HQY 一个和谐有爱的空间

一、禁用/停止自带的firewalld服务    1.停止firewalld服务    systemctl stop firewalld    2.禁用firewalld服务    systemctl mask firewalld二、安装iptable iptable-service    1.先检查是否安装了iptables    service iptables statu

tcp,udp都是网络传输协议，承载数据包传输的。tcp是可靠传输，有3次握手机制保证数据传输的可靠性。如果有丢包，则重新传数据。像FTP文件传送，远程登录，POP3电子邮件，这些都是基于TCP协议的，他们要保证传输的完整性。udp实时性较强，但可靠性不强，有丢包还继续传输，通常想语音，电话，视频是udp传输，偶尔丢几个包不影响通信。icmp是TCP/IP协议簇的一个子协议。不承载数据，不是用来传输用户数据，而是用来传递控制消息的，即：网络通不通、主机是否可达。ping命令就是基于ICMP的。c

在传统的网络结构中，每个子网都有一个网关，子网内的主机通过这个网关进行上网，网关进行地址转换，修改IP报文的源地址等，具体的原理有兴趣的百度一下就知道了。在传统机房内几乎都是有路由器的，而路由器也自带网关的功能，基本用不到自建NAT，但是在如今横行的公有云中，却是有着很大的需求，例如阿里云，阿里云内网中没有公网IP的电脑如何通过有公网IP的电脑进行上网，这就需要NAT网关。其他公有云也类似，这里以阿里云进行举例：在阿里云的传统网络中，是不支持自建NAT网关，配置SNAT的。只有在专有网络VPC中

官方文档RHELFIREWALLDFirewalld概述动态防火墙管理工具定义区域与接口安全等级运行时和永久配置项分离两层结构 核心层 处理配置和后端，如iptables、ip6tables、ebtables、ipset和模块加载器顶层D-Bus 更改和创建防火墙配置的主要方式。所有firewalld都使用该接口提供在线工具原理图 Firewalld与iptables对比firewalld 是 iptables 的前端控制器iptables 静态防火墙 任一策略变更需要rel

firewalld自身并不具备防火墙的功能，而是和iptables一样需要通过内核的netfilter来实现，也就是说firewalld和iptables一样，他们的作用都是用于维护规则，而真正使用规则干活的是内核的netfilter，只不过firewalld和iptables的结构以及使用方法不一样罢了。firewalld的配置模式firewalld的配置文件以xml格式为主（主配置文件firewalld.conf例外），他们有两个存储位置1、/etc/firewalld/ 用户配置文件2、/

例1：对外暴露1234端口firewall-cmd --permanent --add-port=1234/tcp1例2：使mysql服务的3306端口只允许192.168.1.0/24网段的服务器能访问#添加富规则firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp&

在 CentOS 7 中，引入了一个新的服务，Firewalld，下面一张图，让大家明确的了解 Firewall 与 iptables 之间的关系与区别。安装它，只需yum install firewalld如果需要图形界面的话，则再安装yum install firewall-config一、介绍防火墙守护 firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。它支持 ipv4 与 ipv6，并支持网桥，采用 firewall-c

一、firewalld 守护进程firewall-cmd命令需要firewalld进程处于运行状态。我们可以使用systemctl status/start/stop/restart firewalld来控制这个守护进程。firewalld进程为防火墙提供服务。当我们修改了某些配置之后（尤其是配置文件的修改），firewall并不会立即生效。可以通过两种方式来激活最新配置systemctl restart firewalld和firewall-cmd --reload两种方式，前一种是重启fir

1、iptables -L 查看filter表的iptables规则，包括所有的链。filter表包含INPUT、OUTPUT、FORWARD三个规则链。说明：-L是--list的简写，作用是列出规则。 2、iptables -L [-t 表名] 只查看某个表的中的规则。 说明：表名一共有三个：filter,nat,mangle，如果没有指定表名，则默认查看filter表的规则列表（就相当于第一条命令）。举例：iptables -L -t filter&n

问题背景：业务需要，针对业务需要不同地域的机构访问，所以需要在同一台机器上配置不同IP并配置不同网关，实现不用机构可以访问同一台服务器办理业务。系统环境：CentOS Linux7网络环境：服务器是VMware虚拟服务器，手动添加一块新网卡eth1，要求配置如下。eth0：10.0.7.2  　　gw ：10.0.7.254 　　 netmask：255.255.255.0eth1：168.6.101.2  gw ：168.6.101.254  netma

1、linux种类太多，每种设置IP和网关的方法不尽相同，不过检查方法相同netstat -rn2、你说的这种方法重起就丢了.在 rc.local 里面用 route add 或者(ip route add)添加行/sbin/route add -net 192.168.0.0/16 gw 10.1.1.2543、CentOS和RHEL为例，有的适合只有一个网关的情况，有些适合多个路由的情况a)vi /etc/sysconfig/networkGATEWAY=192.168.0.1b)

https://www.howtoing.com/libreswan-based-ipsec-vpn-using-preshared-and-rsa-keys/在本教程中，LibreSwan将安装在Ubuntu平台上。 LibreSwan是IPsec协议的开源实现，它基于FreeSwan项目，可以在RedHat的Linux发行版上使用该软件包。 然而，项目的源代码中给出了详细的说明，以便在其他Linux平台上进行编译。 安装过程之后，将配置基于网关的IPsec VPN网关，以保护数据从发送方到接

早在2005年，为解决国内办公室访问香港邮件服务器时连接被随机中断而产生大量重复邮件的问题，我们在香港IDC机房的NetScreen防火墙上部署了IPsec VPN服务器，国内员工电脑上安装VPN客户端软件，在发送邮件前先VPN拨号，虽然麻烦，但成功解决了问题。到了2007年，公司在Nasdaq上市，按照SOX法案要求，必须加强全球各办公室、机房的IT架构安全，我们将网络设备全部升级为Cisco的产品。当然，我最感兴趣的是Cisco的防火墙产品，它有一套完整的IPsec VPN解决方案。当时我们

第一步在阿里云或者腾讯云购买了一个ecs服务器。提前准备以下三点：记住服务器的公网ip在阿里云控制台的安全策略开放端口，建议全部开放，如果不开放，后面用到什么端口，就开放什么端口也行登陆服务器之后，关闭firewall或者防火墙，不关闭的话，也记得开放相应的端口，否则无法连接。上面提到的端口，不是固定的，如果用到什么端口你就配置什么端口，我为了不频繁配置端口，就选择开放全部端口，和关闭防火墙第二步域名需要备案。配置域名解析，给域名配置两条A解析记录a.test.com ->119.119.

一，需求与ngrok简介1）需求有时我们需要进行内网穿透，也就是说我们需要去访问和使用一些内网的机器；比方说，我在实验室有一台机器，而实验室的网络是内网（192.168.0.48），这个时候我想在宿舍的机器（172.18.61.246）去上对它进行ssh登录是做不到的，因为我宿舍的机器是跟实验室的网关是在同一个网段，但是跟实验室里面的机器不是在同一个网段的；所以为了方便我对实验室的机器进行ssh登录，需要使用内网穿透的工具；2）ngrokngrok它是一个反向代理，可以实现一个本地运行的服务被外

 asterisk 常用命令：　　通过asterisk -r 连接我们的asterisk.　　在CLI中常用的命令:sip show peers显示所有的SIP peers(包括friends)sip show users显示所有的SIP users(包括friends)sip show registry显示注册到的主机状态sip  set debug on/off开启/关闭调试信息module reload chan_sip

在阿里云上用脚本一键搭建好了freepbx13，但是在创建好sip分机之后，打电话没有声音，双方都听不到对方的声音。这个是nat问题。这里有个坑我提醒下大家，就是我们最好不要用台式电脑进行测试通话。有的台式机就是声卡驱动跟sip客户端不兼容还是怎么的，就是通话没有声音，但是你换笔记本测试就有声音了，所以当你在台式机测试发现没有声音的时候，你试试笔记本，看看是不是声卡驱动的问题。接下来讲讲由于nat导致的通话没有声音或者是通话自动挂断的问题。主要步骤：对分机设置nat模式 -----》sip_na

简单来说内网穿透的目的是：让外网能访问你本地的应用，例如在外网打开你本地http://127.0.0.1指向的Web站点。最近公司的花生壳到期了，要续费，发现价格一直在涨，都是5年以上的老用户，旗舰版都没有实现内网完全穿透，打算自己动手替换这个服务，中间走了不少的弯路，这里记录一些文字为大家提供参考。随着开发与运行移动互联网的应用越来越多对打通内外网的需要也更加迫切，如微信开发、IOS与Android开发等。虽然租用VPS、ECS等服务器可以解决很多问题但高性能的外网服务器价格非常贵还有数据安全

　　fail2ban可以监视你的系统日志，然后匹配日志的错误信息（正则式匹配）执行相应的屏蔽动作（一般情况下是防火墙），而且可以发送e-mail通知系统管理员！　　fail2ban运行机制：简单来说其功能就是防止暴力破解。工作的原理是通过分析一定时间内的相关服务日志，将满足动作的相关IP利用iptables加入到dorp（丢弃）列表一定时间。　　fail2ban 官方网址：http://www.fail2ban.org　　文章的主要内容： 1. 安装fail2ban   2.

 1005：创建表失败1006：创建数据库失败1007：数据库已存在，创建数据库失败<=================可以忽略1008：数据库不存在，删除数据库失败<=================可以忽略1009：不能删除数据库文件导致删除数据库失败1010：不能删除数据目录导致删除数据库失败1011：删除数据库文件失败1012：不能读取系统表中的记录1020：记录已被其他用户修改1021：硬盘剩余空间不足，请加大硬盘可用空间1022：关键字重复，更改记录失败1023