VPN:虚拟局域网 应用场景--移动办公,绕过防火墙,vpn加速,VPN传输加密数据 安全性 配置难易度 高 易 PPTP--点到点隧道节 | | openvpn--使用ssl-vpn ,与h
VPN:虚拟局域网
应用场景--移动办公,绕过防火墙,vpn加速,VPN传输加密数据
安全性 配置难易度
高 易 PPTP--点到点隧道节
| | openvpn--使用ssl-vpn ,与https的加密方式一样,采用linux内核隧道
低 难 l2tp/ipsec --二层vpn
openvpn的实现
GFW工作的方式
1.DNS劫持 //eg:将www.facebook.com 解析为错误的ip地址
解决方法:1)换DNS服务器,
2)将域名和IP地址写到hosts文件里面
2.DNS 污染 投毒
错误的DNS抢先正确的DNS服务器8.8.8.8返回结果
解决方法:1)vim /etc/hosts
2)DNS的请求经过加密的方式发送给国外的DNS服务器,国外的DNS服务器又将结果加密后发给我们。
3)通过VPN
3.禁止 IP地址
解决方法:vpn proxy
找一台国外的服务器,绕过防火墙
4.tcp reset
扔掉TCP三次握手中的第二次握手,服务器返回的包
解决方法:VPN ,加密代理(ssh -D + kcptun加速)
可以做代理的工具:
shadowsocks
dog-tunnel
用一台代理服务器,实现所有设备都能够上网的方案:
openvpn
dh的生成
服务端的文件准备好了
客户端需要的文件
服务器路由的增加
流程:
--------------------------------------------------------------------------------------------------------
免费的证书:
startssl.com
let's encrypt(需要证明ip和域名属于你:1.dns Record 2.server :80 :443 /uri)
nginx 实现https
certbot/lego--向let's encrypt 申请证书
nginx的配置
http重定向到https
caddy auto https
caddy的使用
1.解压我们在caddy官网上下载好的tar包caddy_linux_amd64_custom.tar.gz
[root@up12 caddy]# cat index.html //写一个主页的文件hello caddy = sweet??[root@up12 caddy]# ./caddy -port 80Activating privacy features... done.http://WARNING: File descriptor limit 1024 is too low for production servers. At least 8192 is recommended. Fix with "ulimit -n 8192".[root@up12 caddy]# ulimit -n 8192 //根据提示修改我们的文件限制[root@up12 caddy]# ./caddy -port 80 //执行caddy的命令,指定端口80Activating privacy features... done.http://
/打开浏览器就可以直接访问了
[root@up12 caddy]# ./caddy -port 80 browse Activating privacy features... done.http:////删掉index.html主页文件,打开caddy的时候指定为目录,我们在浏览器中就能显示目录的内容
caddy类似于apache的虚拟
让caddy可以在后台运行
caddy流程
工具防止暴力破解
1.fail2ban--尝试密码3次,可以调用iptables将IP地址禁掉,相比pam_tally2 直接达到错误上限后封号要好。
tcpwrapper
可以让被拒绝的sship显示在屏幕上
vim /etc/host.deny
使用rsyslog 实现将登录失败显示到屏幕上
2.shadowsocks //翻墙
brook
