前边文章实现了只允许国内的IP地址来访问VPS，接下来我们使用fail2ban来防止SSH暴力破解。

fail2ban可以监视你的系统日志，然后匹配日志的错误信息（正则表达式匹配）执行相应的屏蔽动作（一般情况下是调用防火墙屏蔽）。比如有人在试探你的SSH、SMTP、FTP密码，只要达到你预设的次数，fail2ban就会调用防火墙屏蔽这个IP，而且可以发送e-mail通知系统管理员。

安装fail2ban

1

yum install fail2ban fail2ban-systemd

更改配置文件fail2ban

这里要注意的是所有.conf文件里面的配置信息都会被.local配置所覆盖。所以你会看到很多文档都创建了一个local文件。我这人比较爱使用原有配置文件。我是直接更改了 jail.conf

直接用iptables放行国内IP地址，禁用所有的策略先不说性能如何。看到iptables -L -n返回的4-5千行都要吐了。查了查有两个方案解决：

一、是用iptables的ipset插件；
二、是用iptables的xtables-addons插件加geoip地址库。

本文使用了前者。ipset是iptables的扩展,它允许你创建 匹配整个地址集合的规则。而不像普通的iptables链只能单IP匹配, ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找，除了一些常用的情况,比如阻止一些危险主机访问本机，从而减少系统资源占用或网络拥塞,IPsets也具备一些新防火墙设计方法,并简化了配置.官网：http://ipset.netfilter.org/

最近作为跳板机的VPS总被境外IP骚扰，一会儿德国，一会荷兰，一会俄罗斯扫啊扫的看着闹心。跳板机安装了Centos7操作系统使用frp对多个内网中设备进行管理。

最先想到了使用iptables只允许国内IP地址访问，方法如下：

到：https://www.ipdeny.com/ipblocks/ 下载国家的IP地址范围。

1

wget -O ~/cn.txt http://www.ipdeny.com/ipblocks/data/countries/cn.zone

停用系统自带firewalld服务

1
2

systemctl disable firewalld
systemctl stop firewalld

安装并且创建iptables规则：

为树莓派安装操作系统

下载官方操作系统Raspbian

通过官方https://www.raspberrypi.org/downloads/raspbian/下载页面可以下载最新的Raspbian官方系统目前（2020-4-10）基于Debian Buster，一共有三个版本。

• Raspbian Buster with desktop and recommended software（包含桌面和常用软件，可以理解为完全安装版本，推荐）
• Raspbian Buster with desktop（只包含桌面的精简版本）
• Raspbian Buster Lite（无桌面，只有命令行精简版本，推荐）

下载镜像写入工具，将Raspbian写入大于8G的SD卡中

在这里我推荐使用balenaEtcherhttps://www.balena.io/etcher/使用非常简单，只需要选择之前下载的镜像文件（可以直接选择zip文件不用解压缩）一路下一步灯带进度条走完就安装完毕了。

树莓派和LED灯带的调试

1.树莓派打开SPI驱动功能

1

pi@raspberrypi:~ $ sudo raspi-config

选择Interfacing Optinos---SPI---YES

确定SPI驱动已经加载

1
2

pi@raspberrypi:~ $ ls /dev/spidev0.*
/dev/spidev0.0  /dev/spidev0.1

这里两个spi接口设备，引脚19、21、23、24对应的设备文件为/dev/spidev0.0

在操作系统上直接部署安装zabbix太麻烦了，正好借这个机会研究学习下docker。

使用CentOS7最小安装进行后续配置。

配置各种源加快部署安装的速度

配置CentOS源和Zabbix安装程序的yum源

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

#安装系统需要的管理工具
yum install -y bind-utils net-tools wget unzip 
yum install -y yum-utils device-mapper-persistent-data lvm2
#配置使用阿里的centos源
mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
#使用阿里的docker源安装docker
sudo yum-config-manager --add-repo \
https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

sudo yum makecache fast
#安装免费社区版
sudo yum -y install docker-ce
systemctl start docker
#设置开机自动启动
systemctl enable docker

下载了zabbix现成的ISO文件用于安装避免了额外的配置。该系统基于Ubuntu16.04，安装完毕后有一些后续操作需要更改在这里做个记录。

系统需要进行的修改：

Linux默认用户名密码：appliance/zabbix

Web默认用户名密码：Admin/zabbix

1
2
3
4
5
6

appliance@zabbix:~$ lsb_release  -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 16.04.3 LTS
Release:        16.04
Codename:       xenial

设置IP地址和静态路由

1
2
3
4
5
6
7
8
9
10

appliance@zabbix:~$ sudo vi /etc/network/interfaces
auto ens32
iface ens32 inet static
address 136.1.1.19  #IP
netmask 255.255.255.0  #子网
gateway 136.1.1.12  #网关

up route add -net 136.0.0.0 netmask 255.0.0.0 gw 136.1.1.254  #设置静态路由

appliance@zabbix:~$ sudo service networking restart

Virtualbox不能随系统启动，网上的一些方法大多是要添加到用户的启动菜单中。这样还需要用户登录后才能启动。非常不方便。

参考了 https://superuser.com/questions/922993/how-to-run-a-headless-vm-with-vboxmanager-as-a-windows-service 文中提供两种方法：

1、通过NSSM创建windows服务调用vbox自带的VboxHeadless.exe免登陆启动虚拟机。

2、安装vboxvmservice实现开机免登陆启动虚拟机。这里我选择了第二种方法。

下载vboxvmservice默认安装后需要修改配置文件格式如下：

1
2
3
4
5
6
7
8
9

[Settings]
VBOX_USER_HOME=C:\Users\Administrator\.VirtualBox  #vbox默认配置文件位置一般不用更改
RunWebService=no
PauseShutdown=5000

[Vm0]         #多个虚拟机配置数字依次增加
VmName=testwin  #虚拟机名称
ShutdownMethod=savestate
AutoStart=yes  #随vboxvmservice启动该虚拟机

安装完如下图：

策略路由和路由策略

策略路由是尽管存在当前最优的路由，但是针对某些特别的主机(或应用、协议)不使用当前路由表中的转发路径而单独使用别的转发路径。在数据包转发的时候发生作用、不改变路由表中任何内容。

路由策略是根据一些规则，使用某种策略改变规则中影响路由发布、接收或路由选择的参数而改变路由发现的结果，最终改变的是路由表的内容。是在路由发现的时候产生作用。对路由表产生影响。

策略路由优先于路由策略，当前案例适用策略路由。

网络拓扑

需求

防火墙：防火墙A只为136.147.0.0/24、136.147.10.0/24地址范围的服务器提供互联网服务。防火墙B为其他所有用户提供可管理的互联网服务。

服务器接入交换机：只提供二层转发，通过端口vlan接入不同业务的服务器，服务器地址范围136.147.0.0/24、136.147.10.0/24。网关配置在核心交换机上。

运营商内网业务交换机：运营商专网交换机下挂客户端地址范围172.16.1.0/24、10.0.16.0/24。启用三层自身作为客户端网关，通过10.100.208.100/30上联核心交换机。

其他网段汇聚交换机：下挂集团公司各分支部门PC和POS客户端，地址分布在136.147.88.0-136.148.88.0等范围，规律是都分布在136.0.0.0/8地址范围内。启用三层功能作为客户端网关，通过136.160.1.8/30上联核心交换机。

在设备中看到下一跳地址是NULL0是怎么回事呢。

1

ip route-static vpn-instance 102 103.1.168.0 255.255.252.0 NULL0 description adv_route

NULL口是个伪接口(pseudo-interface),不能配地址，也不能被封装，它总是UP的，但是从来不转发或者接受任何通信量，对于所有发到该接口的通信量都直接丢弃。
比如说A和B是邻居
A连了三个网络192.168.1.0/24 192.168.2.0/24 192.168.3.0/24
然后在A上做了汇总192.168.0.0/16
A把这个汇总路由传给B
然后B传过来一个包，目的是192.168.4.0/24
如果，不是汇总到NULL0接口，看其过程：先分条细细匹配192.168.1.0/24 192.168.2.0/24 192.168.3.0/24，由于匹配不到，则匹配汇总路由192.168.0.0/16，则根据最长匹配原则，该分组与汇总路由匹配，那就出现了一种现象，如果这路由器有默认路由，则此包会沿默认路由转发分组。