前面两篇文章已经介绍过 tap/tun 的原理和配置工具。这篇文章通过一个编程示例来深入了解 tap/tun 的程序结构。
在云计算时代,虚拟机和容器已经成为标配。它们背后的网络管理都离不开一样东西,就是虚拟网络设备,或者叫虚拟网卡,tap/tun 就是在云计算时代非常重要的虚拟网络网卡。
在日常运维作业中,经常会碰到路由表的操作。下面就linux运维中的路由操作做一梳理: ------------------------------------------------------------------------------ 先说一些关于路由的基础知识: 1)路由概念 路由: 跨越从源主机到目标主机的一个互联网络来转发数据包的过程 路由器:能够将数据包转发到正确的目的地,并在转发过程中选择最佳路径的设备 路由表:在路由器中维护的路由条目,路由器根据路由表做路径选择 直连路由:当在路由器
注意: 本文中使用 ip 命令创建或修改的任何网络配置,都是未持久化的,主机重启即消失。
openshift封装了k8s,在网络上结合ovs实现了多租户隔离,对外提供服务时报文需要经过ovs的tun0接口。下面就如何通过tun0访问pod(172.30.0.0/16)进行解析(下图来自理解OpenShift(3):网络之 SDN,删除了原图的IP)
-I interface interface is either an address, or an interface name. If interface is an address, it sets source address to specified interface address. If interface in an interface name, it sets source interface to specified interface. For IPv6, when doing ping to a link-local scope address, link specification (by the '%'-notation in destination, or by this option) is required.
在内网中,如果攻击者使用 HTTP、DNS 等应用层隧道都失败了,那么或许可以试试网络层的 ICMP 隧道,ICMP 协议最常见的场景就是使用 ping 命令,而且一般防火墙都不会禁止 ping 数据包。
1 集群基础 1.1 集群简介 1.1.1 集群基础 场景需求 满足不了用户需求 集群:资源扩展的解决方案 解决方案 三轴扩展 x轴: 复制或者克隆的方式 y轴: 配置升级或者资源增强的方式 z轴: 通过业务梳理和资源整合的方式,实现细节单独部署的一种扩展方式 访问效果 浏览器 - dns解析 - 反向代理 - 负载均衡 - web应用 - 数据库 - 存储 1.1.2 集群类型 类型简介 高扩展集群 LB 共同支撑一个业务
为了OpenShift 集群中 pod 之间的网络通信,OpenShift 以插件形式提供了三种符合Kubernetes CNI 要求的 SDN实现:
ICMP隧道简单实用,是一个比较特殊的协议。在一般的通信协议里,如果两台设备要进行通信,肯定需要开放端口,而在ICMP协议下就不需要。最常见的ping命令就是利用的ICMP协议,攻击者可以利用命令行得到比回复更多的ICMP请求。在通常情况下,每个ping命令都有相应的回复与请求。
1. 判断是否包含tun0、tun1 public void isDeviceInTun() { try { List<NetworkInterface> all = Collections.list(NetworkInterface.getNetworkInterfaces()); for (NetworkInterface nif : all) { if (name.equals("tun0") ||
OpenVPN 是一款开源的 VPN(Virtual private network) 软件
疫情期间,二哥在家远程工作了。因为每天都要通过V**访问公司内部服务,二哥想起来,何不给大家介绍下V**的工作原理呢?V**协议有很多个,最典型的有IPSec和OpenV**,这里二哥只聊OpenV**。
以前在研究 k8s 网络的时候,很多东西都看不太懂,只是蜻蜓点水过一下,这段时间打算恶补一下虚拟网络方面的知识,感兴趣的不妨一起探讨学习一下。
这篇是对上一篇《tun设备的妙用-V**篇》的补充。有朋友问二哥能不能把 OpenV** server 端的细节也画出来。安排!
疫情期间,二哥在家远程工作了。因为每天都要通过VPN访问公司内部服务,二哥想起来,何不给大家介绍下VPN的工作原理呢?VPN协议有很多个,最典型的有IPSec和OpenVPN,这里二哥只聊OpenVPN。
今天是已经是放假的第17天了,2019肺炎还没有减弱的趋势,今日截至23点新增确诊3201例。国内大多公司至少是互联网公司目前都是一个远程办公的状态,一般都是给开V**账号拨号回公司网络。但大多V**都不支持多播如果有多台设备需要连回去,或者手机需要连回去就比较麻烦了。比较简单的方案就是使用路由器做V**拨号,但是呢这个非常时期也不是哪个路由器都支持V**拨号功能,现下单购买目前的物流也是个问题。还有一种解决方案就是用家里的其他电脑或设备拨号,路由器指定一条静态路由把公司的网段路由指向拨号电脑。这也就是传说中的旁线路由,这里为了省电我家用的是树莓派来实现此功能,超省电超稳定。教程使用openV**来举例,其他方式V**请举一反三。
在这篇文章中,你会了解到通过ICMP命令控制和ICMP隧道进行数据窃取的RED TEAM行动,使用这两种方法在网络中产生的畸形流量,有助于规避防火墙规则。
UDP在实际使用上可能会被QOS限速,但是在长距离、高延迟的VPN环境中还是可以发挥不错的效果,不容易出现TCP经常断连的情况。
网络 rz # 通过ssh上传小文件 sz # 通过ssh下载小文件 ifconfig eth0 down # 禁用网卡 ifconfig e
linux下添加路由的方法 一、查看及添加临时路由 1.查看路由(linux下) [root@nfs ~]# route #同netstat -rn Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.90.2 * 255.255.255.255 UH 0 0 0 tun0 192.168.80.0 * 255.255.255.0 U 0 0 0 eth0 192.168.10.0 * 255.255.255.0 U 0 0 0 eth1 192.168.90.0 192.168.90.2 255.255.255.0 UG 0 0 0 tun0 link-local * 255.255.0.0 U 1002 0 0 eth0 link-local * 255.255.0.0 U 1003 0 0 eth1 default 192.168.80.2 0.0.0.0 UG 0 0 0 eth0 注:windows查看路由命令:route print或netstat -rn 输出结果中各个字段的含义是: Destination表示路由的目标IP地址 Gateway表示网关使用的主机名或者是IP地址。上面输出的”*”表示没有网关。 Genmask表示路由的网络掩码 Flags是表示路由的标志。可用的标志及其意义是:U表示路由在启动,H表示target是一台主机,G表示使用网关,R表示对动态路由进行复位设置;D表示动态安装路由,M表示修改路由,!表示拒绝路由 Metric表示路由的单位开销量 Ref表示依赖本路由现状的其它路由数目 Use表示路由表条目被使用的数目 Iface表示路由所发送的包的目的网络 2.使用 route 命令添加 使用route 命令添加的路由,机器重启或者网卡重启后路由就失效了 方法: 添加到主机的路由 route add -host 192.168.168.110 dev eth0 route add -host 192.168.168.119 gw 192.168.168.1 添加到网络的路由 route add -net IP netmask MASK eth0 route add -net IP netmask MASK gw IP route add -net IP/24 eth1 添加默认网关 route add default gw IP 删除路由 route del -host 192.168.168.110 dev eth0 3.使用ip route添加路由 添加路由 ip route add 192.168.0.0/24 via 192.168.0.1 ip route add 192.168.1.1 dev 192.168.0.1 删除路由 ip route del 192.168.0.0/24 via 192.168.0.1 二、在linux下设置永久路由的方法: 1.在/etc/rc.local里添加 route add -net 192.168.3.0/24 dev eth0 route add -net 192.168.2.0/24 gw 192.168.3.254 2.在/etc/sysconfig/network里添加到末尾 方法:GATEWAY=gw-ip 或者 GATEWAY=gw-dev 3./etc/sysconfig/static-router : 这个是network脚本执行时调用的一个文件 any net x.x.x.x/24 gw y.y.y.y any net 192.168.3.0/24 gw 192.168.3.254 any net 10.250.228.128 netmask 255.255.255.192 gw 10.250.228.129 4.创建名为route- eth0的文件 vi /etc/sysconfig/network-script/route-eth0 在此文件添加如下格式的内容 192.168.1.0/24 via 192.168.0.1 5.查看经过的路由 linux查看经过的路由traceroute www.baidu.com windows查看经过的路由tracert -d www.baidu.com 三、开启 IP 转发: echo “1” >/proc/sys/net/ipv4/ip_forward (临时) vi /etc/sysctl.conf –> net.ipv4.ip_forward=1 (永久开启)
经过与海康技术支持battle,发现最终是我方错误,我方合成的sdp需要严格一些,不能多字段或者顺序错乱,其中invite的回复中我方多了u字段,有了此字段海康会parse err,去掉u字段即可。
pip在上期,我们讲到,对于私有化部署的容器平台,传统开源的calico,flannel等基于iptables/ipvs的容器插件无法同时满足以下几点
在前面一篇文章中,我们已经介绍了 tap/tun 的基本原理,本文将介绍如何使用工具 tunctl 和 ip tuntap 来创建并使用 tap/tun 设备。
根据官方 wiki 中Logging traffic[1]这篇文章的说明:从 Linux 内核 3.17 开始提供完整的日志支持。如果您运行较旧的内核,则必须 modprobe ipt_LOG 以启用日志记录。从 nftables v0.7 开始,支持 log 标志。
我曾经写过一篇和本文标题类似的文章《研究优雅停机时的一点思考》,上文和本文都有一个共同点:网卡地址注册和优雅停机都是一个很小的知识点,但是背后牵扯到的知识点却是庞大的体系,我在写这类文章前基本也和大多数读者一样,处于“知道有这么个东西,但不了解细节”的阶段,但一旦深挖,会感受到其中的奇妙,并有机会接触到很多平时不太关注的知识点。
openvpn可以方便地穿越nat,是替代pptp的好工具。但是openvpn也有配置证书的步骤繁多的难点,本文主要介绍几种安装openvpn的方法,以及ipv6 in ipv4的方法(客户端通过openvpn获取ipv6地址并上网)
本篇文章包含OpenVPN应用场景,OpenVPN服务端搭建,OpenVPN客户端搭建(windows+linux),OpenVPN密码认证,手把手教大家搭建OpenVPN!
DR方式是通过MAC,规模是一个交换网络。而TUN方式,是通过给数据包加上新的IP头部来实现,这个可以跨整个广域网。
1、ICMP隧道的建立同样是建立在ICMP未被防火墙禁用的情况下使用的,就是PING命令,其原理就是在ICMP报文传输的时候,替换其中的Data部分的数据,并且对端通过一样的工具进行ICMP畸形包的处理。从而将恶意流量隐藏在ICMP数据包中,形成ICMP隧道。
前言: 本文仅代表作者个人观点,用户生产上的Openshift网络规划,还要需要咨询红帽架构师或实施专家。本文仅作为参考,并且不对个案的结果负责。 本文的网络介绍,是基于Openshift3.6版本,此前版本的Opeshift在网络细节方面略有不同。 本文在书写过程中,咨询了红帽郭跃军、张春良、张亚光、周荣等专家,在此表示感谢! 在本文中OCP指:Openshift Container Platform、OCP Node指Openshift集群的计算节点。 整体架构 Openshift Container
在前面章节中学习两个vpp与内核协议栈建立通信实现frr/bgp、ospf动态路由的学习案例,其中vpp和kernel通信中都使用了tun/tap网络虚拟接口来进行。本人对网络设备虚拟化了解不足,也在学习之中,如有错误,欢迎指正。下面就来学习一下vpp中tap模块。
VPN客户端只能与InsideCli客户端网段通信,以及允许访问StorageSrv主机上的SAMBA服务;
OpenVPN是一种功能强大的开源虚拟私有网络(VPN)解决方案,可以在多种应用场景下使用。以下是几个常见的OpenVPN应用场景:
由于两台物理机的容器网段不同,我们完全可以将两台物理机配置成为路由器,并按照容器的网段配置路由表。
flannel有udp、vxlan和host-gw三种模式,udp模式因为性能较低现在已经比较少用到,host-gw我们在前面简单介绍过,因为使用场景比较受限,所以vxlan模式是flannel使用最多的模式,本章我们来介绍一下vxlan模式的原理。
下面面这一段这就是docker 的网络,我们可以看到它的网段是172.17.0.0段的。
在两个非同网段ip之间,必须经过路由器进行处理,才能互相通讯数据,但是这样会降低传输的速度,所以提出了隧道技术,即在两个非同一网段的真实主机上设置相关信息,直接进行通信。 首先要准备三台虚拟机。 (1)路由器 双网卡 (2)真实主机1 VMNET1 (3)真实主机2 VMNET2 首先要进行如下配置: (1)路由器 ip1 192.168.88.128 ip2 192.168.122.190 开启路由转发功能 (2)真实主机1 设置ip为192.168.88.129 设置网关为192.168.88.128 (3)真实主机2 设置ip为192.168.122.190 设置网关为192.168.122.128 做完上述准备工作后,进行如下操作: 现在我们已经可以通过路由器的方法去ping通两个跨网段的主机:
地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议
By HKL, on Thursday 2019-11-28 23:21, tagged: 🏷️Networking 🏷️Operating
首次通过单点登录系统(下称CAS)访问需求系统, 会等10s才能进入到需求系统的页面.
By HKL, on Thursday 2023-08-24 23:40, tagged: 🏷️Networking 🏷️Operating
本文将介绍如何配置OpenVPN服务器端的配置文件。在Windows系统中,该配置文件一般叫做server.ovpn;在Linux/BSD系统中,该配置文件一般叫做server.conf。虽然配置文件名称不同,但其中的配置内容与配置方法却是相同的。
Qu1ckdr0p2是一款功能强大的文件托管工具,在该工具的帮助下,广大研究人员可以快速通过HTTP或HTTPS托管包括Payload和后渗透代码在内的任何文件。
📷 ❝原文链接🔗:https://icloudnative.io/posts/wireguard-over-tcp-using-phantun/ 或者点击左下角的 阅读原文 直接查看原文👇 👉WireGuard 作为一个更先进、更现代的 VPN 协议,比起传统的 IPSec、OpenVPN 等实现,效率更高,配置更简单,并且已经合并入 Linux 内核,使用起来更加方便,简直就是 VPN 中的战斗机。越来越多的高人利用 WireGuard 实现很多奇奇怪怪的需求。例如国内与国外机器通过 WireGuard
OpenShift的OVS网络组件有三种模式:ovs-subnet、ovs-multitenant、ovs-networkpolicy。
[root@localhost logonuser]# cat /etc/sysconfig/iptables *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [26:3412] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-I
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
