Network on Ricky

使用 Cloudflare 中轉 V2Ray 流量

Tue, 22 Oct 2024 09:24:08 +0800

安裝腳本

bash <(wget -qO- -o- https://git.io/v2ray.sh)

準備

我們現在就新增一筆 DNS 記錄，名稱：ai，IPv4 位址：寫你的 VPS IP，代理狀態必須關閉，雲朵圖示為灰色。

提示：你可以使用 v2ray ip 查看你的 VPS IP。

新增中轉配置

使用 v2ray add ws ai.233boy.com 新增一個 vmess-ws-tls 配置；記得把 ai.233boy.com 改成你的網域。

就是剛才新增記錄的那個網域，假設你的網域是 233boy.com，新增的名稱是 ai，網域就是 ai.233boy.com。

開啟中轉

在 Cloudflare 後台首頁，點你的網域進去，在左側選項選單選擇 SSL/TLS。

把 SSL/TLS 加密模式改成 完全。

接著在左側選項選單選擇 DNS。

編輯剛新增的記錄，把代理狀態打開，也就是 已代理，雲朵圖示為點亮狀態，然後儲存。

雲朵點亮後，流量就會走 Cloudflare 中轉。

提醒：雲朵點亮代表流量經由 Cloudflare 中轉；雲朵灰色代表直連，不走 Cloudflare 中轉。

取得真實客戶端 IP

有些人可能有特殊需求，因為套上 CF 後，預設在查看日誌時會顯示客戶端 IP 為 CF 的 IP。

Google 基礎設施

Tue, 24 Sep 2024 09:04:00 +0800

Google 十年五代網路架構

有关 MTU 和 MSS 的一切

Wed, 12 Apr 2023 12:48:12 +0800

有关 MTU 和 MSS 的一切

即時監控網路介面上的 HTTP 請求

Thu, 23 Jun 2022 16:48:42 +0800

即時監控網路介面上的 HTTP 請求

tcpflow

apt/dnf install tcpflow

$ sudo tcpflow -p -c -i wlp0s20f3 port 80 | grep -oE '(GET|POST) .* HTTP/1.[01]|Host: .*'
reportfilename: ./report.xml
tcpflow: listening on wlp0s20f3
GET /alexlarsson/flatpak/ubuntu/dists/focal/InRelease HTTP/1.1

GET /mirrors.txt HTTP/1.1

-p 停用混雜模式
-c 只輸出到主控台，不建立檔案
-i 指定網路介面 grep 會接收 tcpflow 的輸出
-o 只顯示符合樣式的那一段
-E 表示樣式是延伸正則表示式（ERE）

httpry

https://github.com/jbittel/httpry.git

sudo httpry -i wlp0s20f3
httpry version 0.1.8 -- HTTP logging and information retrieval tool
Copyright (c) 2005-2014 Jason Bittel <jason.bittel@gmail.com>
Starting capture on wlp0s20f3 interface
2022-06-22 16:38:12.166 192.168.1.24 172.217.17.238 > GET google.com / HTTP/1.1 - -
2022-06-22 16:38:12.199 172.217.17.238 192.168.1.24 < - - - HTTP/1.0 400 Bad Request
2022-06-22 16:38:23.090 192.168.1.24 172.217.17.238 > POST google.com / HTTP/1.1 - -
2022-06-22 16:38:23.163 172.217.17.238 192.168.1.24 < - - - HTTP/1.1 405 Method Not Allowed

Tcpdump 使用总结

Thu, 05 May 2022 13:39:10 +0800

Tcpdump 使用总结

命令使用

tcpdump 采用命令行方式，它的命令格式为：

tcpdump [ -AdDeflLnNOpqRStuUvxX ] [ -c count ]
 [ -C file_size ] [ -F file ]
 [ -i interface ] [ -m module ] [ -M secret ]
 [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
 [ -W filecount ]
 [ -E spi@ipaddr algo:secret, ... ]
 [ -y datalinktype ] [ -Z user ]
 [ expression ]

tcpdump 的简单选项介绍

-E spi@ipaddr algo:secret , ...，可通过spi@ipaddr algo:secret 来解密 IPsec ESP 包。secret 为用于 ESP 的密钥，使用 ASCII 字符串方式表达。如果以 0x 开头，该密钥将以 16 进制方式读入。除了以上的语法格式(指spi@ipaddr algo:secret)，还可以在后面添加一个语法输入文件名字供 tcpdump 使用(即把 spi@ipaddr algo:secret, … 中…换成一个语法文件名)。在接收到第一个 ESP 包时会打开此文件，所以最好此时把赋予 tcpdump 的一些特权取消(可理解为，这样防范之后，当该文件为恶意编写时，不至于造成过大损害)。
-T type 强制 tcpdump 按 type 指定的协议所描述的包结构来分析收到的数据包。目前已知的 type 可取的协议为:
- aodv (Ad-hoc On-demand Distance Vector protocol，按需距离向量路由协议，在 Ad hoc(点对点模式)网络中使用)，
- cnfp (Cisco NetFlow protocol)
- rpc(Remote Procedure Call)
- rtp (Real-Time Applications protocol)
- rtcp (Real-Time Applications con-trol protocol)
- snmp (Simple Network Management Protocol)
- tftp (Trivial File Transfer Protocol，碎文件协议)
- vat (Visual Audio Tool，可用于在 internet 上进行电视电话会议的应用层协议)
- wb (distributed White Board，可用于网络会议的应用层协议)

实用命令实例

截获主机 210.27.48.1 和主机 210.27.48.2 或 210.27.48.3 的通信

【理解 Cilium 系列文章】(一) 初識 Cilium

Tue, 21 Dec 2021 13:04:38 +0800

【理解 Cilium 系列文章】(一) 初識 Cilium

當前 k8s Service 負載均衡的實現現狀

在 Cilium 出現之前， Service 由 kube-proxy 來實現，實現方式有 userspace ， iptables ， ipvs 三種模式。

Userspace

當前模式下，kube-proxy 作為反向代理,監聽隨機端口，通過 iptables 規則將流量重定向到代理端口，再由 kube-proxy 將流量轉發到後端 pod。Service 的請求會先從用户空間進入內核 iptables，然後再回到用户空間，代價較大，性能較差。

Iptables

存在的問題：

1.可擴展性差。隨着 service 數據達到數千個，其控制面和數據面的性能都會急劇下降。原因在於 iptables 控制面的接口設計中，每添加一條規則，需要遍歷和修改所有的規則，其控制面性能是 O(n²) 。在數據面，規則是用鏈表組織的，其性能是 O(n)

2.LB 調度算法僅支持隨機轉發

Ipvs 模式

IPVS 是專門為 LB 設計的。它用 hash table 管理 service，對 service 的增刪查找都是 O(1)的時間複雜度。不過 IPVS 內核模塊沒有 SNAT 功能，因此借用了 iptables 的 SNAT 功能。

IPVS 針對報文做 DNAT 後，將連接信息保存在 nf_conntrack 中，iptables 據此接力做 SNAT。該模式是目前 Kubernetes 網絡性能最好的選擇。但是由於 nf_conntrack 的複雜性，帶來了很大的性能損耗。騰訊針對該問題做過相應的優化【繞過 conntrack，使用 eBPF 增強 IPVS 優化 K8s 網絡性能】

不使用 kube-proxy 的 Kubernetes

Mon, 20 Dec 2021 17:57:13 +0800

不使用 kube-proxy 的 Kubernetes

快速開始

kubeadm init --skip-phases=addon/kube-proxy

# 設定 Helm 倉庫
helm repo add cilium https://helm.cilium.io/


helm install cilium cilium/cilium --version 1.9.18 \
 --namespace kube-system \
 --set kubeProxyReplacement=strict \
 --set k8sServiceHost=REPLACE_WITH_API_SERVER_IP \
 --set k8sServicePort=REPLACE_WITH_API_SERVER_PORT

Cloudflare 流量處理順序

Wed, 03 Nov 2021 13:11:29 +0800

流量處理順序

應用程式流量在 Cloudflare 邊緣節點會依下列順序處理：

DDoS
URL 重寫
頁面規則
IP 存取規則
Bot 管理
防火牆規則
速率限制
託管規則
標頭修改
存取控制
Workers

在瀏覽器輸入網址並送出後，到底發生了什麼事？

Sun, 18 Jul 2021 23:45:45 +0800

在瀏覽器輸入網址並送出後，到底發生了什麼事？

第 19 天 BGP 協定（1）

Wed, 30 Dec 2020 20:00:33 +0800

Ubuntu 18.04 透過 netplan 設定網路卡 IP

Fri, 18 Sep 2020 13:00:05 +0800

Ubuntu 18.04 透過 netplan 設定網路卡 IP

照上面的說明看了一下 /etc/netplan 目錄，查閱一下 /etc/netplan/50-cloud-init.yaml，如下：

# This file is generated from information provided by
# the datasource. Changes to it will not persist across an instance.
# To disable cloud-init's network configuration capabilities, write a file
# /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg with the following:
# network: {config: disabled}
network:
 ethernets:
 ens192:
 dhcp4: true
 ens224:
 dhcp4: true
 version: 2

看來可以關閉 cloud network，但是我其實也沒有要用 cloud-init，乾脆移除它，如下：

sudo apt-get remove cloud-init

然後把 /etc/netplan/50-cloud-init.yaml 改成下面這樣：

# This file is generated from information provided by
# the datasource. Changes to it will not persist across an instance.
# To disable cloud-init's network configuration capabilities, write a file
# /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg with the following:
# network: {config: disabled}
network:
 ethernets:
 ens192:
 addresses: [192.168.32.231/24]
 gateway4: 192.168.32.1
 nameservers:
 addresses: [8.8.8.8, 8.8.4.4]
 dhcp4: no
 ens224:
 dhcp4: true
 version: 2

這幾年 yaml 深得大眾的心，設定檔就是要用 yaml 格式才是潮，解說一下上述幾個設定：

BIRD 与 BGP 的新手开场

Mon, 22 Jun 2020 09:38:55 +0800

Aliyun CDN Cache Rules

Tue, 12 May 2020 21:51:55 +0800

再戰營運商快取：使用 iptables 對付快取劫持

Mon, 07 Oct 2019 10:41:08 +0800

再戰營運商快取：使用 iptables 對付快取劫持

起因

與移動的快取問題進行鬥爭要追溯到兩年前，那時因為移動竟然連 cnpm 的資料都進行快取。更離譜的是：移動的快取伺服器不但速度慢到堪比萬年王八跑馬拉松，還經常當機，導致我只想安安靜靜寫程式卻不得不面對一片鮮紅的報錯。

解決

iptables -I FORWARD -p tcp -m tcp -m ttl --ttl-gt 20 -m ttl --ttl-lt 30 -j DROP

考慮到可能還真的有其他伺服器送來的正常封包 TTL 也在 20-30 的區間，應該再加一層判斷。對比移動的 302 劫持封包和正常的 302 跳轉封包後，發現移動的劫持封包狀態位包含 FIN、PSH、ACK，而正常的 302 跳轉封包通常不會這三個都有。

因此在 iptables 規則中加入是否包含 FIN、PSH、ACK 的判斷：

iptables -I FORWARD -p tcp -m tcp -m ttl --ttl-gt 20 -m ttl --ttl-lt 30 --tcp-flags ALL FIN,PSH,ACK -j DROP

這樣應能在丟棄劫持封包的同時，盡可能降低誤傷正常封包的可能性。

使用 TC 和 Netem 模拟网络异常

Sat, 15 Sep 2018 16:17:26 +0800

使用 TC 和 Netem 模拟网络异常

Netem 与 TC 简要说明

Netem 是 Linux 2.6 及以上内核版本提供的一个网络模拟功能模块。该功能模块可以用来在性能良好的局域网中，模拟出复杂的互联网传输性能。例如:低带宽、传输延迟、丢包等等情况。使用 Linux 2.6 (或以上) 版本内核的很多 Linux 发行版都默认开启了该内核模块，比如：Fedora、Ubuntu、Redhat、OpenSuse、CentOS、Debian 等等。

TC 是 Linux 系统中的一个用户态工具，全名为 Traffic Control (流量控制)。TC 可以用来控制 Netem 模块的工作模式，也就是说如果想使用 Netem 需要至少两个条件，一是内核中的 Netem 模块被启用，另一个是要有对应的用户态工具 TC 。

所有的报文延迟 100ms 发送: $ tc qdisc add dev enp0s5 root netem delay 100ms
模拟丢包率: $ tc qdisc change dev enp0s5 root netem loss 50%
模拟包重复: $ tc qdisc change dev enp0s5 root netem duplicate 50%
模拟包损坏: tc qdisc change dev enp0s5 root netem corrupt 2%
模拟包乱序(每 5 个报文（第 5、10、15…报文）会正常发送，其他的报文延迟 100ms): tc qdisc change dev enp0s5 root netem reorder 50% gap 3 delay 100ms

查看并显示 enp0s5 网卡的相关传输配置

$ tc qdisc show dev enp0s5

Quagga Routing - 安裝、設定與建置 BGP

Tue, 14 Aug 2018 22:13:12 +0800

Quagga Routing - 安裝、設定與建置 BGP

最好用的 V2Ray 一鍵安裝腳本 & 管理腳本

Thu, 08 Feb 2018 10:56:54 +0800

具有代表性的 HTTP 状态码

Fri, 15 Dec 2017 15:33:14 +0800

具有代表性的 HTTP 状态码

Switch notes

Sat, 25 Nov 2017 11:47:37 +0800

Switch

Switch 通常是 L2 設備

只會將封包傳送到指定目的地的電腦（透過 MAC Table），相對上能減少資料碰撞及資料被竊聽的機會。交換器更能將同時傳到的封包分別處理，而集線器則不能。

Hub 則是 L1 設備

會將網路內某一使用者傳送的封包傳至所有已連接到集線器的電腦，因會碰撞所以 random retry。

MAC Table

Learning
- 從某個 Port 收到某網段（設為 A）MAC 位址為 X 的計算機發給 MAC 位址為 Y 的計算機的資料包。交換機從而記下了 MAC 位址 X 在網段 A。這稱為學習(learning)。
Flooding
- 交換機還不知道 MAC 位址 Y 在哪個網段上，於是向除了 A 以外的所有網段轉發該資料包。這稱為洪水(flooding)。
Forwarding
- MAC 位址 Y 的電腦收到該封包，向 MAC 位址 X 發出確認包。交換器收到該包後，從而記錄下 MAC 位址 Y 所在的網段。交換機向 MAC 位址 X 轉發確認包。這稱為轉發(forwarding)。
Filtering
- 交換機收到一個資料包，查表後發現該資料包的來源位址與目的位址屬於同一網段。交換機將不處理該資料包，這稱為過濾(filtering)。
Aging
- 交換機內部的 MAC 位址-網段查詢表的每條記錄採用時間戳記錄最後一次存取的時間。早於某個閾值（用戶可配置）的記錄被清除，這稱為老化(aging)。

Vlan

Switch Interface 需支援 802.1Q

Juniper 筆記

Thu, 23 Nov 2017 16:00:00 +0800

[Juniper Firewall] 隧道

ACG icare@TWCHIJF01# show | compare rollback 4

[edit security policies]
 from-zone DB_12 to-zone TCT_Office { ... }
+ from-zone DB_12 to-zone JC32 {
+ policy For_Backup {
+ match {
+ source-address DB_10.11.12.0/24;
+ destination-address BACKUP_10.32.32.130;
+ application any;
+ }
+ then {
+ permit;
+ }
+ }
+ }
[edit security zones security-zone DB_12 address-book]
 address DB_10.11.12.57 { ... }
+ address DB_10.11.12.0/24 10.11.12.0/24;
[edit security zones]
 security-zone ESB_15 { ... }
+ security-zone JC32 {
+ address-book {
+ address BACKUP_10.32.32.130 10.32.32.130/32;
+ }
+ host-inbound-traffic {
+ system-services {
+ ping;
+ }
+ }
+ interfaces {
+ gr-0/0/0.32;
+ }
+ }
[edit interfaces gr-0/0/0]
+ unit 32 {
+ description To_JC32_DBBackup;
+ tunnel {
+ source 202.168.193.128;
+ destination 218.253.210.8;
+ }
+ family inet {
+ address 10.32.0.101/30;
+ }
+ }
[edit routing-options static]
 route 0.0.0.0/0 { ... }
+ route 10.32.32.130/32 next-hop 10.32.0.102;

set security policies from-zone DB_12 to-zone JC32 policy For_Backup match source-address DB_10.11.12.0/24
set security policies from-zone DB_12 to-zone JC32 policy For_Backup match destination-address BACKUP_10.32.32.130
set security policies from-zone DB_12 to-zone JC32 policy For_Backup match application any
set security policies from-zone DB_12 to-zone JC32 policy For_Backup then permit
set security zones security-zone DB_12 address-book address DB_10.11.12.0/24 10.11.12.0/24
set security zones security-zone JC32 address-book address BACKUP_10.32.32.130 10.32.32.130/32
set security zones security-zone JC32 host-inbound-traffic system-services ping
set security zones security-zone JC32 interfaces gr-0/0/0.32
set interfaces gr-0/0/0 unit 32 description To_JC32_DBBackup
set interfaces gr-0/0/0 unit 32 tunnel source 202.168.193.128
set interfaces gr-0/0/0 unit 32 tunnel destination 218.253.210.8
set interfaces gr-0/0/0 unit 32 family inet address 10.32.0.101/30
set routing-options static route 10.32.32.130/32 next-hop 10.32.0.102

icare@TWCHIJF01> show configuration | compare rollback 1

機房 notes

Tue, 24 Oct 2017 23:17:33 +0800

第一張網卡-藍色線

第二張網卡-綠色線

交換機互連-白色線

黃、紅

Storage 有磁碟陣列，數據交換量大，用光纖連接，使用光纖專用的交換機。

光纖顏色：

多模 (Multi-mode)或單模 (Single-mode)的光纖線

單模光纖是黃色，多模光纖 50μm 或是 62.5μm 通常都是橘色。10GB 多模光纖通常是水藍色(Aqua)。

以下是一些常見的規格區分方式。

OS1, OS2, 9µm, 9/125 = 單模光纖
OM1, 62.5µm, 62.5/125 = 多模光纖 62.5
OM2, 50µ, 50/125 = 多模光纖 50
OM3, 10GB, 50µm, 50/125 = 多模光纖 10GB
OM4, 100GB, 50µm, 50/125 = 多模光纖 100GB

光纖結構

光纖裸纖的構成主要分為三層：

中心：高折射率玻璃芯(芯徑一般為單模 9μm，多模 50 或 62.5μm) 。
夾層：低折射率硅玻璃包層(直徑為 125μm) 。
外層：加強用樹脂塗層(直徑為 250μm)。

光纖的種類

一般依光波長在光纖中的傳輸模式可分為：單模態光纖和多模態光纖。
1. 多模態光纖：中心玻璃芯(纖核)較粗(50 或 62.5μm)，外層纖殼為 125μm 可傳輸多種模代的光波長。但其模間色散較大，因而限制了傳輸信號的頻率，而隨著距離的增加會更加嚴重。例如：600MB/KM 的光纖再 2KM 時則只有 300MB 的頻寬了。因此，多模光纖傳輸的距離就比較近，一般只有幾公里的距離。
2. 單模態光纖：中心玻璃芯較細(纖核一般為 9 或 10μm)，只能傳一種模式的光。因此，其模間色散很小，適用於遠距離通訊，但其色度色散起了主要作用，這樣單模光纖對光源的譜寬和穩定性有較高的要求，即譜寬要窄，穩定性要好。
按最佳傳輸頻率窗口分：常規型單模光纖和色散位移型單模光纖。
1. 常規型：光纖生產廠將光纖傳輸頻率最佳化在單一波長的光上，如 1300μm。
2. 色散位移型：光纖生產廠將光纖傳輸頻率最佳兩個波長的光上，如 1300μm 和 1550μm。
按折射率分佈情況分：突變型和漸變型光纖。

常用光纖規格

Route notes

Sat, 16 Sep 2017 15:00:00 +0800

Router - 善於運算路由表的機器，L3 的設備。

Routing Table

一張網卡綁了一個 IP，天生就有了 2 筆 route，不能被改變。192.168.1.1/24
- 自己本身。Local route / Host route：192.168.1.1/32
- 整個網段。Direct route / Connect route：192.168.1.0/24
Static route 想設幾個就設幾個。
- 172.10.10.10/24 -> 192.168.1.2
- 2.2.2.2/26 -> 192.168.1.9
- …
Default route - gateway 只有一個。
- 0.0.0.0/0 -> 192.168.1.10
小數優先 - 優先走範圍小的 route。
BGPv4

Arp notes

Sun, 03 Sep 2017 15:00:00 +0800

封包出去前

對 Arp Table 找 IP 對應的 MAC
- 有 MAC - 封裝
- 無 MAC - 廣播
  - 同網段 - OK
  - 不同網段 - 對 Arp Table 找 Router 的 MAC
    - 有 - OK
    - 無 - 廣播