分类:技术贴

使用nftables配置端口转发

发表回复

在应用场景需要处理大量的流量和复杂的规则集,nftables完全运行在内核空间,减少了上下文切换的开销,性能和灵活性方面都优于iptables。
nftables端口转发的:
优点:基于内核,工作在传输层,转发效率高,适合内网和延迟低的网络。
缺点:不支持BBR拥堵算法(因为BBR工作在应用层)

流量走向:

客户端 -- A服务器 -- B服务器(落地) -- 目标 -- 返回B服务器(落地)

中转服务器IP:2.2.2.2 端口:2222
目标服务器IP:6.6.6.6 端口:6666

实现目的:把本机A服务器IP 2.2.2.2 上的 2222 端口流量转发到B服务器IP 6.6.6.6 的 6666 端口上

A服务器

以下都在A服务器上操作,也就是转发服务器,白话就是线路好的服务器

首先在服务器上开启内核转发:

 echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf

使其生效:

 sysctl -p

1. 安装 nftables
确保系统已经安装 nftables。在大多数 Linux 发行版中可以通过以下命令安装(Debian12 已默认自带,不用额外安装):

 apt install nftables  # 对于 Debian/Ubuntu 
 yum install nftables  # 对于 CentOS/RHEL

2. 启用并启动 nftables
确保 nftables 服务已启用并运行:

 systemctl enable nftables
systemctl start nftables

3. 创建或编辑配置文件
编辑 nftables 配置文件,通常位于 sudo nano /etc/nftables.conf,或者创建一个新的配置文件。

以下是一个端口转发的配置示例:

 
#!/usr/sbin/nft -f

flush ruleset

table inet filter {
    chain input {
        type filter hook input priority 0;
        ct state { established, related } accept
        ct state invalid drop
        # 按需添加其他输入规则(如允许 SSH)
    }

    chain forward {
        type filter hook forward priority 0;
        ct state { established, related } accept
        ct state new accept  # 允许新转发连接
        ct state invalid drop
    }

    chain output {
        type filter hook output priority 0;
        ct state { established, related } accept
    }
}

table ip forwardaws {  # 修正表名拼写
    chain prerouting {
        type nat hook prerouting priority -100;

        # 仅对新连接执行 DNAT
        tcp dport 2222 ct state new dnat to 6.6.6.6:6666
        udp dport 2222 ct state new dnat to 6.6.6.6:6666
    }  # 正确闭合 prerouting 链

    chain postrouting {
        type nat hook postrouting priority 100;
        ip daddr 6.6.6.6 masquerade
    }
}

4. 加载配置
保存文件后,通过以下命令加载配置:

 nft -f /etc/nftables.conf

5. 验证规则
使用以下命令查看当前 nftables 规则是否正确加载:

 nft list ruleset

prerouting 链:用于修改进入主机的数据包,适合端口转发。
postrouting 链:用于修改发出主机的数据包,通常用于地址伪装 (SNAT)。
B服务器(落地)
B服务器也就是落地服务器

转发多个端口代码如下:
中转服务器IP:2.2.2.2 端口:2222
目标服务器IP:6.6.6.6 端口:2222
目标服务器IP:8.8.8.8 端口:3333


#!/usr/sbin/nft -f

flush ruleset

table inet filter {
    chain input {
        type filter hook input priority 0;
        ct state { established, related } accept;
        ct state invalid drop;
        # Allow SSH (example)
        # tcp dport 22 accept;
    }

    chain forward {
        type filter hook forward priority 0;
        ct state { established, related } accept;
        ct state new accept;  # Allow new forwarded connections
        ct state invalid drop;
    }

    chain output {
        type filter hook output priority 0;
        ct state { established, related } accept;
    }
}

table ip forwardaws {  # Corrected table name
    chain prerouting {
        type nat hook prerouting priority -100;

        # DNAT rules (separate per port)
        tcp dport 2222 ct state new dnat to 6.6.6.6:2222;
        tcp dport 3333 ct state new dnat to 8.8.8.8:3333;
    }

    chain postrouting {
        type nat hook postrouting priority 100;
        ip daddr { 6.6.6.6, 8.8.8.8 } masquerade;
    }
}

原始配置:

#!/usr/sbin/nft -f

flush ruleset

# 创建一个名为 "fowardaws" 的表,用于转发流量
table ip fowardaws {

    # 在 prerouting 链中配置 DNAT(目的地址转换)
    chain prerouting {
        # 设置该链的类型为 NAT(网络地址转换),并在 prerouting 阶段生效
        type nat hook prerouting priority -100;  # priority -100 表示较早匹配规则

        # 将本机也就是中转机2222端口流量转发到落地机IP(6.6.6.6)的6666端口上
        tcp dport 2222 dnat to 6.6.6.6:6666
        udp dport 2222 dnat to 6.6.6.6:6666
        # 上述两行规则会将访问本机 2222 端口的 TCP/UDP 流量重定向到指定的远程服务器端口
    }

    # 在 postrouting 链中配置 SNAT(源地址转换)
    chain postrouting {
        # 设置该链的类型为 NAT,并在 postrouting 阶段生效
        type nat hook postrouting priority 100;  # priority 100 表示在路由后生效

        # 使用 masquerade(伪装)机制,将流向(目的机器的ip) 的流量的源地址转换为本机的出站 IP 地址
        ip daddr 6.6.6.6 masquerade
        # masquerade 的效果是隐藏本地 IP,使目标服务器看到的是中转机的外网 IP,而非局域网 IP
    }
}

服务器线路大小包测试

发表回复

大小包?就是小包走优化路由,大包走垃圾路由。
比如一些亚太线路,经常是小包走的cmi,大包走lumen,一般测试回程脚本走的都是小包,结果就是小包路由走优化线路,大包路由走垃圾线路。

测试开始:

首先安装NextTrace,项目如下:
https://github.com/nxtrace/NTrace-V1

安装NextTrace:

curl nxtrace.org/nt |bash

广州联通
大包测试,发送124k数据(也可以直接做更大测试,比如10240K数据):

nexttrace --tcp --psize 1024 157.148.58.29 -p 80

小包测试,发送12k数据:

nexttrace --tcp --psize 12 157.148.58.29 -p 80

广州电信
大包测试,发送124k数据(也可以直接做更大测试,比如10240K数据):

nexttrace --tcp --psize 1024 14.116.225.60 -p 80

小包测试,发送12k数据:

nexttrace --tcp --psize 12 14.116.225.60 -p 80

深圳移动
大包测试,发送124k数据(也可以直接做更大测试,比如10240K数据):

nexttrace --tcp --psize 1024 120.233.18.250 -p 80

小包测试,发送12k数据:

nexttrace --tcp --psize 12 120.233.18.250 -p 80

注意:包大小可以修改,测试ip也可以修改。

win10关闭定位服务

发表回复

1.按Win+R打开运行,输入services.msc并打开这项服务。

2.在“服务”菜单中找到Geolocation Service的选项,右键重启编辑属性。

3.将Geolocation Service服务启动类型设置为禁用并保存设置。
此服务将监视系统的当前位置并管理地理围栏(具有关联事件的地理位置)。如果你禁用此服务,应用程序将无法使用或接收有关地理位置或地理围栏的通知。

 
@echo off
set service_name=Geolocation Service
echo Disabling %service_name%...
net stop "%service_name%"
sc config "%service_name%" start= disabled
echo %service_name% has been disabled.
pause

将文件保存为 disable_geolocation_service.bat 或任何你喜欢的名称,但请确保文件扩展名是 .bat

双击运行这个批处理文件,它将自动停止并禁用Geolocation Service服务。

手动更新SSH-规避OpenSSH 远程代码执行漏洞(CVE-2024-6387)安全风险

发表回复

OpenSSH 远程代码执行漏洞(CVE-2024-6387)安全风险
该漏洞是由于OpenSSH服务 (sshd) 中的信号处理程序竞争问题,未经身份验证的攻击者可以利用此漏洞在Linux系统上以root身份执行任意代码。目前该漏洞技术细节已在互联网上公开,该漏洞影响范围较大,建议尽快做好自查及防护。

影响版本:8.5p1 – 9.7p1

查看最新版本文件
https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/

查看版本

 ssh -V

更新安装必须的包

 sudo apt-get  -y update
 sudo apt-get install build-essential zlib1g-dev libssl-dev

下载最新的包:

 wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz

解压:

 tar -xzf openssh-9.8p1.tar.gz
cd openssh-9.8p1

编译:

 ./configure
make

安装:

 sudo make install

重启服务:

 sudo systemctl restart ssh

查看版本是否有openssh-9.8p1

 ssh -V

如果版本没显示openssh-9.8p1,就是需要添加环境变量:

 echo 'export PATH=/usr/local/bin:/usr/local/sbin:$PATH' >> ~/.bashrc

验证生效

 source ~/.bashrc

查看版本

 ssh -V

修改 ssh.service 文件中的 ExecStartPre、ExecStart 和 ExecReload 行,将 /usr/sbin/sshd 改为 /usr/local/sbin/sshd

sudo sed -i 's|ExecStartPre=/usr/sbin/sshd|ExecStartPre=/usr/local/sbin/sshd|; s|ExecStart=/usr/sbin/sshd|ExecStart=/usr/local/sbin/sshd|; s|ExecReload=/usr/sbin/sshd|ExecReload=/usr/local/sbin/sshd|' /lib/systemd/system/ssh.service

确认修改内容:

grep -E 'ExecStartPre|ExecStart|ExecReload' /lib/systemd/system/ssh.service

重新加载服务:

sudo systemctl daemon-reload
sudo systemctl restart sshd

列出正在运行的SSH进程(确认是否是 /usr/local/sbin/sshd)

ps -ef | grep sshd

注意:以上操作ssh的配置文件就变成了/usr/local/etc/sshd_config,需要给新配置文件更新内容

把新配置文件删掉,创建链接到/etc/ssh/sshd_config,并加载服务

sudo rm /usr/local/etc/sshd_config
sudo ln -s /etc/ssh/sshd_config /usr/local/etc/sshd_config
sudo systemctl daemon-reload
sudo systemctl restart sshd

清理旧版本(可选)

sudo rm /usr/sbin/sshd

统一执行代码:


sudo apt-get -y update && \
sudo apt-get install -y build-essential zlib1g-dev libssl-dev && \
wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz && \
tar -xzf openssh-9.8p1.tar.gz && \
cd openssh-9.8p1 && \
./configure && \
make && \
sudo make install && \
sudo systemctl restart ssh && \
echo 'export PATH=/usr/local/bin:/usr/local/sbin:$PATH' >> ~/.bashrc && \
source ~/.bashrc && \
sudo sed -i 's|ExecStartPre=/usr/sbin/sshd|ExecStartPre=/usr/local/sbin/sshd|; s|ExecStart=/usr/sbin/sshd|ExecStart=/usr/local/sbin/sshd|; s|ExecReload=/usr/sbin/sshd|ExecReload=/usr/local/sbin/sshd|' /lib/systemd/system/ssh.service && \
grep -E 'ExecStartPre|ExecStart|ExecReload' /lib/systemd/system/ssh.service && \
sudo rm /usr/local/etc/sshd_config && \
sudo ln -s /etc/ssh/sshd_config /usr/local/etc/sshd_config && \
sudo systemctl daemon-reload && \
sudo systemctl restart sshd && \
sudo rm /usr/sbin/sshd && \
ps -ef | grep sshd
ssh -V

Linux本地测速方法

发表回复

speedtest 是一款使用 python 语言编写的轻量级的 linux 命令行测速工具,在 python2 以及 python3 的环境下都可以运行,基于 speedtest.net 基础框架来测量网络的上下行数据,安装也很简单,只要下载对应的 python 文件执行即可。

汇总处理:


wget https://raw.githubusercontent.com/sivel/speedtest-cli/master/speedtest.py && \
chmod a+rx speedtest.py && \
chown root:root speedtest.py && \
mv speedtest.py /usr/local/bin/speedtest && \
sudo ln -s /usr/bin/python3 /usr/bin/python && \
speedtest

测速方法
1、先下载脚本(wget 下载或者下载好上传到服务器上)

wget https://raw.githubusercontent.com/sivel/speedtest-cli/master/speedtest.py

2、为脚本授权

chmod a+rx speedtest.py
chown root:root speedtest.py

3、移至本机运行目录

mv speedtest.py /usr/local/bin/speedtest

4、执行测速

speedtest

如果出现找不到 python 环境的错误,对应以下解决即可!


[root@ecs-test ~]# speedtest 
/usr/bin/env: ‘python’: No such file or directory
[root@ecs-test ~]# python3 --version
Python 3.6.8
[root@ecs-test ~]# 
[root@ecs-test ~]# whereis python3
python3: /usr/bin/python3.6 /usr/bin/python3 /usr/bin/python3.6m /usr/lib/python3.6 /usr/lib64/python3.6 /usr/local/lib/python3.6 /usr/include/python3.6m /usr/share/man/man1/python3.1.gz
[root@ecs-test ~]# sudo ln -s /usr/bin/python3 /usr/bin/python
[root@ecs-test ~]# speedtest

5、查看测速节点列表

speedtest --list

6、对指定节点测速,14623是节点编号

speedtest  --server 14623