0%

前边文章实现了只允许国内的IP地址来访问VPS,接下来我们使用fail2ban来防止SSH暴力破解。

fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则表达式匹配)执行相应的屏蔽动作(一般情况下是调用防火墙屏蔽)。比如有人在试探你的SSH、SMTP、FTP密码,只要达到你预设的次数,fail2ban就会调用防火墙屏蔽这个IP,而且可以发送e-mail通知系统管理员。

安装fail2ban

1
yum install fail2ban fail2ban-systemd

更改配置文件fail2ban

这里要注意的是所有.conf文件里面的配置信息都会被.local配置所覆盖。所以你会看到很多文档都创建了一个local文件。我这人比较爱使用原有配置文件。我是直接更改了 jail.conf

阅读全文 »

直接用iptables放行国内IP地址,禁用所有的策略先不说性能如何。看到iptables -L -n返回的4-5千行都要吐了。查了查有两个方案解决:

一、是用iptablesipset插件;
二、是用iptablesxtables-addons插件加geoip地址库。

本文使用了前者。ipsetiptables的扩展,它允许你创建 匹配整个地址集合的规则。而不像普通的iptables链只能单IP匹配, ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找,除了一些常用的情况,比如阻止一些危险主机访问本机,从而减少系统资源占用或网络拥塞,IPsets也具备一些新防火墙设计方法,并简化了配置.官网:http://ipset.netfilter.org/

阅读全文 »

最近作为跳板机的VPS总被境外IP骚扰,一会儿德国,一会荷兰,一会俄罗斯扫啊扫的看着闹心。跳板机安装了Centos7操作系统使用frp对多个内网中设备进行管理。

最先想到了使用iptables只允许国内IP地址访问,方法如下:

到:https://www.ipdeny.com/ipblocks/ 下载国家的IP地址范围。

1
wget -O ~/cn.txt http://www.ipdeny.com/ipblocks/data/countries/cn.zone

停用系统自带firewalld服务

1
2
systemctl disable firewalld
systemctl stop firewalld

安装并且创建iptables规则:

阅读全文 »

为树莓派安装操作系统

下载官方操作系统Raspbian

通过官方https://www.raspberrypi.org/downloads/raspbian/下载页面可以下载最新的Raspbian官方系统目前(2020-4-10)基于Debian Buster,一共有三个版本。

  • Raspbian Buster with desktop and recommended software(包含桌面和常用软件,可以理解为完全安装版本,推荐)
  • Raspbian Buster with desktop(只包含桌面的精简版本)
  • Raspbian Buster Lite(无桌面,只有命令行精简版本,推荐)

下载镜像写入工具,将Raspbian写入大于8G的SD卡中

在这里我推荐使用balenaEtcherhttps://www.balena.io/etcher/使用非常简单,只需要选择之前下载的镜像文件(可以直接选择zip文件不用解压缩)一路下一步灯带进度条走完就安装完毕了。

阅读全文 »

树莓派和LED灯带的调试

序号 设备名称
1 APA102 RBG灯带
2 树莓派
3 5.5mm 2.5mm 5V10ADC电源
4 DC转5.5mm 2.5mm接头

1.树莓派打开SPI驱动功能

1
pi@raspberrypi:~ $ sudo raspi-config

选择Interfacing Optinos---SPI---YES

确定SPI驱动已经加载

1
2
pi@raspberrypi:~ $ ls /dev/spidev0.*
/dev/spidev0.0 /dev/spidev0.1

这里两个spi接口设备,引脚19、21、23、24对应的设备文件为/dev/spidev0.0

阅读全文 »

在操作系统上直接部署安装zabbix太麻烦了,正好借这个机会研究学习下docker。

使用CentOS7最小安装进行后续配置。

配置各种源加快部署安装的速度

配置CentOS源和Zabbix安装程序的yum源

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
#安装系统需要的管理工具
yum install -y bind-utils net-tools wget unzip
yum install -y yum-utils device-mapper-persistent-data lvm2
#配置使用阿里的centos源
mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
#使用阿里的docker源安装docker
sudo yum-config-manager --add-repo \
https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

sudo yum makecache fast
#安装免费社区版
sudo yum -y install docker-ce
systemctl start docker
#设置开机自动启动
systemctl enable docker
阅读全文 »

下载了zabbix现成的ISO文件用于安装避免了额外的配置。该系统基于Ubuntu16.04,安装完毕后有一些后续操作需要更改在这里做个记录。

系统需要进行的修改:

Linux默认用户名密码:appliance/zabbix

Web默认用户名密码:Admin/zabbix

1
2
3
4
5
6
appliance@zabbix:~$ lsb_release  -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 16.04.3 LTS
Release: 16.04
Codename: xenial

设置IP地址和静态路由

1
2
3
4
5
6
7
8
9
10
appliance@zabbix:~$ sudo vi /etc/network/interfaces
auto ens32
iface ens32 inet static
address 136.1.1.19 #IP
netmask 255.255.255.0 #子网
gateway 136.1.1.12 #网关

up route add -net 136.0.0.0 netmask 255.0.0.0 gw 136.1.1.254 #设置静态路由

appliance@zabbix:~$ sudo service networking restart
阅读全文 »

Virtualbox不能随系统启动,网上的一些方法大多是要添加到用户的启动菜单中。这样还需要用户登录后才能启动。非常不方便。

参考了 https://superuser.com/questions/922993/how-to-run-a-headless-vm-with-vboxmanager-as-a-windows-service 文中提供两种方法:

1、通过NSSM创建windows服务调用vbox自带的VboxHeadless.exe免登陆启动虚拟机。

2、安装vboxvmservice实现开机免登陆启动虚拟机。这里我选择了第二种方法。

下载vboxvmservice默认安装后需要修改配置文件格式如下:

1
2
3
4
5
6
7
8
9
[Settings]
VBOX_USER_HOME=C:\Users\Administrator\.VirtualBox #vbox默认配置文件位置一般不用更改
RunWebService=no
PauseShutdown=5000

[Vm0] #多个虚拟机配置数字依次增加
VmName=testwin #虚拟机名称
ShutdownMethod=savestate
AutoStart=yes #随vboxvmservice启动该虚拟机

安装完如下图:

阅读全文 »

策略路由和路由策略

策略路由是尽管存在当前最优的路由,但是针对某些特别的主机(或应用、协议)不使用当前路由表中的转发路径而单独使用别的转发路径。在数据包转发的时候发生作用、不改变路由表中任何内容。

路由策略是根据一些规则,使用某种策略改变规则中影响路由发布、接收或路由选择的参数而改变路由发现的结果,最终改变的是路由表的内容。是在路由发现的时候产生作用。对路由表产生影响。

策略路由优先于路由策略,当前案例适用策略路由。

网络拓扑

需求

防火墙:防火墙A只为136.147.0.0/24、136.147.10.0/24地址范围的服务器提供互联网服务。防火墙B为其他所有用户提供可管理的互联网服务。

服务器接入交换机:只提供二层转发,通过端口vlan接入不同业务的服务器,服务器地址范围136.147.0.0/24、136.147.10.0/24。网关配置在核心交换机上。

运营商内网业务交换机:运营商专网交换机下挂客户端地址范围172.16.1.0/24、10.0.16.0/24。启用三层自身作为客户端网关,通过10.100.208.100/30上联核心交换机。

其他网段汇聚交换机:下挂集团公司各分支部门PC和POS客户端,地址分布在136.147.88.0-136.148.88.0等范围,规律是都分布在136.0.0.0/8地址范围内。启用三层功能作为客户端网关,通过136.160.1.8/30上联核心交换机。

阅读全文 »

在设备中看到下一跳地址是NULL0是怎么回事呢。

1
ip route-static vpn-instance 102 103.1.168.0 255.255.252.0 NULL0 description adv_route

NULL口是个伪接口(pseudo-interface),不能配地址,也不能被封装,它总是UP的,但是从来不转发或者接受任何通信量,对于所有发到该接口的通信量都直接丢弃。
比如说A和B是邻居
A连了三个网络192.168.1.0/24 192.168.2.0/24 192.168.3.0/24
然后在A上做了汇总192.168.0.0/16
A把这个汇总路由传给B
然后B传过来一个包,目的是192.168.4.0/24
如果,不是汇总到NULL0接口,看其过程:先分条细细匹配192.168.1.0/24 192.168.2.0/24 192.168.3.0/24,由于匹配不到,则匹配汇总路由192.168.0.0/16,则根据最长匹配原则,该分组与汇总路由匹配,那就出现了一种现象,如果这路由器有默认路由,则此包会沿默认路由转发分组。

阅读全文 »