安全是有分量的

cdn防御cc_浪琴高防手表_原理

2022-01-12 19:10栏目:商业圈

cdn防御cc_浪琴高防手表_原理

由tmlxs和adr13n合著

WireGuard是一种使用UDP的IPv4和IPv6网络隧道(VPN)。目前大部分代码都驻留在Linux内核中,但是跨平台的实现正在进行中。WireGuard具有与SSH类似的身份验证方案,其中VPN服务器和每个客户机都有自己的非对称密钥对。授权新客户端只需在服务器配置文件中添加其公钥即可。请注意,WireGuard可以配置为使用预共享密钥作为现有非对称密钥之上的附加安全层。这是可选的,但提高了量子后的电阻。

WireGuard因其简单性和可审计性而大放异彩:它由~4 KLoC组成,而大多数替代品在超过100 KLoC时更难审计。它对现代密码原语(Curve25519、HKDF、ChaCha20、Poly1305、BLAKE2s、SipHash24)的使用及其高效的实现使它成为OpenVPN和IPsec的优秀替代品。Wireguard用作虚拟网络接口(例如,wg0)。这意味着可以使用标准ip(8)工具管理接口。

WireGuard也是最快的VPN(见基准测试),在吞吐量测试中超过了OpenVPN的性能。它是秘密和沉默的,因为它不发送回复未经验证的消息,云ddos防御,使它很难被网络扫描仪发现。此外,它还提供了完美的前向保密性。

请注意,WireGuard仍处于试验阶段,因此尚未准备好投入生产。

WireGuard引入了端点、对等点和允许IP的概念。对等机是远程主机,由其公钥标识。每个对等点都有一个允许的IP列表。从服务器的角度来看,关闭cc手机防御级别调,AllowedIPs是允许对等机用作源IP地址的IP。对于客户机,它们充当一种路由表,确定数据包应该加密到哪个对等方。例如,如果对等端发送的数据包的源IP不在服务器上的AllowedIP列表中,那么该数据包将被简单地丢弃在服务器端。端点是对等方的一对IP地址(或主机名)和端口。它会自动更新到最新的源IP地址和来自对等方的正确身份验证数据包的端口。这意味着,高防cdn_504错误什么意思,例如在移动网络(其外部IP地址改变)之间跳跃的对等方仍然能够接收传入流量,因为每当他向服务器发送经过身份验证的消息时,其端点将被更新。这是可能的,因为对等方是由其公钥标识的。

下面是将其设置为VPN的完整演练。非常感谢杰森的帮助和回答我们所有的问题!

安装

钢丝护板的安装非常简单。请在以下链接下检查它是否打包用于您的分发:https://www.wireguard.io/install/#option-a-分销-包装。如果不是,高防cdn_504错误什么意思,您需要按照这里的说明从源代码处编译它。

安装过程必须在服务器上以及要连接的各种客户端上完成。

服务器设置

首先确保启用了IP转发,方法是将以下内容添加到/etc/sysctl.conf

net.ipv4.IP\u forward=1

运行以下命令以应用上述内容设置:

$sudo sysctl-p

同时确保WireGuard使用的端口已在防火墙上打开(本教程使用默认端口UDP/51820)。

现在将设置WireGuard。需要为隧道中的主机选择一个范围。对于这个blogpost,我们选择使用192.168.3.0/24,其中192.168.3.1分配给服务器,192.168.3.2分配给客户端[接口]地址=192.168.3.1/24ListenPort=51820postp=iptables-A FORWARD-i wg0-j接受;iptables-t nat-A postprouting-o IFACE-j伪装PostDown=iptables-D FORWARD-i wg0-j接受;iptables-t nat-D postwrouting-o IFACE-j伪装PrivateKey=$(wg genkey)SaveConfig=true[同行]PublicKey=客户端\公钥AllowedIPs=客户端\u VPN \u IP/32_EOF

确保使用面向internet的接口名称(eth0或类似名称)更新IFACE。[Peer]块可以由客户机信息完成,如下一节所述。在该块中需要替换以下内容:

客户端公钥是客户端的公钥。CLIENT_VPN_IP是在隧道范围内给客户端的IP

postp和PostDown命令分别在设置好接口后由Bash执行。它们使用iptables启用和禁用NAT和转发。

最后使用

$sudo wg quick up wg0启动WireGuard

VPN服务可以通过以下方式关闭:

$sudo wg quick down wg0

请注意,wg quick(8)只是wg(8)周围的Bash包装器,可以直接集成到ip(8)中。

配置文件中的SaveConfig=true条目告诉您WireGuard可在添加新客户机时自动更新配置文件,如下所述,在服务器上添加新客户机。

一旦打开接口,可使用以下命令查看不同的已连接对等机:

$sudo wg show

运行上述命令时显示服务器的公钥。还可以通过在wg pubkey命令中粘贴私钥(包含在生成的配置文件中)并按CTRL+d来检索它。需要此公钥来设置下面的客户端。

客户端设置

客户端也需要安装WireGuard。这可以按照上述安装部分所述的相同方式执行。完成后,您可以继续。

工具resolvconf用于在启动WireGuard隧道时动态更改DNS服务器。如果您的发行版未附带resolvconf,请安装它或将下面的resolvconf调用更改为适合您的特定配置。

现在以root用户身份运行以下命令来设置客户端配置文件:

#umask u=rwx,vps怎么防御ddos,go=&&cat>/etc/wireguard/wg0.conf