再談 iptables 防火牆的 指令配置

2022-09-15 05:39:08 字數 3821 閱讀 1190

手機上使用localhost為什麼不能訪問?

. 而手機上的hosts檔案中 是沒有 這樣的對映的,即使有,也不可以使用localhost,因為手機本機上並沒有**資源和apache等. 只有建立 localhost 到 電腦主機對

應的伺服器的ip位址 之間的對映, 才有可能訪問.

wap和http的區別?

以前的非智慧型手機(功能機), 只能訪問wap的**,(這種wap要專門寫,跟html的**不同). 而現在的只能機都能直接訪問http協議了.所以, 即使你開發階段部署在本

地區域網中的伺服器上的站點, 也可以用 手機進行測試了.

只要 你的手機和伺服器 在 區域網的 同一網段 比如192.168.1.* ,那麼在手機中輸入http://...位址都是可以訪問到的.

iptables (什麼鏈input還是output) (源的限制, -s ... -p) (目標的限制, -dport ...)   (動作 -j accept 還是 deny?)
bs其實也不難, 因為常見的常用的bs/html元素, 標籤也就那些, 也就那麼幾個. 你把那些常用的用法搞清楚就好了.

整個bs包括四個部分: css優化, bs元件, j**ascript元件, bs擴充套件

要區別三種形式的表單: 普通表單, inline內聯表單(.form-inline, 所有的表單元件都在同一行顯示), 水平表單(這個是相對於垂直的普通表單而言的,即每一

個.form-group中的 label和對應的input等控制項放在同一行, 但是不同的組是放在不同行的, 水平表單 要結合 .form-horizontal 和布局.col-md-? 來使用.

表單的checkbox和radio跟其他input控制項有所不同, bs的選擇按鈕, 相應的類不是放在input上,而是放在 div,或 label上.

而且選擇按鈕 都是 input在前, 提示文字在後.

普通的選擇按鈕的類是放在 div上, 而內聯的選擇按鈕的類是放在 label上:

label中的for, 可以是對於後面的input控制項的 name, 也可以是控制項的id.

選項1

內聯選擇按鈕

選項1

要區分選擇框的單項和多選框的區別?

bootstrap 使用哪乙個版本: v3.3.?(可能是 v3.3.5, 還是 v3.3.7)

在實際工作中 配置iptables, 往往並不是乙個命令乙個命令的輸入, 而是寫成乙個script的sh指令碼, 在指令碼的最後 用 /etc/init.d/iptables-s**e 寫入到

iptables的配置檔案(/etc/sysconfig/iptables)中.

利用指令碼, 可以將複雜的/ 大量內容的指令碼, 分成幾個獨立的 小檔案, 有諸多好處, 最後主指令碼可以 (呼叫/呼叫/引用)其他指令碼檔案:

if [ -f  other-foo-related.sh ]; then

sh other-foo-related.sh

fi

iptables中的一些選項 字母的意思

是 相應的控制列表 , 比如有 accept的控制列表, 或者說有 accept的過濾規則集合 規則序列. 所以 jump 到這些target 就是把這條規則 "放到" 相應的規則序列的

最後/或開頭.

192.168.1.0/255.255.255.0 都是可以的. 都要在中間加斜槓.

用埠的時候, 一定要指明 前面使用的協議 ,比如 -p tcp

埠號可以使用 連續的範圍表示, 比如: 一般客戶端訪問外部的埠號都是在 1024以上, 所以如果埠號是1:1023的包都可以拒絕. `iptables -a input -p tcp

--sport 1:1023 -j drop `

但是一條命令中, 只能規定乙個 單獨的埠號, 幾個分散的埠號不能寫在一條命令中, 要寫多條命令來實現.

-j drop `

的封包型別, icmp中的封包型別較多, 其中 型別 8 表示的是 "echo request" 即對外部來的ping命令給予回應. 所以如果要保護伺服器, 不讓外部機器知道有這樣的

伺服器, (遮蔽ping) 就是 對 input鏈的 -p icmp --icmp-type 8 -j drop.

-m 表示的是module ,iptables的外掛程式模組, 主要有 state狀態模組,和 mac 硬體位址模組. 可以簡化iptables的配置. 提供了另外一種配置思路, 比如不必乙個乙個

地配置 外部/遠端伺服器到 本地機器的 包允許, 那樣的話工作量太大, 也不大現實. 所以就可以用 state模組來處理: --state 有 invalid new related

established 四種, 後面兩種表示 如果乙個進來的包 (他的狀態) 是 本地機器 發起到遠端伺服器的請求的 響應包, 那麼就應該放行, 所以要accept. 如果是無效

的包 invalid, 就要drop. `iptables -a input -m state --state related,established -j accept iptables -a input -m state --state invalid -j drop

`而mac 外掛程式模組 則可以基於 機器的mac位址 進行過濾, 阻止(這個可以針對 使用 軟體進行 偽造 ip位址的包 繞過防火牆 的行為 進行阻截).

-i eth0 或 -o eth0 表示 資料從從哪個介面 進入或從哪個介面出去. i表示input, o表示 output出去.

沒有必要將防火牆 一關了之. 可以對他進行配置的.

iptables 的內容 大的方面來說,主要有三個表 filter, nat, mangle表. 而對訪問控制的主要就是 filter(這個過濾表,也是預設的表, 即不指定-t tablename的時候

).filter表有三個鏈 (即三個進出方向), input output forward. 通常 output和forward鏈都是accept的, 因為這兩個鏈對本地機器通常沒有傷害. 主要是 配置指定

input鏈.

首先是檢視, iptables -nv -l (-n表示不翻譯/不解析成hostname. -v表示詳情verbos)

也可以用 iptables-s**e檢視?

清除原有的內容:

iptables -f (清除預設的政策policy)

iptalbes -x(清除使用者自定義的規則)

iptables -z( 將資料清零)

建立預設的/總的 原則(政策) , 用 -p選項(這裡的p表示 policy政策, 即當封包 沒有自定義規則匹配的時候, 就按這裡的 "政策" 執行)

iptables -p input drop

iptables -p output accept

iptables -p forward accept // 所以 通常只是配置input蓮, 你所看到的大多是input蓮的過濾.

預設 的格式: iptables [-ai] input [-io eth0] [-p 協議tcp udp icmp all] [-s !source] [-d !destionation 感嘆號表示否定 非] [--sport / --dport

/--icmp-type ...] -j accept|drop|reject|log

log是記錄在系統的核心訊息檔案 /var/log/messages 中.

信任裝置?

就是在iptables命令中, 凡是沒有設定的內容/專案, 表示 "全都接受" , 這就是所謂的 信任裝置.

可以用來修改ip位址或mac位址的黑客軟體是什麼?

iptables也是乙個服務嗎?

iptables 防火牆使用

刪除原有規則 1.iptables f 2.iptables x 3.iptables t nat f 4.iptables t nat x 5.iptables p input drop 阻止所有網路入包 6.iptables a input i eth0 j accept 接受所有網路 7.ip...

iptables防火牆指令碼

root hkweb root cat etc bin bash echo 1 proc sys ipv4 ip forward i iface eth0 i ip 202.96.155.37 lan iface eth1 lan ip 10.0.0.252 lan ip range 10.0.0....

史上最強防火牆iptables

1.清空所有的防火牆規則 iptables f iptables x iptables z iptables t nat f iptables t nat x iptables t mangle f iptables t mangel x 2.載入防火牆所需要的模組 lsmod grep e nat...