ipsec

本文档详细介绍生产环境中超级实用的iptables 脚本 。 创建 iptables.sh 脚本 [root@Jaking ~]# vim iptables.sh #!/bin/bash #清空 filter 表和 nat 表 iptables -F iptables -t nat -F #关掉 firewalld systemctl stop firewalld &>/dev/null systemctl disable firewalld &>/dev/null #以下两行允许某些调用 localhost 的应用访问 iptables -A INPUT -i lo -j ACCEPT #规则1 iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #规则2 #以下一行允许从其他地方 ping iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT #规则3 #以下一行允许从其他主机、网络设备发送 MTU 调整的报文 #在一些情况下，例如通过 IPSec VPN 隧道时，主机的 MTU 需要动态减小 iptables -A INPUT -p icmp --icmp-type fragmentation-needed -j ACCEPT #规则4

请关注微信公众号： 插秧者 获取更多资料。 转载请说明出处！！！ 理论： IPsec: 安全协议（Internet Protocol Security，缩写为IPsec），是一个协议组合，协议工作在OSI模型中网络层。 IKE: 密钥交换（Internet Key Exchange，简称IKE或IKEv2）是一种网络协议，归属于IPsec协议族之下。 ESP: 安全报文协议（Encapsulating Security Payload，简称ESP）是一种安全报文协议，范畴于ICP-IP。 关于IKE v1和IKE v2差别这里不做详细的阐述了，一个重要的差别 IKE v1一般被称为Policy Based的VPN，IKEv2一般被称为Route Based的VPN。详情请参阅RFC5996做了定义。接下来阐述一下IKE的工作过程（参阅下图）： IKE 的工作过程： 启动IKE阶段1，目标保护的流量触发协商过程，对通讯双方进行身份，两端之间建立一条安全通道。 启动IKE阶段2，在阶段1的安全通道内协商IPSec参数。 加密传输，按照协商好的IPSec参数对数据流进行加密，HASE等进行双向传输的保护。 如果需要支持多站点那么需要采用Route Based模式，IKE v2不同的设备配置方法不同，可能密钥算法类型不支持，前期一定调研好本地的硬件设备的类型，以及VPN的模式，被动还是主动

每一次前行，都有创新的力量 每一次创新，都是极致突破 我们积极探索，不断尝试，力求改变 一次又一次，一次又一次 终于，又迎来了我们的新产品 5G工业网关 FCU2301 震撼上市！ 5G工业网关 5G工业网关简介 FCU2301嵌入式控制单元是一款具有高性能、多接口、高带宽、大链接、低时延的5G工业网关，从芯片到模组全部采用工业级设计，支持4G/5G全网通、6路千兆网、RS485、DI、DO等多种接口；内部集成高性能64位四核ARM处理器LS1046A，主频高达1.8GHz，CoreMark跑分45000；搭载华为5G工业模组MH5000配合LS1046A的网络加速引擎，可帮助用户快速接入互联网，实现安全可靠的数据传输。开放式系统设计，便于用户二次开发。支持Ubunut18.04操作系统，且集成丰富的第三方组件；适用于智慧工厂、智慧城市、智慧医疗、无人驾驶、虚拟现实等领域。 FCU2301嵌入式控制单元是一款具有高性能、多接口、高带宽、大链接、低时延的5G工业网关。适用于智慧工厂、智慧城市、智慧医疗、无人驾驶、虚拟现实等领域。 一、5G工业网关平台特性 从芯片到模组全部采用工业级设计，支持4G/5G全网通、6路千兆网、RS485、DI、DO等多种接口。 内部集成高性能64位四核ARM处理器LS1046A，主频高达1.8GHz，CoreMark跑分45000。 搭载华为 5G工业模组

RB1100X4 RB4011 全系列支持ipsec,尽量用AES-CBC的SHA1和SHA256。 原文： https://wiki.mikrotik.com/wiki/Manual:IP/IPsec 来源： oschina 链接： https://my.oschina.net/u/4409755/blog/3287936

固件说明 基于Lede OpenWrt R2020.4.8版本（源码截止2020.4.12）Lienol Feed及若干自行维护的软件包 结合家庭x86软路由场景需要定制 按照家庭应用场景对固件及软件进行测试，通过后发布 设计目标 一个与现有OpenWrt最新版本接近，稳定，满足家庭使用场景的需要的固件。 软件包不追求高大全，内置软件无冲突，一切以家庭实际需要出发。 软件包功能 支持UPnP（为BT、EMULE，家用摄像头、XBOX、PS4提供支持） 支持CIFS文件共享协议（路由直接挂载NAS、Samba、Windows文件夹，通过cifs.mount或者图形化挂载工具） 支持单线/多线多拨（提升上行带宽，提高从因特网获取家庭文件速度） 支持多拨负载均衡 支持All In One DNS 方案： 反追踪去AD+国内域名加速解析+抗污染+速度优选 与PSW无缝集成，方案说明 https://www.right.com.cn/forum/thread-3413846-1-1.html 支持DDNS（可以通过域名随时获得家庭路由器IP） 支持SSH远程访问（从因特网连接路由器） 支持远程唤醒（WOL，从因特网连入路由器启动家中电脑） 支持定时唤醒（Time WOL，定时启动家庭设备，配合自动关机实现定时运行） 支持全功能Docker，可自由扩展功能

什么是GRE？ GRE（Generic Rounting Encapsulation，通用路由封装）是由思科公司开发的隧道协议之一，协议编号为47，在RFC2874中定义。 该协议主要应用于路由选择协议等多播分组的隧道传输。 GRE隧道能够将任意协议封装到IP分组中，如下图1 由于GRE没有自带加密功能，因此无法保障封装数据的安全性，可能会被窃听，如果需要保障封装数据的安全性，可以使用GRE over IPsec。 图1：普通IP分组与GRE封装后的分组的不同 2、GRE解封装的意义和实现方案 虚拟化在数据中心是一种非常常见的方法，但出于监控目的就不那么容易了，因为虚拟机管理程序内的网络通信不是通过服务器中的物理NIC传输的。它通过虚拟交换机传输。因此，无法访问此报文。 通常使用虚拟TAP解决此问题。但是这些虚拟TAP无法直接发送报文信息，它们在大多数情况下使用GRE隧道。GRE是L2透明隧道。 原始IP报文将用新的IP报头和GRE报头进行封装。该报文然后可以通过虚拟交换机(在某些情况下是硬件交换机)到达监控设备。但此报文不能直接用于监控。它需要先解封。 使用Packetmaster可以很容易地做到这一点，即使最小的单元EX2也支持线速GRE解封装。 在解封之后，报文看起来像原始的报文，并且可以被过滤并转发到监控设备。 GRE解封装之前 GRE解封装之后 highlights

【推荐阅读】微服务还能火多久？>>> 固件说明 基于Lede OpenWrt R2020.4.8版本（源码截止2020.4.12）Lienol Feed及若干自行维护的软件包 结合家庭x86软路由场景需要定制 按照家庭应用场景对固件及软件进行测试，通过后发布 设计目标 一个与现有OpenWrt最新版本接近，稳定，满足家庭使用场景的需要的固件。 软件包不追求高大全，内置软件无冲突，一切以家庭实际需要出发。 软件包功能 支持UPnP（为BT、EMULE，家用摄像头、XBOX、PS4提供支持） 支持CIFS文件共享协议（路由直接挂载NAS、Samba、Windows文件夹，通过cifs.mount或者图形化挂载工具） 支持单线/多线多拨（提升上行带宽，提高从因特网获取家庭文件速度） 支持多拨负载均衡 支持All In One DNS 方案： 反追踪去AD+国内域名加速解析+抗污染+速度优选 与PSW无缝集成，方案说明 https://www.right.com.cn/forum/thread-3413846-1-1.html 支持DDNS（可以通过域名随时获得家庭路由器IP） 支持SSH远程访问（从因特网连接路由器） 支持远程唤醒（WOL，从因特网连入路由器启动家中电脑） 支持定时唤醒（Time WOL，定时启动家庭设备，配合自动关机实现定时运行） 支持全功能Docker，可自由扩展功能

【推荐阅读】微服务还能火多久？>>> 固件说明 基于Lede OpenWrt R2020.4.8版本（源码截止2020.4.12）Lienol Feed及若干自行维护的软件包 结合家庭x86软路由场景需要定制 按照家庭应用场景对固件及软件进行测试，通过后发布 设计目标 一个与现有OpenWrt最新版本接近，稳定，满足家庭使用场景的需要的固件。 软件包不追求高大全，内置软件无冲突，一切以家庭实际需要出发。 软件包功能 支持UPnP（为BT、EMULE，家用摄像头、XBOX、PS4提供支持） 支持CIFS文件共享协议（路由直接挂载NAS、Samba、Windows文件夹，通过cifs.mount或者图形化挂载工具） 支持单线/多线多拨（提升上行带宽，提高从因特网获取家庭文件速度） 支持多拨负载均衡 支持All In One DNS 方案： 反追踪去AD+国内域名加速解析+抗污染+速度优选 与PSW无缝集成，方案说明 https://www.right.com.cn/forum/thread-3413846-1-1.html 支持DDNS（可以通过域名随时获得家庭路由器IP） 支持SSH远程访问（从因特网连接路由器） 支持远程唤醒（WOL，从因特网连入路由器启动家中电脑） 支持定时唤醒（Time WOL，定时启动家庭设备，配合自动关机实现定时运行） 支持全功能Docker，可自由扩展功能

【推荐阅读】微服务还能火多久？>>> 固件说明 基于Lede OpenWrt R2020.4.8版本（源码截止2020.4.12）Lienol Feed及若干自行维护的软件包 结合家庭x86软路由场景需要定制 按照家庭应用场景对固件及软件进行测试，通过后发布 设计目标 一个与现有OpenWrt最新版本接近，稳定，满足家庭使用场景的需要的固件。 软件包不追求高大全，内置软件无冲突，一切以家庭实际需要出发。 软件包功能 支持UPnP（为BT、EMULE，家用摄像头、XBOX、PS4提供支持） 支持CIFS文件共享协议（路由直接挂载NAS、Samba、Windows文件夹，通过cifs.mount或者图形化挂载工具） 支持单线/多线多拨（提升上行带宽，提高从因特网获取家庭文件速度） 支持多拨负载均衡 支持All In One DNS 方案： 反追踪去AD+国内域名加速解析+抗污染+速度优选 与PSW无缝集成，方案说明 https://www.right.com.cn/forum/thread-3413846-1-1.html 支持DDNS（可以通过域名随时获得家庭路由器IP） 支持SSH远程访问（从因特网连接路由器） 支持远程唤醒（WOL，从因特网连入路由器启动家中电脑） 支持定时唤醒（Time WOL，定时启动家庭设备，配合自动关机实现定时运行） 支持全功能Docker，可自由扩展功能

【推荐阅读】微服务还能火多久？>>> 奥科产品解决方案 联系人：李宝丽 联系电话：13911189531 MP114/118接入（媒体）网关产品介绍 MediaPack系列模拟VoIP网关是一种经济有效的尖端技术解决方案，这些独立的网关可以提供优异的语音质量，用以将传统电话，传真机和PBX系统与IP电话网络连接，并且与新的IP-PBX架构相集成，这些产品是部署VoIP的理想之选，而且能可靠地与软交换、网守和SIP服务器实现互通。 MediaPack系列模拟VoIP网关非常适合于商业VoIP部署，经过现场验证的语音和传真技术以及功能丰富的设计使用MediaPack系列模拟媒体网关，成为面向不同VoIP应用的理想解决方案，MediaPack系列模拟VoIP网关可以用于基于VoIP的PBX或IP-PBX体系作为媒体网关和远程模拟分机扩展，也可以基于卫星连接，付费电话网络，集中化的IVR以及质量监控应用的优化语音传输。MediaPack系列模拟VoIP网关已广泛部署于MTU（多租户单元），宽带接入网络，IP Centrex以及边远地区。 功能丰富的解决方案 MP-114/118模拟VoIP网关产品系列是设计用于满足实际市场需求的第三代产品。除了卓越的语音技术外，该产品还提供先进的电信特性和现有电话基础设施进行真正集成，例如long-haul，计费音产生，MWI，CID功能