网络端口

7 docker 镜像制作 docker官方和个人发布的镜像由于版本等各种原因，漏洞较多，已统计Docker Hub超过 30%的官方镜像包含高危漏洞。此外，由于网络等原因也会造成docker pull下载镜像的 速度很慢。基于这种情况，我们可以手动定制docker系统镜像。构建镜像的方式有两 种： 使用 docker commit命令 使用 docker build和Dockerfile文件 7.1 docker commit 7.1.1 制作步骤 docker commit：提交一个正在运行的容器为一个新的镜像本例：制作一个tomcat镜像，制作步骤：1、拉取一个基础镜像（其始就是OS）docker pull centos2、创建一个交互式容器docker run ‐it ‐‐name=mycentos centos:latestdocker run -it --name mycentos centos /bin/bash3、软件上传：将宿主机Tomact、jdk上传到容器中yum -y install lrzszdocker cp apache-tomcat-7.0.47.tar.gz mycentos:/root/docker cp jdk-8u161-linux-x64.tar.gz mycentos:/root/4、在容器中安装jdk （yum install java

原理概述： 　　Hybrid接口既可以连接普通终端的接入链路，又可以连接交换机间的干道链路，它允许多个VLAN帧通过，并且在出接口方向将某些VLAN帧的标签剥掉。 　　Hybrid接口处理VLAN帧的过程：（1）收到一个二层帧，判断是否有VLAN标签。没有则标记上Hybrid接口的PVID，进行下一步处理；有标签，则判断Hybrid接口是否允许该VLAN的帧进入，允许则进行下一步处理，否则丢弃。 　　（2）当数据帧从Hybrid接口发出时，交换机判断VLAN在本接口的属性是Untagged还是Tagged。如果是Untagged，先剥离帧的VLAN标签，再发送；如果是Tagged，则直接发送帧。 　　通过配置Hybrid接口，能够实现对VLAN标签的灵活控制，既能够实现Access接口的和功能，又能实现Trunk接口的功能。 实验目的： 实验内容： 实验拓扑： 实验编址： 实验步骤： 　 　1.基本配置 　　按照实验编址为PC配置IP地址，把所有PC都按编址表配好 　　 配置完后，，测试主机之间的连通性 在PC-1上，使用ping命令 可以看到，此时PC-1访问其他主机通信正常，其他主机上的测试过程省略。 在没有定义VLAN及接口类型之前，，， 默认情况下，交换机上所有接口都是Hybrid类型，接口的PVID是VLAN 1 ，即所有接口收到 没有标签的二层数据帧，都被转发到

1.VLAN 基础配置及 Aceess 接口 1.1 概述 交换机能有效隔离冲突域。 VLAN技术把一个无力的LAN在逻辑上划分成多个广播域，VLAN内的主机间可以直接通信，而VLAN间不能直接互通。VLANID的范围是0~4095，可配置的值为1~4094，0和4095为保留值。 Access接口是交换机上用来连接用户主机的接口。 1.2 实验 实验内容 ： 本实验模拟企业网络场景。公司内网是一个大的局域网，二层交换机 S1放置在一楼，在一楼办公的部门有IT部和人事部；二层交换机S2放置在二楼，在二层办公的部门有市场部和研发部。由于交换机组成的是一个广播网，交换机连接的所有主机都能相互通信，而公司策略是：不同部门之间的主机不能互相通信，同一部门内的主机才可以互相访问。因此需要在交换机上划分不同的VLAN，并将连接主机的交换机接口配置成Access接口划分到相应的VLAN中。 实验拓扑 ： VLAN基础配置及Access接口拓扑如图所示 实验步骤 ： 1.基本配置 根据实验编址进行相应的 IP地址配置，使用ping命令检测各直连链路的连通性，所有的PC都能相互通信。 2.创建VLAN 创建 VLAN有两种方式，一种是使用VLAN命令一次创建单个VLAN，另一种方式是使用VLAN batch命令一次创建多个VLAN。 在 S1上使用两条命令分别创建VLAN 10和VLAN 20。 在

查询： -t选项，指定要操作的表，使用-L选项，查看-t选项对应的表的规则，-L选项的意思是，列出规则，所以，上述命令的含义为列出filter表的所有规则 显示出了3条链INPUT链、FORWARD链、OUTPUT链，每条链中都有自己的规则，上图中可以看出，INPUT链、FORWARD链、OUTPUT链都拥有"过滤"的能力，所以，当我们要定义某条"过滤"的规则时，我们会在filter表中定义，但是具体在哪条"链"上定义规则呢？这取决于我们的工作场景。比如，我们需要禁止某个IP地址访问我们的主机，我们则需要在INPUT链上定义规则。报文发往本机时，会经过PREROUTING链与INPUT链，所以，如果我们想要禁止某些报文发往本机，我们只能在PREROUTING链和INPUT链中定义规则，但是PREROUTING链并不存在于filter表中，所以，我们只能在INPUT链中定义 注意：其他表可以类似查询 iptables -t raw -L iptables -t mangle -L iptables -t nat -L [root@#quan#Better ~]$iptables -t raw -L Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy

背景描述 防火墙是具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。在公司里数据安全是最重要的，要求安全部门进行全公司进行服务器防火墙安全搭建，在原有的基础上进行安全的防火墙设置，大多数生产环境都建议开启，这样才能有效避免安全隐患等问题；本文文字偏多，但是建议大家还是花个十多分钟好好看一下防火墙的原理，这样便于后期问题排查，最后一小节也会有常用命令操作。 主要内容 1 详细了解防火墙相关配置； 2 详细解读相关安全配置方法； 3 详细解读firewalld防火墙的基础知识； 4 了解firewalld防火墙的配置； 5 了解firewalld防火墙相关命令的使用。 1.Linux防火墙概述 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合，它能增强机构内部网络的安全性。它通过访问控制机制，确定哪些内部服务允许外部访问，以及允许哪些外部请求可以访问内部服务。它可以根据网络传输的类型决定IP包是否可以传进或传出内部网。 防火墙通过审查经过的每一个数据包，判断它是否有相匹配的过滤规则，根据规则的先后顺序进行一一比较，直到满足其中的一条规则为止，然后依据控制机制做出相应的动作。如果都不满足，则将数据包丢弃，从而保护网络的安全。 Linux系统的防火墙功能是由内核实现的。在2.4 版及以后的内核中，包过滤机制是netfilter.CentOS

------------恢复内容开始------------ copy 一 简介 The WiFi Pineapple 是由国外无线安全审计公司Hak5开发并售卖的一款无线安全测试神器（俗称大菠萝），从2008年起目前已经发布到第六代产品。当前的主打产品是The WiFi Pineapple NANO 和WiFI Pineapple TETRA（支持5GHz频段） 手上这款是WiFi Pineapple NANO 产品规格： ·CPU：400 MHz MIPS Atheros AR9331 SoC ·内存：64 MB DDR2 RAM ·磁盘：16 MB ROM + Micro SD（6G） ·无线：Atheros AR9331（wlan0）+ Atheros AR9271（wlan1），均为IEEE 802.11 b / g / n ·端口：（2）RP-SMA天线，USB网卡（ASIX AX88772A） ·USB 2.0主机，Micro SD读卡器 ·电源：USB 5V 1.5A. 包括 Y型USB电源线 ·可配置状态指示灯LED ·可配置的重置按钮 二 使用背景 对于这种 黑客 “外设” 来讲，和其他外设没什么两样，都是烧钱的东西，那这个东西在什么情况下入手比较合适呢？ 1安全研究 对于正在进行安全研究并计划将研究方向定为wifi安全的小伙伴们，可以使用这款 “外设”

部署Zookeeper集群 1.解压文件 [admin@admin01 modules]$ tar -zxvf zookeeper-3.4.5.tar.gz 2.修改文件配置信息 [admin@admin01 conf]$ pwd /home/admin/opt/softwares/zookeeper-3.4.5/conf [admin@admin01 conf]$ 在路径 /home/admin/opt/softwares/zookeeper-3.4.5/conf 下，首先将zoo_sample.cfg重命名为zoo.cfg然后修改里面的配置信息。具体的修改的信息如下图所示： 配置参数解读： 1）tickTime=2000：通信心跳数，Zookeeper服务器心跳时间，单位毫秒 2）initLimit=10：Leader和Follower初始通信时限 3）syncLimit=5：Leader 和 Follower 同步通信时限 4）dataDir：数据文件目录+数据持久化路径 5）clientPort=2181：客户端连接端口 Server.A=B:C:D。 A 是一个数字，表示这个是第几号服务器； B 是这个服务器的 ip 地址； C 是这个服务器与集群中的 Leader 服务器交换信息的端口； D 是万一集群中的 Leader 服务器挂了，需要一个端口来重新进行选举

1、NMap工具 主要功能：探测主机是否在线、扫描主机开放端口和嗅探网络服务，用于网络探测和安全扫描。 NMap支持很多扫描技术，例如：UDP、TCPconnect()、TCPSYN(半开扫描)、ftp代理(bounce攻击)、反向标志、ICMP、FIN、ACK扫描、SYN扫描和null扫描。 命令格式：Nmap [ 扫描类型 ] [ 通用选项 ] { 扫描目标说明 } 扫描类型: -sT TCP connect()扫描，这是最基本的TCP扫描方式，用来建立一个TCP连接，如果成功则认为目标端口正在监听，否则认为目标端口没有监听程序。这种扫描很容易被检测到，在目标主机的日志中会记录大批的连接请求以及错误信息。 -sS TCP同步扫描(TCP SYN)，只向目标发出SYN数据包，如果收到SYN/ACK响应包就认为目标端口正在监听，并立即断开连接；否则认为目标端口没有监听程序。所以这项技术通常称为半开扫描(half-open)。这项技术最大的好处是，很少有系统能够把这记入系统日志。不过，你需要root权限来定制SYN数据包。 -sF,-sX,-sN 秘密FIN数据包扫描、圣诞树(Xmas Tree)、空(Null)扫描模式。这些扫描方式的理论依据是：关闭的端口需要对你的探测包回应RST包，而打开的端口必需忽略有问题的包，通过这种扫描，可间接用于检测防火墙的健壮性。 -sP ping扫描

参考： https://www.williamlong.info/archives/5353.html 　反向代理（Reverse Proxy）方式是指以代理服务器来接受internet上的连接请求，然后将请求转发给内部网络上的服务器，并将从服务器上得到的结果返回给internet上请求连接的客户端，此时代理服务器对外就表现为一个反向代理服务器。 　　反向代理可以启用高级URL策略和管理技术，从而使处于不同web服务器系统的web页面同时存在于同一个URL空间下。 　　通过IIS安装反向代理，可以使得IIS和Apache等服务器运行在同一台机器上，IIS和Apache都可以通过80端口访问，使得网站的兼容性更强。 　　IIS实现反向代理有两种方法，IIS6通过第三方工具ISAPI Rewrite来实现反向代理，IIS7以后的版本可以用过 微软 自己的URL Rewrite和Application Request Routing来实现反向代理。 　　IIS6 　　先安装ISAPI_Rewrite3_0082.msi，安装完成后，再安装一个Apache服务器，Apache安装完成后，设置HTTP端口为8080，HTTPS端口4433，而IIS的HTTP端口为80，HTTPS端口443，IIS和Apache的端口不能冲突。 　　IIS新建一个站点，在网站根目录建立一个名为

NFS服务简介 NFS 就是 Network FileSystem 的缩写，最早之前是由sun 这家公司所发展出来的。 它最大的功能就是可以透过网络，让不同的机器、不同的操作系统、可以彼此分享个别的档案 (share files)。所以，你也可以简单的将他看做是一个文件服务器 (file server) 呢！这个 NFS 服务器可以让你的 PC 来将网络远程的 NFS 服务器分享的目录，挂载到本地端的机器当中， 在本地端的机器看起来，那个远程主机的目录就好像是自己的一个磁盘分区槽一样 (partition)！使用上面相当的便利！ 因为 NFS 支持的功能相当的多，而不同的功能都会使用不同的程序来启动， 每启动一个功能就会启用一些端口来传输数据，因此， NFS 的功能所对应的端口才没有固定住， 而是随机取用一些未被使用的小于 1024 的端口来作为传输之用。但如此一来又造成客户端想要连上服务器时的困扰， 因为客户端得要知道服务器端的相关端口才能够联机吧！ 此时我们就得需要远程过程调用 (RPC) 的服务啦！RPC 最主要的功能就是在指定每个 NFS 功能所对应的 port number ，并且回报给客户端，让客户端可以连结到正确的端口上去。 那 RPC 又是如何知道每个 NFS 的端口呢？这是因为当服务器在启动 NFS 时会随机取用数个端口，并主动的向 RPC 注册，因此 RPC