网络端口

docker镜像的分层  Dockerfile 中的每个指令都会创建一个新的镜像层；  镜像层将会被缓存和复用；  当 Dockerfile 的指令修改了，复制的文件变化了，或者构建镜像时指定的变量不同了，对应的镜像层缓存就会失效；  某一层的镜像缓存失效之后，它之后的镜像层缓存都会失效；  镜像层是不变的，如果在某一层中添加一个文件，然后在下一层中删除它，则镜像中依然包含该文件 docker镜像 是应用发布的标准格式 可支撑一个docker容器的运行 docker镜像的创建方法 基于已有镜像创建 基于本地模板创建 基于dockerfile创建 基于已有镜像创建 将容器里面运行的程序及运行环境打包生成新的镜像 docker commit [选项] 容器ID/名称 仓库名称:[标签] -m：说明信息 -a：作者信息 -p：生成过程中停止容器的运行 基于本地模板创建 通过导入操作系统模板文件生成新的镜像 使用wget命令导入为本地镜像 导入成功后可查看本地镜像信息 基于 Dockerfile 创建 Dockerfile 是由一组指令组成的文件 Dockerfile 结构的四部分： 基础镜像信息； 维护者信息； 镜像操作指令； 容器启动时执行指令； 使用 Dockerfile 创建镜像并在容器中运行 dockerfile操作指令 指令 含义 FROM 镜像 指定新镜像所基于的镜像

目录 iptables 1 Firewall：隔离工具 1.1 Packets Filter Firewall 2 iptables/netfilter 2.1 netfilter 2.1 iptables 3 netfilter 3.1 hooks function 4 iptables 4.1 CHAINS：<钩子> 5 报文流向 6 tables 6.1 filter 6.2 nat 6.3 mangle 6.4 raw 6.5 优先级次序（由高而低） 6.6 功能<-->钩子 7 iptables规则的组成部分 7.1 匹配条件 7.2 处理动作： target 8 安装： 8.1 netfilter 8.2 iptables 8.3 程序包： 9 iptables命令 9.1 规则 9.2 匹配条件 9.3 处理动作 9.4 添加规则时需要考量的问题 10 iptabls命令的使用格式 10.1 规则管理格式 11 COMMANDS 链管理 规则 查看 计数器 匹配条件 基本匹配条件： 扩展匹配条件： 显式扩展 12 保存和载入规则 12.1 CentOS 6 12.2 CentOS 7开机自动生效规则 13 规则优化的思路 14 iptables/netfilter网络防火墙 15 NAT 15.1 target: 16 自定义链： 16.1 引用自定义链：

简介 回环端口可以理解为主机内部网络，一个内部的子网。对内部应用是透明的。仅供当前主机使用。 过程 IP输出函数 :IP到MAC输出 先判断是否为组播或者广播地址，自己给自己发一份，发送到回环驱动程序。 判断是否为本机IP,路由器分配地址 192.168.0.10 这种，以及 127.0.0.1 ，这种就直接发送到回环驱动程序。 如果上面的两种情况都不是，是子网内的其他主机，就先通过 arp 发现目标主机的MAC地址。获取到了之后再发送，这种不经过路由，只经过交换机。物理层。 物理层通过 arp 获取到了目标 mac ，就进行相应，转发。 信息交互完毕，放入IP输入队列中。 来源： CSDN 作者： 502203305 链接： https://blog.csdn.net/rubikchen/article/details/103954846

21端口：21端口主要用于FTP（File Transfer Protocol，文件传输协议）服务。 23端口：23端口主要用于Telnet（远程登录）服务，是Internet上普遍采用的登录和仿真程序。 25端口：25端口为SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）服务器所开放，主要用于发送邮件，如今绝大多数邮件服务器都使用该协议。 53端口：53端口为DNS（Domain Name Server，域名服务器）服务器所开放，主要用于域名解析，DNS服务在NT系统中使用的最为广泛。 67、68端口：67、68端口分别是为Bootp服务的Bootstrap Protocol Server（引导程序协议服务端）和Bootstrap Protocol Client（引导程序协议客户端）开放的端口。 69端口是为TFTP（Trival File Tranfer Protocol，次要文件传输协议）服务开放的，TFTP是Cisco公司开发的一个简单文件传输协议，类似于FTP。不过与FTP相比，TFTP不具有复杂的交互存取接口和认证控制，该服务适用于不需要复杂交换环境的客户端和服务器之间进行数据传输。 79端口：79端口是为Finger服务开放的，主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。 80端口

基于底层的tcp,udp编程,高层的应用层，http编程 底层的效率高，tcp可以保证数据库安全，效率高 socket（插座），网络编程，是点对点，每一个就是一个孔，中间链接起来，socket简单来讲就是端到端的编程，端对端，建立一个网络通讯的通道，从socket到scoket，从一个插座到另一个插座，建立一个数据通讯的通道 python也提高了socket.py的模块，是低级的网络编程接口，统一的socket编程接口，所有操作系统通用 进程间通讯IPC，远程调用RPC，最底层还需要socket开始 socket掌握TCP有链接协议,UDP无链接协议即可 UDP协议好处是短小，效率高，不保证数据发送出去有没有人收到 tcp和UDP编程都是端到端 所谓的C/S编程就是server，和client如何通讯 早期的QQ聊天是需要你选择服务器才可以使用的，只不过现在屏蔽了 client和server是用功能来分，其实是双向的，数据可以来回，一般把功能强大的，都链接指向的称为server，与它链接的称为client TCP的server端比较麻烦，首先需要创建socket对象， 路由管的是IP，到达应用层区分才靠端口。路由到通讯的主机，询问，这个IP上面的对应的端口，比如IP地址对应的TCP 8000是否有进程占用。 资源是分给进程的，所以线程是共享这个资源。 一个应用程序要用网络

IPC（Inter-Process Communication，进程间通信）实现方式 　　1）管道： 　　　　- 管道是一种半双工的通信方式，数据只能单向流动，而且只能在具有亲缘关系的进程之间使用（进程的亲缘关系通常是指父子进程关系） 　　2）有名管道（FIFO）： 　　　　- 有名管道也是半双工的通信方式，但是允许在没有亲缘关系的进程之间使用，管道是先进先出的通信方式 　　3）信号量： 　　　　- 信号量是一个计数器，可以用来控制多个进程对共享资源的访问 　　　　- 它常作为一种锁机制，防止某进程正在访问共享资源时，其他进程也访问该资源 　　　　- 因此，主要作为进程间以及同一进程内不同线程之间的同步手段 　　4）消息队列： 　　　　- 消息队列是有消息的链表，存放在内核中，并由消息队列标识符标识 　　　　- 消息队列克服了信号传递信息少、管道只能承载无格式字节流以及缓冲区大小受限等缺点 　　5）信号 ( Sinal ) ： 　　　　- 信号是一种比较复杂的通信方式，用于通知接收进程某个事件已经发生 　　6）共享内存( Shared Memory) ： 　　　　- 共享内存就是映射一段能被其他进程所访问的内存，这段共享内存由一个进程创建，但多个进程都可以访问 　　　　- 共享内存是最快的IPC实现机制，它是针对其它进程间通信方式运行效率低而专门设计的 　　　　-

一、nmap是什么 nmap是一款网络扫描和主机检测的非常有用的工具，不局限于仅仅收集信息和枚举，同时可以用来作为一个漏洞探测器或安全扫描器。它可以适用于winodws,linux,mac等操作系统。Nmap是一款非常强大的实用工具,可用于： 作用： - 检测活在网络上的主机（主机发现） - 检测主机上开放的端口（端口发现或枚举） - 检测到相应的端口（服务发现）的软件和版本 - 检测操作系统，硬件地址，以及软件版本 - 检测脆弱性的漏洞（nmap的脚本） 二、使用说明 namp [扫描类型] [扫描参数] [hosts 地址与范围] 选项与参数： *** [扫描类型]*** ：主要的扫描类型有下面几种： -sT : 扫描TCP数据包已建立的连接connect() -sS : 扫描TCP数据包带有SYN卷标的数据 -sP : 以ping的方式进行扫描 -sU : 以UDP的数据包格式进行扫描 -sO : 以IP的协议(protocol)进行主机的扫描 [扫描参数]: 主要的扫描参数有几种： -PT : 使用TCP里头的ping的方式来进行扫描，可以获知目前有几台计算机存在(较常用) -PI : 使用实际的ping(带有ICMP数据包的)来进行扫描 -p : 这个是port range，例如1024-、80-1023、30000-60000等的使用方式 [hosts地址与范围]

一. STP • STP 消除环路的思想： ○ 将网络拓扑修剪为树形 ○ 选择树根节点ROOT； ○ 确定最短路径； ○ 阻塞冗余链路。 • 桥ID : ○ 用于在STP 中唯一的标识一个桥。 ○ 桥ID：【桥优先级：2字节】【桥MAC地址：6字节】 • 路径开销（Path Cost）： ○ 路径开销用于衡量桥与桥之间路径的优劣； ○ STP 中每条链路都具有开销值； ○ 路径开销等于路径上全部链路开销之和。 • 链路开销标准： ○ 单端口下（H3C私有标准）：10M=2000，100M=200。1G=20。10G=2。 • 配置BPDU： ○ 网桥通过交互配置BPDU 获取STP 计算所需要的参数； ○ 配置BPDU 基于二层组播方式发送，目的地址为01-80-C2-00-00-00； ○ 配置BPDU 由根桥周期发出，发送周期为Hello Time； ○ 配置BPDU 老化时间为Max Age。 • 配置BPDU 格式：（网桥协议数据单元(Bridge Protocol Data Unit)） • STP 计算方法： ○ 1、配置BPDU 处理： 网桥将各个端口收到的配置BPDU 和自己的配置BPDU 做比较，得出优先级最高的配置BPDU； 网桥用优先级最高的配置BPDU 更新本身的配置BPDU ，用于选举根桥和确定端口角色； 网桥从指定端口发送新的配置BPDU。 ○ 2

《Linux就该这么学》培训笔记_ch08_iptables与firewall防火墙 文章最后会post上书本的笔记照片。 文章主要内容 ： 防火墙管理工具 iptables firewalld 服务的访问控制列表 书本笔记 防火墙管理工具 防火墙作为公网与内网之间的保护屏障，在保障数据的安全性方面起着至关重要的作用。 防火墙策略可以 基于流量的源目地址、端口号、协议、应用 等信息来定制，然后防火墙使用预先定制的策略规则监控出入的流量，若流量与某一条策略规则相匹配，则执行相应的处理，反之则丢弃。 在Linux系统中其实存在多个防火墙管理工具，旨在方便运维人员管理Linux系统中的防火墙策略，只需要配置妥当其中的一个就足够。 iptables与firewalld只是用来定义防火墙策略的防火墙管理工具，并不是真正的防火墙。或者说，它们只是一种服务。iptables服务会把配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理，而firewalld服务则是把配置好的防火墙策略交由内核层面的nftables包过滤框架来处理。 iptables 在早期的Linux系统中（RHEL7之前），默认使用的是iptables防火墙管理服务来配置防火墙。尽管新型的firewalld防火墙管理服务已经被投入使用多年，但是大量的企业在生产环境中依然出于各种原因而继续使用iptables

探测主机存活常用方式 （1）-sP ：进行ping扫描 打印出对ping扫描做出响应的主机,不做进一步测试(如端口扫描或者操作系统探测)： 下面去扫描10.0.3.0/24这个网段的的主机 nmap -sP 10.0.3.0/24 这个命令可以用于探测局域网有哪些机器 [root@B ~]# nmap -sP 10.0.3.0/24 Starting Nmap 5.51 ( http://nmap.org ) at 2016-12-29 11:24 CST Nmap scan report for 10.0.3.1 Host is up (0.0079s latency). Nmap scan report for 10.0.3.2 Host is up (0.0046s latency). Nmap scan report for 10.0.3.3 Host is up (0.0037s latency). Nmap done: 256 IP addresses (3 hosts up) scanned in 10.01 seconds [root@B ~]# （2） -sn： -sn: Ping Scan - disable port scan #ping探测扫描主机， 不进行端口扫描 （ 测试过对方主机把icmp包都丢弃掉，依然能检测到对方开机状态 ） [root@B ~]#