ros防火墙

ros的防火墙非常灵活,如果配上正则表达式则更为强大,

防火Q过滤功能有三个默认的数据链chainsinput, forward和output 他们分别负责从哪里进入路由器的、通过路由器转发的与从路由器发出的数据。用户也可用自定义添加链当然这些链没有默认的传输配置需要在三条默认的链中对action=jump策略中相关的jump-target进行配置。

例:

建立新的跳转数据链chains

add chain=forward protocol=tcp action=jump jump-target=tcp(新数据链名)   

add chain=forward protocol=udp action=jump jump-target=udp   

add chain=forward protocol=icmp action=jump jump-target=icmp     

建立tcp-chain并拒绝一些tcp端口

add chain=tcp protocol=tcp dst-port=69 action=drop comment=”deny TFTP”  

add chain=tcp protocol=tcp dst-port=111 action=drop comment=”deny RPC portmapper”   add chain=tcp protocol=tcp dst-port=135 action=drop comment=”deny RPC portmapper”   add chain=tcp protocol=tcp dst-port=137-139 action=drop comment=”deny NBT”  

 add chain=tcp protocol=tcp dst-port=445 action=drop comment=”deny cifs”   

add chain=tcp protocol=tcp dst-port=2049 action=drop comment=”deny NFS”   

add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment=”deny NetBus”   add chain=tcp protocol=tcp dst-port=20034 action=drop comment=”deny NetBus”   

add chain=tcp protocol=tcp dst-port=3133 action=drop comment=”deny BackOriffice”   add chain=tcp protocol=tcp dst-port=67-68 action=drop comment=”deny DHCP”      

在udp-chain中拒绝非法的udp端口Deny udp ports in udp chain:

add chain=udp protocol=udp dst-port=69 action=drop comment=”deny TFTP”   

add chain=udp protocol=udp dst-port=111 action=drop comment=”deny PRC portmapper”   add chain=udp protocol=udp dst-port=135 action=drop comment=”deny PRC portmapper”   add chain=udp protocol=udp dst-port=137-139 action=drop comment=”deny NBT”   

add chain=udp protocol=udp dst-port=2049 action=drop comment=”deny NFS”  

在防火墙Layer7-protocol目录下你可以添加正则表达式字符串协议定义他们的名称并在防火墙filter目录下丢弃他们的数据。针对一些应用程序如skype、QQ、MSN、魔兽世界……网络程序做限制和过滤

DMZ 配置事例

路由器一般需要3张网卡Public公网Local本地网络DMZ-Zone非军事区

给相应的Interface添加对应的IP地址如下

[admin@gateway] ip address> print

Flags: X – disabled, I – invalid, D – dynamic

#   ADDRESS            NETWORK         BROADCAST       INTERFACE

0   192.168.0.2/24     192.168.0.0     192.168.0.255   Public  

1   10.0.0.254/24      10.0.0.0        10.0.0.255         Local  

2   10.1.0.1/32        10.1.0.2        10.1.0.2            DMZ-zone  

3   192.168.0.3/24     192.168.0.0     192.168.0.255     Public

配置DMZ服务器的IP地址为IP地址10.1.0.2网络地址段10.1.0.1/24以及网关10.1.0.1  

配置能从因特网访问DMZ服务的dst-nat规则将地址192.168.0.3配置给DMZ服务器 [admin@gateway] ip firewall nat> add chain=dst-nat action=dst-nat \ \… dst-address=192.168.0.3 to-dst-address=10.1.0.2

为网络192.168.0.0/24的所有客户端添加一个限制下载流量为2Mb上传流量1Mb的简单队列规则。  

[admin@MikroTik] queue simple> add name=Limit-Local target-address=192.168.0.0/24 max-limit=1000000/2000000

这里不想让服务器192。168。0。1受到我们添加上面规则的任何流量限制我们可以通过添加一个没有任何限制的规则max-limit=0/0代表没有任何限制并把它移到列表的顶部 [admin@MikroTik] queue simple> add name=Server target-addresses=192.168.0.1/32

Queue tree HTB实

通过用new-connection-mark标记向外的连接并采取mark-connection动作。当这个完成时你可以使用new-packet-mark标记属于这个连接的所有数据包并采用mark-packet。 首先VIP数据标记我们通过ip firewall address-list定义VIP用户的地址列表定义完成后通过src-address-list调用

     chain=forward action=mark-connection new-connection-mark=vip       passthrough=yes src-address-list=vip   

     chain=forward action=mark-packet new-packet-mark=vip passthrough=no       connection-mark=vip

跟着定义web数据这里我们需要针对访问网页的tcp/80端口和域名解析的DNS端口tcp/53和udp/53端口标记

2   ;;; web      chain=forward action=mark-connection new-connection-mark=web       passthrough=yes protocol=tcp dst-port=80    

3   chain=forward action=mark-connection new-connection-mark=web       passthrough=yes protocol=tcp dst-port=53    

4   chain=forward action=mark-connection new-connection-mark=web       passthrough=yes protocol=udp dst-port=53    

5   chain=forward action=mark-packet new-packet-mark=web passthrough=no       connection-mark=web

标记数据完成后我们进入queue tree中对数据进行优先级的配置

我们进入forward链表添加一条跳转的规则将forward中所有数据首先进入dstgames的链表过滤一次将游戏分离出来 /ip firewall mangle add chain=forward action=jump jump-target=dstgam

连接标记用于区分网页视频的速率 chain=forward action=mark-connection new-connection-mark=web_video passthrough=yes protocol=tcp dst-port=80 connection-bytes=700000-0 connection-rate=70k-10

HTB令牌桶方式控制各个数据的优先级并通过PCQ动态分配带宽我们进入queue的tree设置HTB但我们首先还是要先设置PCQ参数 进入queue type添加PCQ规则我们添加一个down的PCQkind= pcqrate设置每台主机的带宽这里我们选择0即动态分配带宽你也可以设置一个固定值以k或者m为单位选择dst-address为下行的规则

masquerade – 以一个路由策略自动分配的IP地址取代IP包的源地

netmap – 创造一个IP地址从一端到另一端的静态11映像。通常用于分配公用IP地址到专用内网的主机上

passthrough – 忽略次条规则并转到下一个规则

redirect – 把IP包的目的地址替换成一个路由器的本地地址

对公用接口添加公用IP /ip address add address=10.5.8.200/24 interface=Public       添加允许外部网络访问本地服务器的规则 /ip firewall nat add chain=dstnat dst-address=10.5.8.200 action=dst-nat \  to-addresses=192.168.0.109

如果你想从公用IP子网11.11.11.1/32访问本地的2.2.2.2/32你应该使用目的地址翻译以及源地址翻译特性设置action=netmap。

/ip firewall nat add chain=dstnat dst-address=11.11.11.1 \  action=netmap to-addresses=2.2.2.2  

/ip firewall nat add chain=srcnat src-address=2.2.2.2 \  action=netmap to-addresses=11.11.11.1

。Mangle标记仅存在于该路由器中他们无法传输到网络中去。 根据数据传输方式不同可以选择

? Prerouting路由前常用于标记策略和端口路由

? Input进入路由器的数据

? Foreward通过路由转发用于修改TTL、TCP-MSS和流量控制规则   

? Output数据输出

? Prostrouting路由后

标记IP数据流的三种类型这三种类型会在各种应用中多次出现特别是Queue的流量控制和ip route的路由

? Mark-connection标记所有IP流的连接

? Mark-packet标记IP流中数据包

? Mark-routing标记IP流中IP数据包的路由信息

三种类型的关系所有的在IP数据包传输前首先需要通过建立TCP/UDP连接进行传输。所以当数据通过IP流进入Mangle后建立相应的连接标记并从连接标记中提取数据包做处理

虚拟机Centos下安装宝塔面板

在虚拟机上安装宝塔面板,因为不能直接复制代码,于是手工输入:

    yum install -y wget && wget -o install.sh http://download.bt.cn/install/install_6.0.sh && sh install.sh

报错如下:
loaded plugins:fastestmirror
loading mirror speeds from cached hostfile
base:mirrors.cn99.com
extras:mirrors.aliyun.com
updates:mirrors.aliyun.com
package wget-1.14-18.e17_6.1.x86_64 already installed and latest version
nothing to do
install.sh:line 1:–2020-02-29:command not found
install.sh:line 2:syntax error near unexpected token “(“
install.sh:line 2:resolving download.bt.cn

折腾好长时间都没解决,突然想到Linux对大小写敏感(我是个刚入Linux门的菜鸟),而这代码里有个“o”,一般是看不出来大小写
3sfTzQ.jpg

于是把o改成大写

yum install -y wget && wget -O install.sh http://download.bt.cn/install/install_6.0.sh && sh install.sh

OK!
醉了。

Kali Linux 2020起使用root用户权限

2020版本较之前有个较大的不同的地方就是它不再是默认root用户登录,这算是它的一个革新,然而我们在终端操作命令的时候还是需要root用户,2020的安装过程中,系统提示我们创建一个用户,非root,这并不方便,切换方法学习UBUNTU系统的配置如下:

sudo passwd root 如果是第一次进则设置root的密码

su root 以后就可以用此命令使用root权限了。

Centos7.6自动安装指南

这个安装教程为玩客云(网心)202008月提供,为该公司CDN所用生产环境。

一、系统及分区要求

  1. 系统版本centos7.6,系统盘使用大于200G的SSD硬盘;
  2. 不要使用LVM分区,硬盘不要做RAID;
  3. 带RAID卡的机器可以用直通方式,或者每个盘做1个raid0组;
  4. 系统分区要求:

/boot分区10G,

/boot/efi分区1G(非必须,uefi启动方式所需分区 )

/swap分区20G,

/根分区使用剩余所有空间;

、优化机器性能的设置

1. 关闭cpu节能模式

设置方法:https://www.cnblogs.com/larrypeng/p/11880631.html

2. 打开CPU超线程的功能(需要CPU支持)

开机进入BIOS,然后选择ADVANCECPU Configuration→Hyper Treading Technology,选择Enabled

3. 带阵列卡的机器打开磁盘cache

设置方法: https://www.cnblogs.com/larrypeng/p/11880693.html

三、制作安装U盘

安装系统时删除服务器中的文件,请确认文件已有离线备份。默认安装选项选择第一块硬盘自动分区安装系统,因系统识别到的顺序和槽位序号可能不一致,安装时只将系统盘安装至服务器上,其它磁盘暂时不要安装在服务器,以免系统安装在错误的磁盘上面。

  1. 下载系统安装ISO文件
http://180.97.87.29:9090/iso/CentOS7.6_auto_install_20200506.iso

MD5: d4bd41f24ef540bbd767ca0c56dbd09c

SHA1: f32e7ad0fd3bc363037633a8ec4c2d62d520587b

下载文件校验工具,检验光盘完整性::

http://180.97.87.29:9090/iso/hash.zip
  1. 制作U盘系统安装盘,推荐使用软件rufus,可以官网下载(http://rufus.akeo.ie/)

Rufus3.8下载链接:https://github.com/pbatard/rufus/releases/download/v3.8/rufus-3.8.exe

电脑插上U盘,运行rufus, 选择U盘,选择系统镜像文件,点“开始”, 写入方式有ISO镜像模式和DD镜像模式两种,其中ISO镜像模式写入的U盘还可以写入其他文件,和一般U盘无区别,但兼容性较差,推荐DD镜像模式,但该模式写入后,windows下将不识别,仅可用于系统安装(参考下图)。

四、安装系统

服务器插上制作好的U盘,设置为U盘引导启动,进入如下图安装界面,使用默认第1项进行自动安装,安装完成后,拨下U盘, 重新启动服务器。

方法1: 推荐使用第1项自动安装,

默认在sda自动分区安装系统,为避免系统安装到其它数据磁盘上面,其它磁盘暂时不要安装在服务器。

安装完成,点“重启”系统后。系统默认登录账号:root 密码:china123 登录系统后,请立即修改一个复杂密码,以防被黑客攻击。建议执行如下两条命令设置防火墙。

wget http://180.97.87.29:9090/tool/sshd_set.sh -O /tmp/sshd_set.sh

sh /tmp/sshd_set.sh

参考此文档下面第五部分配置网络.

方法2:使用第2项手动分区安装系统

分区要求:

/boot 分区10G,

/boot/efi 分区1G(非必须,uefi启动方式所需分区 )

/swap 分区20G,

/ 根分区使用剩余所有空间;

1)安装系统时选择第二项手动分区项,如下图;

2) 会提示需要指定安装位置,如下图,点击”安装位置”

3) 选择要安装的系统盘(只保持系统盘选中即可),并选中“我要配置分区” 项; 点“完成”

4)使用标准分区,点 “+” 添加分区;

5) 添加boot分区10G;

6) 如果使用uefi的方式启动,需要为/boot/efi创建单独的分区,并且文件系统为EFI System Partition(默认是此类型,不需要修改)

7) 添加swap分区20G

8) 添加“ / ”根分区,期望容量为空,表示使用所有剩余空间;

9) 配置完之后点击“完成”,在弹出的对话框中点击“接受更改” 如下图;

10)点击“开始安装”

11)完成之后重启

系统默认登录账号:root 密码:china123 登录系统后,请立即修改一个复杂密码,以防被黑客攻击。

参考此下面章节第五部分配置网络

五、网络配置。

1)输入命令ip addr 查看网卡设备名称:

2)例如网卡设备名称为eth0, 用vi命令编辑网卡配置文件, 设置IP,掩码,网关,DNS。其中NAME和DEVICE 后面的名字按实际的网卡名字填写。

# cd /etc/sysconfig/network-scripts

# vi ifcfg-eth0

打开文件后按“i”键切换至编辑模式,修改以下相关内容,标颜色的部分按实际情况修改。编辑完成后,按”Esc”退出编辑模式,输入“: wq” 保存退出。

TYPE=Ethernet

DEVICE=eth0

NAME=eth0

BOOTPROTO=static

ONBOOT=yes

IPADDR=192.168.1.200

NETMASK=255.255.255.0

GATEWAY=192.168.1.1

DNS1=114.114.114.114

修改完成后重启网络服务

# systemctl restart network

4)ping测试能通外网,可以通过ssh连接服务器。

ping fs.xyz00.top 能通

六、安全加固

建议执行如下命令设置防火墙

执行 yum install -y wget && wget http://fs.xyz00.top:3195/sshd_set.sh && sh sshd_set.sh

内容如下:

!/bin/bash

sshd_conf_file=’/etc/ssh/sshd_config’
sshd_port=60001

modify port of sshd

sed ‘s/Port .*$/Port ‘${sshd_port}’/g’ $sshd_conf_file

set iptables

iptables -A INPUT -m state –state NEW -m tcp -p tcp –dport ${sshd_port} -j ACCEPT

restart sshd service

systemctl restart sshd

sshd white list

cat <<-EOF > /etc/hosts.allow
sshd:121.10.120.171 112.90.17.2 42.51.169.10 111.7.132.211
sshd:123.150.173.82 125.39.70.82
sshd:123.150.173.130 125.39.70.130 61.155.184.3 112.87.43.3
sshd:192.168.0.0/255.255.0.0
sshd:172.16.0.0/255.224.0.0
sshd:10.0.0.0/255.0.0.0
EOF

爱快技能

安装,做好启动U盘再选 自定义ISO安装,如老毛桃可新建一个MYEXT文件夹,把爱快的ISO文件放里面,再进WINPE时选 自定义ISO

一个Lan下不同的Vlan可拔号的同时也可dhcp,但dhcp的在定义Vlan时要写网关,拔号时可不填网关

选项卡特效

不用看了,其实在Elementor中的


Unlimited Elements for Elementor 中有很多小工具,其中就有这个特效,
(2020.9.8更新文章)

Tabby Responsive Tabs使用方式很簡單,在 控制台/已安裝外掛 啟用 Tabby Responsive Tabs 之後,在文章使用下面的 wordpress shortcode 即可.

[tabby title=”First Tab”]
Tabby ipsum dolor sit amet, kitty sunbathe dolor, feed me.
[tabby title=”Second Tab”]
Lay down in your way catnip stuck in a tree, sunbathe kittens.
[tabby title=”Third Tab”]
sleep in the sink climb the curtains attack, give me fish.
[tabbyending]

WP发邮件

在WP申请后一般是不能发邮件的,比如如果后台密码忘记,则因为发不了密码而无法找回密码,另在UpdraftPlus中设置了把备份发邮箱,也要以下操作,做了联系表单要提交也是发邮件给管理员

要可以发邮件,可以到如QQ邮箱的设置里打开SMTP功能,然后要在同一个界面生成授权码,

   然后下载插件,WP Mail SMTP更好,但也可以用Easy WP SMTP,后面这个可以手工一封封邮件来发,

插件设置好相关参数,如端口是tls用587,ssl用465,然后用户名用邮箱名,密码用授权码,设置好就可以发邮件了,

wp记几个主题

Power Magazine 等https://wordpress.org/themes/author/theme404/都可导入DEMO

在主题库中搜索One Click Demo Import相关,这些都是可以导入DEMO的, 比如找到的iCare这个主题,启用这个主题后,外观中会出现这个主题,进去后在Actions Required把这个主题要求的插件都安装并启用,再点进导入DEMO的插件,点import Demo Data来把DEMO导入就可以了

类似的可以先装插件ThemeGrill Demo Importer,然后在插件页按提示可以选主题,然后在外观下新出来的demo importer中导入主题的DEMO

Vantage 主题安装后会要求安装SiteOrigin Page Builder ,SiteOrigin Widgets Bundle,SiteOrigin CSS,安装后在外观的“主页”设置主页样式,并可以加入很多小工具

suki 支持Suki Sites Import直接导入

Magbook

Newsup NewsDot Newsberg

Innovation Lite