飞污熊博客

一般家庭宽带使用拨号连接，上门安装时会给安装一个光猫。自带了Wifi功能，但是信号差很不稳定。追求高质量的Wifi信号的人还是会选择增加一个路由器。 这篇文章指导新手如何通过修改光猫设置来让路由器拨号上网。

光猫设置桥接模式，是家庭网络的一个基础设置，也是一个比较重要的设置。

设置了光猫桥接模式后，拨号上网由路由器来进行，可以方便进行其他网络相关操作，而且可以减少因为光猫问题造成的网络性能瓶颈，家庭网络故障等。

个人建议在办理宽带业务后，先将光猫设置为桥接模式之后，再进行其他的网络设备的连接和调试。

比较常见的抓包方法是使用tcpdump在linux机器上运行，生成pcap文件。 然后拖到windows机器，下载wireshark来可视化分析。

常用操作

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

./tcpdump -i eth0 -vv -s0 -weth0.pcap
# 特定IP地址，不管是源IP还是目的IP
./tcpdump host 10.3.19.129 -i eth0 -vv -s0 -weth0.pcap
./tcpdump  dst host 10.3.19.129 -i eth0 -vv -s0 -w eth0 .pcap
# and操作
tcpdump tcp port 22 and src host 123.207.116.169
# or操作
tcpdump src host 123.207.116.168 or src host 123.207.116.169
# 特定源IP地址
tcpdump src host 18.16.202.169
# 特定目标地址
tcpdump dst host 18.16.202.169
# 监听特定主机之间的通信
tcpdump ip host 210.27.48.1 and 210.27.48.2
# 监听特定端口
tcpdump port 8083 -vv
# 监听tcp协议，并加数据包写入abc.cap
tcpdump tcp port 8083 -w  ./abc.cap

netcat 是 Linux 系统中的网络工具，其通过 TCP 和 UDP 协议在网络中读写数据。如果与其他工具结合， 以及加上重定向功能，还可以实现很多不同的功能。所以其以体积小功能灵活而著称，可以用来做很多网络相关的工作。

CentOS7中安装命令

1

yum install nmap-ncat

一般设置代理方式是vi /etc/profile，然后添加下面内容

1
2

export http_proxy = http://username:password@yourproxy.com:8080/
export ftp_proxy = http://username:password@yourproxy:8080/

但是这种直接在配置文件里面写自己域账号的明文密码很不安全，如果是几个人共享一台机器，其他人可以直接看到你的密码。

生成签名用的公私钥对

1
2
3
4
5
6

# 生成私钥
(umask 077; openssl genrsa -aes256 -out sign.key 3072)
# PKCS1私钥转换为PKCS8
openssl pkcs8 -topk8 -inform PEM -in sign.key -outform pem -out sign.key
# 从私钥导出公钥文件
openssl rsa -in sign.key -pubout -out sign.pub

通过一个私钥分片和管道口令读取的脚步来自动签发数字证书

环境配置

1.修改openssl配置文件

通过vi编辑文件/etc/pki/tls/openssl.cnf，更新内容如下，有的部分是更新，有的是增加。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32

[ CA_default ]
req_extensions = v3_req

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth

[ v3_server_client ]
basicConstraints        = critical, CA:FALSE
subjectKeyIdentifier    = hash
authorityKeyIdentifier  = keyid:always, issuer:always
keyUsage                = critical, nonRepudiation, digitalSignature, keyEncipherment, keyAgreement
extendedKeyUsage        = critical, serverAuth, clientAuth
crlDistributionPoints   = URI:https://example.com/xxx.crl

[ v3_sign ]
basicConstraints        = critical, CA:FALSE
subjectKeyIdentifier    = hash
authorityKeyIdentifier  = keyid:always, issuer:always
keyUsage                = critical, digitalSignature
extendedKeyUsage        = critical, codeSigning

[ v3_ca ]
basicConstraints = critical, CA:true
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
keyUsage = critical, cRLSign, digitalSignature, keyCertSign
crlDistributionPoints=URI:https://example.com/root.crl

[ crl_ext ]
authorityKeyIdentifier=keyid:always, issuer:always

**强烈提醒：**如果是要做客户端证书认证，证书类型一定要选v3_server_client

X.509 v3证书定义的扩展为用户或公钥以及在CA间的管理提供了额外的功能。X.509 v3证书的格式允许组织使用私有的扩展。 证书中的扩展被定义为critical或non-critical。 一个使用证书的系统在接收到设置为critical但无法识别或无法处理的证书时，必须拒绝处理该证书。 一个non-critical的证书在无法识别时可能会被忽略。

• 约束1：主机已经安装了OpenSSL，版本号1.0.2
• 约束2：生成CA根证书前，请提前规划以下环境配置参数。

生成自签名证书命令

1

keytool -genkey -v -alias oauth2 -keyalg RSA -validity 3650 -keystore server.jks

导出证书命令

1

keytool -exportcert -rfc -alias oauth2 -file server.crt -keystore server.jks -storepass 123456

CipherSuite这个名词目前没看到有好的中文翻译，个人觉得翻译成加密算法套件比较合适。 Cipher泛指是密码学的加密算法，例如 aes, rsa, ecdh 等。 tls是由各类基础算法作为原语组合而成，一个CipherSuite是4个算法的组合：

• 1个key exchange(密钥交换)算法
• 1个authentication(身份认证)算法
• 1个encryption(加密)算法
• 1个message authentication code (消息认证码，简称MAC)算法

比如一个例子TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。 表示的含义是TLS_ECDHE（密钥交换算法）_RSA（身份认证算法）_WITH_AES_128_GCM（AES128GCM对称加密算法） _SHA256（完整性包含的MAC算法）。

这里演示如何通过命令行一键生成自签名CA证书，以及对于已有的证书生成服务证书库和信任证书库。