开启Apache2的WebDAV

  1. 首先需要关闭apache2的directory listing功能,一般写在配置文件/etc/apache2/apache2.conf中:
    1
    2
    3
    4
    5
    <Directory /var/www/>
        Options Indexes FollowSymLinks
        AllowOverride None
        Require all granted
    </Directory>
    去掉Indexes,改为:
    1
    2
    3
    4
    5
    <Directory /var/www/>
        Options FollowSymLinks
        AllowOverride None
        Require all granted
    </Directory>
  2. 开启WebDAV相关的模块:sudo a2enmod dav dav_fs auth_digest
  3. 指定一个WebDAV目录,如/var/www/webdav,我喜欢直接访问html root,所以用的是一个symbol link:ln -s /var/www/webdav /var/www/html(这个叫啥来着……WebDAV alongside HTTP service?)
  4. 指定一个存放WebDAV权限数据的目录,如/var/www/webdav-config,直接mkdir新建一个就行
  5. 将上面两步的目录owner改成www-data:www-data
  6. 更改网站的配置文件:/etc/apache2/sites-enabled/default-ssl.conf,添加WebDAV相关的配置:
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    Alias /webdav /var/www/webdav  # 将WebDAV路径映射到/webdav下
    DavLockDB /tmp/apache2-davlock  # 随便放,用之前那个webdav-config也行
    <Directory /var/www/webdav>
        DirectoryIndex disabled  # 强制关闭directory listing(确保在step 1没配置的情况下还能用)
        DAV On
        AuthType Digest
        AuthName "webdav"  # 指定的realm
        AuthUserFile /var/www/webdav-config/passwd
        Require valid-user
    </Directory>
  7. 创建用户验证文件:touch /var/www/webdav-config/passwd && chown www-data:www-data /var/www/webdav-config/passwd
  8. 添加WebDAV用户:htdigest [auth_file] [realm_name] [user_name],如htdigest /var/www/webdav-config/passwd webdav user将名为user的用户添加到webdav realm中
  9. 重启apache2

然后就可以在linux和windows挂载WebDAV分区了,Windows可以通过命令行添加:net use Z: \\[your_host]@SSL\webdav,或者直接在文件浏览器上面的“映射网络驱动器”添加。

这样,HTTP请求到/webdav目录时是需要身份验证的,而默认的HTTP请求(除了/webdav以外的URL)不需要认证直接访问。

7/8更新:多个WebDAV目录的配置

有时候,有些文件只是想单纯用服务器存着,方便跨设备浏览,但不想暴露到无认证的HTTP服务中。

有两种配置方式。一种是直接在apache2配置文件上直接添加第二个Directory,开启DAV(重复上述第6步的步骤);另外一种是用mount --bind挂载其他文件夹到当前WebDAV文件夹下的子文件夹中,比如cd /var/www/webdav && mkdir html && mount --bind /var/www/html /var/www/webdav/html(更常见的是写到/etc/fstab中进行开机挂载:/var/www/html /var/www/webdav/html none bind),则将HTTP根目录挂载到WebDAV的html子文件夹中,只有该文件夹里面的内容是可以通过非WebDAV协议的一般HTTP请求获得的,其他内容则都需要登录才能访问。

通过注册表修改文件管理器的右键菜单

百度一下应该就有了,单纯记录一下。

比如文件夹的右键菜单:

1
2
3
4
5
6
7
8
[HKEY_CLASSES_ROOT\Directory\shell\<名称>]
@="<显示在右键菜单的文字>"
; 显示Icon
"Icon"="C:\\some_file.exe"

[HKEY_CLASSES_ROOT\Directory\shell\<名称>\command]
@="<要运行的程序以及命令行参数>"
; 如:"notepad.exe" "%1"

在文件夹里面右键背景的选单:[HKEY_CLASSES_ROOT\Directory\Background]

Linux下的路由机制

参考:https://www.digitalocean.com/community/tutorials/a-deep-dive-into-iptables-and-netfilter-architecture

iptables#

正常来讲,当数据包到达Linux系统时,都会经过一个防火墙进行基于规则的匹配过滤,决定该数据包继续进行转发还是直接丢弃等。iptables则负责担任这个防火墙的角色。自顶向下讲,iptables包含了若干个表(如rawmanglenat表等等)和若干个chain(如PREROUTINGINPUT等),组成一个2维的关系表:

表/Chain PREROUTING INPUT FORWARD OUTPUT POSTROUTING
(路由决策)
raw
(连接跟踪)
mangle
nat (DNAT)
(路由决策)
filter
security
nat (SNAT)

不同的chain根据数据包的来源或者去向分别进行匹配过滤,内置的chain包含:

  • PREROUTING传入流量到达本地网络栈时触发(此时还没进行任何路由决策)
  • INPUT:传入数据包经过路由决策后,目的地址为本机时触发
  • FORWARD:传入数据包经过路由决策后,目的地址为其他主机时触发
  • OUTPUT本地流量进入本地网络栈时触发
  • POSTROUTING:路由决策后的传出流量转发流量将数据放置到网线前触发

每个chain则包含若干个表对数据包进行过滤/修改,iptables的表大致可以分为以下几类:

  • filter:是否允许数据包继续转发到目的地址(还是丢弃)的表
  • nat:进行源/目的地址转换(即网络地址转换,NAT)的表,源/目的地址转换分别对应上表的SNAT/DNAT
  • mangle:更改数据包的IP头字段或者标记数据包的表
  • raw:将每个连接的数据流视为一个个独立数据包并对其进行标记的表(前三个表会受到iptables的连接跟踪机制影响,即只对连接的首个数据包起效)
  • security:跟SELinux有关,没接触过

因此,传入到本机的流量会依次经过PREROUTING下的rawmanglenat表,然后再经过INPUT下的manglefiltersecuritynat表。转发到其他主机的流量则经过PREROUTINGFORWARDPOSTROUTING这3个chain,本地的传出流量则是OUTPUT再到POSTROUTING

每个表可以通过iptables -t <表类型> -L进行查看,如iptables -t nat -L,不指定的情况下是filter表。

iptables的规则首先进行匹配,匹配成功则执行该规则的动作。匹配的规则是非常灵活的,可以根据协议类型、源/目的地址、连接状态等进行匹配。而动作目标target)则是规则触发时所执行的动作,由参数-j决定,主要有两类目标:终止目标和非终止目标。iptables会依次执行chain中的规则,直到遇到终止目标时返回,遇到非终止目标则会继续执行相应的规则(如跳转到某些子chain进行匹配)。

连接跟踪:将每个packet组成一系列的连接,并对其进行状态跟踪,状态有:

  • NEW:首个valid的TCP/UDP packet到达且并未关联任何已有连接
  • ESTABLISHED:首个valid的反向响应
  • RELATED:不属于已有连接但与已有连接相关的packet,如FTP协议中除了控制连接外,还有一个传输数据的连接,该连接则属于RELATED
  • INVALID:不属于已有连接且不能视为建立连接的packet
  • UNTRACKED:见下
  • SNATDNAT:源/目的地址经NAT改变后的虚拟状态

raw表标记为NOTRACK会跳过该机制(即状态设为UNTRACKED)。

另外有一点值得一提的是POSTROUTING的target MASQUERADE,本质上相当于一个自动化的SNAT,不需要自己填写外部的IP地址,但相对地,该target则需要指定一个网卡。

iptables的路由决策#

上文提到了iptables的众多功能,但还有一点略过没讲的就是里面的路由决策部分。这一部分不是iptables的工作,而是ip route的工作(注:route命令与ip route相似,但现在更偏向于使用ip route)。

一般情况下,系统默认会有3个路由表,可以通过ip rule进行查看:

  • local:本机路由和广播的表,本地网络连接的路由将参考这个表
  • main:用于传输数据的路由表,对应网卡的网络设置
  • default:默认为空的路由表

每个表中通常会包含若干个路由规则,可以通过ip route [show table <表名或表ID>]查看,不过这部分没怎么深入了解,以后有时间再看了。

iptables可以配合路由表一起使用,如在iptables的mangle表中执行了MARK的动作时,ip可以根据该mark执行不同路由表下的路由规则。举个例子:在iptables中设置了iptables -t mangle -A FORWARD -i eth1 -j MARK --set-mark 1以及在ip中设置了ip rule add fwmark 1 table 10时,在iptables标记为1的数据包会执行ip中路由表10下的规则。