端口转发

相信大家家里都有路由器吧！而我们家用的路由器上有WAN、LAN口，当我们不将WAN口接上时，两台终端设备（电脑也叫PC）都接在LAN口下那么这个路由器就成了交换机，而你将一台路由器两根能上网的网线接上另外一台路由器的LAN口时你会发现你的网络变的非常的差，wifi也会很差，微信登录不上，网页打不开，电视剧看不了！这时就有了生成树，这是什么树？其实它叫生成树协议，主要作用就是来防止以上出现的问题，这个问题又叫做环路，广播风暴，因此生成树应运而生。 广播风暴 交换机等交换设备会对广播数据帧进行泛洪操作。若网络中出现环路，交换设备经过多次泛洪之后，网络中就会出现大量方向互异的广播流，远远大过了交换设备所能承载的数据上限，从而正常的数据帧传输受到了抑制，便会导致信道的拥塞，其结果往往是延时或丢帧。 简单的讲是指当广播数据充斥网络无法处理，并占用大量网络带宽，导致正常业务不能运行，甚至彻底瘫痪，这就发生了“广播风暴”。一个数据帧或包被传输到本地网段（由广播域定义）上的每个节点就是广播；由于网络拓扑的设计和连接问题，或其他原因导致广播在网段内大量复制，传播数据帧，导致网络性能下降，甚至网络瘫痪，这就是广播风暴。 Spanning Tree Protocol 生成树协议（简称STP） STP的主要作用是用来防止2层循环的，上文所说的情况就是二层循环的情况，STP使用生成树算法来创建拓扑数据库

单节点集群 多节点集群 注意node通过连接loadbalancer 转发到mateter 的apiserver来进行运作的 集群规划： 角色 ip 组件 K8S-master1 192.168.0.101 kube-apiserver kube-controller-manager kube-scheduleretcd K8S-master2 192.168.0.102 kube-apiserver kube-controller-manager kube-scheduleretcd K8S-node1 192.168.0.103 kubelet kube-proxy docker etcd K8S-node2 192.168.0.104 kubelet kube-proxy docker etcd K8S-load-balancer 192.168.0.106(vip）实际IP105 Nginx L4 1,系统初始化 ##关闭防火墙： systemctl stop firewalld systemctl disable firewalld ##关闭selinux： setenforce 0 ## 临时 sed -i 's/enforcing/disabled/' /etc/selinux/config ## 永久 ##关闭swap： swapoff -a ## 临时 vim

实现需求： 1、本机Mac电脑可以ssh登陆远程服务器A 2、远程服务器A可以连接服务器B的MYSQL 3、本机Mac不可以直接连接服务器B 4、实现目标：在本机Mac可以直接使用MYSQL工具连接和操作服务器B 命令： ssh -CfNg -L <本地端口>:<目标机ip>:<目标机端口> <跳板机> 命令详解 -CfNg C:压缩数据 f:后台用户验证,这个选项很有用,没shell的不可登陆账号也能使用 N:不执行脚本或命令 G:允许远程主机连接转发端口 -L：本地隧道转发 本地端口：本地要转发的端口 目标机ip：要转发到的主机 目标机端口：要转发到的端口 跳板机：作为跳板，且有访问目标机的机器SSH登录信息 命令示例1： ssh -CfNg -L 13306:rm-uf6uc7g6.mysql.rds.aliyuncs.com:3306 root@49.116.8.196 -p59120 本地访问的端口为13306，转发到 rm-uf6u73…cs.com:3306 主机端口，跳板机ssh登录信息为root@49.116.8.196 跳板机ssh端口为59120 命令示例2： ssh -CfNg -L 13306:rm-uf6uc7g6.mysql.rds.aliyuncs.com:3306 myserver 本地访问的端口为13306，转发到 rm-uf6u73…cs

现在linux下ssh使用比较广泛的是openssh包 ###ssh相关选项：### -V 显示版本： ssh -V OpenSSH_6.6.1p1 Ubuntu-2ubuntu2, OpenSSL 1.0.1f 6 Jan 2014 -f 输入密码后进入后台模式(Requests ssh to go to background just before command execution.) -N 不执行远程命令,用于端口转发( Do not execute a remote command. This is useful for just for warding ports (protocol version 2 only).) -D socket5代理(Specifies a local “dynamic” application-level port forwarding.Currently the SOCKS4 and SOCKS5 protocols are supported, and ssh will act as a SOCKS server.) -L tcp转发(Specifies that the given port on the local (client) host is to be forwarded to the given host and port

1、本文的受众 如果你遇到了以下问题，那么你应该阅读这篇文章 我听说过这种技术，我对它很感兴趣 我想在家里访问我在公司的机器（写程序，查数据，下电影）。 公司为了防止我们用XX软件封锁了它的端口或者服务器地址。 公司不让我们上XX网站，限制了网址甚至IP。 公司不让我们看关于XX的信息，甚至花血本买了XX设备，能够对内容进行过滤。一看XX内容，链接就中断了。 我爸是搞电脑的，他在家里的路由器上动了手脚，我不能看XXX了。 带着这些问题，我们先从什么是ssh隧道开始。 2、什么是SSH隧道 首先看下面这张图，我们所面临的大部分情况都和它类似。我们的电脑在右上角，通过公司带有防火墙功能的路由器接入互联网（当然可能还有交换机什么的在中间连接着你和路由器，但是在我们的问题中交换机并不起到什么关键性的作用）。右下脚的部分是一个网站的服务器，它是我们公司防火墙策略的一部分，也就是说公司不希望我们访问这个服务器。在右上角还有一台机器，它也是属于我们的。但是这台机器并不在我们公司里面，换句话说他不受到公司防火墙的限制。最后也是最重要的一点是，我们能够在公司通过互联网直接访问这台机器。或者说这台位于公司防火墙外面的机器需要拥有一个独立的互联网IP，同时公司的防火墙规则不会屏蔽这台机器，并且这台机器运行着一个OpenSSH服务器。 现在，我们清楚地知道了自己所处的网络环境

近来我发现越来越多的网络环境开始屏蔽对外的常用端口比如 SMTP（端口 25），SSH（端口 22）之类的。当你走进一家咖啡馆然后想 SSH 到你的一台服务器上做点事情的时候发现端口 22 被屏蔽了是一件很烦的事情。 不过，我到目前为止还没发现有什么网络环境会把 HTTPS 给墙了（端口 443）。在稍微配置了一下家中的树莓派 2 之后，我成功地让自己通过接入树莓派的 443 端口充当跳板，从而让我在各种网络环境下都能连上想要的目标端口。简而言之，我把家中的树莓派设置成了一个 OpenVPN 的端点和 SSH 端点，同时也是一个 Apache 服务器，所有这些服务都监听在 443 端口上，以便可以限制我不想暴露的网络服务。 备注 此解决方案能搞定大多数有限制的网络环境，但有些防火墙会对外部流量调用 深度包检查 ，它们时常能屏蔽掉用本篇文章里的方式传输的信息。不过我到目前为止还没在这样的防火墙后测试过。同时，尽管我使用了很多基于密码学的工具（OpenVPN，HTTPS，SSH），我并没有非常严格地审计过这套配置方案（LCTT 译注：作者的意思是指这套方案能帮你绕过端口限制，但不代表你的活动就是完全安全的）。有时候甚至 DNS 服务都会泄露你的信息，很可能在我没有考虑周到的角落里会有遗漏。我强烈不推荐把此跳板配置方案当作是万无一失的隐藏网络流量的办法

端口安全 交换机的五种攻击 VLAN跳跃攻击 生成树攻击 MAC表洪水攻击 泛洪：广播 1.限制MAC地址 配置 Switch>en Switch#config t Switch(config)#int f0/1 Switch(config-if)#sw mo acc//设置模式为ACCESS Switch(config-if)#switchport port-security //开启端口安全 Switch(config-if)#switchport port-security mac-address 00E0.8F09.42EA//绑定MAC地址 Switch(config-if)#switchport port-security violation shutdown //安全违例模式为关闭 violation的模式: protect:不回应 restrict:拒绝 shutdown:关闭 2.限制交换机端口的最大连接数 Switch(config-if)#switchport port-security maximum ARP攻击 VTP攻击 1.通过域名来同步 2.服务端和客户端模式（服务端(s)，客户端(c)，透明(t)） server client tranpatent 增删改vlan信息 v x v 转发VTP信息 v v v 同步VTP信息 v v x

云计算基础知识 OSI七层模型 MAC/物理地址 MAC(Media Access Contro)地址，或称为MAC地址、物理地址，用来表示互联网上每一个站点的标识符，采用十六进制数表示，共六个字节(48位)。其中，前三个学是由IEEE的注册管理机构RA负责给不同厂家分配的代码(高位24位)，也称为编制上唯一的标识符”( Organizationally Unique Identifier)，后三个字节(低位24位)由各厂家自行指派给生产的适配器接口，称为扩展标识符(唯一性)。一个地址块可以生成2^24个不同的地址。MAC地址实际上就是适配器地址或适配器标识符。通常情况下不变的，可以基于mac地址做限速，黑名单等策略。 二层交换 学习 1.交换机学习接收的数据帧的源MAC地址形成MAC地址表 广播 1.如果目标地址在MAC地址表中没有,则向除接收该数据帧的端口外的其他端- 广播该数据帧 转发 1.交换机根据MAC地址表转发数据帧 更新 1.MAC地址表有老化时间 2.如果一个帧的入端口和MAC地址表中记录不一致,则将MAC学习到新端口 二层交换的过程 交换机二层转发特性，符合802.1D网桥协议标准。交换机的二层转发涉及到两个关键的线程：地址学习线程和报文转发线程。 地址学习线程： 交换机接收网段上的所有数据帧,利用接收数据帧中的源MAC地址来建立MAC地址表，表项主要有MAC

SSH隧道与端口转发及内网穿透 大家都知道SSH是一种安全的传输协议，用在连接服务器上比较多。不过其实除了这个功能，它的隧道转发功能更是吸引人。下面是个人根据自己的需求以及在网上查找的资料配合自己的实际操作所得到的一些心得。 SSH/plink命令的基本资料： 首先，认识下这三个非常强大的命令： ssh -C -f -N -g -L listen_port:DST_Host:DST_port user@Tunnel_Host ssh -C -f -N -g -R listen_port:DST_Host:DST_port user@Tunnel_Host ssh -C -f -N -g -D listen_port user@Tunnel_Host 相关参数的解释： -f Fork into background after authentication. 后台认证用户/密码，通常和-N连用，不用登录到远程主机。 -L port:host:hostport 将本地机(客户机)的某个端口转发到远端指定机器的指定端口. 工作原理是这样的, 本地机器上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转发出去, 同时远程主机和 host 的 hostport 端口建立连接. 可以在配置文件中指定端口的转发. 只有 root 才能转发特权端口.

场景分析 服务器A 公网IP：123.456.789.101 内网IP：192.168.68.101 服务器B 公网IP：无 内网IP：192.168.68.102 部署了一个web服务，端口号是8080 现有一位用户处于外网环境，希望从自己的浏览器上访问部署在服务器B上的网站，但是由于服务器B是一个内网服务器，无法从公网环境下直接访问，此时可以在服务器A上输入一个命令，开启一个代理的SSH服务，端口号设为5000，使得用户可以将所有对5000端口号发起的网络请求经由服务器A的代理SSH服务转发给服务器B的8080服务，命令格式如下 ssh -N -L < 服务器A的IP> : < 服务器A的端口号> : < 服务器B的IP> : < 服务器B的端口号 ><服务器B的用户名> @ < 服务器B的IP> 命令执行后，服务器A上就会启动一个端口号为5000的代理服务，用户此时就可以在浏览器中输入 http://123.456.789.101:5000 来直接访问服务器B上的 http://192.168.68.102:8080 的服务了 来源： CSDN 作者： 键言 链接： https://blog.csdn.net/banbanlau/article/details/104431405