端口转发

基本使用 启动： systemctl start firewalld 关闭： systemctl stop firewalld 查看状态： systemctl status firewalld 开机禁用： systemctl disable firewalld 开机启用： systemctl enable firewalld 配置firewalld-cmd 查看版本： firewall-cmd --version 查看帮助： firewall-cmd --help 显示状态： firewall-cmd --state 查看所有打开的端口： firewall-cmd --zone=public --list-ports 更新防火墙规则： firewall-cmd --reload 端口开放 添加： firewall-cmd --zone=public --add-port=80/tcp --permanent 重新载入： firewall-cmd --reload 删除： firewall-cmd --zone= public --remove-port=80/tcp --permanent 端口转发 添加（例如3306 -> 3336）： firewall-cmd --permanent --zone=public --add-forward-port=port= 3336

设置方法： IP > Firewall > Filter Rules 1.新增检测 默认为TCP端口扫描检测，可以增加UDP端口扫描检测。这里协议类型选TCP。之后再建一条一样的 选 UDP 。 扩展选项中PSD展开。其中有4个参数 Weight Threshold 权重阀值 默认阀值21 Delay Threshold 延迟阀值 默认时间3秒 Low Ports Weight 低端口（1-1024） 默认权重3 High Ports Weight 高端口（1025-65535） 默认权重1 比如权重阀值是99，时间3秒， 扫描高端口（1025-65535），扫描端口99连接后进入拒绝名单 比如权重阀值是99，时间3秒， 扫描低端口（1-1024），扫描端口统计达到33连接后进入拒绝名单 比如权重阀值是99，时间3秒， 扫描低端口和高端口号，扫描端口统计累加达到99后进入拒绝名单 行为部分，选择 add src to address list，添加到源地址列表。填写地址列表名称，超时时间（进入列表后多长时间再踢出去）。 2.新增，Chain选input，高级选项中的src.address list选择刚添加的列表名称，行为选择drop。 3.参照2部分，Chain选forward，其余和部分2一样。 如有其他需求，再按自己需求修改数值和填写。 现在将这个规则进行完善

STP基本概念包括交换机的BID（桥ID）。端口ID。端口成本。端口状态。端口角色。 通过执行stp port priority 可以改变当前端口的端口优先级。可以直接影响该端口是否会被选举为指定端口 通过使用 stp pathcost-standard 命令来修改默认的端口成本的计算方法 stp pathcost-standard (do1d-1998/dol1t/legacy) 若要为不同的端口配置路径开销值，可单独执行 STP cost STP 选举流程： 1.选举根桥 2.非根交换机选举根端口 3.每个线路选举指定端口 4.阻塞非根，非指定端口 选举根桥，根端口，指定端口，阻塞端口都以下面的规则来选，都是越小越好 这些信息在BPDU中都有。 比较规则： 1.bridge ID： 　　优先级（默认32768） + MAC地址 2.Cost路径开销： 根据接口带宽比例计算 3.port ID：　　　　优先级 （默认128）+ 端口号 根桥选举： 1.选根桥：每个交换机假设自己为根，互相发送BPUD报文，然后通过比较规则竞选根桥 2.选根端口：每个交换机根据接收由根桥发送的BPDU中的开销来选举根端口（最优路径），交换机接收累加开销，转发不累加 3.选指定端口：每条链路根据比较规则来选出指定端口，每条链路必须有指定端口。 4.选阻塞端口：除了根端口，指定端口，剩下的为阻塞端口

1.生成树协议用来解决广播风暴现象 2.STP相关概念: 桥ID=桥优先级+MAC(优先级只能设置为4096的整数倍.优先级最低的网桥成为根桥;若优先级相同,MAC地址较低的成为根桥) 端口ID=端口优先级+port no(端口优先级数值越小,优先级越高;端口编号越小优先级越高) 根桥 非根桥 根端口 指定端口 3.根路径开销: 4.STP规则 5.STP time 堵塞 20s 监听 15s(转发延迟) ѧϰ 15s(转发延迟) 转发

SecureCRT具有过滤器，可控制谁可以连接到已在SecureCRT中设置的端口转发。默认情况下，只有来自运行SecureCRT的计算机的连接才能连接到端口转发。 您可以按照以下步骤更改端口转发过滤器。 如果SecureCRT正在运行，请在继续之前退出程序。 找到与要修改的会话关联的.ini文件。.ini文件位于名为Sessions的子文件夹下的SecureCRT Config文件夹中。“ 全局选项”对话框还会在“ 配置文件夹”字段中显示SecureCRT Config文件夹的位置。 在记事本中打开.ini文件。 查找以下行： S：“端口转发过滤器”=允许，127.0.0.0 / 255.0.0.0,0拒绝，0.0.0.0 / 0.0.0.0,0 将行修改为如下所示： S：“Port Forward Filter”= allow，127.0.0.0 / 255.0.0.0,0 allow，xxx.xxx.xxx.xxx，0 deny，0.0.0.0 / 0.0.0.0,0 Alternately ，您可以将行修改为如下所示，允许任何IP地址连接到端口转发： S：“端口转发过滤器”=允许，0.0.0.0 / 0.0.0.0,0 以上就是小编给大家带了的SecureCRT使用教程，如何修改SecureCRT中的端口转发过滤器？你学会了吗？ 了解更多关于 SecureCRT教程

STP技术---生成树技术 作为二层防环的技术还包括smart-link、eth-trunk、堆叠、rrpp等； STP技术的收敛速度为1-2s rrpp技术的收敛速度 ms单位； STP技术的优势 1、适应复杂网络； 2、STP机制丰富，能存在多种保护机制等； 说明： STP技术包括：STP、RSTP、MSTP 华为设备开启，默认STP版本为MSTP 二层环路 危害： 1、 广播风暴：数据帧的数量呈指数型增长； 2、 mac地址表震荡：mac地址表不断进行刷新，无法正常地转发数据帧； 3、最终影响设备正常使用。 三大表： mac地址表：用于指导数据帧（二层） ARP缓存表：用于存储IP地址与mac地址的对应关系（2.5层） 路由表： 用于指导IP数据包进行转发（三层） STP协议工作原理 通过协议计算（依赖于BPDU报文），从逻辑上阻塞端口，从而实现防环，当链路一旦出现故障时，阻塞端口重新恢复转发。 STP的限制 1、收敛慢，收敛属于秒级； 2、不适用于大型交换网络，网络直径小于等于20； 3、整网的交换设备不能超过50台； STP的计算过程 1、选举一个根桥 根桥交换机：作为整个交换网络的数据转发中心； 选举要素1 根桥ID：优先级+mac地址 1、比较优先级，默认为32768，数值越小越优先，可调整，只能为4096的倍数； 2、比较mac地址，数值越小越优先。

Vagrant默认转发宿主的2222端口到虚拟机的22端口（默认设置，无须配置）。在有多个虚拟机并存的情况下，2222端口将不好使。具体表现在： 启动第二个虚拟机的时候，会报端口占用错误： 连接不同机器的SSH，会提示密钥不符： 为了解决这个烦人的问题，只有为不同的虚拟机分配不同的主机端口。 根据提示，直接在Vagrantfile中更改转发端口： config.vm.network "forwarded_port", guest: 22, host: 3333 然后启动机器，发现2222端口没有直接更改为3333，而是新增了3333端口： issue config.vm.network "forwarded_port", guest: 22, host: 2222, id: "ssh", disabled: "true" config.vm.network "forwarded_port", guest: 22, host: 3333 id: "ssh" Forwarded port ‘2222’ (host port) is declared multiple times with the protocol ‘tcp’. 重启后，即可看到转发端口已经更改为3333。 参考 https://www.vagrantup.com/docs/vagrantfile/machine

https://www.zhihu.com/people/skywind3000/activities之前用过frp 知道 ssh 有一 反向代理的功能 没想到 还有这么多高级功能 收藏一下. ssh 命令除了登陆外还有三种代理功能: 正向代理（-L）：相当于 iptable 的 port forwarding 反向代理（-R）：相当于 frp 或者 ngrok socks5 代理（-D）：相当于 ss/ssr 如果需要长期高效的服务，当然是使用对应的专用软件。如果没法安装对应软件，他们都可以用 ssh 来代替，比如你就想临时访问下某个不可达到的目标，那么一行命令就行。 正向代理： 所谓“正向代理”就是在本地启动端口，把本地端口数据转发到远端。 用法1：远程端口映射到其他机器 HostB 上启动一个 PortB 端口，映射到 HostC:PortC 上，在 HostB 上运行： HostB$ ssh -L 0.0.0.0:PortB:HostC:PortC user@HostC 这时访问 HostB:PortB 相当于访问 HostC:PortC（和 iptable 的 port-forwarding 类似）。 用法2：本地端口通过跳板映射到其他机器 HostA 上启动一个 PortA 端口，通过 HostB 转发到 HostC:PortC上，在 HostA 上运行： HostA$

生成树协议（spanning tree protocol） 工作在二层里面（数据链路层） 二层交换机 理解一下重点： 1、STP的工作原理 2、配置PVST+ 生成树协议的目的是： 1、建立一个冗余的交换机网络 2、提高容错性 3、备份。 环路带来的三个问题： 1、广播风暴 2、收到重复的数据帧 3、MAC地址表不稳定（震荡） 解决的方法就是：生成树协议STP 树是没有环的。 生成树的目的（作用）就是通过算法算出来阻塞哪个接口进而消除环路。而且当正常的链路断掉之后，阻塞的接口会自动的打开，让终端之间可以正常访问，达到备份的目的。 STP （spanning tree protocol）生成树协议 生成树算法： 1、选择根网桥 （网桥就是交换机） 2、选择根端口 （1）到根网桥最低的根路径成本（开销） （2）直连的网桥ID最小的 （3）端口ID最小的 3、选择指定端口 （1）根路径成本较低 （2）所在的交换机的网桥ID值较小 （3）端口ID值较小 口诀：一个根桥，两种度量，三要素选举，四个比较原则，五种端口状态。 一个根桥 每个二层拓扑中，必须要有一个根网桥（一个特殊的交换机（根交换机）） 根交换机只有一个，非根交换机可以多个。 选择根网桥的依据是网桥ID，网桥ID是唯一的。 两种度量 1、ID （1）BID（bridge ID）网桥ID BID由两部分组成

在基于RHEL7的服务器，提供了一个firewall的动态管理的防火墙，其支持IPv4和IPv6，还支持以太网桥，并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。 firewall的配置文件： /etc/lib/firewalld/ 和 /etc/firewalld/ 下的XML文件。配置firewall可以直接编辑配置文件，也可以使用firewall-cmd命令行工具。 查看firewalld的状态 firewall-cmd --state 查看活动分区类别 firewall-cmd --get-active-zones 查看当前分配的接口 firewall-cmd --get-zone-of-interface=ens33 查看分配的区域的所有接口： firewall-cmd --zone=public --list-interfaces 找出公共区域的所有设置 firewall-cmd --zone=public --list-all firewall-cmd --list-all 关闭|开启所有的输入和输出的数据包(禁用) # 关闭所有输入输出的数据包 firewall-cmd --panic-on # 开启再次输入输出的数据包 firewall-cmd --panic-off # 查看panic模式的状态（yes启用 no退出