映射端口

一、华为防火墙NAT的六个分类 华为防火墙的NAT分类： NAT No-PAT：类似于Cisco的动态转换，只转换源IP地址，不转换端口，属于多对多转换，不能节约公网IP地址，使用情况较少。 NAPT（Network Address and Port Translation，网络地址和端口转换）：类似于Cisco的PAT转换，NAPT即转换报文的源地址，又转换源端口。转换后的地址不能是外网接口IP地址，属于多对多或多对一转换，可以节约公网IP地址，使用场景较多。 出接口地址（Easy-IP）：因其转换方式非常简单，所以也被称为Easy-IP、和NAPT一样，即转换源IP地址，又转换源端口。区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的IP地址，属于多对一转换，可以节约IP地址。 NAT Server：静态一对一发布，主要用于内部服务器需要对Internet提供服务时使用，。 Smart NAT（智能转换）：通过预留一个公网地址进行NAPT转换，而其他的公网地址用来进行NAT No-PAT转换，该方式不太常用。 三元组NAT：与源IP地址、源端口和协议类型有关的一种转换，将源IP地址和源端口转换为固定公网IP地址和端口，能解决一些特殊应用在普遍NAT中无法实现的问题。主要应用于外部用户访问局域网的一些P2P应用。 二、解决NAT转换时的环路及无效ARP

一． tag： VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"。虚拟局域网（VLAN）是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。VLAN是一种比较新的技术，工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点： 网络设备的移动、添加和修改的管理开销减少；可以控制广播活动。 传统的数据包转发，交换机查看数包的mac地址，根据mac地址表转发。在配置了Vlan的以太网环境中，当交换机从pc处接收了一个原始的数据包，会在源MAC地址与type字段汇中插入 4Byte 的802.1Q字段用来标识Vlan-tag。 1. 802.1Q报文： ① Tag Protocol：2字节，tag标签规范，用来定义tag标签标准，华为默认使用0x8100 ② User Priority：3bit，用户优先级，用来表明数据包优先级值，QOS使用 ③ CFI：1bit，规范格式指示，0表示规范格式，应用于以太网；1表示非规范格式，应用于Token Ring（令牌环网） 802.1Q 抓包： 2. Vlan有效值：

###iptables的四表五链 #Filter表 INPUT：到达目标主机套接字的包 FORWARD：经过路由的包，主要为路由转发 OUTPUT：本地主机创建的数据包 #NAT表 PREROUTING：对刚进来的数据包进行更改 OUTPUT：本地创建的数据包在路由之前进行更改 POSTROUTING：在数据包出去时更改数据包信息 #Managle表 INPUT：进入设备本身的包 FORWARD：对经过路由通过设备的包进行更改 PREROUTING：在路由之前更改传入的包 OUTPUT：本地创建的数据包在路由之前进行更改 POSTROUTING：在数据包出去时更改数据包信息 #raw表 略 ###iptables的安装 yum install iptables-services -y #加载模块 modprobe ip_tables modprobe iptable_filter modprobe iptable_nat modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe ipt_state #查看加载的模块 lsmod |egrep 'filter|nat|ipt' #停止firewalld systemctl stop firewalld systemctl disable

博文大纲： 一、什么是MSTP？ 二、MSTP的基本原理是什么？ 1.MSTP的网络层次。 2.MST域。 3.MSTI。 4.端口角色。 5.MSTP的端口状态。 三、MSTP的保护功能。 1.BPDU保护。 2.根保护。 3.环路保护。 4.TC保护。 四、MSTP的配置过程。 一、什么是MSTP？ MSTP是一个共有的生成树协议，在实际生产环境中得到广泛的应用。 MSTP（Multiple Spanning tree Algorithm and protocol）是多生成树技术，允许在一个交换环境中运行多个生成树，每个生成树称为一个实例（instance）。实例时间的生成树彼此独立，如一个实例下的阻塞接口在另一个实例上可能是一个转发端口。和Cisco私有的PVST技术不同，MSTP允许多个vlan运行一个生成树实例，相比较Cisco的PVST技术，这是一个优势，因为在Cisco交换机中，运行PVST技术，是一个实例一棵树，实例越多，生成树越多，交换机维护这些生成树，也是需要消耗硬件资源及网络开销的。大部分情况下，运行多个生成树实例的好处就在于链路的负载分担，但是当只有一条冗余链路时，运行两个生成树实例完全可以实现负载均衡，同时又能节约系统开销，如下图所示： 上图的网络环境中存在两个生成树实例，不同实例的根网桥在不同的物理交换机上，不但可以实现负载分担

QinQ技术〔也称Stacked VLAN 或Double VLAN〕。标准出自IEEE 802.1ad,其实现将用户私网VLAN Tag封装在公网VLAN Tag中，使报文带着两层VLAN Tag穿越运营商的骨干网络（公网）。 IEEE802.1Q中定义的VLAN Tag域中只有12个比特位用于表示VLAN ID，所以设备最多可以支持4094个VLAN。在实际应用中，尤其是在城域网中，需要大量的VLAN来隔离用户，4094个VLAN远远不能满足需求。 设备提供的端口QinQ特性是一种简单、灵活的二层VPN技术，它通过在运营商网络边缘设备上为用户的私网报文封装外层VLAN Tag，使报文携带两层VLAN Tag穿越运营商的骨干网络（公网）。 在公网中，设备只根据外层VLAN Tag对报文进行转发，并将报文的源MAC地址表项学习到外层Tag所在VLAN的MAC地址表中，而用户的私网VLAN Tag在传输过程中将被当作报文中的数据部分来进行传输。 QinQ特性使得运营商可以用一个VLAN为含有多个VLAN的用户网络服务。如图1所示，用户网络A的私网VLAN为VLAN 1～10，用户网络B的私网VLAN为VLAN 1～20。运营商为用户网络A分配的VLAN为VLAN 3，为用户网络B分配的VLAN为VLAN 4。当用户网络A的带VLAN Tag的报文进入运营商网络时

设置方法： IP > Firewall > Filter Rules 1.新增检测 默认为TCP端口扫描检测，可以增加UDP端口扫描检测。这里协议类型选TCP。之后再建一条一样的 选 UDP 。 扩展选项中PSD展开。其中有4个参数 Weight Threshold 权重阀值 默认阀值21 Delay Threshold 延迟阀值 默认时间3秒 Low Ports Weight 低端口（1-1024） 默认权重3 High Ports Weight 高端口（1025-65535） 默认权重1 比如权重阀值是99，时间3秒， 扫描高端口（1025-65535），扫描端口99连接后进入拒绝名单 比如权重阀值是99，时间3秒， 扫描低端口（1-1024），扫描端口统计达到33连接后进入拒绝名单 比如权重阀值是99，时间3秒， 扫描低端口和高端口号，扫描端口统计累加达到99后进入拒绝名单 行为部分，选择 add src to address list，添加到源地址列表。填写地址列表名称，超时时间（进入列表后多长时间再踢出去）。 2.新增，Chain选input，高级选项中的src.address list选择刚添加的列表名称，行为选择drop。 3.参照2部分，Chain选forward，其余和部分2一样。 如有其他需求，再按自己需求修改数值和填写。 现在将这个规则进行完善

https://www.zhihu.com/people/skywind3000/activities之前用过frp 知道 ssh 有一 反向代理的功能 没想到 还有这么多高级功能 收藏一下. ssh 命令除了登陆外还有三种代理功能: 正向代理（-L）：相当于 iptable 的 port forwarding 反向代理（-R）：相当于 frp 或者 ngrok socks5 代理（-D）：相当于 ss/ssr 如果需要长期高效的服务，当然是使用对应的专用软件。如果没法安装对应软件，他们都可以用 ssh 来代替，比如你就想临时访问下某个不可达到的目标，那么一行命令就行。 正向代理： 所谓“正向代理”就是在本地启动端口，把本地端口数据转发到远端。 用法1：远程端口映射到其他机器 HostB 上启动一个 PortB 端口，映射到 HostC:PortC 上，在 HostB 上运行： HostB$ ssh -L 0.0.0.0:PortB:HostC:PortC user@HostC 这时访问 HostB:PortB 相当于访问 HostC:PortC（和 iptable 的 port-forwarding 类似）。 用法2：本地端口通过跳板映射到其他机器 HostA 上启动一个 PortA 端口，通过 HostB 转发到 HostC:PortC上，在 HostA 上运行： HostA$

名称 描述 1 tcpmux TCP 端口服务多路复用 5 rje 远程作业入口 7 echo Echo 服务 9 discard 用于连接测试的空服务 11 systat 用于列举连接了的端口的系统状态 13 daytime 给请求主机发送日期和时间 17 qotd 给连接了的主机发送每日格言 18 msp 消息发送协议 19 chargen 字符生成服务；发送无止境的字符流 20 ftp-data FTP 数据端口 21 ftp 文件传输协议（FTP）端口；有时被文件服务协议（FSP）使用 22 ssh 安全 Shell（SSH）服务 23 telnet Telnet 服务 25 smtp 简单邮件传输协议（SMTP） 37 time 时间协议 39 rlp 资源定位协议 42 nameserver 互联网名称服务 43 nicname WHOIS 目录服务 49 tacacs 用于基于 TCP/IP 验证和访问的终端访问控制器访问控制系统 50 re-mail-ck 远程邮件检查协议 53 domain 域名服务（如 BIND） 63 whois++ WHOIS++，被扩展了的 WHOIS 服务 67 bootps 引导协议（BOOTP）服务；还被动态主机配置协议（DHCP）服务使用 68 bootpc Bootstrap（BOOTP）客户；还被动态主机配置协议（DHCP

FTP 全名是 File Transfer Protocol( 文件传输协议 ) C/S 架构 简介： 下面是关于FTP这个服务的属性 （ 1)FTP 服务相关软件 （ 2 ） FTP 客户端相关软件 （ 3 ） VSFTP 的守护进程 （ 4 ） FTP 的启动脚本 （ 5 ） FTP 的端口 20 用于建立数据连接，传输文件数据。（数据端口） 用于建立控制连接，并传输 FTP 控制命令。 ( 命令端口 ) 用户控制列表文件 /etc/vsftpd/ user_list 文件中的用户可能被禁止或允许登录FTP服务器，具体看vsftpd.conf的设置 （ 7 ）工作模式 主动模式： 客户端想服务端 21 端口发送建立连接请求，需要传输数据时，客户端会通过 port 命令告诉服务器自己监听的端口，服务器会主动通过 20 端口与客户端建立数据连接。 被动模式 客户端想服务端 21 端口发送建立连接请求，需要传输数据时， 服务器以 pasv 命令告诉客户我打开了某个端口（非 20 端口），你来连接我，客户端会像服务器的非 20 端口建立数据连接 （ 8 ）根据传输文件是否进行字符转换分为： 文本模式（又称为 ASCII ）以文本序列传输数据，用的较多 二进制模式（又称为 Binary 模式）以二进制序列传输数据 主配置文件 /etc/vsftpd/vsftpd.conf 搭建 FTP

一、Harbor简介 1.1、什么是Harbor 几个VMware中国的人搞了一个容器镜像仓库。 Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器。 1.2、Harbor架构 下图展示harbor主要的功能组件和信息流向： 主要组件包括proxy，他是一个nginx前端代理，主要是分发前端页面ui访问和镜像上传和下载流量，上图中通过深蓝色先标识；ui提供了一个web管理页面，当然还包括了一个前端页面和后端API，底层使用mysql数据库；registry是镜像仓库，负责存储镜像文件，当镜像上传完毕后通过hook通知ui创建repository，上图通过红色线标识，当然registry的token认证也是通过ui组件完成；adminserver是系统的配置管理中心附带检查存储用量，ui和jobserver启动时候回需要加载adminserver的配置，通过灰色线标识；jobsevice是负责镜像复制工作的，他和registry通信，从一个registry pull镜像然后push到另一个registry，并记录job_log，上图通过紫色线标识；log是日志汇总组件，通过docker的log-driver把日志汇总到一起，通过浅蓝色线条标识。 1.3、Harbor功能 1.3.1、用户管理 基于角色的访问控制--RBAC。用户分为三种角色：项目管理员