先明确一下这么做的必要性。Ceph 的客户端,如 RADOSGW,RBD 等,会直接和 OSD 互联,以上传和下载数据,这部分是直接提供对外下载上传能力的;Ceph 一个基本功能是提供数据的冗余备份,OSD 负责数据的备份,跨主机间的数据备份当然要占用带宽,而且这部分带宽是无益于 Ceph 集群的吞吐量的。只有一个网络,尤其是有新的存储节点加入时,Ceph 集群的性能会因为大量的数据拷贝而变得很糟糕。所以对于性能有一定要求的用户,还是有必要配置内外网分离的。
诉求:最近海外云服务器量暴增,需要快速对接数据库和云服务器,镜像快速复制,需要从外面登录访问MySQL数据库进行数据备份,以下是总结的数据链接方式:
一:登陆腾达路由器后台(192.168.0.1)后再高级功能,选择虚拟服务器.如下图:
SSRF(Server-Side Request Forgery),服务器端请求伪造,利用漏洞伪造服务器端发起请求,从而突破客户端获取不到数据限制。
DNS的分离解析,是指根据不同的客户端提供不同的域名解析记录。来自不同地址的客户机请求解析同一域名时,为其提供不同的解析结果。也就是内外网客户请求访问相同的域名时,能解析出不同的IP地址,实现负载均衡。
在DNS管理中可能会遇见这样的问题,例如某公司DNS既提供给内网用户解析使用,也提供给公网用户解析使用,但是,可能内网用户使用的不多,或者公网用户使用的不多,导致其中一方可能只用到了几条记录,但是却要各自单独维护一台DNS服务器,在过去,处于安全考虑只能这样做,部署多台DNS服务器,但是到了2016 DNS支持分裂部署的方式,定义DNS policy,实现不同的网卡承担不同的DNS查询请求,例如可以定义,凡是通过内网接口进来的查询都走DNS内网卡,通过外网卡进来的查询都走DNS外网卡。这样就在单台服务器上很好的隔离开了DNS查询
Apache Kafka作为业界广泛采用的消息队列系统,以其高吞吐量、低延迟和分布式特性,在大数据处理、实时流处理等领域扮演着至关重要的角色。然而,在企业级应用中,特别是在需要处理内外网通信的情况下,如何高效、安全地实现Kafka集群的内外网分流成为了一项重要挑战。本文将深入探讨Kafka内外网分流的策略、技术细节、常见问题及其解决方法,并通过实际案例和代码示例,为读者提供一套可操作的实践指南。
一般连接服务器需要服务器的ip地址,IP地址分为内外IP和外网IP,一般高校实验室的服务器使用内网IP,例如192.168.1.X等。但是做深度学习的小伙伴都知道,我们可能会租用网络服务器或者将学校的服务器IP地址映射成外网,以便在任何其他地方进行访问。接下来,将带领大家一步步实现连接服务器并将代码托管到服务器上进行跑代码。
在信息安全这个领域里,不管在甲方还是乙方工作,信息收集都是很重要的一环,信息收集的好坏,也将影响到后期的环节。比如说在乙方得到对目标的渗透授权之后,第一个步骤就是信息收集,因每个渗透测试人员的思路不同导致他们采集的信息也不相同,我举例一些常见、主流的信息收集有:
早在2000年左右,一些大中型企业为了集中运维人员的远程登录管理,会在机房部署一台跳板服务器,所有运维人员需要先远程登录本设备,再从跳转服务器登录其他服务器进行运维操作。
随着科技的快速发展,互联网已经渗透到我们生活的方方面面。在这个互联网世界中,服务器是提供各种服务的关键设备。
搭建 Frp 博客:https://oy6090.top/posts/2dd14627/
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)
实体IP,它是独一无二的,在网络的世界里,每一部计算机的都有他的位置,一个 IP 就好似一个门牌
4月8日公开OpenSSL“心脏出血”这一致命漏洞细节后引起了全球互联网的安全“地震”,国内外一些大型互联网企业的相关V**、邮件服务、即时聊天、网络支付、电子商务、权限认证等服务器均受此影响,此外还波及到一些政府和高校网站服务器。 📷 图:全球某著名综合性门户商业网站存在OpenSSL“心脏出血”漏洞导致用户账号密码泄漏(现已修复) 虽然事后OpenSSL官方机构及各企业都已经发布相关补丁,但是安恒信息风暴中心发现该漏洞的“余震”仍在持续发酵,目前互联网上已经出现了多
小型企业,一般就在路由器和防火墙之间二选一,不太会同时上两个设备,在他们眼里,防火墙和路由器都一样,无非就是用来上网,这么认为其实也的确无可厚非,因为现在的产品,边界越来越模糊,小型网络里面,用户要求不高,貌似选哪个都差不多。
公司之前一直在用teamview做远程桌面,好用简单功能强大.但是最近不能用了,一直提示要购买,后来去官网看了下价格,这价格确实也不实惠。所以就想着自己弄一下。 这里需要搞清楚本文说的主机和客户机。 公司的电脑就是主机,我的笔记本就是客户机。我现在要在家里访问公司电脑。一般有几种方法: 1.windows远程桌面到公司电脑 2.笔记本链接至V**服务器,公司电脑也链接到V**服务器,然后公司电脑把3389端口映射出来,然后家里电脑直接通过远程桌面工具访问公司电脑 3.可以通过第三方工具比如teamv
深度定制的数据库内核,实现诸多企业级特性和优化,服务公司内部用户和腾讯云百 TB 级别的外部用户,是支撑关键业务平稳运行的基石。
由于这个时代对网络的依赖,多条宽带的接入变得很平常,本文讲述某企业申请了两条电信光纤,一条是固定IP的城域网,另一条则是PPPOE拨号的普通宽带,前者用于服务器和硬盘录像机,后者用来办公上网。
实验室拟态存储的项目需要通过LVS-NAT模式通过LVS服务器来区隔内外网的服务,所以安全防护的重心则落在了LVS服务器之上。笔者最终选择通过firewalld放行端口的方式来实现需求,由于firewall与传统Linux使用的iptable工具有不小的区别,接下来通过博客来记录一下firewalld的配置流程。
27号,B站拥有500万粉丝的UP主“党妹”发视频说被勒索病毒攻击了,存储在NAS里的数百G视频素材被加密,造成损失。大家在声讨黑客的同时,也表示对NAS不太熟悉,为什么安装第一天,就被莫名的加密勒索了?
DMZ是计算机网络中一个重要概念,通常是指与其他设备和区域在物理或逻辑上隔离的区域。
Skype for Business Server 2015完整部署,实现内外网/移动端客户端登录。
在头条写文章满一年了,发现一个规律,头条貌似不喜欢打码的图片,所以今天尝试一下不打码的图片,大家不要想歪了,之前写文章给图片打码,是为了保护客户的隐私和网络安全,比如说客户的IP地址,肯定必须打码,对吧?
这套课程竟然以解决实际工作需求为主的,那当然少不了实战了,之前一直没涉及到实战的内容,主要是就算是一个小型办公也离不开最简单的安全策略配置、NAT配置,但这2个内容就已经讲解了14篇内容,但是这14篇内容已经把这几个方面讲解的非常通透了,对于实际中不管是规划、配置、排错都有很大的帮助,接下来就是博主以工作中常见的场景为案例讲解下部署与容易遇到的问题。
SSl协议支队通信双方传输的应用数据进行加密,而不是对从一个主机到另一个主机的所有数据进行加密。
3.点击import file导入校园网节点,一般选择53,67,68,69,然后在云免流官网注册充值登陆,图标变为绿色即可使用
SNAT(Source Network Address Translation 源地址转换)是Linux防火墙的一种地址转换操作,也是iptables命令中的一种数据包控制类型,其作用是根据指定条件修改数据包的源IP地址。 DNAT(Destination Network Address Translation 目标地址转换)是Linux防火墙的另一种地址转换操作,同样也是iptables命令中的一种数据包控制类型,其作用是可以根据指定条件修改数据包的目标IP地址和目标端口。
一般来说,整个内网只能上QQ和微信,基本上就是DNS的问题了,比如说,域控服务器上面的DNS转发失效了,那就会出现这样的故障,除非DHCP服务给客户端下发DNS服务器的时候,把内网DNS服务器设置为首选,而把外网的DNS服务器设置为备用,才能避免这个故障。
FTP协议是专门针对在两个系统之间传输大的文件这种应用开发出来的,它是TCP/IP协议的一部分。FTP的意思就是文件传输协议,用来管理TCP/IP网络上大型文件的快速传输。FTP最早也是在Unix上开发出来的,并且很长一段时间里只有 Unix系统支持FTP功能,后来逐渐普及到其他系统,并成为Internet/Intranet网络中的标准组件。
在内网渗透中,网络通道是一个重要的环节,今天来分享一个有意思的通道建立方式,可以绕过常规的流量检测,与常规的端口转发和端口映射不同的是其借助了文件服务器来完成网络通道的建立,原理如图:
在该场景下,临时接入者可以在不安装认证客户端的情况下,直接访问Internet资源,但是不能访问学校、企业、政府单位的内网,适用于各种会务、学术交流、临时参观等应用场景,正式员工可以在会议区通过认证接入到内网。为了实现该场景,我们首先要对神州数码网络交换机产品的DHCP Option82功能进行描述。
公司搬家了,原来连接一个网络可以同时上内外网,现在,内网是内网,外网是外网,来回切换,工作起来很费劲,现在要不切换就同时使用内外网,不过发现这样有个问题,就是在笔记本的无线连上外网的时候,只要插上内网的网线,就发现qq一类的一律掉线,外网连接就不行了,网页也打不开。这样搞的比较麻烦,每次测试完程序,要手动拔掉网线,外网才能上。感觉这样的做法太麻烦了,能否内网和外网同时接入到笔记本,不用每次拔网线呢?于是在网上找了找资料,果然还找到了。其实是因为Windows默认路由设置的问题。Windows每次会默认把对所有IP的访问,指向以太网或者无线网的网关,当同时接入两个、或者多个连接时,这样的默认路由会有问题,需要我们手动修改一下。
Nginx的优点: 1.性能好,可以负载超过1万的并发。 2.功能多,除了负载均衡,还能作Web服务器,而且可以通过Geo模块来实现流量分配。 3.社区活跃,第三方补丁和模块很多 4.支持gzip proxy 缺点: 1.不支持session保持。意思是:用户找Nginx请求一个PHP的页面,输入了用户名,密码。接着用户可能又开了一个新窗口,新窗口开了后,还是访问之前个的服务器,此时,Nginx会当成一个新的请求来处理,这样可能会导致请求被分发给其它的后端服务器。因为其不支持session保持 2.对后端realserver的健康检查功能效果不好。而且只支持通过端口来检测,不支持通过url来检测。 3.nginx对big request header的支持不是很好,如果client_header_buffer_size设置的比较小,就会返回400 bad request页面。 Haproxy的优点: 1.它的优点正好可以补充nginx的缺点。支持session保持,同时支持通过获取指定的url来检测后端服务器的状态。 2.支持tcp模式的负载均衡。比如可以给mysql的从服务器集群和邮件服务器做负载均衡。此点相比LVS讲,差一些! 缺点: 1.不支持虚拟主机(这个很傻啊) 2.目前没有nagios和cacti的性能监控模板 LVS的优点: 1.性能好,接近硬件设备的网络吞吐和连接负载能力。 2.LVS的DR模式,支持通过广域网进行负载均衡。这个其他任何负载均衡软件目前都不具备。 缺点: 比较重型。另外社区不如nginx活跃。 -------------------------------------------------------------------------------------------------------- nginx lvs 负载均衡 lvs和nginx都可以用作多机负载的方案,它们各有优缺,在生产环境中需要好好分析实际情况并加以利用。 首先提醒,做技术切不可人云亦云,我云即你云;同时也不可太趋向保守,过于相信旧有方式而等别人来帮你做垫被测试。把所有即时听说到的好东西加以钻研,从而提高自己对技术的认知和水平,乃是一个好习惯。 下面来分析一下两者: 一、lvs的优势: * 1、抗负载能力强,因为lvs工作方式的逻辑是非常之简单,而且工作在网络4层仅做请求分发之用,没有流量,所以在效率上基本不需要太过考虑。在我手里的 lvs,仅仅出过一次问题:在并发最高的一小段时间内均衡器出现丢包现象,据分析为网络问题,即网卡或linux2.4内核的承载能力已到上限,内存和 cpu方面基本无消耗。 * 2、配置性低,这通常是一大劣势,但同时也是一大优势,因为没有太多可配置的选项,所以除了增减服务器,并不需要经常去触碰它,大大减少了人为出错的几率。 * 3、工作稳定,因为其本身抗负载能力很强,所以稳定性高也是顺理成章,另外各种lvs都有完整的双机热备方案,所以一点不用担心均衡器本身会出什么问题,节点出现故障的话,lvs会自动判别,所以系统整体是非常稳定的。 * 4、无流量,上面已经有所提及了。lvs仅仅分发请求,而流量并不从它本身出去,所以可以利用它这点来做一些线路分流之用。没有流量同时也保住了均衡器的IO性能不会受到大流量的影响。 * 5、基本上能支持所有应用,因为lvs工作在4层,所以它可以对几乎所有应用做负载均衡,包括http、数据库、聊天室等等。 另:lvs也不是完全能判别节点故障的,譬如在wlc分配方式下,集群里有一个节点没有配置VIP,会使整个集群不能使用,这时使用wrr分配方式则会丢掉一台机。目前这个问题还在进一步测试中。所以,用lvs也得多多当心为妙。 二、nginx和lvs作对比的结果 * 1、nginx工作在网络的7层,所以它可以针对http应用本身来做分流策略,比如针对域名、目录结构等,相比之下lvs并不具备这样的功能,所以 nginx单凭这点可利用的场合就远多于lvs了;但nginx有用的这些功能使其可调整度要高于lvs,所以经常要去触碰触碰,由lvs的第2条优点看,触碰多了,人为出问题的几率也就会大。 * 2、nginx对网络的依赖较小,理论上只要ping得通,网页访问正常,nginx就能连得通,nginx同时还能区分内外网,如果是同时拥有内外网的节点,就相当于单机拥有了备份线路;lvs就比较依赖于网络环境
SSRF,Server-Side Request Forgery,服务端请求伪造,是一种由攻击者构造形成由服务器端发起请求的一个漏洞。一般情况下,SSRF 攻击的目标是从外网无法访问的内部系统。
来源丨GitHub科技 SSL VPN技术 SSl协议支队通信双方传输的应用数据进行加密,而不是对从一个主机到另一个主机的所有数据进行加密。 IPSec缺陷 由于IPSec是基于网络层的协议,很难穿越NAT和防火墙,特别是在接入一些防护措施较为严格的个人网络和公共计算机时,往往会导致访问受阻。移动用户使用IPSec VPN需要安装专用的客户端软件,为日益增长的用户群发放、安装、配置、维护客户端软件已经使管理员不堪重负。因此,IPSec VPN在Point- to-Site远程移动通信方面并不适用
route add命令的主要作用是添加静态路由,通常的格式是: route ADD 157.0.0.0 MASK 255.0.0.0 157.55.80.1 METRIC 3 IF 2 参数含义:^destination ^mask ^gateway metric^ ^interface
从攻击者的视角来进行资产的梳理,采用全端口扫描+子域名收集的方式,识别所有的企业资产暴露面。但即使是这样,往往会因为配置错误或是未及时回收等原因,依然存在着一些隐形资产。
背景 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。
在日常的IT服务工作中,还是有相当一部分的客户,不明白域名的概念、域名的重要性以及域名能为企业带来什么样的便利,那么笔者就以本文来解释一下,什么是域名?以及域名在实际工作中的妙用。
DMZ,中文通常译为“隔离区”或“非军事化区”,是在网络安全领域中用来描述一个逻辑或物理的网络子段,这个子段通常位于组织的内部网络和外部网络(如互联网)之间。DMZ的主要目的是提供一个受限制且受控的环境,允许对外提供服务的服务器放置在此区域,从而在一定程度上保护内部网络的安全。
“ ” 什么是SSRF 大家使用的服务中或多或少是不是都有以下的功能: 通过 URL 地址分享内容 通过 URL 地址把原地址的网页内容调优使其适合手机屏幕浏览,即所谓的转码功能 通过 URL 地址翻译对应文本的内容,即类似 Google 的翻译网页功能 通过 URL 地址加载或下载图片,即类似图片抓取功能 以及图片、文章抓取收藏功能 简单的来说就是通过 URL 抓取其它服务器上数据然后做对应的操作的功能。以 ThinkJS 代码为例,我们的实现方法大概如下: const re
SSRF服务端请求伪造漏洞,也称为XSPA跨站端口攻击,是一种由攻击者构造一定的利用代码导致服务端发起漏洞利用请求的安全漏洞,一般情况下SSRF攻击的应用是无法通过外网访问的,所以需要借助目标服务端进行发起,目标服务器可以链接内网和外网,攻击者便可以通过目标主机攻击内网应用。
当问起凤梨叔 两年前全网热议的 DNSPod解析遭到攻击的那天。 关于当晚的每一个的细节,他依旧了然于心。 将时间线拉回到2018年11月9号当晚 当收到告警时, 出现在凤梨叔的脑海里的第一个念头是: 坏了,被攻击了! 凤梨叔第一件做的不是去排查问题 而是先手动重启B地的部分DNS服务器 多年的从业经验告诉他 外部攻击很多时候是分地域的 不同地区受影响可能不同 A地的服务器启动异常不表示其他地区会马上异常 这个决定 能在保证服务持续提供的同时 也留出找到原因的时间 同时 凤梨叔立即联系腾讯
前面那个Weblogic 后台getshell的漏洞学会了吗,接下来我们一起来复现一下Weblogic SSRF漏洞。
1.开启防火墙端口 iptables -I INPUT -p tcp --dport 端口号-j ACCEPT #其他防火墙相关的 关闭防火墙命令:systemctl stop firewalld.service 开启防火墙:systemctl start firewalld.service 关闭开机自启动:systemctl disable firewalld.service 开启开机启动:systemctl enable firewalld.service 2.查看服务端口 netstat -n
WebRTC 进行端对端进行实时音视频通讯时,常常一方或者双方都是隐藏在 NAT 之后的内网地址。ICE 则用于寻找一条传输数据通道连接。本文介绍了 NAT 穿越和 ICE 框架的基础知识和主要步骤。 我们知道使用 WebRTC 进行端对端进行实时音视频通讯时,WebRTC 本身是基于点对点(Peer-to-Peer)连接的,最便捷的方式就是通话的双方通过 IP 直连,摆脱原始的直播服务器中转的方式。 如果连接双方都是公网地址,则可以直接访问到对方,从而建立连接。但是在现实的应用场景中,大部分情况下其中一方
2021年7月14日,西安交通大学第二附属医院发布《超融合IT硬件资源池项目》招标公告,预算 416.8 万元。 项目背景 西安交通大学第二附属医院又称西北医院,于1937年创建,是国家教育部、卫生部直属的一所集医疗、教学、科研、预防、康复保健为一体的现代化大型综合医院,是西北地区最早创立的从事现代高等医学教育的大学附属医院,也是大型综合性三级甲等医院。陕西省文明单位,全国医药卫生系统先进集体。医院现开放病床1700余张,年收住各类病人9万余人次,年门急诊量200余万人次。现有3200余名教职员工,医院临床
领取专属 10元无门槛券
手把手带您无忧上云