欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

    1、iptables介紹
   
    iptables是復雜的，它集成到linux內核中。用戶(hù)通過(guò)iptables,可以對進(jìn)出你的計算機的數據包進(jìn)行過(guò) 濾。通過(guò)iptables命令設置你的規則，來(lái)把守你的計算機網(wǎng)絡(luò )哪些數據允許通過(guò)，哪些不能通過(guò)，哪些通過(guò)的數據進(jìn)行記錄（log）。接下來(lái)，我將告訴 你如何設置自己的規則，從現在就開(kāi)始吧。
   
    2、初始化工作
   
    在shell提示符 # 下打入
   
    iptables -F
   
    iptables -X
   
    iptables -t nat -F
   
    iptables -t nat -X
   
    以上每一個(gè)命令都有它確切的含義。一般設置你的iptables之前，首先要清除所有以前設置的規則，我們就把它叫做初始化好了。雖然很多情況下它什么也不做，但是保險起見(jiàn)，不妨小心一點(diǎn)吧！ 重啟服務(wù)也有相同的效果。
   
    /etc/init.d/iptables stop
   
    /etc/init.d/iptables start
   
    3、開(kāi)始設置規則：
   
    接下下開(kāi)始設置你的規則了
   
    iptables -P INPUT DROP
   
    這 一條命令將會(huì )為你構建一個(gè)非常"安全"的防火墻，我很難想象有哪個(gè)hacker能攻破這樣的機器，因為它將所有從網(wǎng)絡(luò )進(jìn)入你機器的數據丟棄（drop） 了。這當然是安全過(guò)頭了，此時(shí)你的機器將相當于沒(méi)有網(wǎng)絡(luò )。如果你ping localhost,你就會(huì )發(fā)現屏幕一直停在那里，因為ping收不到任何回應。
   
    4 、添加規則
   
    接著(zhù)上文繼續輸入命令：
   
    iptables -A INPUT -i ! ppp0 -j ACCEPT
   
    這條規則的意思是：接受所有的，來(lái)源不是網(wǎng)絡(luò )接口ppp0的數據。
   
    我們假設你有兩個(gè)網(wǎng)絡(luò )接口，eth0連接局域網(wǎng)，loop是回環(huán)網(wǎng)（localhost）。ppp0是一般的adsl上網(wǎng)的internet網(wǎng)絡(luò )接口，如果你不是這種上網(wǎng)方式，那則有可能是eth1.在此我假設你是adsl上網(wǎng)，你的internet接口是ppp0
   
    此時(shí)你即允許了局域網(wǎng)的訪(fǎng)問(wèn)，你也可以訪(fǎng)問(wèn)localhost
   
    此時(shí)再輸入命令 ping localhost,結果還會(huì )和剛才一樣嗎？
   
    到此我們還不能訪(fǎng)問(wèn)www,也不能mail,接著(zhù)看吧。
   
    5、我想訪(fǎng)問(wèn)www
   
    iptables -A INPUT -i ppp0 -p tcp -sport 80 -j ACCEPT
   
    允許來(lái)自網(wǎng)絡(luò )接口ppp0（internet接口），并且來(lái)源端口是80的數據進(jìn)入你的計算機。
   
    80端口正是www服務(wù)所使用的端口。
   
    好了，現在可以看網(wǎng)頁(yè)了。但是，你能看到嗎？
   
    如果你在瀏覽器的地址中輸入www.baidu.com,能看到網(wǎng)頁(yè)嗎？
   
    你得到的結果一定是：找不到主機www.baidu.com
   
    但是，如果你再輸入220.181.27.5,你仍然能夠訪(fǎng)問(wèn)baidu的網(wǎng)頁(yè)。
   
    為什么？如果你了解dns的話(huà)就一定知道原因了。
   
    因 為如果你打入www.baidu.com,你的電腦無(wú)法取得www.baidu.com這個(gè)名稱(chēng)所能應的ip地址220.181.27.5.如果你確實(shí)記 得這個(gè)ip,那么你仍然能夠訪(fǎng)問(wèn)www,你當然可以只用ip來(lái)訪(fǎng)問(wèn)www,如果你想挑戰你的記憶的話(huà)^ _ ^,當然，我們要打開(kāi)DNS.
   
    6、打開(kāi)dns端口
   
    打開(kāi)你的dns端口，輸入如下命令：
   
    iptables -A INPUT -i ppp0 -p udp -sport 53 -j ACCEPT
   
    這條命令的含義是，接受所有來(lái)自網(wǎng)絡(luò )接口ppp0,upd協(xié)議的53端口的數據。53也就是著(zhù)名的dns端口。
   
    此時(shí)測試一下，你能通過(guò)主機名稱(chēng)訪(fǎng)問(wèn)www嗎？你能通過(guò)ip訪(fǎng)問(wèn)www嗎？
   
    當然，都可以！
   
    7、查看防火墻
   
    此時(shí)可以查看你的防火墻了
   
    iptables -L
   
    如果你只想訪(fǎng)問(wèn)www,那么就可以到此為止，你將只能訪(fǎng)問(wèn)www了。 不過(guò)先別急，將上面講的內容總結一下，寫(xiě)成一個(gè)腳本。
   
    #!/bin/bash
   
    # This is a script
   
    # Edit by liwei
   
    # establish static firewall
   
    iptables -F
   
    iptables -X
   
    iptables -t nat -F
   
    iptables -t nat -X
   
    iptables -P INPUT DROP
   
    iptables -A INPUT -i ! ppp0 -j ACCEPT
   
    iptables -A INPUT -i ppp0 -p tcp --sport 80 -j ACCEPT
   
    iptables -A INPUT -i ppp0 -p udp --sport 53 -j ACCEPT
   
    8、 復雜嗎？到此iptables可以按你的要求進(jìn)行包過(guò)濾了。你可以再設定一些端口，允許你的機器訪(fǎng)問(wèn)這些端口。這樣有可能，你不能訪(fǎng)問(wèn)QQ,也可能不能打 網(wǎng)絡(luò )游戲，是好是壞，還是要看你自己而定了。順便說(shuō)一下，QQ這個(gè)東西還真是不好控制，用戶(hù)與服務(wù)器連接使用的好像是8888端口，而QQ上好友互發(fā)消息 使用的又是udp的4444端口（具體是不是4444還不太清楚）。而且QQ還可以使用www的80端口進(jìn)行登錄并發(fā)消息，看來(lái)學(xué)無(wú)止境，你真的想把這個(gè) 家伙控制住還不容易呢？還是進(jìn)入我們的正題吧。
   
    如果你的機器是服務(wù)器，怎么辦？
   
    9、如果不巧你的機器是服務(wù)器，并且要提供www服務(wù)。顯然，以上的腳本就不能符合我們的要求了。但只要你撐握了規則，稍作修改同樣也能很好的工作。在最后面加上一句
   
    iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT
   
    這 一句也就是將自己機器上的80端口對外開(kāi)放了，這樣internet上的其他人就能訪(fǎng)問(wèn)你的www了。當然，你的www服務(wù)器得工作才行。如果你的機器同 時(shí)是smtp和pop3服務(wù)器，同樣的再加上兩條語(yǔ)句，將--dport后面的80改成25和110就行了。如果你還有一個(gè)ftp服務(wù)器，呵呵，如果你要 打開(kāi)100個(gè)端口呢……
   
    我們的工作好像是重復性的打入類(lèi)似的語(yǔ)句，你可能自己也想到了，我可以用一個(gè)循環(huán)語(yǔ)句來(lái)完成，對，此處可以有效的利用shell腳本的功能，也讓你體驗到了shell腳本語(yǔ)言的威力?？聪挛模?br>   
    10、用腳本簡(jiǎn)化你的工作，閱讀下面的腳本
   
    #!/bin/bash
   
    # This is a script
   
    # Edit by liwei
   
    # establish a static firewall
   
    # define const here
   
    Open_ports="80 25 110 10" # 自己機器對外開(kāi)放的端口
   
    Allow_ports="53 80 20 21" # internet的數據可以進(jìn)入自己機器的端口
   
    #init
   
    iptables -F
   
    iptables -X
   
    iptables -t nat -F
   
    iptables -t nat -X
   
    iptables -P INPUT DROP #we can use another method to instead it
   
    iptables -A INPUT -i ! ppp0 -j ACCEPT
   
    # define ruler so that some data can come in.
   
    for Port in "$Allow_ports" ; do
   
    iptables -A INPUT -i ppp0 -p tcp -sport $Port -j ACCEPT
   
    iptables -A INPUT -i ppp0 -p udp -sport $Port -j ACCEPT
   
    done
   
    for Port in "$Open_ports" ; do
   
    iptables -A INPUT -i ppp0 -p tcp -dport $Port -j ACCEPT
   
    iptables -A INPUT -i ppp0 -p udp -dport $Port -j ACCEPT
   
    done
   
    這個(gè)腳本有三個(gè)部分（最前面的一段是注釋?zhuān)凰阍谶@三部分中）
   
    第一部分是定義一些端口：訪(fǎng)問(wèn)你的機器"Open_ports"端口的數據，允許進(jìn)入；來(lái)源是"Allow_ports"端口的數據，也能夠進(jìn)入。
   
    第二部分是iptables的初始化，第三部分是對定義的端口具體的操作。
   
    如果以后我們的要求發(fā)生了一些變化，比如，你給自己的機器加上了一個(gè)ftp服務(wù)器，那么只要在第一部分"Open_ports"的定義中，將ftp對應的20與21端口加上去就行了。呵呵，到此你也一定體會(huì )到了腳本功能的強大的伸縮性，但腳本的能力還遠不止這些呢！
   
    11、使你的防火墻更加完善
   
    看上面的腳本init部分的倒數第二句
   
    iptables -P INPUT DROP
   
    這是給防火墻設置默認規則。當進(jìn)入我們計算機的數據，不匹配我們的任何一個(gè)條件時(shí)，那么就由默認規則來(lái)處理這個(gè)數據----drop掉，不給發(fā)送方任何應答。
   
    也就是說(shuō)，如果你從internet另外的一臺計算機上ping你的主機的話(huà)，ping會(huì )一直停在那里，沒(méi)有回應。
   
    如果黑客用namp工具對你的電腦進(jìn)行端口掃描，那么它會(huì )提示黑客，你的計算機處于防火墻的保護之中。我可不想讓黑客對我的計算機了解太多，怎么辦，如果我們把drop改成其他的動(dòng)作，或許能夠騙過(guò)這位剛出道的黑客呢。
   
    怎么改呢？將剛才的那一句（ iptables -P INPUT DROP ）去掉，在腳本的最后面加上
   
    iptables -A INPUT -i ppp0 -p tcp -j REJECT --reject-with tcp-reset
   
    iptables -A INPUT -i ppp0 -p udp -j REJECT --reject-with icmp-port-unreachable
   
    這 樣就好多了，黑客雖然能掃描出我們所開(kāi)放的端口，但是他卻很難知道，我們的機器處在防火墻的保護之中。如果你只運行了ftp并且僅僅對局域網(wǎng)內部訪(fǎng)問(wèn)， 他很難知道你是否運行了ftp.在此我們給不應該進(jìn)入我們機器的數據，一個(gè)欺騙性的回答，而不是丟棄（drop）后就不再理會(huì )。這一個(gè)功能，在我們設計有 狀態(tài)的防火墻中（我這里講的是靜態(tài)的防火墻）特別有用。
   
    你可以親自操作一下，看一看修改前后用namp掃描得到的結果會(huì )有什么不同？
   
    12、 這個(gè)教程我想到此就結束了，其中有很多東西在這里沒(méi)有提到，如ip偽裝，端口轉發(fā)，對數據包的記錄功能。還有一個(gè)很重要的東西就是： iptables處理數據包的流程。在這里我想告訴你，你設置的過(guò)濾規則的順序很重要，在此不宜詳細介紹，因為這樣一來(lái)，這個(gè)教程就會(huì )拘泥于細節。
   
    iptables是復雜的，我在linuxsir上看過(guò)很多教程，它們往往多而全，反而讓人望而生畏，希望我的這個(gè)教程，能夠指導你入門(mén)。加油！
   
    最后，我把完整的腳本寫(xiě)出來(lái)如下，你只要修改常量定義部分，就能表現出較大的伸縮性^_^
   
    #!/bin/bash
   
    # This is a script
   
    # Edit by liwei
   
    # establish a static firewall
   
    # define const here
   
    Open_ports="80 25 110 10" # 自己機器對外開(kāi)放的端口
   
    Allow_ports="53 80 20 21" # internet的數據可以進(jìn)入自己機器的端口
   
    #init
   
    iptables -F
   
    iptables -X
   
    iptables -t nat -F
   
    iptables -t nat -X
   
    # The follow is comment , for make it better
   
    # iptables -P INPUT DROP
   
    iptables -A INPUT -i ! ppp0 -j ACCEPT
   
    # define ruler so that some data can come in.
   
    for Port in "$Allow_ports" ; do
   
    ptables -A INPUT -i ppp0 -p tcp -sport $Port -j ACCEPT
   
    iptables -A INPUT -i ppp0 -p udp -sport $Port -j ACCEPT
   
    done
   
    for Port in "$Open_ports" ; do
   
    iptables -A INPUT -i ppp0 -p tcp -dport $Port -j ACCEPT
   
    iptables -A INPUT -i ppp0 -p udp -dport $Port -j ACCEPT
   
    done
   
    # This is the last ruler , it can make you firewall better
   
    iptables -A INPUT -i ppp0 -p tcp -j REJECT --reject-with tcp-reset
   
    iptables -A INPUT -i ppp0 -p udp -j REJECT --reject-with icmp-port-unreachable