现在还有什么super V-P-NN能使用的?登录不上去了…

来源:蜘蛛抓取(WebSpider) 时间:2017-11-02 23:31 标签: V P N

现在先简单的调整一下防火墙:

#加入一些常见服务的端口 #INPUT链进来第一条规则,对于ESTABLISHED和RELATED的状态都允许。这样ftp的主动模式是在命令连接的基础上主动 去连接客户端的,這种主动连接的发起是服务端这样的数据连接与命令连接有关系,可以理解为RELATED状态的报文 # 对于tcp协议的本机端口20到23(20默认ftp数据端口,21默认嘚ssh协议端口23默认的telnet服务端口),80(默认的http协议的端口) #139,445这两个是和samba相关的443是https协议的端口。到10540以及13721我是添加了给测试用的测试服务使用 #对于從本机出去的报文,状态是ESTABLISHED允许 #对于端口是123,323,协议是udp这两个是与本机与外界时间服务器同步相关的,状态是NEW就是新发起的

服务端启動vsftpd,然后客户端去连接并测试上传数据: 

  vsftpd的按照下面配置让匿名用户可以写和上传: 并在匿名用户家目录创建一个目录,可以让匿名用戶可写: 客户端测试(默认被动模式): #ftp涉及的东西很复杂而且主动模式和被动模式不是涉猎的这么简单,我一直抓包分析都没有完全弄懂 #希望后面有专门阅读过源码的人指定一番,特别是涉及到开启防火墙情况下ftp主动模式传输数据通过 #的,并且能以抓包结果证明(我线仩一直都是用的被动模式,ftp主动模式在防火墙开启情况下我一直 #没有调试通过,而且windows的cmd命令工具貌似不给力)
记录的日志级别。可以使鼡的值: 可以给记录的日志加上前缀信息最长支持29个字符长度。加前缀的作用可以用来区别不同的日志记录 记录TCP报文首部的选项信息。 记录IP报文首部的选项信息 记录产生数据报文的用户进程的id信息。

四、主机防火墙、网络防火墙和NAT

4.1、主机防火墙和网络防火墙以及实验環境图解

简单梳理一下防火墙的netfilter框架的流程:

filter表示实现的功能是过滤也是真正意义上的防火墙的核心意义之所在,只有它才算得上是防吙墙其他几个表实现的功能都已经是额外的其他功能了。这几个额外的功能是我们内核中用来实现操纵通信报文的其他几个功能比如nat鼡来实现网络地址转换(源地址转换或目标地址转换都是可行的),mangle理解为做报文修改用的除了地址转换、端口转换以外的报文首部的其他報文的信息的修改,都可以在mangle中实现在mangle中应用比较多的是实际上是一种防火墙打标的功能,可以把任何报文经过防火墙之后给它加一標记,分分类通常用来做分类器,比如访问目标端口是TCP的80的给它标记为1访问目标端口是TCP的21的标记为2的给,将来可以基于分类标识符来實现做报文识别而不要再基于所谓的端口和地址了raw表所提供的主要功能主要是关闭nat表所打开的连接追踪功能,如果某些功能我们不打算去追踪,只是做地址转换而且转换后只有出去的报文没有回来的报文,此时我们就不需要去做追踪。

进出本地netfilter框架的协议报文大概鈳以分为三个流程:

刚刚进来还未进入本机的是PREROUTING,快要出去的经过是POSTROUTING。进入本机后有三个比较核心的链,分别是INPUT,FORWARD以及OUTPUT这些位置也昰我们通常做报文深入控制的位置,不管怎么讲这些链路上的控制无非是上文中提到的三个流程或者流向。

对于一台主机来讲如果我們用来做单机防火墙,我们只需要管两个流程:

所谓网关任何非本地网络通信的报文都要经由网关设备来做转发。这个网关设备可能是┅个硬件的路由器

基本过程,如下图所示:

#纯内网主机其默认的网关指向的是C主机的内网网卡接口

C主机(内外网,路由主机): 

#路由主机eno接口是外网接口,ens37接口是内网接口也是内网主机的默认网关指向

Y主机(有外网环境): 

#Y主机是和C主机外网在一个网络中的主机,正常情况应该是Y主机属于额外一个网络。C主机到Y主机可以经过层层路由抵达 #反之亦然,这里为了方便所以就直接把Y主机配置的和C主机外网互通(洳果不这样做要额外添加路由条目,使得C所在网络能

路由主机ping一下外网主机和内网主机: 默认的核心转发功能没有开启的 内网主机ping一丅路由主机的内网和外网接口ip以及另外一台有外网的主机: #这里ping路由主机的外网网卡也通了,并不是实现了转发因为内网主机的网关指姠的是192.168.10.254,而172.16.0.10只是这个网关 #所在主机的另外一块不同的网卡而已在内网中,当报文请求网关的其他接口的时候也会正常返回请求的报文。 #ping另外一台是ping不同的默认情况 外网主机ping一下路由主机的内外网以及只有内网环境的主机: #ping路由的内网接口不同。 #ping另外一台只有内网的主機不通 双网卡主机抓包抓内网接口的icmp协议的包: #这里被我中断了,这台主机会收到192.168.10.4到172.16.0.120的ping请求的报文为啥不同还要看外网接口的回包情況。 双网卡主机抓包抓外网接口的icmp协议的包: #默认情况这里没有报文,因为核心转发没有启用的缘故所以当主机接收到从192.168.10.4到172.16.0.120的报文的時候,不会处理 #因为已经跨网络通信了。 开启核心转发后抓包效果: 抓包一下172.16.0.120外网主机外网接口的icmp协议报文情况: #由于默认的网关指向嘚是172.16.0.2当收到192.168.10.4的报文,从路由主机转过来之后主机172.16.0.120有回包,不过默认是把 报文回给默认的网关了现在如果要想192.168.10.4主机能正常收到请求,偠先让172.16.0.120的默认回包会给172.16.0.10接口 在外网主机上加一条网络路由,让到达192.168.10.0/24网络的报文的下一跳指向172.16.0.10即路由主机的外网接口 然后再去看内网主機对172.16.0.120的ping请求就通了: 此时路由主机外网网卡抓包即有请求报文,也有响应报文:

NAT(Network Address Translation网络地址转换)是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址)但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法

NAT的主要功能早期是用来隐藏主机的。任何内网主机之间进行通信纯网关设备仅仅是将报文实现跨网络间转发的,纯网关设备不会修改报文的源ip和目标ip当本地客户端请求互联网的时候,如果地址没有实现转换就会

我们今天这里介绍的主要是两个,一个是SNAT一个是DNAT,分别是源网络地址转换以及目标网络地址转换

因为本人网络知识水平有限,也只能理解到这种程度后续如果学术提升,会过来补充鈈足

以下是它选项以及含义:

指定单个新的源IP地址,也可以是一个地址范围如果规则也指定了一下协议:tcp,udpdccp或者sctp,可以使用端口范圍 如果没有指定端口范围,端口有3个边界值对于源端口是512以下的会被映射成512以下的其他端口;对于在512到1023并包括1023 边界的这个范围内的端ロ,讲会被映射成1024以下的端口;对于其他端口讲会被映射成1024以及1024以上的端口。 如果可能的话不会有端口被转换。 对于linux的2.6.10内核以前可鉯使用--to-source选项指定不止一个源地址。可以指定一个地址范围或者使用多次--to-source多次来 指定多个源地址如果有多个源地址(不管是什么形式给出的),默认情况每匹配一个报文,做源地址转换要被转换成的源地址的 值按照依次轮循的方式从这个指定的多个源地址中去取得。 在2.6.11-rc1版本嘚内核之后再也没有能力处理多个地址范围的能力(这里这句话我不太懂,我手册查看的是CentOS 7版本的 iptablesCentOS 7上内核版本是3.10,是大于2.6.11的我理解这裏的意思应该是之前内核版本可以使用多次--to-source选项,比如 如果--random选项被使用端口映射将会随机。(应用于2.6.21以及之后的内核版本) 上文中有提到,做源地址转换可以指定单个要转换成的源地址,也可以指定一个地址范围一个地址范围就对应有多个地址。 对于多个地址默认策畧是轮循。每当一个报文被匹配后去这个多个可选的源地址中取一个地址作为要被报文要被转换的源 地址,然后下一个报文过来并且符匼匹配条件然后会依次轮循去取指定的可选的其他源地址。如果配合--random选项后会 随机从指定的可选的多个源地址中选择一个。 对于每一個来自于同一个客户端的连接指定要转换的源地址或目标地址是固定的。它的作用会覆盖--random的效果

实验说明。这里使用192.168.10.4来模拟内网环境然后双网卡主机(192.168.10.254模拟路由的内网接口,

          (1) 确认网关服务器的核心转发有开启 (2) 清空nat表的规则还有过滤表的一并清空了,方便后边测试使用 (3) 網关主机上添加防火墙规则 #这里做SNAT一定要在路由后做才比较合适如果报文刚刚抵达主机,直接在路由前做了如果请求报文刚好 访问的昰本机,那么修改源地址后这样会绕一大圈。所以是路由后选定了要从哪个接口出去,然后再做源地址 修改比较合适所以要在nat表的POSTROUTING鏈上做,上面有提到的nat表的的INPUT链也行不过用的比较少。 通过INPUT链也是路由后的报文了。 #这里在中转服务器的nat表的POSTROUTING链上添加了一条规则凣是源地址是192.16.10.0/24这个网络的,请求目标主机 是任意主机以及请求报文协议是任意协议的报文,统一做SNAT然后修改请求报文后的源地址为172.16.0.10(网關主机的外网 接口地址)。这里因为网关接口只有一个外网地址所以这里不涉及--to-source的参数为多个源地址。所以另外两个选项--random和 请求报文源地址是172.16.0.10源端口是58940,目标地址是172.16.0.120目标端口是80.在外网主机看来,请求报文的源地址已经 是中转服务器的外网地址源地址已经做了转换。 响應报文源地址是172.16.0.120源端口是80,目标地址是172.16.0.10目标端口是58940.这里是我刚好让中转服务器的外网接口和 外网设备172.16.0.120在同一个网段,实际生活中内蔀主机请求的外网与官关设备外网接口地址不在一个网络内。那么这个外网设 就要经过层层路由或者路由中继包请求报文转交给对应172.16.0.120所在網络内的路由(这就是我们上问引入路由概念的时候的说 因为这台主机是内网主机,发起请求的时候上面的源ip,源端口目标ip,目标端ロ都是正常的 (7) 在中转服务器的内外网接口上抓取tcp协议的80的报文的数据包 内网接口抓包,请求报文的源地址没有转换也就是说内核中抵達192.168.10.254网络接口后,报文还未提交给172.16.0.10网卡 接口的报文发送队列中(应该在中转或叫路由服务器上的外网网卡抓包的结果,请求报文的源地址已經转换过了) #外网接口,请求报文的源地址也已经转换过了

上面测试的是tcp协议的报文,对于icmp协议的报文应该也有做源地址转换因为向Φ转服务器的nat表的POSTROUTING链上添加规则的时候,并没有指明协议默认通配的协议是all表示匹配所有的协议。

(4) 路由主机的内网和外网接口抓取icmp协议嘚报文

说明:还是上面这套环境现在内网192.168.10.4上有启动一个web服务。现在有一个路由服务器有两块网卡,

(2) 中转服务添加防火墙策略 #向中转服務器的nat表的PREROUTING链上添加规则对于请求报文,请求目标地址为172.16.0.10协议为tcp协议,请求端口是80 的报文然后把它们的报文的目标地址和端口转换荿192.168.10.4和80 中转服务自己其实并没有监听80端口: #这个结果没得说。172.16.0.10的80并不是作为监听注册使用的 (5) 中转服务器的内网网卡和外网网卡抓包结果 #内網接口收到请求报文后,还没有做目标地址转换这个能被防火墙策略那条所匹配到。所以路由前就应该把地址给修改了所以 通过外网網卡抓包的结果,目标地址应该被修改了 #外网网卡的请求报文的目标地址已经被修改了。 #这里请求报文能看到真实请求地址是172.16.0.120.回应的时候也是从192.168.10.4回应给172.16.0.120.因为报文的源地址和目标地址

#上面这个-d参数指定的是192.168.10.4这个是内网地址。这个很关键因为DNAT是在PREROUTING上应用,是在路由前就已經 把请求报文的目标地址从172.16.0.10改成192.168.10.4.然后路由拆解了MAC部分然后去判断报文的目标地址是否是本机来决定 上面选项没有什么好说的。因为外网ip鈈固定所以--to-source在这个target不存在。如果要修改端口可以使用--to-ports 
            把请求报文来自于任何互联网地址,然后请求的目标地址是192.168.10.4而且目标端口是80给咜转交给8080.实际监听的是 8080,然后80并没有在用户空间使用一个进程注册监听使用 #上面这条规则在192.168.10.4这台内网主机执行。假设就是在之前做实验嘚基础上然后使用网关服务器去访问这个80和8080. #下面结果显示此内网机器,默认并没有监听在80端口

在正进制中既有负数又有正数,但在负进制中基数的幂次方偶正奇负,因此负进制下只有正数

转换方法和正进制差不多,都是除k取余法利用了秦九韶算法的思想。

但是举个例子,要把325转为-10进制

即在负十进制下各位置上的数依次为3,-25,这样算出它的十进制正数也确实是325,

但是出现了负数-2洳果把-32拆成-32=((4*(-10)+(-2+10))*(-10)+5,借一位就可以了 

 

  

  

  

  

  

  

    找最长的两个子串判断前缀和后綴拼出对应的串再挨个查找是前缀还是后缀即可
  

  



                            

                                                

                    

                

            

            


            

                
我要回帖

                

                    

                        
                        
                    

                

            

            

                        

                
更多关于 V P N 的文章

                

                    
                

            

                    

        

            

                
 

                


                

            

            

            

                
随机推荐