网络端口

问题 最近电信把我的公网地址收回去了，之前做好的网络端口映射失效了，在公司已经不能愉快地访问家里的网络。原先网络结构示意图如下： (直接访问方案网络结构图) 只需要对电信光猫(也是个路由器)和家用路由器进行端口映射的配置即可，而针对地址是“动态”的这个问题，只需要弄个动态域名解释即可。而现在变成这样： (无公网地址的直接访问方案网络结构图) 电信光猫不具备真正的公网地址了。如何查看自己的光猫是否有公网IP地址？不难，登录到光猫去，看网络状态，会看到它的IP地址： (电信光猫上的地址查询) 然后上www.ip138.com，就能看到自己现在暴露在公网上的IP地址： 看看光猫上的地址和这里显示的地址是否相同，如果相同，那光猫就有公网地址，否则就没有。 回到问题中来，现在电信的路由器不可能给我做端口映射的，那咋弄？ 这就是所谓的“内网穿透”技术了。 群晖的方案 就是quickconnect.to了，原理就是NAS主动连接群晖的服务器，而quickconnect.to也是指向群晖的服务器的，群晖再将请求转到NAS去，同事负责将从NAS回复的结果转回给用户。说白了，这个具有公网地址的群晖就起到了一个中介的作用。 (群晖方案网络结构图) 群晖的方案自然是非常简易的，用户甚至都不用了解怎么连接这些细节，只需要注册好账号密码，傻瓜式地打开quickconnect.to即可。 但弊端也很明显

从2016年起就开始接触Consul，使用的主要目的就是做服务发现，后来逐步应用于生产环境，并总结了少许使用经验。最开始使用Consul的人不多，为了方便交流创建了一个QQ群，这两年微服务越来越火，使用Consul的人也越来越多，目前群里已有400多人，经常有人问一些问题，比如： 服务注册到节点后，其他节点为什么没有同步？ Client是干什么的？（Client有什么作用？） 能不能直接注册到Server？（是否只有Server节点就够了？） 服务信息是保存在哪里的？ 如果节点挂了健康检查能不能转移到别的节点？ 有些人可能对服务注册和发现还没有概念，有些人可能使用过其它服务发现的工具，比如zookeeper，etcd，会有一些先入为主的经验。这篇文章将结合Consul的官方文档和自己的实际经验，谈一下Consul做服务发现的方式，文中尽量不依赖具体的框架和开发语言，从原理上进行说明，希望能够讲清楚上边的几个问题。 为什么使用服务发现 防止硬编码、容灾、水平扩缩容、提高运维效率等等，只要你想使用服务发现总能找到合适的理由。 一般的说法是因为使用微服务架构。传统的单体架构不够灵活不能很好的适应变化，从而向微服务架构进行转换，而伴随着大量服务的出现，管理运维十分不便，于是开始搞一些自动化的策略，服务发现应运而生。所以如果需要使用服务发现，你应该有一些对服务治理的痛点。

端口映射与容器关联 docker除了通过网络访问外，还提供了两个功能来满足服务访问的基本需求：一个是允许映射容器内应用的服务端口到本地宿主主机；另一个是互联机制实现多个容器间通过容器名来快速访问。 端口映射容器访问 1、从外部访问容器应用，从启动容器的时候，如果不指定对应参数，在容器外部是无法通过网络来访问容器内的网络应用和服务的。可以通过-P或-p参数来指定端口映射。 -P：会随机映射一个49000~49900的端口到内部容器开放的网络端口 [root@docker01 ~]# docker run -d -P training/webapp python app.py 75b2c32292d290aa3004b5b6cbb49775cc6f360796736473978cc32a682fdad9 [root@docker01 ~]# docker ps -l CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 75b2c32292d2 training/webapp "python app.py" 3 seconds ago Up 2 seconds 0.0.0.0:32770->5000/tcp musing_carson 查看应用的信息 [root@docker01 ~]# docker logs -f musing

端口映射与容器关联 docker除了通过网络访问外，还提供了两个功能来满足服务访问的基本需求：一个是允许映射容器内应用的服务端口到本地宿主主机；另一个是互联机制实现多个容器间通过容器名来快速访问。 端口映射容器访问 1、从外部访问容器应用，从启动容器的时候，如果不指定对应参数，在容器外部是无法通过网络来访问容器内的网络应用和服务的。可以通过-P或-p参数来指定端口映射。 -P：会随机映射一个49000~49900的端口到内部容器开放的网络端口 [root@docker01 ~]# docker run -d -P training/webapp python app.py 75b2c32292d290aa3004b5b6cbb49775cc6f360796736473978cc32a682fdad9 [root@docker01 ~]# docker ps -l CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 75b2c32292d2 training/webapp "python app.py" 3 seconds ago Up 2 seconds 0.0.0.0:32770->5000/tcp musing_carson 查看应用的信息 [root@docker01 ~]# docker logs -f musing

SSL ***背景  企业出差员工，需要在外地远程办公，并期望 能够通过Internet随时随地的远程访问企业内部资源 。同时，企业为了 保证内网资源的安全性 ，希望能对移动办公用户进行多种形式的身份认证， 并对移动办公用户可访问内网资源的权限做精细化控制  IPSec、L2TP等先期出现的***技术虽然可以支持远程接入这个应用场景，但这些***技术的组网不灵活；移动办公用户 需要安装指定的客户端软件（SecoClient） ，导致网络部署和维护都比较麻烦； 无法对移动办公用户的访问权限做精细化控制  SSL ***作为新型的 轻量级 远程接入方案，可以有效地解决上述问题，保证移动办公用户能够在企业外部安全、高效的访问企业内部的网络资源  FW作为企业出口网关连接至Internet，并向移动办公用户（即出差员工）提供SSL ***接入服务。移动办公用户使用终端（如便携机、PAD或智能手机）与FW建立SSL ***隧道以后，就能通过SSL ***隧道远程访问企业内网的Web服务器、文件服务器、邮件服务器等资源 传统***存在的问题  IPSec ***可安全 、稳定地在两个网络间传输数据，并保证数据的完整无缺，适用于处理总公司与分公司之间的信息往来及其他 Site-to-Site 应用场景 由于IPSec是基于网络层的协议，很难穿越NAT和防火墙

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 vsftpd丶NFS丶SAMBA nfs基于rpc samba基于cifs(smb) DRBD： ftp:File Transfer protocol 文件传输协议 两个连接： tcp：命令连接 tcp：数据连接 在被动模式下数据传输端口是随机的除非自己指定 主动模式：服务器端通过20端口主动连接客户端， 被动模式：客户端使用自己与服务器端建立连接。 默认情况下FTP协议使用TCP端口中的 20和21这两个端口其中20用于传输数据，21用于传输控制信息。但是，是否使用20作为传输数据的端口与FTP使用的传输模式有关，如果采用主动模式，那么数据传输端口就是20；如果采用被动模式，则具体最终使用哪个端口要服务器端和客户端协商决定。 防火墙上连接追踪 数据要流式化 文本：文件流 二进制 c/s Server： wu-ftpd（华盛顿大学的fdtp） proftpd pureftp vsftpd Very Secure ftpd iis ServU Client： GUI windows flashfxp cuteftp filezilla(开源) linux gftp CLI ftp lftp wget lftpget 用户认证： 系统用户 虚拟用户 hash file mysql 匿名用户 数据传输安全 sftp

端口协商失败 1、故障现象：交换机链接PTN的接口一直处于DOWN状态 2、解决过程： （1）检查物理层设备检测发现光路正常 （2）更换光模块设备还是处于DOWN状态 （3）通过dis interface GigabitEthernet 1/0/1查看接口状态 （4）排除以上常见的故障，怀疑不同设备对接由于端口速率不匹配通过修改端口速率接口处于up状态，设备通信正常。 （5）对上联设备进行ping测试 （6）通过修改端口速率网络恢复正常。 2.总结：不同设备光口对接可能因端口速率不匹配导致端口协商失败，需要手动修改端口速率来达到目的。 来源： 51CTO 作者： chengzhangfei 链接： https://blog.51cto.com/11282904/2169753

nginx正向代理 正向代理就是假设有一个内网 内网有两台机器，这两台机器只有 a 可以上网 b 不能上网，但是 a 和 b 通过网络相连接 这时如果 b 想访问外网，就可以通过 a 来正向代理访问外网 正向代理就是在内网中模拟目标服务器，把内网中其它机器的请求 转发给外网中的真正的目标服务器 所以正向代理是接受内网其它机器的请求的 反向代理则是反过来 也是一个内网，有几台机器，只有其中一台与外网连接 但是反向代理接受的不是内网机器的访问请求 反向代理接受的是外网过来的访问请求 然后把请求转发到内网中的其它机器上去 外网发出请求的用户并不知道反向代理的服务器把请求转发给了谁 要在一台机器上设置正向代理的功能 如图，编辑一个nginx配置文件 上图就是配置文件内容 如果配置一台服务器作为正向代理服务器 那么这个虚拟主机配置文件就必须是默认虚拟主机 因为所有访问这台机器的网络请求应该先访问这个虚拟主机才对 所以这里要设置 default_server 然后还要把原来的 默认虚拟主机 配置文件名称修改掉 如图，把 default.conf 配置文件的名称修改一下 这样就取消了原来的默认虚拟主机配置文件了 因为默认的默认虚拟主机配置文件就是 default.conf 配置文件里面的 resolver 119.29.29.29 意思是配置一个 dns 地址 因为是做正向代理

虽然随着计算机产业的发展，Windows 操作系统的应用越来越广泛，DOS 面临着被淘汰的命运，但是因为它运行安全、稳定，有的用户还在使用，所以一般Windows 的各种版本都与其兼容，用户可以在Windows 系统下运行DOS，中文版Windows XP 中的命令提示符进一步提高了与DOS 下操作命令的兼容性，用户可以在命令提示符直接输入中文调用文件。 　 CMD命令：开始－>运行－>键入cmd或command(在命令行里可以看到系统版本、文件系统版本) CMD命令锦集 1. gpedit.msc-----组策略 　　2. sndrec32-------录音机 　　3. Nslookup-------IP地址侦测器 ，是一个 监测网络中 DNS 服务器是否能正确实现域名解析的命令行工具。 它在 Windows NT/2000/XP 中均可使用 , 但在 Windows 98 中却没有集成这一个工具。 　　4. explorer-------打开资源管理器 　　5. logoff---------注销命令 　　6. shutdown-------60秒倒计时关机命令 　　7. lusrmgr.msc----本机用户和组 　　8. services.msc---本地服务设置 　　9. oobe/msoobe /a----检查XP是否激活 　　10. notepad-------

nmap工具介绍 nmap是网络探测和安全扫描程序，系统管理者和个人可以使用这个软件扫描大型的网络，获取主机正在运行以及提供什么服务等信息。nmap工具支持多种扫描方式：UDP扫描、TCP connect()扫描、 TCP SYN(半开扫描)、ftp代理(bounce攻击)扫描、反向标志、ICMP扫描、FIN扫描、ACK扫描、圣诞树(Xmas Tree)扫描、 null扫描。探测操作系统类型，探测关闭的主机，诱饵扫描，避开端口过滤检测，直接RPC扫描(无须端口影射)，碎片扫描，以及灵活的目标和端口设定。Can pass hostnames, IP addresses, networks, etc. nmap语法 nmap [Scan Type(s)] [Options] nmap功能详解 主机探测发现 HOST DISCOVERY 端口扫描 SCAN TECHNIQUES 服务版本探测 SERVICE/VERSION DETECTION 系统版本探测 OS DETECTION 防火墙/IDS规避 FIREWALL/IDS EVASION AND SPOOFING NSE脚本引擎 SCRIPT SCAN 扫描端口状态详解 open 目标主机端口开放 closed 目标主机端口关闭 filtered 端口被防火墙IDS/IPS屏蔽，无法确定其状态 unfiltered 端口没有被屏蔽