有的没的~: 2023

Friday, December 29, 2023

iptables 流量转发

需求：

把访问本机8060端口的流量，转发到另一个IP地址和端口 xxx.xxx.xxx.xxx:9060

/etc/sysctl.conf 添加：

net.ipv4.ip_forward = 1

保存退出后运行:

sysctl -p

命令：

/usr/sbin/iptables -t nat -I PREROUTING -p tcp --dport 8060 -j DNAT --to-destination xxx.xxx.xxx.xxx:9060
/usr/sbin/iptables -t nat -I POSTROUTING -j MASQUERADE

第二条用以下命令同样效果：

/usr/sbin/iptables -t nat -I POSTROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 9060 -j MASQUERADE
/usr/sbin/iptables -t nat -I POSTROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 9060 -j SNAT --to-source 10.71.10.15 阿里云ECS有内网IP，source不能用公网IP

注意：iptables服务要先安装和开启，INPUT链和FORWARD链也需要开放相应端口或者ACCEPT。如果流量转发失败，可用tcpdump排查

/usr/sbin/iptables -I FORWARD -s ip段1/掩码1 -d ip段2/掩码1 -j ACCEPT

/usr/sbin/iptables -I FORWARD -j ACCEPT

临时绕过WSUS获取Windows更新

reg add “HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU” /v UseWUServer /t REG_DWORD /d 0 /f
net stop “Windows Update”
net start “Windows Update”

参考：

https://community.spiceworks.com/how_to/138033-wsus-bypass-to-windows-updates-online

Tuesday, December 5, 2023

Friday, November 3, 2023

思科交换机自动备份配置文件到tftp服务器

Kron命令：

kron policy-list cfg-backup

cli copy running-config tftp://10.77.11.38/0.2_4503.txt -- 优先使用此命令
cli show run | redirect tftp://10.77.11.38/0.2_4503.txt -- 不支持上面命令时改用这个

kron occurrence weekly-backup at 3:00 Fri recurring

policy-list cfg-backup

Archive命令：

Thursday, September 28, 2023

Linux本地端口重定向

把本地端口udp/514接收到的数据转发到udp/5140

iptables -t nat -I PREROUTING -i ens33 -p udp --dport 514 -j REDIRECT --to-port 5140

注：ens33为网卡名称

Thursday, September 7, 2023

华为交换机复制配置文件到tftp服务器

用户视图：

tftp 192.168.3.201 vrpcfg.zip vrpcfg.txt

S5700, S2700 测试通过

Wednesday, September 6, 2023

snmp-agent sys-info version v2c
snmp-agent community read 2015danc
undo snmp-agent sys-info version v3
snmp-agent target-host trap address udp-domain 192.168.3.202 params securityname hwsw v2c
snmp-agent trap enable

Thursday, August 24, 2023

思科GRE VPN配置

路由器A：

公网IP：59.57.247.xxx

内网IP：10.77.0.0/16

配置：

interface Tunnel6

ip address 10.0.60.1 255.255.255.0

tunnel source 59.57.247.xxx

tunnel destination 117.28.239.xxx

ip route 192.168.0.0 255.255.0.0 Tunnel6

路由器B：

公网IP：117.28.239.xxx

内网IP：192.168.0.0/16

配置：

interface Tunnel6

ip address 10.0.60.2 255.255.255.0

ip tcp adjust-mss 1400 （可选）

keepalive 5 4 （可选 Keepalives are sent every 5 seconds and 4 retries.）

tunnel source 117.28.239.xxx

tunnel destination 59.57.247.xxx

ip route 10.77.0.0 255.255.0.0 Tunnel6

查看隧道状态

show ip interface brief

show ip interface

show ip route

show ip interface tunnel 6

show interface tunnel 6

Monday, July 24, 2023

手动给WSUS导入更新包

参考：

https://augustoalvarez.com/2008/12/12/wsus-30-adding-drivers-for-wsus/

有关Windows域组策略设置

密码策略：

1、通过组策略配置：只能用于域级别（Default Domain Policy），并且不能通过取消GPO链接来使组策略失效，只能取消GPO内的选项配置，不能应用于OU级别

2、通过AD密码设置容器（PSC）配置：可以配置细粒度的密码设置对象（PSO），可以应用于单独的域用户或者用户组（全局组安全组）

参考：

https://www.terminalworks.com/blog/post/2019/11/16/multiple-password-policies-for-domain-users

客户端查看域下发的组策略：

1、rsop.msc

2、命令行运行 gpresult /h d:\gporesult.html

Friday, June 30, 2023

显示桌面功能失效

使用以下命令修复（管理员权限执行）：

regsvr32 /i shell32.dll

附显示桌面命令（可用于添加快捷方式）：

explorer.exe shell:::{3080F90D-D7AD-11D9-BD98-0000947B0257}

Wednesday, June 21, 2023

FFmpeg裁剪合并媒体文件

ffmpeg裁剪媒体文件：

ffmpeg -i in.mp4 -copyts -ss 00:10:00 -to 00:15:00 -map 0 -c copy out.mp4

ffmpeg合并媒体文件：

创建要合并的文件清单vlist.txt，写入：

file '/path/to/video1.mp4'
file '/path/to/video2.mp4'
file '/path/to/video3.mp4'

ffmpeg -f concat -safe 0 -i vlist.txt -c copy output.mp4

（经测试，参数顺序会影响命令执行）

参考：

https://superuser.com/questions/377343/cut-part-from-video-file-from-start-position-to-end-position-with-ffmpeg

https://stackoverflow.com/questions/49371422/how-to-merge-two-videos-without-re-encoding

https://www.cnblogs.com/feipeng8848/p/9601103.html

Tuesday, June 20, 2023

思科路由器不同内网地址通过不同公网地址访问互联网

公网地址：117.28.XXX.173，117.28.XXX.174
公网网关：117.28.XXX.169

目标：
10.77.26.176/28 走117.28.XXX.174出外网
10.77.0.0/16 走117.28.XXX.173出外网

主要配置：（动态NAT转换）

interface FastEthernet0/0
description Lan
ip address 10.77.0.235 255.255.255.0
ip nat inside

interface FastEthernet0/1
description Wan
ip address 117.28.XXX.173 255.255.255.248
ip nat outside

access-list 101 deny ip 10.77.26.176 0.0.0.15 any #排除10.77.26.176/28
access-list 101 permit ip 10.77.0.0 0.0.255.255 any
access-list 102 permit ip 10.77.26.176 0.0.0.15 any
ip nat pool dwpool1 117.28.XXX.173 117.28.XXX.173 netmask 255.255.255.248
ip nat pool dwpool2 117.28.XXX.174 117.28.XXX.174 netmask 255.255.255.248
ip nat inside source list 101 pool dwpool1 overload
ip nat inside source list 102 pool dwpool2 overload
ip route 0.0.0.0 0.0.0.0 117.28.XXX.169

参考：

https://community.cisco.com/t5/routing/multiple-wan-ip-addresses-and-multiple-inside-hosts/td-p/2181351#S211831

https://blog.csdn.net/weixin_46232917/article/details/127045314

Wednesday, May 17, 2023

Linux主机pppoe拨号上网作为网关，部分网站打不开

echo 1 > /proc/sys/net/ipv4/ip_forward # 或者修改 /etc/sysctl.conf
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1452

参考：

https://v2ex.com/t/940431

https://blog.csdn.net/victory08/article/details/51454030

华为S5720堆叠配置与清除

交换机型号华为S5720-28TP-LI-AC
以业务口g0/0/23和g0/0/24作为逻辑堆叠口
使用网线进行堆叠连接
配置之前先不接线

主交换机配置

interface stack-port 0/1
port interface GigabitEthernet0/0/23 enable
interface stack-port 0/2
port interface GigabitEthernet0/0/24 enable
stack slot 0 renumber 0
stack slot 0 priority 200
stack timer mac-address switch-delay 10 #选配

备交换机配置

interface stack-port 0/1
port interface GigabitEthernet0/0/23 enable
interface stack-port 0/2
port interface GigabitEthernet0/0/24 enable
stack slot 0 renumber 1
stack slot 0 priority 100
stack timer mac-address switch-delay 10 #选配

保存配置，重启交换机，交叉接线

主交换机的g0/0/23接备交换机的g0/0/24
主交换机的g0/0/24接备交换机的g0/0/23

检查堆叠状态

display stack peers
display stack ports
display stack channel (all)

查看堆叠配置（display current-configuration 看不到）

display stack configuration

清除堆叠配置
console线接备交换机

interface stack-port 1/1
shutdown interface GigabitEthernet1/0/23
undo port interface GigabitEthernet1/0/23 enable
interface stack-port 1/2
shutdown interface GigabitEthernet1/0/24
undo port interface GigabitEthernet1/0/24 enable
stack slot 1 renumber 0
stack slot 0 priority 100

console线接主交换机

interface stack-port 0/1
shutdown interface GigabitEthernet0/0/23
undo port interface GigabitEthernet0/0/23 enable
interface stack-port 0/2
shutdown interface GigabitEthernet0/0/24
undo port interface GigabitEthernet0/0/24 enable
stack slot 0 renumber 0
stack slot 0 priority 100

注意事项：

堆叠后除主交换机外其他交换机的配置（如端口配置）将会丢失，需要堆叠成功后在主交换机上对这些端口进行重新配置
堆叠的配置不会保存在启动配置文件里，清除启动配置文件，不会清除堆叠配置，所以使用reset saved-configuration 命令并不是恢复了出厂设置，只是清除了启动配置文件
堆叠还原时一定要先down掉相关的堆叠端口，否则直接还原可能会引起环路（R11版本前会强制要求down掉才能还原，R11版本后不会强制要求先down掉端口）

参考：

https://support.huawei.com/enterprise/my/knowledge/EKB1002001608

https://www.jianshu.com/p/30a338f58b12

Thursday, April 20, 2023

vlan tag 在路由后会发生什么变化？

VLAN 是二层的概念，因此在进行路由（三层）的时候，数据帧头（vlan tag）已被剥离，在完成路由后，如果出接口是trunk类型，新的vlan tag（目标vlan的tag）会被添加到数据帧头再发出

参考：

https://community.cisco.com/t5/switching/what-happen-to-vlan-tag-info-when-passing-through-a-router/td-p/2250312

Friday, February 10, 2023

Windows时间同步注意点

Windows时间服务是Active Directory域正常运行的基础功能。AD主身份验证协议Kerberos使用W32Time（Windows时间）时间服务来正常运行。在AD环境中，时间同步是按照严格的层次结构进行的：加入域的电脑和服务器从距离最近的域控制器获取时间，所有域控制器与拥有FSMO角色的PDC Emulator的单个DC同步

PDC模拟器（Primary Domain Controller）与外部时间源同步时间。外部时间源通常是一个或多个公共NTP服务器

所有版本的Windows都有W32Time服务，这个服务用于和AD同步时间。一台电脑可以同时作为NTP服务端和客户端，默认情况下，加域的客户端电脑使用Windows时间服务来同步时间而不是使用NTP

Windows时间服务的默认情况如下：

完成Windows原版系统安装后，NTP客户端在电脑已启动，并用于和外部时间源同步时间
当电脑加域后，同步类型会改变，域中所有客户端电脑和成员服务器会自动和DC同步时间
当成员服务器提升为DC后，NTP服务端会启动，该服务器使用具有PDC角色的DC作为时间源
PDC emulator 是整个组织的主要时间服务器，它会和外部时间源同步（或者和CMOS的硬件时间同步）
这个方案在大多数情况下都有效，不需要干预。但是，Windows中时间服务的结构可能不遵循域层次结构

使用GPO配置PDC DC的NTP：（注意此域策略只作用于域控制器）

Computer Configuration > Administrative Templates > System > Windows Time Service > Time Providers

Configure Windows NTP Client: Enabled (NtpServer: ntp.aliyun.com,0x1 Type: NTP)
Enable Windows NTP Client: Enabled
Enable Windows NTP Server: Enabled

使用GPO配置客户端时间同步：