这是我最爱的姚老师给我们上的实验课，学到的干货多多，写篇博客记录一下，记录信息安全学习道路上迈进的重要的一步！其实本来今天是想继续学永恒之蓝漏洞的，但是由于我防火墙实践还没做完，做到一半，就是那个现在kali不能上网了，所以要先完成这个实验，才能继续实践永恒之蓝。本次实验的内容是：用kali作为交换机，连接两个网络（其实一个网络只有一台机器），通过实践去明白防火墙的原理。非常重要且困难的一步就是环境搭建，这个后面会详细记录操作。实验工具是kali集成的iptables介绍一下iptables的理论（这里很长且是复制粘贴，不理解也没关系，实践中会慢慢明白，但是我觉得这个理论介绍得非常好，所以记录

iptables防火墙命令操作#查看防火墙状态serviceiptablesstatus#停止防火墙serviceiptablesstop#启动防火墙serviceiptablesstart#重启防火墙serviceiptablesrestart#永久关闭防火墙chkconfigiptablesoff#永久关闭后重启chkconfigiptableson#开放某个区间端口iptables命令最后的ACCEPT表示公网可访问，换成whitelist则仅限服务器之间通过内网访问。#iptables-I：默认插入到第一行，原有规则后移。#iptables-A：默认追加到最后一行。iptables-A

iptables防火墙命令操作#查看防火墙状态serviceiptablesstatus#停止防火墙serviceiptablesstop#启动防火墙serviceiptablesstart#重启防火墙serviceiptablesrestart#永久关闭防火墙chkconfigiptablesoff#永久关闭后重启chkconfigiptableson#开放某个区间端口iptables命令最后的ACCEPT表示公网可访问，换成whitelist则仅限服务器之间通过内网访问。#iptables-I：默认插入到第一行，原有规则后移。#iptables-A：默认追加到最后一行。iptables-A

最近使用frp做跳板远程运维内网的服务器，尽管已经屏蔽了海外IP对vps服务器的访问，但是总觉得直接暴露远程管理的端口在互联网上还是不安全。于是想着用Ocserv做服务端先vpn拨进去在进行运维会安全很多。选择Ocserv的原因也是因为支持思科的anyconnect客户端，各大应用市场都不屏蔽比较具有易用性。然而在Centos8上安装Docker之后，Docker中再使用Ocserv容器的时候iptables不能正常工作。目前貌似资料不好找，特此做个笔记保留下。故障描述附上Docker-Ocserv作者Git：https://github.com/Pezhvak/docker-ocserv我很

最近使用frp做跳板远程运维内网的服务器，尽管已经屏蔽了海外IP对vps服务器的访问，但是总觉得直接暴露远程管理的端口在互联网上还是不安全。于是想着用Ocserv做服务端先vpn拨进去在进行运维会安全很多。选择Ocserv的原因也是因为支持思科的anyconnect客户端，各大应用市场都不屏蔽比较具有易用性。然而在Centos8上安装Docker之后，Docker中再使用Ocserv容器的时候iptables不能正常工作。目前貌似资料不好找，特此做个笔记保留下。故障描述附上Docker-Ocserv作者Git：https://github.com/Pezhvak/docker-ocserv我很

一、Docker的网络概念docker受一个github上的issue启发，引入了容器网络模型（containernetworkmodel，CNM），容器网络模型主要包含了3个概念network：网络，可以理解为一个Driver，是一个第三方网络栈，包含多种网络模式：单主机网络模式（none、host、bridge，joinedcontainer），多主机网络模式（overlay、macvlan、flannel）sandbox：沙盒，它定义了容器内的虚拟网卡、DNS和路由表，是networknamespace的一种实现，是容器的内部网络栈endpoint：端点，用于连接sandbox和netw

一、Docker的网络概念docker受一个github上的issue启发，引入了容器网络模型（containernetworkmodel，CNM），容器网络模型主要包含了3个概念network：网络，可以理解为一个Driver，是一个第三方网络栈，包含多种网络模式：单主机网络模式（none、host、bridge，joinedcontainer），多主机网络模式（overlay、macvlan、flannel）sandbox：沙盒，它定义了容器内的虚拟网卡、DNS和路由表，是networknamespace的一种实现，是容器的内部网络栈endpoint：端点，用于连接sandbox和netw

iptables是一个Linux内核中的包过滤工具，可以用来过滤、转发、修改、控制网络流量等。如果想要将主机的所有流量转发至其他机器，可以使用iptables进行配置。以下是具体步骤：1.首先需要在其他机器上开启转发功能，可以使用以下命令开启：echo1>/proc/sys/net/ipv4/ip_forward2.在主机上使用iptables将所有流量转发至其他机器。假设其他机器的IP地址为192.168.1.100，可以使用以下命令进行配置：iptables-tnat-APOSTROUTING-jMASQUERADEiptables-tnat-APREROUTING-jDNAT--to-d

iptables是一个Linux内核中的包过滤工具，可以用来过滤、转发、修改、控制网络流量等。如果想要将主机的所有流量转发至其他机器，可以使用iptables进行配置。以下是具体步骤：1.首先需要在其他机器上开启转发功能，可以使用以下命令开启：echo1>/proc/sys/net/ipv4/ip_forward2.在主机上使用iptables将所有流量转发至其他机器。假设其他机器的IP地址为192.168.1.100，可以使用以下命令进行配置：iptables-tnat-APOSTROUTING-jMASQUERADEiptables-tnat-APREROUTING-jDNAT--to-d

linux服务器默认通过22端口用ssh协议登录，这种不安全。今天想做限制，即允许部分来源ip连接服务器。案例目标：通过iptables规则限制对linux服务器的登录。处理方法：编写为sh脚本，以便多次执行。iptables.sh：iptables-IINPUT-ptcp--dport22-jDROP-mcomment--comment"ssh"#按ip范围区间开放iptables-IINPUT-ptcp-miprange--src-range172.18.163.227-172.18.163.232--dport22-jACCEPT-mcomment--comment"ssh"#按网段开放