|
b***k
发帖数: 2829 | 2 我把那两句删了, CLI里面用那些参数, 还是看不到任何连接。
我在IPTABLES里面加了接受5060的
iptables -A INPUT -p udp -m udp --dport 5060 -j ACCEPT
下面是我的SIP_ADDITIONAL.CONF里面的设置。 这些都不WORK。 郁闷。。。
[100]
deny=
secret=abc123
dtmfmode=rfc2833
canreinvite=no
context=from-internal
host=dynamic
type=friend
nat=yes
port=5060
qualify=yes
callgroup=
pickupgroup=
dial=SIP/100
mailbox=100@device
permit=
callerid=device <100>
callcounter=yes
faxdetect=no
[SipGate]
disallow=all
username=xxx
defaultuser=xxx
fromuser=9012650e0
type=peer
secret=xxx
in... 阅读全帖 |
|
D*******l
发帖数: 5462 | 3 1. RTP 文件改成下面的:
rtpstart=10000
rtpend=10200
2. router的防火墙脚本加入
iptables -I INPUT -p udp -m multiport --dport 10000:10200 -d 0.0.0.0/0 -j
ACCEPT
iptables -I INPUT -p udp --dport 5060 -d 0.0.0.0/0 -j ACCEPT
3.重启router |
|
i**w
发帖数: 883 | 4 这个要改iptables rule,而且不同的tomato还不一样。我试过DualWAN和Shibby的
iptables rule的改法还不一样,最后也没有搞定 |
|
p*********w
发帖数: 23432 | 5 史上最悠久的纪念工程:西厢计划简介zz
西厢计划提供一组工具,使得用户在一次设置之后,能够以普通程序直连目标网络
,而避免GFW的大部分影响。其命名是为了向中国古典文学史上翻墙的先驱者张某致敬
。西厢计划现在已经达到alpha 可用状态,在初步的测试中可以让用户以普通浏览器无
障碍地直连 Youtube。
特性
西厢计划要解决GFW造成的两个方面的问题:TCP连接重置和DNS劫持(污染)。为
此西厢计划提供了两种特性:
* TCP连接混淆:在每次连接中,通过对GFW的入侵检测系统进行注入,混淆连接,
使得GFW无法正确解析连接和检测关键词,从而在有关键词的情况下也避免连接重置。
* 反DNS劫持:通过匹配GFW伪包的指纹并将其过滤,让用户以普通的客户端也能获
得正确的解析结果。(用户需要设置DNS为没有被污染的DNS,例如 8.8.8.8等)
西厢计划不是代理,不是VPN,无需加密,使用时不需要第三方支援,不需要绕道
,让用户能够以最优的性能直连目标,使用时不需要运行特别的程序。西厢计划利用现
有工具,仅要求用户能够使用 iptables |
|
J********a
发帖数: 5208 | 6 待月西厢下,迎风户半开。隔墙花影动,疑是玉人来。
最近推上最流行的一个关键词是”西厢计划”, 这个计划名字取得很浪漫,客户端叫做
张生,对,就是西厢记里面那个翻墙去见崔莺莺小姐的张生;显然,服务器端必然叫做
崔莺莺。客户端的张生是最重要的部件,可以不依赖于服务端工作。因为西厢计划的作
者只是简要的介绍了一下原理,其他报道又语焉不详,我当时就觉得很好奇,花了昨天
一个晚上详细读了一下源代码,终于知道怎么回事了,觉得原理非常漂亮,所以写篇文
章介绍总结一下。
先说大方向。大家都知道,连接被重置的本质,是因为收到了破坏连接的一个 TCP
Reset 包。以前剑桥大学有人实验过,客户端和服务器都忽略 Reset, 则通信可以不受
影响。但是这个方法其实只有理论价值,因为绝大多数服务器都不可能忽略 Reset 的
(比如 Linux, 需要 root 权限配置iptables, 而且这本身也把正常的 Reset 给忽略了
)。只要服务器不忽略 Reset, 客户端再怎么弄都没用,因为服务器会停止发送数据,
Reset 这条连接。所以,很多报道说西厢计划是忽略 Reset, 我从源代码来看应该不是 |
|
d*b
发帖数: 21830 | 7 丫这个email的意思不是说这个软件有后门,FBI可以自由进去,丫的说,这个软件给第
三方软件开发提供了后门,包括vpn的某些trick, iptable的某些trick, 这个系统装了
比如email说的某些VPN软件后FBI就能进你的机器。
你懂了么? |
|
y****e
发帖数: 23939 | 8 中国很多服务器监管不力,被境外黑客劫持做了zombie,我们这里的服务器就收到大量
来自中国的ip的攻击,从山西到云南都有。倒是没有被攻破,但是大量的请求也让服务
器没了响应,费了我好大的劲搞了个script才在iptable里drop了这些网络攻击。 |
|
y****e
发帖数: 23939 | 9 绝大部分攻击都是dictionary attack。就是用ssh链接试图猜密码。blacklist考虑过
,但blacklist是不行的,因为这样的ip太多,时间长了服务器overhead太大。具体办
法是在iptable中只记住这些ip一个有限的时间,在这个时间段内所有request直接drop
掉。过了时间就把ip pool清空。这样才能两全奇美。而且这个时间段是随机的,防止
攻击方发现规律。 |
|
r*****n
发帖数: 4844 | 10 前言
你是否觉得自己从学校毕业的时候只做过小玩具一样的程序?走入职场后哪怕没有什么
经验也可以把以下这些课外练习走一遍(朋友的抱怨:学校课程总是从理论出发,作业
项目都看不出有什么实际作用,不如从工作中的需求出发)
建议:
不要乱买书,不要乱追新技术新名词,基础的东西经过很长时间积累而且还会在未来至
少10年通用。
回顾一下历史,看看历史上时间线上技术的发展,你才能明白明天会是什么样。
一定要动手,例子不管多么简单,建议至少自己手敲一遍看看是否理解了里头的细枝末
节。
一定要学会思考,思考为什么要这样,而不是那样。还要举一反三地思考。
注:你也许会很奇怪为什么下面的东西很偏Unix/Linux,这是因为我觉得Windows下的
编程可能会在未来很没有前途,原因如下:
现在的用户界面几乎被两个东西主宰了,1)Web,2)移动设备iOS或Android。Windows
的图形界面不吃香了。
越来越多的企业在用成本低性能高的Linux和各种开源技术来构架其系统,Windows的成
本太高了。
微软的东西变得太快了,很不持久,他们完全是在玩弄程序员。详情参见《Windows编
程革命史》
所以... 阅读全帖 |
|
d********g
发帖数: 10550 | 11 还核武器,你就是开1000个爬虫去搞blog也会被ban。iptables笑了 |
|
b***d
发帖数: 186 | 12 【 以下文字转载自 Linux 讨论区 】
发信人: beerd (beerd), 信区: Linux
标 题: 一道面试题求解
发信站: BBS 未名空间站 (Sat Sep 3 01:22:56 2011, 美东)
一道面试题
我抓脑袋想不出来,帮我想想
家里一台电脑A ip 11.22.33.44
公司一台电脑B ip 55.66.77.88 这电脑还有另外一个interface,可以连到公司内部
100台电脑10.1.1.100~10.1.1.199
A可以ssh到B,但是不能直接ssh到公司内部电脑10
问做了什么操作后,可以在A和B直接建立某种连接,使得在家里A电脑上直接访问10.1.
1.100:123 或一百台电脑中任一台的任一端口都可以直接访问。
所有server均运行Linux
已知答案不是在AB间建VPN
也不能用 ssh tunnel with -w option
也不能用 iptables
据说还是特别简单的办法,不需要特别的软件支持。 |
|
N*******k
发帖数: 43 | 13 【 以下文字转载自 Physics 讨论区 】
发信人: Nighthawk (Nighthawk), 信区: Physics
标 题: 招 cluster manager。
发信站: BBS 未名空间站 (Thu Jan 31 22:16:37 2013, 美东)
有意者请站内信件。工资 $50-55k,职业有上升空间。
Job Description
Title: Linux System Administrator
Job Description: The Wake Forest School of Medicine (WFSM) high performance
computation facility (HPC) is looking for an intermediate level Linux System
Administrator for an immediate fulltime position of Linux cluster
maintenance and HPC user support.
Benefits: Competitive salary, vac... 阅读全帖 |
|
n******r
发帖数: 869 | 14 贡献好文:
http://coolshell.cn/articles/4990.html
月光博客6月12日发表了《写给新手程序员的一封信》,翻译自《An open letter to
those who want to start programming》,我的朋友(他在本站的id是Mailper)告诉
我,他希望在酷壳上看到一篇更具操作性的文章。因为他也是喜欢编程和技术的家伙,
于是,我让他把他的一些学习Python和Web编程的一些点滴总结一下。于是他给我发来
了一些他的心得和经历,我在把他的心得做了不多的增改,并根据我的经历增加了“进
阶”一节。这是一篇由新手和我这个老家伙根据我们的经历完成的文章。
我的这个朋友把这篇文章取名叫Build Your Programming Technical Skills,我实在
不知道用中文怎么翻译,但我在写的过程中,我觉得这很像一个打网游做任务升级的一
个过程,所以取名叫“技术练级攻略”,题目有点大,呵呵,这个标题纯粹是为了好玩
。这里仅仅是在分享Mailper和我个人的学习经历。(注:省去了我作为一个初学者曾
经学习过的一些技术(今天明显... 阅读全帖 |
|
t*******i
发帖数: 4960 | 15 就是会点网络编程,懂点路由,NAT什么的。
会用点 ifconfig,traceroute,iptable的。会配点路由器什么的更好,CCNA的水平足
够了。
PROTOCOL? |
|
B***S
发帖数: 73 | 16 Developer/DevOps
Must have solid knowledge of AWS Essentials(EC2, VPC, IAM, S3, etc)
Strong knowledge of Python and Java
Strong Linux/UNIX knowledge primarily,
- Process Management,
- File System Concepts,
- Basic System Administration (system startup/shutdown,
configuration),
- Shell Scripting (ksh or bash)
- System Firewalls(iptables)
Have knowledge of Configuration Management (preferably with Ansible)
Understanding of Security Best Practices
Solid Knowl... 阅读全帖 |
|
B***S
发帖数: 73 | 17 itle : Developer/DevOps
Description
Developer/DevOps
Must have solid knowledge of AWS Essentials(EC2, VPC, IAM, S3, etc)
Strong knowledge of Python and Java
Strong Linux/UNIX knowledge primarily,
- Process Management,
- File System Concepts,
- Basic System Administration (system startup/shutdown, configuration),
- Shell Scripting (kWh or bash) and
- System Firewalls(iptables)
Have knowledge of Configuration Management (preferably with Ansible)
Understanding of Security Best Practices
Solid Know... 阅读全帖 |
|
x******m
发帖数: 736 | 18 给postgre remote access,改了 pg_hba.conf, 加了host all all ipaddrss trust
。在postgresql.conf中listen_addresses = '*' 重起了postgres,还是不能remote
access,网上搜了无数,都是这么弄得。请教大家可能是什么原因。 iptables也看了
,没有block ip。 |
|
m****s
发帖数: 18160 | 19 【 以下文字转载自 JobHunting 讨论区 】
发信人: Nighthawk (Nighthawk), 信区: JobHunting
标 题: 招 cluster manager。 (转载)
发信站: BBS 未名空间站 (Thu Jan 31 22:18:28 2013, 美东)
发信人: Nighthawk (Nighthawk), 信区: Physics
标 题: 招 cluster manager。
发信站: BBS 未名空间站 (Thu Jan 31 22:16:37 2013, 美东)
有意者请站内信件。工资 $50-55k,职业有上升空间。
Job Description
Title: Linux System Administrator
Job Description: The Wake Forest School of Medicine (WFSM) high performance
computation facility (HPC) is looking for an intermediate level Linux System
Administrat... 阅读全帖 |
|
l*****u
发帖数: 12114 | 20 dd-wrt _CAN_ set upper limit of bandwidth by running an IPTable rule set,
very easy to do. I limit my PPStream lappy's bandwidth to 784/64, works
great.
个和 |
|
l*****u
发帖数: 12114 | 21 不是这么搞的,用DDWRT自带的图形界面控制貌似一定要付钱。你可以用iptables自己
搞个rule set,用上TC等。如果你听不太懂的话就用tomato吧。
2M |
|
t*******d
发帖数: 1530 | 22 用ip5的第一天就发现这一问题。wifi下听tunein radio听几分钟就短线,打开后发现
it is on 3G. 幸好tunein可以设置只用wifi。没有这种设置的app就要吃3G了。
用android就毫无压力,app不提供设置,还可以用系统level的iptables firewall来规
定app的traffic.
network, |
|
b***u
发帖数: 12010 | 23 这次回国三星期,深刻体会了GFW的不便。不能直接用facebook, mitbbs不说,google,
gmail还时不时随机性被盾。即使是非敏感网站,许多页面到浏览器时竟然被处理了,
整个页面被破坏的支离破碎,几乎不可读。例子有tomshardware, dealsea, aws。
回国几天后,忍不住弄了个securitales服务。但这个完全基于web,只能用browser。
凑合了几天,试了试在aws上起vpn。装daemon设iptables搞了半天没搞定,放弃。昨天
发现了个叫openvpn的东东,试了试无比好用。
步骤很简单。
1。起一个aws micro instance,分一个elastic ip。我用一个新加坡的。
2。aws里dkpg -i安装了,admin下设一下user access,hostname改成elastic ip
3。客户端可以直接连接了。windows, mac, iphone, android都有app。
连接成功后,facebook, mitbbs, youtube什么的app都能直接用。youtube标清很流畅
,hd跟不上。我家带宽估计本来... 阅读全帖 |
|
h*****0
发帖数: 4889 | 24 看帮我看看router问题吧:
场景:一个简单的DSL router(tomato 1.28 firmware),外面接着公网,里面是一个内
网。
内网中有两台电脑,其ip被固定为了FirstIP和SecondIP。
因为需要两台电脑一起玩游戏《星际争霸》(使用端口6112),所以可以用以下四行
iptables命令来解决问题。 |
|
w********9
发帖数: 8613 | 25
higher.
50.4% vs 27.5%, the national average.
http://factfinder.census.gov/servlet/IPTable?_bm=y&-geo_id=01000US&-
qr_name=ACS_2007_1YR_G00_S0201&-qr_name=ACS_2007_1YR_G00_S0201PR&-
qr_name=ACS_2007_1YR_G00_S0201T&-qr_name=ACS_2007_1YR_G00_S0201TPR&-
ds_name=ACS_2007_1YR_G00_&-
reg=ACS_2007_1YR_G00_S0201:035;ACS_2007_1YR_G00_S0201PR:035;ACS_2007_1YR_G
00_S0201T:035;ACS_2007_1YR_G00_S0201TPR:035&-_lang=en&-redoLog=false&-
format=.
More generally,
2,228,397/3,538,407 = 63.3% of the Chinese were b |
|
h*******x
发帖数: 12808 | 26 不用,公司里面的驱动的事情都是it的事,其他人就是会用就好了。
废了很大劲学会设置字体,或者配置驱动什么的,还不如学学awk,sed,shell script
或者iptables/lartc的用法好。日后无论管理网络,还是系统服务,用上的还是这些东
西。
悉系
问题 |
|
l******n
发帖数: 1683 | 27 悠悠要去搞的不是售后么, 客户问的问题当然可能五花八门了. 关键还是看位置的需求,
不过我个人认为你说的里面的至少awk, sed, iptables这些大概都不关他的事. 更有可
能有关系的是怎么装系统, 怎么装驱动, 怎么装软件这些事情.
script |
|
c******n
发帖数: 4965 | 28 anybody familiar with network layer could help me out?
Thanks
so
set |
|
|
|
|
V*R
发帖数: 79 | 32 感谢以上各位的回复。
@hosion & kevinphy: iptables 怎么用呢?我可以上网google一下,但是对mac下的命
令行之类的我还不太熟悉。有快速示例就好了。
@DM: 掐掉进来的数据跟屏蔽某个程序访问某些域名有点不同。还要允许该程序访问其
它域名,比如软件升级,只是禁止个别网址,比如广告之类的。
@aaaty: 我是在天天都在用Win7,但是有时候也需要用一下Mac OS。而且还有其他用
Mac的朋友也碰到了类似问题。 |
|
c******n
发帖数: 16666 | 33 嗯git是可以搞个
之前看看了svn 不知道为啥对内存要求蛮大的
vpn不难啊 pptp l2tp都是现成的 iptable注意下就是了
openvpn太麻烦就懒得搞了
给国内亲友用 自己下敏感内容时候也挂一下 |
|
b******6
发帖数: 572 | 34 【 以下文字转载自 Programming 讨论区 】
发信人: baobei76 (baobei), 信区: Programming
标 题: aws 选择哪个 Linux 好操作?
发信站: BBS 未名空间站 (Tue Mar 11 22:48:16 2014, 美东)
一年的免费玩玩,试了试,感觉 fedora是放弃了,19 和 20 遇到了很多问题。都是
iptables的,20是根本不工作,19是全打开。
问问大家都用什么?哪个文档多些?
我只是简单的架设web server。 |
|
x*****g
发帖数: 151 | 35 安全性方面,搞个HTTPS,买个证书,用nginx或者haproxy offload SSL/TLS, 自己装
个防火墙,像iptables, 只开HTTPS 443 端口。
在网上找个VPS, 应该很容易搞定。 |
|
x******m
发帖数: 736 | 36 给postgre remote access,改了 pg_hba.conf, 加了host all all ipaddrss trust
。在postgresql.conf中listen_addresses = '*' 重起了postgres,还是不能remote
access,网上搜了无数,都是这么弄得。请教大家可能是什么原因。 iptables也看了
,没有block ip。 |
|
w*****r
发帖数: 89 | 37 在netscreen,iptables以及无数低端firewall里
都可以实现一个简单功能
多个public ip指向同一个private ip
但是cisco asa这个高端firewall
比如俺已经把pub1和private1对应起来了
再想把pub2指向privte1,系统不让,说private1已经和pub1 nat了
call过cisco,他们也说不能
奶奶的,这么简单的事情,竟然不行?
郁闷ing |
|
c**t
发帖数: 2744 | 38 比如iptable, /etc/hosts.deny, /etc/hosts.allow, SeLinux .... |
|
z**r
发帖数: 17771 | 39 这个俺基本上了解,他从头到尾一直在跟踪报道,呵呵。主要是把网络components从
linux换到了专业设备,比如firewall从iptables换到了Cisco ASA,Linuxvirtualserver
换到了Foundry ServerIron,router换了些Juniper的好像,switch换了些Cisco的。至于
细节,就不知道了,厚厚
?
your |
|
w****n
发帖数: 241 | 40 Windows Internet Connection sharing
Linux iptables NAT
installed
installed |
|
z**r
发帖数: 17771 | 41 查了一下manual,没有qos功能,这个也太老了,哪只3、4年,恨不得6、7年的产品了
。你要是有台破pc的话,弄两块网卡,然后装个linux把pc弄成一个router,然后可以
用tc加上iptables做很多事情。tc的功能非常强大。 |
|
z**r
发帖数: 17771 | 42 查了一下manual,没有qos功能,这个也太老了,哪只3、4年,恨不得6、7年的产品了
。你要是有台破pc的话,弄两块网卡,然后装个linux把pc弄成一个router,然后可以
用tc加上iptables做很多事情。tc的功能非常强大。 |
|
j*****o
发帖数: 320 | 43 Equipment: PIX 515E (3 interfaces, 7.2(1))
Interface 1: net1, 192.168.1.0, security-level 50
Interface 2: net2, 192.168.2.0, security-level 75
Host 1: 192.168.1.11 (nat to an external IP address)
Host 2: 192.168.2.100 (HTTPD)
所有本地的IPTables/TCPWrapper都关掉了。
Cisco ASDM显示:
net1 (2 implict incoming rules)
any Any less secure networks ip permit implicit rule
any any ip deny implicit rule
net2 (2 implict incoming rules)
any Any less secure networks ip permit imp |
|
l***y
发帖数: 791 | 44 High performance for certain things, but only in certain scenarios. Not as
feature rich. Of course, if you're exactly those scenarios, and know a thing
or two about iptables, and like to tinker with opensource, then why not?
need, routing protocols, firewalling, site2site and remote access VPN (
especially GRE/IPsec), IPS/IDS, VoIP, QoS etc. I highly doubt that it can
compete with Cisco ISR in terms of performance,IOS is purposely built for
fast-switching packets after all, besides IPsec encryp |
|
z**r
发帖数: 17771 | 45 题是跑的越来越远了,好像最开始是讨论nxos和ios xe是不是理论上接近。你说的这个
VM给自己定了一个范围,就是host virtualization,而俺说的是network
virtualization,nxos里面的VDC,XR里面的SDR对于俺来说都是VM。
XE里把IOS里面的很多东西都拿出来重做了,比如nat,没错用户当然还是在IOS CLI里
configure,但是实际上和IOS NAT没有一点关系,完全独立于IOS的,叫ASRNAT,说白
了,其实好像就是iptables。包括syslog等等这些传统的control plane的东西,都从
IOS里拿出来重做,但是用户界面还比较接近于IOS。这样的例子有很多。这就是俺为啥
说看上去接近IOS,但是本质上IOS XE和IOS有非常大的区别。
不过俺同意你说的,要是从模块化角度看,xe肯定不如nxos/xr做的彻底,但是比ION还
是彻底。 |
|
x*********n
发帖数: 28013 | 46 你看看对不对?
因为查找iptable,按照destination iP address找,/32位的找到16位,就找到了,然
后就能ping通,反过来要没找到,就ping不通? |
|
n**********l
发帖数: 271 | 47 1. is your port 1194 UDP open?
# iptables -L -n | grep 1194
2. is your openvpn-server running?
top
3. server side log?
if you don't know where it is... go to your config file and check log-append
...
I suggest putting the log on /var instead of somewhere on /opt. Frequenty r/
w is bad for flash drives (it's slow anyway...) |
|
s*****g
发帖数: 1055 | 48 Not sure how puppet/chef has anything to do with SDN, puppet/chef is just a
server configuration management tool, can I say I am running SDN because I
am using puppet/chef to manage iptable or routing protocol configuration on
servers? |
|
|
x*********n
发帖数: 28013 | 50 是onsite吗?
security多半就是zone based firewall,
monitor system,
复习一下基础的,
比如IPS vs IDS,2个的架构是怎么样的,一个inline,一个是switch一边SPAN。
比如ACL,what is signature,
然后一些基础的linux,各个port# of TCP,linux下面iptable, |
|
