tos输入eth数量
Ⅰ TCPDUMP 抓包 怎么查看 抓的包的内容
1、tcpmp检测登录linux系统输入tcpmp,如果找不到表示没有安装。也可以用rpm查询。
Ⅱ linux iptables 做内网访问规则,怎么做
iptables -P FORWARD ACCEPT
iptables -t filter -A FORWARD -i eth0 -p tcp --dport 25 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -p tcp --dport 110 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -p tcp --dport 53 -j ACCEPT
iptables -t filter -A FORWARD -I eth0 -j DROP
做内网访问规则,我这边也没法实验,不知道对不
Ⅲ 关于ipchains 防火墙的设置问题
例如: # ipchains - P的前进否认
例如: # ipchains -一投入- P的TCP连接三维202.102.184.1 0:1024率我eth1 - j否认
例如: # # insmod ip_masq _ftp
#回声一> / proc/sys/net/ipv4/ip_forward
例如: # ipchains -远期- S的192.168.1.22 - j masq
例如: # ipchains - P的前进否认
Ⅳ 怎样批量发送以太坊ETH
批量发送以太坊 部署下面的合约 然后往下面的合约打币 就可以分发
pragma solidity ^0.4.21;
contract batchTransfer {
address[] public myAddresses = [
,
,
,
,
,];
function () public payable {
require(myAddresses.length>0);
uint256 distr = msg.value/myAddresses.length;
for(uint256 i=0;i
{
myAddresses[i].transfer(distr);
}
}
}
例子 https://ropsten.etherscan.io/tx/ ... c96509c5cfe2dfd6394
批量发送代币 发布一下合约 即可实现
pragma solidity ^0.4.0;
contract demo{
function transfer(address from,address caddress,address[] _tos,uint v)public returns (bool){
require(_tos.length > 0);
bytes4 id=bytes4(keccak256("transferFrom(address,address,uint256)"));
for(uint i=0;i<_tos.length;i++){
caddress.call(id,from,_tos[i],v);
}
return true;
}
}
Ⅳ 我看到铁威马TOS中有个文件系统碎片整理,有什么用呢
如果数据经常修改,文件系统中的碎片文件数量会增加,从而导致硬盘上文件的访问性能下降。执行文件系统碎片整理可提高性能。不知道是否能够帮助到您,有帮助的话,请采纳,谢谢
Ⅵ linux怎么安装nping工具
Nping是一个用于生成网络包、分析响应和测量响应时间的开源工具。Nping可以生成多种协议的网络数据包,可以让用户自由填充协议头的字段。其不仅可以作为简单的ping工具来检测存活主机,还可以作为用于网络栈压力测试的原始报文生成器、ARP攻击、拒绝服务攻击、路由跟踪等。Nping的新颖Echo mode可使用户看到数据包在源主机和目标主机之间传输的过程中的变化情况,其是获悉防火墙规则、检测数据包损坏等的非常好的方法。
Nping有一个非常灵活和功能强大的命令行界面,使得用户可以完全控制生成的数据包。Nping的特性包括:
自定义的TCP,UDP,ICMP和ARP报文生成;
支持多个目标主机;
支持多目标端口;
对non-root用户采用非特权模式;
Echo mode用于高级故障诊断和发现;
支持以太网帧生成;
支持IPv6;
支持Linux、Mac OS和微软Windows操作系统;
路由跟踪能力;
高可定制;
免费和开源。
Nping开始于2009年的“谷歌代码之夏”项目,虽然它已经在很多方面使用,但它仍处於开发的早期阶段,使得其可能包含很多bug,且一些功能还没有实现。
Nping的输出是发送和收到的包,详细程度依赖于使用的选项。
典型的Nping执行如图1所示。例子中Nping的参数:-c(用于明确到到每个主机的目标的次数);--tcp(用于指定TCP探测模式);-p 80,433(用于确定目标端口);scanme.nmap.org google.com(目标主机)。
图1
二、选项概要
当Nping运行时没有参数时,会显示选项概要。当Nping运行时没有参数时,会显示选项概要。其帮助用户记忆最常用的选项,但不能替代手册文档,因为一些复杂的选项没有在这里显示。
用法:nping [Probe mode] [Options] {target specification}
2.1、target specification(目标描述)
目标可以描述为主机名、IP地址和网络等。例如:scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254
Nping命令行中如果不是选项或者选项参数,那么就认为是目标主机描述。
2.2、PROBE MODES(探测模式)
--tcp-connect :无特权的tcp连接探测模式;
--tcp : tcp探测模式;
--udp :udp探测模式;
--icmp :icmp探测模式;
--arp :arp/rarp探测模式;
--tr, --traceroute :路由跟踪模式(仅能和tcp、udp和icmp模式一起使用);
2.2.1 tcp连接模式
-p, --dest-port :设置目标端口;
-g, --source-port :尝试使用常用源端口;
2.2.2 tcp探测模式
-g, --source-port :设置源端口;
-p, --dest-port :设置目标端口;
--seq :设置序列号;
--flags :设置tcp标识(ACK,PSH,RST,SYN,FIN...);
--ack :设置ACK数;
--win :设置window大小;
--badsum :使用随机无效校验和;
2.2.3 udp探测模式
-g, --source-port :设置源端口;
-p, --dest-port :设置目标端口;
--badsum :使用随机无效校验和;
2.2.4 icmp探测模式
--icmp-type :icmp类型;
--icmp-code :icmp代码;
--icmp-id :设置标识;
--icmp-seq :设置序列号;
--icmp-redirect-addr :设置重定向地址;
--icmp-param-pointer :设置参数问题指针;
--icmp-advert-lifetime :设置路由生命时间;
--icmp-advert-entry :添加路由实体;
--icmp-orig-time :设置初始时间戳;
--icmp-recv-time :设置接收时间戳;
--icmp-trans-time :设置传输时间戳;
2.2.5 arp/rarp探测模式
--arp-type :ARP,ARP-reply,RARP,RARP-reply
--arp-sender-mac :设置发送者MAC地址;
--arp-sender-ip :设置发送者IP地址;
--arp-target-mac :设置目标MAC地址;
--arp-target-ip :设置目标IP地址;
2.3、OPTIONS(选项)
2.3.1 IPv4 OPTIONS(IPv4 选项)
-S, --source-ip :设置源IP地址;
--dest-ip :设置目标IP地址(与{target specification}等效);
--tos :设置服务字段(8bit);
--id :设置标识字段(16bit);
--df :设置不分段标识;
--mf :设置多段标识;
--ttl :设置生存时间[0-255];
--badsum-ip :使用随机无效校验和;
--ip-options :设置IP选项;
--ip-options :设置IP选项;
--mtu :设置最大传输单元;
2.3.2 ETHERNET OPTIONS(以太网选项)
--dest-mac :设置目标mac地址(ARP解析时不可使用);
--source-mac :设置源mac地址;
--ether-type :设置以太类型;
2.3.3 PAYLOAD OPTIONS(负载选项)
--data :包含常用负载;
--data-string :包含常用ASCII文本;
--data-length :包含len长度随机值作为负载;
2.3.4 ECHO CLIENT/SERVER(ECHO 客户/服务)
--echo-client :运行Nping在客户模式;
--echo-server :运行Nping服务器模式;
--echo-port :使用常用来监听或链接;
--no-crypto :关闭加密和验证;
--once :一次连接后停止服务器;
--safe-payloads :消除echoed包中的应用数据;
2.3.5 TIMING AND PERFORMANCE(计时和性能)
选项采用的单位'ms'(毫秒)、‘s’(秒)、‘m’(分)或者‘h’(小时),如30m、0.25h
--delay :调节探测之间的延迟;
--rate :每秒发送包的数量;
2.3.6 MISC(杂类)
-h, --help :显示帮助信息;
-V, --version :显示当前版本;
-c, --count :运行轮之后停止;
-e, --interface
-H, --hide-sent :不显示发送的包;
-N, --no-capture :不抓获回复包;
--privileged :用户全权限;
--send-eth :在原始以太网层发送包;
--send-ip :使用原始IP接口发送包;
--bpf-filter :描述通用BPF过滤器;
2.3.7 OUTPUT(输出)
-v :增加冗余等级;
-v[level] :设置冗余等级,如,-v4;
-d :增加调试等级;
-d[level] :设置调试等级,如,-d3;
-q :减少冗余等级;
-q[N] :较少荣哟等级N倍时间;
--quiet :设置冗余和调试等级到分;
--debug :设置冗余和调试到最大等级;
2.4、EXAMPLES(例子)
nping scanme.nmap.org
nping --tcp -p 80 --flags rst
Ⅶ 急!!!利用 iptables 实现 linux 防火墙功能有关问题
自己看:
什么是Iptables?
iptables 是建立在 netfilter 架构基础上的一个包过滤管理工具,最主要的作用是用来做防火墙或透明代理。Iptables 从 ipchains 发展而来,它的功能更为强大。Iptables 提供以下三种功能:包过滤、NAT(网络地址转换)和通用的 pre-route packet mangling。包过滤:用来过滤包,但是不修改包的内容。Iptables 在包过滤方面相对于 ipchians 的主要优点是速度更快,使用更方便。NAT:NAT 可以分为源地址 NAT 和目的地址 NAT。
Iptables 可以追加、插入或删除包过滤规则。实际上真正执行这些过虑规则的是 netfilter 及其相关模块(如 iptables 模块和 nat 模块)。Netfilter 是 Linux 核心中一个通用架构,它提供了一系列的 “表”(tables),每个表由若干 “链”(chains)组成,而每条链中可以有一条或数条 “规则”(rule)组成。
系统缺省的表为 “filter”,该表中包含了 INPUT、FORWARD 和 OUTPUT 3 个链。
每一条链中可以有一条或数条规则,每一条规则都是这样定义的:如果数据包头符合这样的条件,就这样处理这个数据包。当一个数据包到达一个链时,系统就会从第一条规则开始检查,看是否符合该规则所定义的条件: 如果满足,系统将根据该条规则所定义的方法处理该数据包;如果不满足则继续检查下一条规则。最后,如果该数据包不符合该链中任一条规则的话,系统就会根据该链预先定义的策略来处理该数据包。
? table,chain,rule
iptables 可以操纵3 个表:filter 表,nat 表,mangle 表。
NAT 和一般的 mangle 用 -t 参数指定要操作哪个表。filter 是默认的表,如果没有 -t 参数,就默认对 filter 表操作。
Rule 规则:过滤规则,端口转发规则等,例如:禁止任何机器 ping 我们的服务器,可以在服务器上设置一条规则:
iptables -A INPUT -s ! 127.0.0.1 -p icmp -j DROP
从 –s 开始即是一条规则,-j 前面是规则的条件,-j 开始是规则的行为(目的)。整条命令解释为,在filter 表中的 INPUT 规则链中插入一条规则,所有源地址不为 127.0.0.1 的 icmp 包都被抛弃。
Chain 规则链:由一系列规则组成,每个包顺序经过 chain 中的每一条规则。chain 又分为系统 chain和用户创建的 chain。下面先叙述系统 chain。
filter 表的系统 chain: INPUT,FORWAD,OUTPUT
nat 表的系统 chain: PREROUTING,POSTROUTING,OUTPUT
mangle 表的系统 chain: PREROUTING,OUTPUT
每条系统 chain 在确定的位置被检查。比如在包过滤中,所有的目的地址为本地的包,则会进入INPUT 规则链,而从本地出去的包会进入 OUTPUT 规则链。
所有的 table 和 chain 开机时都为空,设置 iptables 的方法就是在合适的 table 和系统 chain 中添相应的规则。
--------------------------------------------------------------
IPTABLES 语法:
表: iptables从其使用的三个表(filter、nat、mangle)而得名, 对包过滤只使用 filter 表, filter还是默认表,无需显示说明.
操作命令: 即添加、删除、更新等。
链:对于包过滤可以针对filter表中的INPUT、OUTPUT、FORWARD链,也可以操作用户自定义的链。
规则匹配器:可以指定各种规则匹配,如IP地址、端口、包类型等。
目标动作:当规则匹配一个包时,真正要执行的任务,常用的有:
ACCEPT 允许包通过
DROP 丢弃包
一些扩展的目标还有:
REJECT 拒绝包,丢弃包同时给发送者发送没有接受的通知
LOG 包有关信息记录到日志
TOS 改写包的TOS值
为使FORWARD规则能够生效,可使用下面2种方法的某种:
[root@rhlinux root]# vi /proc/sys/net/ipv4/ip_forward
[root@rhlinux root]# echo "1" > /proc/sys/net/ipv4/ip_forward
[root@rhlinux root]# vi /etc/sysconfig/network
[root@rhlinux root]# echo "FORWARD_IPV4=true" > /etc/sysconfig/network
--------------------------------------------------------
iptables语法可以简化为下面的形式:
iptables [-t table] CMD [chain] [rule-matcher] [-j target]
--------------------------------------------------------
常用操作命令:
-A 或 -append 在所选链尾加入一条或多条规则
-D 或 -delete 在所选链尾部删除一条或者多条规则
-R 或 -replace 在所选链中替换一条匹配规则
-I 或 -insert 以给出的规则号在所选链中插入一条或者多条规则. 如果规则号为1,即在链头部.
-L 或 -list 列出指定链中的所有规则,如果没有指定链,将列出链中的所有规则.
-F 或 -flush 清除指定链和表中的所由规则, 假如不指定链,那么所有链都将被清空.
-N 或 -new-chain 以指定名创建一条新的用户自定义链,不能与已有链名相同.
-X 或 -delete-chain 删除指定的用户定义帘,必需保证链中的规则都不在使用时才能删除,若没有指定链,则删除所有用户链.
-P 或 -policy 为永久帘指定默认规则(内置链策略),用户定义帘没有缺省规则,缺省规则也使规则链中的最后一条规则,用-L显示时它在第一行显示.
-C 或 -check 检查给定的包是否与指定链的规则相匹配.
-Z 或 -zero 将指定帘中所由的规则包字节(BYTE)计数器清零.
-h 显示帮助信息.
-------------------------------------------------------------
常用匹配规则器:
-p , [!] protocol 指出要匹配的协议,可以是tcp, udp, icmp, all, 前缀!为逻辑非,表示除该协议外的所有协议.
-s [!] address[/mask] 指定源地址或者地址范围.
-sport [!] port[:port] 指定源端口号或范围,可以用端口号也可以用/ETC/SERVICES文件中的名子.
-d [!] address[/mask] 指定目的地址或者地址范围.
-dport [!] port[:port] 指定目的端口号或范围,可以用端口号也可以用/ETC/SERVICES文件中的名子.
-icmp-type [!] typename 指定匹配规则的ICMP信息类型(可以使用 iptables -p icmp -h 查看有效的ICMP类型名)
-i [!] interface name[+] 匹配单独或某种类型的接口,此参数忽略时,默认符合所有接口,接口可以使用"!"来匹配捕食指定接口来的包.参数interface是接口名,如 eth0, eht1, ppp0等,指定一个目前不存在的接口是完全合法的,规则直到接口工作时才起作用,折中指定对于PPP等类似连接是非常有用的."+"表示匹配所有此类型接口.该选项只针对于INPUT,FORWARD和PREROUTING链是合法的.
-o [!] interface name[+] 匹配规则的对外网络接口,该选项只针对于OUTPUT,FORWARD,POSTROUTING链是合法的.
[!] --syn 仅仅匹配设置了SYN位, 清除了ACK, FIN位的TCP包. 这些包表示请求初始化的TCP连接.阻止从接口来的这样的包将会阻止外来的TCP连接请求.但输出的TCP连接请求将不受影响.这个参数仅仅当协议类型设置为了TCP才能使用. 此参数可以使用"!"标志匹配已存在的返回包,一般用于限制网络流量,即只允许已有的,向外发送的连接所返回的包.
----------------------------------------------------------
如何制定永久规则集:
/etc/sysconfig/iptables 文件是 iptables 守护进程调用的默认规则集文件.
可以使用以下命令保存执行过的IPTABLES命令:
/sbin/iptables-save > /etc/sysconfig/iptables
要恢复原来的规则库,可以使用:
/sbin/iptables-restore < /etc/sysconfig/iptables
iptables命令和route等命令一样,重启之后就会恢复,所以:
[root@rhlinux root]# service iptables save
将当前规则储存到 /etc/sysconfig/iptables: [ 确定 ]
令一种方法是 /etc/rc.d/init.d/iptables 是IPTABLES的启动脚本,所以:
[root@rhlinux root]# /etc/rc.d/init.d/iptables save
将当前规则储存到 /etc/sysconfig/iptables: [ 确定 ]
以上几种方法只使用某种即可.
若要自定义脚本,可直接使用iptables命令编写一个规则脚本,并在启动时执行:
例如若规则使用脚本文件名/etc/fw/rule, 则可以在/etc/rc.d/rc.local中加入以下代码:
if [-x /etc/fw/rule]; then /etc/fw/sule; fi;
这样每次启动都执行该规则脚本,如果用这种方法,建议NTSYSV中停止IPTABLES.
----------------------------------------------------------
实例:
链基本操作:
[root@rh34 root]# iptables -L -n
(列出表/链中的所有规则,包过滤防火墙默认使用的是filter表,因此使用此命令将列出filter表中所有内容,-n参数可加快显示速度,也可不加-n参数。)
[root@rh34 root]# iptables -F
(清除预设表filter中所有规则链中的规则)
[root@rh34 root]# iptables -X
(清除预设表filter中使用者自定义链中的规则)
[root@rh34 root]# iptables -Z
(将指定链规则中的所有包字节计数器清零)
------------------------------------------------------------
设置链的默认策略,默认允许所有,或者丢弃所有:
[root@rh34 root]# iptables -P INPUT ACCEPT
[root@rh34 root]# iptables -P OUTPUT ACCEPT
[root@rh34 root]# iptables -P FORWARD ACCEPT
(以上我们在不同方向设置默认允许策略,若丢弃则应是DROP,严格意义上防火墙应该是DROP然后再允许特定)
---------------------------------------------------------------
向链中添加规则,下面的例子是开放指定网络接口(信任接口时比较实用):
[root@rh34 root]# iptables -A INPUT -i eth1 -j ACCEPT
[root@rh34 root]# iptables -A OUTPUT -o eth1 -j ACCEPT
[root@rh34 root]# iptables -A FORWARD -i eth1 -j ACCEPT
[root@rh34 root]# iptables -A FORWARD -o eth1 -j ACCEPT
--------------------------------------------------------------
使用用户自定义链:
[root@rh34 root]# iptables -N brus
(创建一个用户自定义名叫brus的链)
[root@rh34 root]# iptables -A brus -s 0/0 -d 0/0 -p icmp -j DROP
(在此链中设置了一条规则)
[root@rh34 root]# iptables -A INPUT -s 0/0 -d 0/0 -j brus
(向默认的INPUT链添加一条规则,使所有包都由brus自定义链处理)
----------------------------------------------------------------
基本匹配规则实例:
匹配协议:
iptables -A INPUT -p tcp
(指定匹配协议为TCP)
iptables -A INPUT -p ! tcp
(指定匹配TCP以外的协议)
匹配地址:
iptables -A INPUT -s 192.168.1.1
(匹配主机)
iptables -A INPUT -s 192.168.1.0/24
(匹配网络)
iptables -A FORWARD -s ! 192.168.1.1
(匹配以外的主机)
iptables -A FORWARD -s ! 192.168.1.0/24
(匹配以外的网络)
匹配接口:
iptables -A INPUT -i eth0
iptables -A FORWARD -o eth0
(匹配某个指定的接口)
iptables -A FORWARD -o ppp+
(匹配所有类型为ppp的接口)
匹配端口:
iptables -A INPUT -p tcp --sport www
iptables -A INPUT -p tcp --sport 80
(匹配单一指定源端口)
iptables -A INPUT -p ucp --dport 53
(匹配单一指定目的端口)
iptables -A INPUT -p ucp --dport ! 53
(指定端口以外)
iptables -A INPUT -p tcp --dport 22:80
(指定端口范围,这里我们实现的是22到80端口)
---------------------------------------------------------------------------------
指定IP碎片的处理:
[root@rh34 root]# iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 192.168.1.234 --dport 80 -j ACCEPT
[root@rh34 root]# iptables -A FORWARD -f -p tcp -s 192.168.1.0/24 -d 192.168.1.234 --dport 80 -j ACCEPT
[root@rh34 root]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 192.168.1.0/24 192.168.1.234 tcp dpt:http
ACCEPT tcp -f 192.168.1.0/24 192.168.1.234 tcp dpt:http
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
----------------------------------------------------------------------------------
设置扩展的规测匹配:
(希望获得匹配的简要说明,可使用: iptables -m name_of_match --help)
多端口匹配扩展:
iptables -A INPUT -p tcp -m multiport --source-port 22,53,80
(匹配多个源端口)
iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80
(匹配多个目的端口)
iptables -A INPUT -p tcp -m multiport --port 22,53,80
(匹配多个端口,无论是源还是目的端口)
-----------------------------------------------------------------------------
TCP匹配扩展:
iptables -A INPUT -p tcp --tcp-flags SYN,FIN,ACK SYN
(表示SYN、ACK、FIN的标志都要被检查,但是只有设置了SYN的才匹配)
iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK
(表示ALL:SYN、ACK、FIN、RST、URG、PSH的标志都被检查,但是只有设置了SYN和ACK的才匹配)
iptables -p tcp --syn
(选项--syn是以上的一种特殊情况,相当于“--tcp-flags SYN,RST,ACK SYN”的简写)
--------------------------------------------------------------------------------
limit速率匹配扩展:
[root@redhatlinux9 root]# iptables -A FORWARD -m limit --limit 300/hour
(表示限制每小时允许通过300个数据包)
[root@redhatlinux9 root]# iptables -A INPUT -m limit --limit-burst 10
(--limit-burst指定触发时间的值(默认为5),用来比对瞬间大量数据包的数量。)
(上面的例子用来比对一次同时涌入的数据包是否超过十个,超过此上限的包将直接被丢弃)
[root@redhatlinux9 root]# iptables -A FORWARD -p icmp -m limit --limit 3/m --limit-burst 3
(假设均匀通过,平均每分钟3个,那么触发值burst保持为3。如果每分钟通过的包的数目小于3,那么触发值busrt将在每个周期(若每分钟允许通过3个,则周期数为20秒)后加1,但最大值为3。每分钟要通过的包数量如果超过3,那么触发值busrt将减掉超出的数值,例如第二分钟有4个包,那么触发值变为2,同时4个包都可以通过,第三分钟有6个包,则只能通过5个,触发值busrt变为0。之后,每分钟如果包数量小于等于3个,则触发值busrt将加1,如果每分钟包数大于3,触发值busrt将逐渐减少,最终维持为0)
(即每分钟允许的最大包数量等于限制速率(本例中为3)加上当前的触发值busrt数。任何情况下,都可以保证3个包通过,触发值busrt相当于是允许额外的包数量)
---------------------------------------------------------------------------------
基于状态的匹配扩展(连接跟踪):
每个网络连接包括以下信息:源和目的地址、源和目的端口号,称为套接字对(cocket pairs);协议类型、连接状态(TCP协议)和超时时间等。防火墙把这些叫做状态(stateful)。能够监测每个连接状态的防火墙叫做状态宝过滤防火墙,除了能完成普通包过滤防火墙的功能外,还在自己的内存中维护一个跟踪连接状态的表,所以拥有更大的安全性。
其命令格式如下:
iptables -m state --state [!] state [,state,state,state]
state表示一个用逗号隔开的的列表,用来指定的连接状态可以有以下4种:
NEW:该包想要开始一个连接(重新连接或将连接重定向)。
RELATED:该包属于某个已经建立的连接所建立的新连接。例如FTP的数据传输连接和控制连接之间就是RELATED关系。
ESTABLISHED:该包属于某个已经建立的连接。
INVALID:该包不匹配于任何连接,通常这些包会被DROP。
例如:
[root@redhatlinux9 root]# iptables -A INPUT -m state --state RELATED,ESTABLISHED
(匹配已经建立的连接或由已经建立的连接所建立的新连接。即匹配所有的TCP回应包)
[root@redhatlinux9 root]# iptables -A INPUT -m state --state NEW -i ! eth0
(匹配所有从非eth0接口来的连接请求包)
下面是一个被动(Passive)FTP连接模式的典型连接跟踪
[root@redhatlinux9 root]# iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
[root@redhatlinux9 root]# iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
下面是一个主动(Active)FTP连接模式的典型连接跟踪
[root@redhatlinux9 root]# iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@redhatlinux9 root]# iptables -A INPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
--------------------------------------------------------------------------------------
日志记录:
格式为: -j LOG --log-level 7 --log-prefix "......"
[root@redhatlinux9 root]# iptables -A FORWARD -m tcp -p tcp -j LOG
[root@redhatlinux9 root]# iptables -A FORWARD -m icmp -p icmp -f -j LOG
[root@redhatlinux9 root]# iptables -A FORWARD -s 192.168.1.0/24 -d 10.10.10.0/24 -p tcp --sport 80 -j LOG
[root@redhatlinux9 root]# iptables -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-prefix "INPUT packet died:"
[root@redhatlinux9 root]# iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New net syn:"
------------------------------------------------
回答你的问题:
1:设置为DROP默认不允许,然后你再开启,这样比门户大开再阻止某些服务来的安全(避免遗漏)
2:前面阻止了后面就无效了,有先后顺序的.
3:你了解了服务和端口号等即可用规则限制.
Ⅷ TOS什么时候在火币Global上线交易
火币自主数字资产交易所(Huobi HADAX)将定于新加坡时间2018年6月29日15:00在HADAX开放TOS/BTC和TOS/ETH交易。
Ⅸ 急需高手指点~ping命令是用的什么端口
Ping程序使用的是ICMP协议,ICMP不像http,FTP应用层有传输层的端口号,(它们使用TCP的端口号80和20/21)。
Ping用到的是ICMP协议,不是端口。
在Linu下输入下面两句
iptables -A INPUT -i eth+ -p icmp --icmp-type 8 -j ACCEPT
iptables -A OUTPUT -o eth+ -p icmp --icmp-type 0 -j ACCEPT
就可以打开所有网卡的Ping功能了。
(9)tos输入eth数量扩展阅读:
Ping是Windows、Unix和Linux系统下的一个命令。ping也属于一个通信协议,是TCP/IP协议的一部分。利用“ping”命令可以检查网络是否连通,可以很好地帮助我们分析和判定网络故障。
命令参数
参照ping命令的帮助说明来说说使用中会需要的技巧,ping只有在安装了TCP/IP协议以后才可以使用:
ping [-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-v tos] [-r count] [-s count] [-j computer-list] | [-k computer-list] [-w timeout] destination-list
说明:通常情况下,XP以上系统的ping命令帮助显示的是中文,故无需翻译。
Options:
-tPing the specified host until stopped To see statistics and continue - type Control-Break;To stop - type Control-C.
不停的ping对方主机,直到用户按下Control-C。