端口隔离

目录 iptables 1 Firewall：隔离工具 1.1 Packets Filter Firewall 2 iptables/netfilter 2.1 netfilter 2.1 iptables 3 netfilter 3.1 hooks function 4 iptables 4.1 CHAINS：<钩子> 5 报文流向 6 tables 6.1 filter 6.2 nat 6.3 mangle 6.4 raw 6.5 优先级次序（由高而低） 6.6 功能<-->钩子 7 iptables规则的组成部分 7.1 匹配条件 7.2 处理动作： target 8 安装： 8.1 netfilter 8.2 iptables 8.3 程序包： 9 iptables命令 9.1 规则 9.2 匹配条件 9.3 处理动作 9.4 添加规则时需要考量的问题 10 iptabls命令的使用格式 10.1 规则管理格式 11 COMMANDS 链管理 规则 查看 计数器 匹配条件 基本匹配条件： 扩展匹配条件： 显式扩展 12 保存和载入规则 12.1 CentOS 6 12.2 CentOS 7开机自动生效规则 13 规则优化的思路 14 iptables/netfilter网络防火墙 15 NAT 15.1 target: 16 自定义链： 16.1 引用自定义链：

《Windows系统管理》 什么是 BIOS？如何进入BIOS？ BIOS基本输入输出系统，一般按DEL或F2进BIOS设置程序。 什么是虚拟机？ 虚拟机运行在计算机上的一款软件程序，模拟计算机硬件功能为其他软件程序提供一个独立的计算机环境。 虚拟机运行模式？ 1）寄居架构 作为应用软件安装在操作系统上 ，可以在此应用软件上安装多个操作系统 2）原生架构 虚拟机软件直接安装在计算机硬件上，虚拟机本身就是一个操作系统 IP地址作用、组成、分类？ 1) 作用：用来标识一个节点的网络地址 2) 组成：网络位+主机位，32位，以4个十进制数来表示，之间用 . 隔开 3) 分类： A 1 - 127 网+主+主+主 B 128 -191 网+网+主+主 C 192 -223 网+网+网+主 D 224 - 239 组播(多播) E 240 - 254 科研 4) 默认子网掩码 A 类 255.0.0.0 B 类 255.255.0.0 C 类 255.255.255.0 备用配置专用IP地址？ 169.254.0.1-169.254.255.254、子网掩码为255.255.0.0 私有地址范围： A类 10.0.0.1 ~ 10.255.255.254 B类 172.16.0.1 ~ 172.31.255.254 C类 192.168.0.1 ~ 192.168.255.254

目录 Linux - docker基础 docker的概念 docker安装流程 docker基本命令学习 docker 的 hello docker 运行一个ubuntu容器 Docker与CentOS 下载运行CentOS容器 提交修改自定义的镜像(docker container commit) 外部访问容器 利用dockerfile定制 打包flask程序与dockerfile 发布 docker image 到仓库 发布到公有镜像 私有仓库 Linux - docker基础 docker的概念 容器三大基本概念: 镜像 image 容器 container 仓库 repository docker整个生命周期就是这三个概念。 docker镜像 Docker镜像就是一个只读的模板。 例如：一个镜像可以包含一个完整的CentOS操作系统环境，里面仅安装了Apache或用户需要的其他应用程序。 镜像可以用来创建Docker容器。 Docker提供了一个很简单的机制来创建镜像或者更新现有的镜像，用户甚至可以直接从其他人那里下载一个已经做好的镜像来直接使用。 docker容器 image和container的关系，就像面向对象程序设计中的 类和实例一样，镜像是静态的定义（class），容器是镜像运行时的实体（object）。 容器可以被创建、启动、停止、删除、暂停

本文旨在用最通俗的语言讲述最枯燥的基本知识 上一篇文章《为什么要用docker》已经讲述了什么是docker以及我们要用docker的原因，并且讲解了如何安装docker。这时候很多读者磨拳擦脚跃跃欲试但却发现安装好docker之后就无从下手了，那么，接下来，小编会从以下方面讲述docker的一些基础知识，当然，理论都是生硬的，所以小编选取了javaweb项目中最常用的一个软件--tomcat的安装和使用来引导学习一些docker相关的知识，借此让读者能够从实战的角度去理解docker为什么会有这些基础知识以及如何使用这些基础知识。 我们知道，web开发和部署离不开tomcat，而在目前的实际情况是： 一个项目中，每个开发者本机电脑都有自己的tomcat或者用idea的内置tomcat，当我们开发完成提交测试时，测试服务器上也有一个tomcat；当项目上线时，线上服务器也有一个tomcat，因此就很容易出现一些奇奇怪怪的问题，比如在同事A电脑上能正常运行的，到同事B电脑上就出问题的；或者是在测试环境里一切正常，到了线上bug一堆。这时候docker就有了用武之地，项目负责人把docker的tomcat镜像做好了之后上传到镜像仓库，项目成员的电脑环境、测试环境、线上环境均拉取这个tomcat使用，就能保持在所有的环境下tomcat的版本、设置都是一致的，避免了一些非技术的问题。 那么

linux防火墙 文章目录 linux防火墙 安全技术和防火墙 安全技术 防火墙的分类 包过滤防火墙 应用层防火墙 Linux 防火墙的基本认识 Netfilter 防火墙工具介绍 iptables firewalld nftables netfilter 中五个勾子函数和报文流向 iptables的组成 iptables iptables 规则说明 iptables 用法说明 iptables 基本匹配条件 iptables 扩展匹配条件 隐式扩展 显示扩展及相关模块 multiport扩展 iprange扩展 mac扩展 string扩展 time扩展 connlimit扩展 limit扩展 state扩展 Target iptables规则安排的基本原则 iptables规则保存 安全技术和防火墙 安全技术 入侵检测与管理系统（Intrusion Detection Systems）：特点是不阻断任何网络访问，量化、定位来自内外网络的威胁情况，主要以提供报告和事后监督为主，提供有针对性的指导措施和安全决 策依据。一般采用旁路部署方式 入侵防御系统（Intrusion Prevention System）：以透明模式工作，分析数据包的内容如：溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断，在判定为攻击行为后立即予 以阻断，主动而有效的保护网络的安全

1.容器及其三要素 1.1.容器是什么 容器的本质是一种特殊的进程。 在linux容器中有三个重要的概念：Namespace、Cgroups、rootfs。 Namespace做隔离，让进程只能看到Namespace中的世界； Cgroups 做限制，让这个“世界”围着一个看不见的墙。 rootfs 做文件系统，rootfs 只是一个操作系统所包含的文件、配置和目录，并不包括操作系统内核。 这样就实现了进程在我们所看到的一个与世隔绝的房间，这个房间就是Pass项目赖以生存的"沙盒"。 1.2.Namespace 进入容器后，ps命令看到的容器的应用进程都是1号进程，这个其实是pid namespace导致，他其实就是个障眼法， 让你看到的是类似于一个新的虚拟机新环境，其实是不一样的，容器就是一个运行的进程，而容器中的其他进程则是pid为1的子进程。 除了刚刚pid namespace，还有其它的namespace如下： 容器是怎么新建namespace的？ docker创建容器，其实就是linux系统的一次fork的调用， 在进行fork调用时，会传入一些flag参数，这个参数可以控制对linux内核调用新的namespace。 1.3.rootfs 挂载在容器根目录上、用来为容器进程提供隔离后执行环境的文件系统，就是所谓的“容器镜像”。它还有一个更为专业的名字，叫作：rootfs

01. 开篇：组建小型局域网 实验任务 1、利用一台型号为2960的交换机将2pc机互连组建一个小型局域网； 2、分别设置pc机的ip地址； 3、验证pc机间可以互通。 实验设备 Switch_2960 1台；PC 2台；直连线 实验设备配置 PC0 IP： 192.168.1.2 Submask： 255.255.255.0 Gateway： 192.168.1.1 PC1 IP： 192.168.1.3 Submask： 255.255.255.0 Gateway： 192.168.1.1 实验验证过程 打开 【PC中 >> Desktop >> Commond prompt】 pc0上 ping 192.168.1.3(PC1)的ip地址 在 PC1上ping 192.168.1.2（PC0）的ip地址 分别在PC0和PC1上ping网关地址192.168.1.1 02. 交换机的基本配置和管理 技术原理 交换机的管理方式基本分为两种：带内管理和带外管理。 通过交换机的Console端口管理交换机属于带外管理；这种管理方式不占用交换机的网络端口，第一次配置交换机必须利用Console端口进行配置。交换机的命令行操作模式主要包括： 用户模式 （EXEC模式) Switch> 特权模式 Switch# 全局配置模式 Switch(config) 端口模式 Switch

在主干网上，路由器的主要作用是路由选择。主干网上的路由器，必须知道到达所有下层网络的路径。这需要维护庞大的路由表，并对连接状态的变化作出尽可能迅速的反应。路由器的故障将会导致严重的信息传输问题。 在地区网中，路由器的主要作用是网络连接和路由选择，即连接下层各个基层网络单位－－园区网，同时负责下层网络之间的数据转发。 在园区网内部，路由器的主要作用是分隔子网。早期的互连网基层单位是局域网（ＬＡＮ），其中所有主机处于同一逻辑网络中。随着网络规模的不断扩大，局域网演变成以高速主干和路由器连接的多个子网所组成的园区网。在其中，处个子网在逻辑上独立，而路由器就是唯一能够分隔它们的设备，它负责子网间的报文转发和广播隔离，在边界上的路由器则负责与上层网络的连接。 第二层交换机和路由器的区别 传统交换机从网桥发展而来，属于ＯＳＩ第二层即数据链路层设备。它根据ＭＡＣ地址寻址，通过站表选择路由，站表的建立和维护由交换机自动进行。路由器属于ＯＳＩ第三层即网络层设备，它根据ＩＰ地址进行寻址，通过路由表路由协议产生。交换机最大的好处是快速，由于交换机只须识别帧中ＭＡＣ地址，直接根据ＭＡＣ地址产生选择转发端口算法简单，便于ＡＳＩＣ实现，因此转发速度极高。但交换机的工作机制也带来一些问题。 1.回路：根据交换机地址学习和站表建立算法，交换机之间不允许存在回路。一旦存在回路，必须启动生成树算法

Linux实现的IEEE 802.1Q VLAN 原文：http://blog.csdn.net/dog250/article/details/7354590 第一部分：VLAN的核心概念 说起IEEE 802.1q，都知道是VLAN，说起VLAN，基本上也没有盲区，网络基础。然而说到配置，基本所有人都能顺口溜一样说出Cisco或者H3C设备的配置命令，对于Linux的VLAN配置却存在大量的疑问。这些疑问之所以存在我觉得有两点原因： 1.对VLAN的本质还是没有理解。 不管你的Cisco/H3C命令敲得再熟练，如果看不懂Linux的vconfig，那么也将无法掩饰你对概念理解的浅显； 2.对Linux实现虚拟网络设备风格不熟悉 可能你已经十分理解802.1q了，也许还看过了IEEE的文档，然而却对Linux的Bridge，tap，bond等虚拟设备不是很理解，那么也将无法顺利配置VLAN。 对于VLAN概念的理解，有几点要强调： 1.VLAN分离了广播域； 2.单独的一个VLAN模拟了一个常规的交换以太网，因此VLAN将一个物理交换机分割成了一个或多个逻辑交换机； 3.不同VLAN之间通信需要三层参与； 4.当多台交换机级联时，VLAN通过VID来识别，该ID插入到标准的以太帧中，被称作tag； 5.大多数的tag都不是端到端的，一般在上行路上第一个VLAN交换机打tag

MAC地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。IP地址与MAC地址在计算机里都是以二进制表示的，IP地址是32 位的，而MAC地址则是48位的。MAC地址的长度为48位（6个字节），通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08: 00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数08:00:20代表网络硬件制造商的编号，它由IEEE（电气与电子工程师协 会）分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品（如网卡）的系列号。只要你不去更改自己的MAC地址，那么你的MAC地 址在世界是惟一的。 MAC地址的作用 IP地址就如同一个职位，而MAC地址则好像是去应聘这个职位的人才，职位可以既可以让甲坐，也可以让乙坐，同样的道理一个节点的IP地址对于网卡是不做 要求，基本上什么样的厂家都可以用，也就是说IP地址与MAC地址并不存在着绑定关系。本身有的计算机流动性就比较强，正如同人才可以给不同的单位干活的 道理一样的，人才的流动性是比较强的。职位和人才的对应关系就有点像是IP地址与MAC地址的对应关系。比如，如果一个网卡坏了，可以被更换，而无须取得 一个新的IP地址。如果一个IP主机从一个网络移到另一个网络，可以给它一个新的IP地址，而无须换一个新的网卡。当然MAC地址除了仅仅只有这个功能还