映射端口

本文由 ilanniweb 提供友情赞助，首发于 烂泥行天下 想要获得更多的文章，可以关注我的微信ilanniweb。 前几篇有关ssh的文章，我们只是介绍了ssh的登录功能。其实ssh功能不只是这些，这篇文章我们来介绍下有关ssh隧道的功能。 ssh隧道也叫ssh端口转发，或者叫ssh tunnel，这些都是说的是ssh隧道功能。在此，我们统称为ssh隧道。 ssh隧道分为正向隧道和反向隧道，在实际工作中我们可以根据需要来随其分别使用。 下面开始对正向和反向隧道分别介绍下，由于使用平台的不同，我们分为Linux和windows平台。 一、ssh正向隧道 什么是ssh正向隧道？ 就是client连上server后，然后把server能访问的IP地址和端口（当然也包括server自己）镜像到client的端口上。 在平时工作中，正向隧道是我们使用最多的一种方式。 ssh正向隧道的命令如下： ssh –L clientC_IP:clientC_port:serverB_IP:serverB_port -p serverA_sshport username@serverA_IP 上述命令的意思是在客户端clientC上通过ssh连接服务器serverA，然后再把服务器serverB上的serverB_port端口映射到客户端clientC的clientC_port端口。

背景描述 防火墙是具有很好的保护作用。***者必须首先穿越防火墙的安全防线，才能接触目标计算机。在公司里数据安全是最重要的，要求安全部门进行全公司进行服务器防火墙安全搭建，在原有的基础上进行安全的防火墙设置，有效避免安全隐患等问题,建议大家还是花个十多分钟好好看一下防火墙的理论，这样便于后期问题排查，最后一小节有常用命令操作。 主要内容 1 详细了解防火墙相关配置； 2 详细解读相关安全配置方法； 3 详细解读firewalld防火墙的基础知识； 4 了解firewalld防火墙的配置； 5 了解firewalld防火墙相关命令的使用。 1.Linux防火墙概述 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合，它能增强机构内部网络的安全性。它通过访问控制机制，确定哪些内部服务允许外部访问，以及允许哪些外部请求可以访问内部服务。它可以根据网络传输的类型决定IP包是否可以传进或传出内部网。 防火墙通过审查经过的每一个数据包，判断它是否有相匹配的过滤规则，根据规则的先后顺序进行一一比较，直到满足其中的一条规则为止，然后依据控制机制做出相应的动作。如果都不满足，则将数据包丢弃，从而保护网络的安全。 Linux系统的防火墙功能是由内核实现的。在2.4 版及以后的内核中，包过滤机制是netfilter.CentOS 6管理工具是iptables，CentOS

frp 项目地址 https://github.com/fatedier/frp/ 简介 frp 是一个可用于内网穿透的高性能的反向代理应用，支持 tcp, udp 协议，为 http 和 https 应用协议提供了额外的能力，且尝试性支持了点对点穿透 跨平台支持linux，win，mac 类似于ngrok，运维、开发人员经常使用它管理内网机器和调试程序，例如将内网的22，3389转发到公网，开发人员将本地web服务转发到公网调试，msf/rat远控的内网上线，可以代替前几年流行的”内网通”服务 优点：不需要免杀，支持加密传输 基本用法 在有公网ip的vps上部署服务端，然后在目标的内网机器上运行客户端即可反连公网机器，根据配置把内网中的目的端口转发到公网的那台机器上。网上也有一些免费和收费frp服务，可以免去自己部署服务端。 简单示例： 服务端和客户端均支持配置文件ini运行和命令行运行，下面示例为命令行。 12 服务端：./frps -p <服务监听端口> -t <token>客户端：./frpc tcp -s <服务端ip>:<服务端端口> -r <在服务端监听的对应端口> -i <内网地址> -l <内网端口> -t <token> --ue --uc –ue –uc 分别为加密和压缩(use_encryption && use_compression)

云平台内网络资源整合技术 1.1 网络拓扑 。不仅支持云平台的全局拓扑，还支持针对自定义资源生成拓扑图，快速定位资源状态。 图 10:全局拓扑 图 11: 自定义拓扑 1.2 二层网络资源 VXLANPool VXLANPool表示使用UDP进行报文封装的VXLAN类型的集合，是基于IP网络组建的大二层网络，可满足大规模云计算中心的需求，最大支持16M个逻辑子网。 •VXLANPool和VxlanNetwork共同提供了VxlanNetwork类型的配置，使用VxlanNetwork需先创建VXLANPool，VxlanNetwork对应了VXLANPool里的一个虚拟网络。•VXLANPool最大可支持16777216（16M）个虚拟网络。其Vni（VXLAN网络ID）范围可从1-16777216设置。 •在创建VXLANPool时，如果需要加载到相应集群，则需设置相应的VTEP（VXLAN隧道端点）。•VTEP一般对应于集群内计算节点中的某一网卡的IP地址， 对 VTEP的设置基于相应的CIDR进行配置，例如： ▬假定计算节点某网卡的IP为10.12.0.8，子网掩码为255.0.0.0，网关为10.0.0.1，则VTEP输入的CIDR应为10.0.0.1/8； ▬假定计算节点某网卡的IP为172.20.12.13，子网掩码为255.255.0.0，网关为172.20.0.1

查看一个masquerade状态，查询命令如下: firewall-cmd --query-masquerade 假如查到结果为no那么就启动它（加--permanent是永久） firewall-cmd --add-masquerade --permanent 现在准备工作好了，假如我们要把当前DMZ区的a端口映射为内网xxx.xxx.xxx.xxx:b这个地址上，首先防火墙打开a端口 firewall-cmd --zone=public --add-port=对外端口/tcp --permanent (大家看清楚，里面的a替换为所需要对外的端口) 接下来就是映射 firewall-cmd --permanent --zone=public --add-forward-port=port=40010:proto=tcp:toaddr=your_ip:toport=your_port 重新加载 firewall-cmd --reload 查看一下结果 firewall-cmd --zone=public --list-all 如无意外映射成功需要删除的话如下： firewall-cmd --permanent --zone=public --remove-forward-port=port=a:proto=tcp:toaddr=your_ip:toport=your_port 来源

Service 的作用 参考链接 虽然每个Pod都有自己的IP地址，但即使这些IP地址不能长期保持稳定。这导致了一个问题：如果一些Pod（称为它们的后端）为Kubernetes集群内的其他Pod（我们称之为前端）提供了功能，那么这些前端如何发现并跟踪哪些后端位于该集合中？ 通过Service。 Kubernetes的 service是一个抽象概念，它定义了Pod的逻辑集合以及访问它们的策略 - 有时称为微服务。service所针对的Pod集（通常）由标签选择器决定（请参阅下面为什么您可能需要没有选择器的服务）。 举一个例子，考虑一个运行3个副本的应用处理后端。这些副本是可替代的 - 前端不关心他们使用的后端。虽然构成后端集合的实际Pod可能会发生变化，但前端客户端不需要知道该事件，也不需要跟踪后端列表本身。服务抽象使这种解耦成为可能。 对于Kubernetes原生应用程序，Kubernetes提供了一个简单的Endpoints API，只要服务中的Pod集合发生更改，它就会更新。对于非本机应用程序，Kubernetes提供了一个基于虚拟IP的网桥，用于重定向到后端Pod的服务。 定义Service Serive 可以通过两种方式定义，yaml 文件方式和使用命令行创建的方式。 使用yaml方式 使用yaml文件定义个service： kind: Service apiVersion

域环境搭建 准备： DC: win2008 DM: win2003 DM: winxp win2008(域控) 1、修改计算机名： 2、配置固定ip: 其中网关设置错误，应该为192.168.206.2，开始默认的网管 3、服务器管理器---角色： 4、配置域服务: dos下面输入 dcpromo Ps：这里可能会因为本地administrator的密码规则不合要求，导致安装失败，改一个强密码 5、设置林根域： 林就是在多域情况下形成的森林,根表示基础,其他在此根部衍生 具体见： http://angerfire.blog.51cto.com/198455/144123/ 6、 域数据存放的地址 win2003、winxp和08配置差不多 注意点是： 1、配置网络 dns server应该为主域控ip地址 2、加入域控 域已经搭建完成，主域控会生成一个 krbtgt 账号 他是Windows活动目录中使用的客户/服务器认证协议，为通信双方提供双向身份认证 参考： http://www.it165.net/os/html/201306/5493.html Acitve Directory 域环境的搭建 http://blog.sina.com.cn/s/blog_6ce0f2c901014okt.html 端口转发&&边界代理 此类工具很多，测试一两个经典的。 #####端口转发 1

网络端口映射 我们创建了一个 python 应用的容器。 runoob@runoob :~ $ docker run - d - P training / webapp python app . py fce072cc88cee71b1cdceb57c2821d054a4a59f67da6b416fceb5593f059fc6d 另外，我们可以指定容器绑定的网络地址，比如绑定 127.0.0.1。 我们使用 -P 参数创建一个容器，使用 docker ps 来看到端口5000绑定主机端口32768。 runoob@runoob :~ $ docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES fce072cc88ce training / webapp "python app.py" 4 minutes ago Up 4 minutes 0.0 . 0.0 : 32768 -> 5000 / tcp grave_hopper 我们也可以使用 -p 标识来指定容器端口绑定到主机端口。 两种方式的区别是: -P : 是容器内部端口随机映射到主机的高端口。 -p : 是容器内部端口绑定到指定的主机端口。 runoob@runoob :~ $ docker run - d - p 5000 : 5000

1、定义：防火墙是由软件和硬件组成的系统，它处于安全的网络（通常是内部局域网）和不安全的网络之间，根据由系统管理员设置的访问控制规则，对数据流进行过滤。 2、防火墙对数据流有三种处理方式：1）允许数据流通过；2）拒绝数据流通过；3）将这些数据流丢弃。当数据流被拒绝时，防火墙要向发送者回复一条消息进行提示。当数据流被丢弃时，防火墙不会对这些数据包进行任何处理，也不会向发送者发送任何提示信息。 3、防火墙的要求：1）所有进出网络的数据流都必须经过防火墙；2）只允许经过授权的数据流通过防火墙；3）防火墙自身对入侵是免疫的。 4、根据防火墙在网络协议栈中的过滤层次不同，通常把防火墙分为3种：包过滤防火墙、电路级网关防火墙和应用级网关防火墙。 5、防火墙对开放系统互联模型（OSI）中各层协议所产生的数据流进行检查。要知道防火墙是哪种类型的结构，关键是要知道防火墙工作于OSI模型中的哪一层。防火墙工作于OSI模型的层次越高，其检查数据包中的信息就越多，因此防火墙所消耗的处理器工作周期就越长，所提供的安全保护等级就越好。 6、网络地址转换 1）静态网络地址转换：在进行网络映射时，内部网络地址与外部的Internet IP地址是一一对应的关系。在这种情况下，不需要NAT盒在地址转换时记录转换信息。 2）动态网络地址转换：可用的Internet IP地址限定在一个范围

查看一个masquerade状态，查询命令如下: firewall-cmd --query-masquerade 假如查到结果为no那么就启动它（加--permanent是永久） firewall-cmd --add-masquerade --permanent 现在准备工作好了，假如我们要把当前DMZ区的a端口映射为内网xxx.xxx.xxx.xxx:b这个地址上，首先防火墙打开a端口 firewall-cmd --zone=public --add-port=对外端口/tcp --permanent (大家看清楚，里面的a替换为所需要对外的端口) 接下来就是映射 firewall-cmd --permanent --zone=public --add-forward-port=port=40010:proto=tcp:toaddr=your_ip:toport=your_port 重新加载 firewall-cmd --reload 查看一下结果 firewall-cmd --zone=public --list-all 如无意外映射成功需要删除的话如下： firewall-cmd --permanent --zone=public --remove-forward-port=port=a:proto=tcp:toaddr=your_ip:toport=your_port 来源