Keycloak 20.0.3 使用体验

最近有一些需求,评估之后想来想去,还是Keycloak比较合适。所以虽然个人很不喜欢,但还是使用了Keycloak。 本文主要分两块。第一块是关于Keycloak的评价性的描述,第二块才是一些功能的体验。…

关于某乎某宝Android APP疑似恶意查询DNS的一点分析

💡本文只是说我遇到了什么问题,也只是给出一些推测。很可能与事实不符。 背景环境 由于企业防火墙的缘故,所有通过wifi连接的设备是只能访问特定的物理机的。而手机又不能插网线。所以我手机上网就必须通过指定的物理机转发所有的流量。 这个特定的物理机显然不是路由器。因此手机的DNS解析其实也是要走这个物理机去转发。 当然如果是HTTP请求的话,其实本身就该物理机去解析。 对于DNS,我是有两个DNS server。一个内网的DNS server,一个是外网的DNS server。外网的DNS server负责对接114或者阿里DNS,内网的DNS从我外网的DNS上拿结果,并缓存。 也就是说,外网DNS server负责和第三方DNS集成,内网DNS负责缓存加速。 外网的DNS server部署在云服务器,内网的DNS server部署在路由器和k8s集群。 现象描述 打开某乎某宝手机APP,然后随便刷刷。不超过3分钟,整个内网瘫痪,无法继续访问外网。 (这里说明一下:物理机位于成都。无法访问外网指的是位于成都的物理机无法访问百度) 而相反,使用某信,某博或某东等其他APP…

Ubuntu做软路由(三):辅助工具

上一篇,我们已经实现了一个非常不好用的路由器。那么现在我们就可以把一开始拿掉的东西给重新拿回来。 所以,这里我们将集中于辅助功能。 这一块的东西就非常杂了。如果说,上一篇会需要一点点深度的话,那么这一篇需要的就是一点点广度。 实在是个人状态不好。review能省就省了,有啥语句不通,错别字什么的,还请见谅。 DHCP server 比起别的,个人认为DHCP server是提升体验最大的东西了。一方面,给每个server一个一个的配置IP是个很痛苦的事情;二方面,DHCP可以给每个server提供一个外部的DNS;三方面,安全问题很重要,但安全问题在被攻击之前,都是一点不痛的。 什么是DHCP DHCP毕竟是P结尾的,所以这个东西本身是一个协议,全称是Dynamic Host Configuration Protocol。类似于HTTP,有协议就有对应的server。 除了家庭场景下,我们是因为懒惰而不愿意给每一台设备手动指定IP这个理由之外。DHCP还能提供不少好处。 首先,可以避免IP地址冲突。比如两台设备都说自己的IP是192.168.1.100。那么根据上一篇…

Ubuntu做软路由(二):实现MVP

上一篇大概算是给ubuntu做软路由做了一些准备,主要是排除一些干扰项,让我们可以专注于搭建路由器真正核心的任务。 所以现在我们就要开始专注于如何实现路由功能。 还是,这一块我也不是特别熟悉,而且概念我也是遗忘了很多。所以只能说勉强指个方向。 另外,这一块稍微有点麻烦,我又比较懒。review能省就省了,有啥语句不通,错别字什么的,还请见谅。 默认网关 想了半天,觉得还是从网关开始。 先抛开路由器不谈。我们找一台连接了路由器之后的机器,并查看其网络配置。可以看到这些设备都会配置一个默认网关。 于是我们就有了两个概念需要说明:1. 默认网关;2. 网关。 为了说明这两个概念,我们先考虑下面这个例子: 现在假设你有两台电脑A和B,并且有两台路由器C和D。电脑A同时连接C和D,B只连接C。路由器C没有连接外网,D连接了外网。 我们假设B的IP是192.168.1.101,路由器C的IP是192.168.1.1,路由器D的IP是192.168.2.1。显然A有两个网卡,每个网卡都有对应路由器给分配的IP地址,我们假设C给A的IP是192.…

Ubuntu做软路由(一):准备工作

现在为止,已经至少两次直接基于ubuntu做路由。第一次是给成都的住处做,第二次是给现在的住处做。想了想准备总结一下。 不过网络方面的东西,我也不是专业的。所以就只能慢一点,细一点。这样一方面自己整理的压力小一些,二方面要是有什么错处大家也好在评论区指出。 但这样也就只能把一个完整的事情拆成很多篇文章来搞了。 为了节省工时,只能能不review就不review了,有什么语句不通顺,错别字什么的,还请见谅。 为什么要自己做路由器 不信任第三方 对于家庭网络来说,一般来说,所有的流量都会需要经过一台路由器才能访问公网。所以,对整个家庭网络来说,路由处在一个非常关键的位置。 首先,路由器知道需要你要访问什么。在直接连接的情况下,路由器不仅知道请求网址对应的服务器,而且还知道是内网哪台设备访问的。(比如访问手机访问百度,那么路由器一定知道要把请求发送给百度的服务器,同时知道要把百度的回复返回给手机而不是电脑) 其次,路由器具有访问网络的权限。毕竟要访问外网,那就一定有网络权限。那么路由器就有能力将其收集的一切数据发送给外网。 因此,在路由器问题上尽可能不信任第三方,或者谨慎的…

Ingress、Egress与蜜罐

本文的重点真的是讲解ingress和egress在网络安全上的作用。真的和一些奇怪的事情没有任何关系。请勿恶意联想。…