停止 public #仅允许访问本机sshd dhcp ping trusted #允许任何访问 block #阻塞任何来访请求,明确居拒绝,给客户端回应 drop #丢弃任何来访的数据包,直接丢弃

转载连接: http://www.fmttr.com/network/linuxbridge/ Linux Bridge简介 　　Linux中有多种网络设备，其中Bridge是比较简单的一种。 　　Bridge译为中文是桥的意思，专业的意译是网桥，其功能与物理的交换机功能相似，都是工作在二层协议（数据链路层）的交换设备。网桥可以理解为Linux中虚拟出来的交换机。多个网络设备可以连接（attach）到网桥上，之后这些网络设备就可以通过Brige进行通信了。详细的通信过程参考下面的内容。 　　Linux Bridge通过软件包bridge-utils进行安装，可以通过命令来判断是否安装了Linux Bridge：rpm -qa | grep bridge-utils。 网桥的功能 　　网桥主要功能与实际的物理交换机是相同的： 　　1.MAC地址学习：对于物理交换机，网络设备是通过网线连接到交换端口上进行连接的。而对于Linux 网桥是通过命令进行虚拟连接的。网桥刚开始工作时，接收到数据包后，会从数据包中解析出源MAC地址，并记录源MAC与端口的对应关系，以此建立MAC-端口对应表。 　　2.转发：当要发送一个数据包时，网桥就会在MAC-端口对应表中查找对应的端口，将数据从找到的端口发送出去。 网桥的工作流程 　　网桥上有端口，网络设备有其唯一的MAC地址

一、IPv4协议和NAT的由来 1、IPv4协议介绍 　　2011年2月3日，IANA宣布：IPv4地址空间最后5个地址块已经被分配给下属的5个地区委员会。2011年4月15日，亚太区委员会APNIC对外宣布，除了个别保留地址外，本区域所有的IPv4地址基本耗尽。一时之间，IPv4地址作为一种濒危资源身价陡增。 　　 IPv4 即 网际网协议第4版 （Internet Protocol Version 4）定义一个跨越异种网络互连的超级网，为每个网际网的节点分配全球唯一IP地址。IPv4使用 32bits整数 表达一个地址，地址最大范围就是232约为 43亿 。以IP创始时期可被联网的设备来看，这样的一个空间已经很大，很难被短时间用完。然而，事实远远超出人们的设想，计算机网络在此后的几十年里迅速壮大，网络终端数量呈爆炸性增长。 　　更糟糕的是，为了路由和管理方便，43亿的地址空间按 不同前缀长度 划分为 A,B,C,D,E类 地址网络和保留地址。 　　 　　地址分类如下所示（默认情况下通过 第一个8位 辨别类别）： 　　　　A 0 0000000--- 0 1111111 0-127 　　　　B 10 000000--- 10 111111 128-191 　　　　C 110 00000--- 110 11111 192-223 　　　　D 1110 0000--- 1110