简单粗暴Centos7网络加固(三)
前边文章实现了只允许国内的IP地址来访问VPS,接下来我们使用fail2ban来防止SSH暴力破解。
fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则表达式匹配)执行相应的屏蔽动作(一般情况下是调用防火墙屏蔽)。比如有人在试探你的SSH、SMTP、FTP密码,只要达到你预设的次数,fail2ban就会调用防火墙屏蔽这个IP,而且可以发送e-mail通知系统管理员。
安装fail2ban
1 | yum install fail2ban fail2ban-systemd |
更改配置文件fail2ban
这里要注意的是所有.conf文件里面的配置信息都会被.local配置所覆盖。所以你会看到很多文档都创建了一个local文件。我这人比较爱使用原有配置文件。我是直接更改了 jail.conf
简单粗暴Centos7网络加固(二)
直接用iptables放行国内IP地址,禁用所有的策略先不说性能如何。看到iptables -L -n返回的4-5千行都要吐了。查了查有两个方案解决:
一、是用iptables的ipset插件;
二、是用iptables的xtables-addons插件加geoip地址库。
本文使用了前者。ipset是iptables的扩展,它允许你创建 匹配整个地址集合的规则。而不像普通的iptables链只能单IP匹配, ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找,除了一些常用的情况,比如阻止一些危险主机访问本机,从而减少系统资源占用或网络拥塞,IPsets也具备一些新防火墙设计方法,并简化了配置.官网:http://ipset.netfilter.org/
简单粗暴Centos7网络加固(一)
最近作为跳板机的VPS总被境外IP骚扰,一会儿德国,一会荷兰,一会俄罗斯扫啊扫的看着闹心。跳板机安装了Centos7操作系统使用frp对多个内网中设备进行管理。
最先想到了使用iptables只允许国内IP地址访问,方法如下:
到:https://www.ipdeny.com/ipblocks/ 下载国家的IP地址范围。
1 | wget -O ~/cn.txt http://www.ipdeny.com/ipblocks/data/countries/cn.zone |
停用系统自带firewalld服务
1 | systemctl disable firewalld |
安装并且创建iptables规则:
树莓派到手无显示器初始配置
为树莓派安装操作系统
下载官方操作系统Raspbian
通过官方https://www.raspberrypi.org/downloads/raspbian/下载页面可以下载最新的Raspbian官方系统目前(2020-4-10)基于Debian Buster,一共有三个版本。

- Raspbian Buster with desktop and recommended software(包含桌面和常用软件,可以理解为完全安装版本,推荐)
- Raspbian Buster with desktop(只包含桌面的精简版本)
- Raspbian Buster Lite(无桌面,只有命令行精简版本,推荐)
下载镜像写入工具,将Raspbian写入大于8G的SD卡中
在这里我推荐使用balenaEtcherhttps://www.balena.io/etcher/使用非常简单,只需要选择之前下载的镜像文件(可以直接选择zip文件不用解压缩)一路下一步灯带进度条走完就安装完毕了。

树莓派流光溢彩(一)
用docker来安装zabbix总结
在操作系统上直接部署安装zabbix太麻烦了,正好借这个机会研究学习下docker。
使用CentOS7最小安装进行后续配置。
配置各种源加快部署安装的速度
配置CentOS源和Zabbix安装程序的yum源
1 | #安装系统需要的管理工具 |
zabbix问题总结
下载了zabbix现成的ISO文件用于安装避免了额外的配置。该系统基于Ubuntu16.04,安装完毕后有一些后续操作需要更改在这里做个记录。
系统需要进行的修改:
Linux默认用户名密码:appliance/zabbix
Web默认用户名密码:Admin/zabbix
1 | appliance@zabbix:~$ lsb_release -a |
设置IP地址和静态路由
1 | appliance@zabbix:~$ sudo vi /etc/network/interfaces |
让virtualbox虚拟机随系统自动运行
Virtualbox不能随系统启动,网上的一些方法大多是要添加到用户的启动菜单中。这样还需要用户登录后才能启动。非常不方便。
参考了 https://superuser.com/questions/922993/how-to-run-a-headless-vm-with-vboxmanager-as-a-windows-service 文中提供两种方法:
1、通过NSSM创建windows服务调用vbox自带的VboxHeadless.exe免登陆启动虚拟机。
2、安装vboxvmservice实现开机免登陆启动虚拟机。这里我选择了第二种方法。
下载vboxvmservice默认安装后需要修改配置文件格式如下:
1 | [Settings] |
安装完如下图:

华为交换机策略路由应用案例
策略路由和路由策略
策略路由是尽管存在当前最优的路由,但是针对某些特别的主机(或应用、协议)不使用当前路由表中的转发路径而单独使用别的转发路径。在数据包转发的时候发生作用、不改变路由表中任何内容。
路由策略是根据一些规则,使用某种策略改变规则中影响路由发布、接收或路由选择的参数而改变路由发现的结果,最终改变的是路由表的内容。是在路由发现的时候产生作用。对路由表产生影响。
策略路由优先于路由策略,当前案例适用策略路由。
网络拓扑

需求
防火墙:防火墙A只为136.147.0.0/24、136.147.10.0/24地址范围的服务器提供互联网服务。防火墙B为其他所有用户提供可管理的互联网服务。
服务器接入交换机:只提供二层转发,通过端口vlan接入不同业务的服务器,服务器地址范围136.147.0.0/24、136.147.10.0/24。网关配置在核心交换机上。
运营商内网业务交换机:运营商专网交换机下挂客户端地址范围172.16.1.0/24、10.0.16.0/24。启用三层自身作为客户端网关,通过10.100.208.100/30上联核心交换机。
其他网段汇聚交换机:下挂集团公司各分支部门PC和POS客户端,地址分布在136.147.88.0-136.148.88.0等范围,规律是都分布在136.0.0.0/8地址范围内。启用三层功能作为客户端网关,通过136.160.1.8/30上联核心交换机。