Zavier's Blog

zavierlab.com

在Linux主机下配置基于源IP的策略路由

Linux系统自带的ip命令功能十分强大,选项也十分丰富,在使用Linux主机当网关,多ISP接入的环境下,常用的方式就是根据AS号来选择路由,即多用户共同使用一张路由表。而因系统自带的默认路由无法根据源IP进行选路,所以仅依靠默认路由来无法使资源得到充分的利用,这时候就可以利用ip命令来配置基于源IP的策略路由。其实系统维护着很多张的路由表,默认路由表只是其中的一张,路由表文件位于/etc/iproute2/rt_tables当中,其中255是本地路由表;254是主路由表;253是默认路由表和

一次OpenVPN交叉编译笔记

为了让家宽打VPN隧道到IDC机房提高QOS级别,决定将OpenVPN移植到mips架构的OpenWrt出口路由器上,而路由器本身不带编译器,所以必须通过交叉编译的方式将OpenVPN源码编译成路由器(mips)平台可执行的二进制文件。在编译OpenVPN之前必须先编译OpenSSL和LZO,全程应以root身份运行编译程序的主机系统:CentOS6.9 X86_64(VMware)执行程序的主机系统:OpenWrt,Barrier Breaker14.07,mips架构下载相关工具链及确定安装

使用postfix+dovecot+opendkim+squirrelmail搭建满分的邮件服务器

前提:固定IP服务器(VPS/独服)一台,最好是海外主机、顶级域名一个使用到的软件:postfix dovecot opendkim squirrelmailpostfix:搭建smtp服务器,用于发送邮件dovecot:搭建imap和pop3服务器,用于接收邮件opendkim:生成域名的dkim,能防止垃圾邮件squirrelmail:一款用php开发的web模板,能够通过网页收发邮件前期准备第一步:为主机IP配置PTR(反向域名解析),海外主机大都可以直接配置,而国内阿里云主机可以发工单修

Dnsmasq多ISP智能解析方案

由于自己的网络环境同时有移动和电信两个线路,而因为移动骨干网的特殊性,无法与部署于电信与联通机房的CDN服务器进行良好的互通。在搭建好无污染DNS后,发现如果自建的DNS只有单一电信线路解析的话,当处于移动网络环境时,因DNS服务器将部分大型网站的IP都解析到了电信或者联通的CDN服务器,会导致访问网页时出现排版错误,连接被恶意重置,观看视频卡顿等情况。所以,必须为dnsmasq增加移动线路解析。基本思路:在bgp.he.net中搜集中国移动的所有IP地址,即搜索移动的AS号(AS9808)并获

使用vsftpd搭建显式SSL/TLS加密的FTP服务器(FTPS)

最近在Hostens购买了立陶宛的大硬盘小鸡,用于存放备份数据,因此需要在服务器上搭建FTP,而通过普通FTP协议在公网传输数据具有一定的安全隐患,因此需要为FTP服务器配置SSL来对传输的数据进行加密。服务端软件:vsftpd以下是/etc/vsftpd/vsftpd.conf文件的SSL配置部分vsftpd的基础及虚拟用户配置:https://zavierlab.com/post/34.html使用FTP over SSL必须拥有SSL证书,证书获取方法可以使用openssl自签署或者通过l

Nginx简易反向代理及缓存配置

server{   listen 80;   server_name example1.com;   access_log /home/wwwlogs/proxy.log;   location /   {   proxy_pass 反代网站域名;   #proxy_cache_key $host$http_user_agent$uri$is_args$ar

iptables管理脚本

#!/bin/sh # # iptablesStart iptables firewall # # chkconfig: 2345 08 92 # description:Starts, stops and saves iptables firewall # # config: /etc/sysconfig/iptables #&n

SSH端口修改

高危机房的SSH端口常被封,即便是正常的SSH以及SFTP流量,因此需要更换SSH端口以便管理服务器。已确认高危IDC机房:Choopa,阿里云香港等。修改方法一:默认情况下用vi编辑/etc/ssh/sshd_config将#Port 22这行的井字号去除,把22更改为新端口后保存即可。最后运行命令重启ssh进程/etc/init.d/sshd restsrtCentOS7则是systemctl restart sshd方法二:对于不熟悉vi等编辑器的,可使用sed命令快速修改sed -i &

基于iptables,针对中国移动HTTP劫持,发送RST包屏蔽部分网站的解决办法

原理:在Linux系统的路由器上,通过iptables,或者UNIX,如华为,cisco等设备,使用ACL将中国移动IDS系统和旁路设备返回的虚假数据包丢弃。iptables配置规则#丢弃中国移动IDS系统设备返回的RST数据包,解决墙中墙问题。iptables -A FORWARD -p tcp --tcp-flags RST RST -j DROP#基于TTL检测,将旁路设备抢答返回的虚假数据包丢弃,解决当下载以.exe、.rar、.zip、.apk等为后缀的文件时,被中国移动通过302重定

基于CloudFlare API的纯Shell动态DNS(DDNS)脚本

家庭宽带的IP是不固定的,当出门在外,人不在家时,一旦IP变动,就给接入家中的设备(如监控)带来许多麻烦,于是我编写了一个能在Linux系统下运行,基于CloudFlare API的动态DNS脚本,虽然国内已有花生壳之类的DDNS服务,但是那些实在是太坑爹,比如只能使用它提供的二级域名,而该脚本能够配置顶级域名的动态DNS解析。使用前提:局域网内有Linux主机(如OpenWrt路由设备)、有一个顶级域名、域名解析必须由CloudFlare托管。使用方法:步骤一:到CloudFlare官网注册一

© 2017-2018 Zavier的博客.