V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  raysonx  ›  全部回复第 87 页 / 共 89 页
回复总数  1773
1 ... 79  80  81  82  83  84  85  86  87  88 ... 89  
2015-11-12 17:11:12 +08:00
回复了 neworld07 创建的主题 Linux iptables 拒绝所有的连接,再指定 ip 连接?
@ryd994 以前管理學校機器的時候出現過這種情況。重啟機器需要找學校領導和各种人員許可,然後大老遠跑到機房去重啟。
2015-11-12 15:21:44 +08:00
回复了 neworld07 创建的主题 Linux iptables 拒绝所有的连接,再指定 ip 连接?
@kmahyyg 見樓上
2015-11-12 15:21:25 +08:00
回复了 neworld07 创建的主题 Linux iptables 拒绝所有的连接,再指定 ip 连接?
firewalld 簡單多了。 firewalld 以 zone 為單位管理網絡包,一個 zone 可以包含一組的網絡卡或 IP 段。
系統默認會把你的網絡卡置於 public zone ,而 public zone 默認會放行 ssh , dhcpv6-client 服務,並開放 ICMP 封包。
可以用 firewall-cmd --list-all 查開默認 zone 所有開放的服務。
如果要放行 HTTP ,直接
firewall-cmd --add-service http
放行 HTTPS
firewall-cmd --add-service http
放行 SMTP
firewall-cmd --add-service smtp
上面的方式只是臨時放行,執行後立即生效,下次重啟 firewalld 後會丢失。
要永久保存需要加--permanent 參數。但是加--permanent 的命令不會立即生效,你需要重新 reload 一下服務
firewall-cmd --reload
或者將 firewalld 重啟
systemctl restart firewalld

---我是分割線-----

如果只將某些服務開放給某一段 IP 或者某張網卡,可以將那張網卡或者 IP 段加入另一個 zone ,然後將服務開放給那一個 zone 。比如:
將 eth1 加入 internal zone:
firewall-cmd --zone internal --add-interface eth1 --permanent
將 10.0.0.0/8 IP 段加入 internal zone:
firewall-cmd --zone internal --add-source 10.0.0.0/8 --permanent
開放 samba 服務給 internal zone:
firewall-cmd --zone internal --add-service samba --permanent
重新 reload 一下服務
firewall-cmd --reload

---我是分割線-----
另外可以手動加 iptables 規則。
下面演示用直接加 iptables 規則的方法放行 HTTPS :
firewall-cmd --direct --add-rule ipv4 filter INPUT_direct 1 -p tcp --dport 443 -m conntrack --ctstate NEW -j ACCEPT #IPv4
firewall-cmd --direct --add-rule ipv6 filter INPUT_direct 1 -p tcp --dport 443 -m conntrack --ctstate NEW -j ACCEPT #IPv6
2015-11-12 15:02:08 +08:00
回复了 neworld07 创建的主题 Linux iptables 拒绝所有的连接,再指定 ip 连接?
@fangdingjun
@ryd994
@GNiux
@adrianzhang
把 INPUT 鏈的默認 policy 設置為 DROP ,哪天手一抽在 SSH 下執行了 iptables -F 分分鐘教做人。可以在 INPUT 鏈的最後加一條 DROP 或 REJECT 。
我的習慣是:
第一條規則先放行所有已建立的連接,這樣有利於性能:
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
然後放行 lo :
-A INPUT -i lo -j ACCEPT
接著放行開放的服務:
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT #SSH
-A INPUT -p tcp -m tcp --dport 443 -m conntrack --ctstate NEW -j ACCEPT #HTTPS
-A INPUT -p tcp -m tcp --dport 80 -m conntrack --ctstate NEW -j ACCEPT #HTTP
然後放行 ICMP :
-A INPUT -p icmp -j ACCEPT
丢棄無效的包:
-A INPUT -m conntrack --ctstate INVALID -j DROP
最後一條用於禁止所有其他的包:
-A INPUT -j REJECT --reject-with icmp-host-prohibited

還可以把所有開放的服務放在一條自定義的鏈中,這樣在以後開放新服務的時候可以直接往那條鏈插而不用擔心插入的位置。
2015-11-11 01:08:13 +08:00
回复了 aalska 创建的主题 VPS 有人试过这个吗? 42 块的日本 SL 机房 KVM-500G 流量
@aalska SL 是大機房,不太可能單獨做優化,線路都是一樣的。
聯通是從 ntt 直接跳去 networklayer 沒錯,但這是去程。返程是 networklayer-電信-聯通
2015-11-11 00:50:40 +08:00
回复了 aalska 创建的主题 VPS 有人试过这个吗? 42 块的日本 SL 机房 KVM-500G 流量
@cc8023miku 你這一說,說不准禁 ping 的那幾跳真是 cn2 。
但是我從電信家用寬帶測速還是很慢,晚上只有 100-200K ,可能也和電信對家用寬帶的 QoS 有關。誰知道呢
2015-11-10 22:47:29 +08:00
回复了 aalska 创建的主题 VPS 有人试过这个吗? 42 块的日本 SL 机房 KVM-500G 流量
@aalska 我有一台 SL 東京的機器,電信訪問去走 CN2 59.43.*.*,回路是普通的 Chinanet 202.97.X.X 。
聯通訪問去走 NTT 日本,回路先到電信 202.97.X.X 再在國內转到聯通骨幹 219.158.*.*,因此聯通訪問比較慢。
2015-11-06 10:40:50 +08:00
回复了 markss 创建的主题 宽带症候群 帝都,宽带选择。
方正不知道,反正二级运营商都差不多。
朋友的长城宽带反正是坑的要死:
1.国际带宽几乎为 0
2.各种缓存劫持, linux 下更新软件包会出现签名不匹配
3.PS4 不能联机
4.不能拔国外的 IPSec VPN
5.明明有公网 IP 还是被 NAT
6.访问联通 /电信机房的服务器,走 HTTPS 的话(避免缓存劫持),带宽平均只有 5M
7.高峰期开网页卡
2015-11-06 09:11:02 +08:00
回复了 kexihai 创建的主题 宽带症候群 关于同一住宅多条电信光纤线路合并的疑问。
我家的寬帶就是這樣的,兩條線路負載均衡。
用的 wndr4300 路由器,刷 openwrt 固件。
劃分 VLAN 後就有了多個 wan 口,然後用 mwan3 負載均衡
2015-11-04 09:40:23 +08:00
回复了 yuzo555 创建的主题 程序员 制作了一个 Base64 在线编码解码的网站,大家给点意见
Linux 下自帶
2015-11-04 09:39:58 +08:00
回复了 yuzo555 创建的主题 程序员 制作了一个 Base64 在线编码解码的网站,大家给点意见
Linux
2015-11-02 14:56:45 +08:00
回复了 firhome 创建的主题 宽带症候群 本来要办联通,结果联通没线路。。电信直接 200M 了。
@lingaoyi +1 國際帶寬有 2M 就是好的
2015-11-02 12:55:54 +08:00
回复了 Andy1999 创建的主题 程序员 一个很奇怪的域名解析问题,大家来看看怎么造成的
@Andy1999 北京這邊測試沒有什麼問題
2015-11-02 06:41:23 +08:00
回复了 gangsta 创建的主题 VPS 搬瓦工还算良心吧 9.9 刀年付那个套餐续费还是原价
现在 0p3nvqn 不会被 ban 了吗?听说某科技监控到会自动关怀你的 IP
2015-10-30 20:50:58 +08:00
回复了 wencan 创建的主题 VPS 一个 VPS 网关的设想
@wencan 那就看你的反探测能力了,祝好运
2015-10-30 08:33:20 +08:00
回复了 yx30 创建的主题 Android 如何阻止外部启动 Activity?
在已 root 的情况下,本身在本地验证的所谓手势密码就是愚蠢的,就像用路径隐藏网站后台一样。。。
2015-10-29 16:00:56 +08:00
回复了 wencan 创建的主题 VPS 一个 VPS 网关的设想
@wencan 像挨門掃描器一樣,一是掃描常見代理的路徑,还有嘗試以 HTTP Proxy 的方式提交請求,路徑中包含域名, Host 頭中包含域名等很多種方式。反正,悠著點
2015-10-29 10:24:12 +08:00
回复了 itopidea 创建的主题 VPS 别了,用了 5 年的 linode
@itopidea 座标山东电信:
1. *************** 0.0% 51 6.9 6.0 2.5 14.5 2.7
2. ************** 0.0% 51 2.8 3.1 2.7 6.1 0.3
3. 60.235.176.1 2.0% 51 8.9 9.8 8.4 29.9 3.9
4. 202.97.39.25 0.0% 51 19.7 21.0 18.7 31.9 1.9
5. 202.97.50.242 87.8% 50 26.2 26.3 25.2 27.7 0.6
6. 202.97.91.6 0.0% 50 74.0 28.9 22.5 74.0 9.4
7. 202.97.58.202 0.0% 50 221.1 222.1 194.6 298.1 31.1
8. 202.97.50.74 4.0% 50 201.2 168.2 156.6 220.1 15.1
9. xe-0-8-0-25.r01.snjsca04.us.bb.gin.ntt.net 71.4% 50 407.9 327.0 293.1 407.9 38.7
10. ae-10.r23.snjsca04.us.bb.gin.ntt.net 0.0% 50 366.7 314.2 224.9 405.6 39.8
11. ae-4.r21.tokyjp05.jp.bb.gin.ntt.net 6.0% 50 324.4 313.2 221.2 390.6 28.7
12. ae-7.r00.tokyjp05.jp.bb.gin.ntt.net 2.0% 50 262.3 261.6 161.2 291.8 24.6
13. xe-0-2-0-32.r00.tokyjp05.jp.ce.gin.ntt.net 4.0% 50 325.5 316.1 216.8 325.7 23.5
14. ???
15. ???
16. c-5en-a11-1-v-711.interq.or.jp 2.0% 50 291.9 280.2 182.0 326.9 23.7
17. v133-130-112-253.a03b.g.tyo1.static.cnode.io 4.0% 50 305.2 298.9 204.4 309.0 20.8
@GeekTest 納尼,移動出口也不行了?如果聯通再出問題就移民吧
2015-10-28 19:31:01 +08:00
回复了 itopidea 创建的主题 VPS 别了,用了 5 年的 linode
cocoha 东京最近线路改了,电信访问会绕美国,延迟 300+, linode 被关怀,已撤退
1 ... 79  80  81  82  83  84  85  86  87  88 ... 89  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5915 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 39ms · UTC 02:16 · PVG 10:16 · LAX 18:16 · JFK 21:16
Developed with CodeLauncher
♥ Do have faith in what you're doing.