## 9.7 本章習題
* 為什么我架設了防火墻,我的主機還是可能中毒?防火墻不是萬靈丹,他還是可能被病毒或者是木馬程序所入侵的! 此外,如果你的主機本身就已經提供了多個網絡服務,則當該網絡服務的軟件有漏洞時, 防火墻仍然無法克服該服務的漏洞的!因此仍然需要持續的進行主機的監視與后端分析工作
* 請說明為何架設了防火墻,我的主機還是可能被入侵?入侵的依據可能是什么方法?因為防火墻僅是抵擋某些不受歡迎的封包,如果你有開放 WWW 的服務時,則要求你主機 port 80 的封包將可直接進入你的主機,萬一 WWW 套件有漏洞時,那么就可能被入侵了!所以軟件的更新很重要!
* 我們知道核心為 2.6 的 Linux 使用的防火墻機制為 iptables ,請問,如何知道我的 Linux 核心版本?利用 uname -r 可以查得!
* 請列出 iptables 預設的兩個主要的 table ,以及各個 table 里面的 chains 與各個 chains 所代表的意義;filter 為預設的 Table,里頭預設的鏈有:
* INPUT:為來自外部,想要進入主機的封包;
* OUTPUT:為來自主機,想要離開主機的封包;
* FORWARD:為主機內部網域與外部網域的封包(不論進或者出),但該封包不會進入主機。
還有 nat 這個 table:
* PREROUTING:進行路由之前的封包傳送過程
* OUTPUT:離開主機的封包傳送過程;
* POSTROUTING:已經經過路由了,然后才進行的過濾規則。
* 什么是 iptables 的預設政策 (Policy)?若我要針對 filter 的 INPUT 做成 DROP 的默認政策,指令如何下達?當封包的所有屬性都不在防火墻的規則當中時,那么這個封包能否順利的通過防火墻,則以 Policy 作為這個封包的最終動作了!
iptables -P INPUT DROP
* 假設今天我的 Linux 僅是作為 Client 之用,并沒有對 Internet 進行任何服務, 那么你的防火墻規劃應該如何設定比較好?既然沒有對 Internet 提供任何服務,那么(1)請將所有的對外埠口先關閉吧!(2)防火墻規則當中,最重要的是 INPUT 的 Policy 一定要 DROP ,然后將『 iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 』即可!
* 我要將來自 192.168.1.50 這個 IP 來源的封包,只要是向我的 21~23 埠口要求的封包,就將他抵擋,應該如何下達 iptables 指令?iptables -A INPUT -p tcp -s 192.168.1.50 --dport 21:23 -j DROP
* 我要將我自己主機 ping 的響應功能取消,應該如何下達 iptables 的指令?因為 ping 能否響應用的是 icmp 的 type 8 (請參考網絡基礎內的 ICMP 相關內容),所以我可以這樣做:
iptables -I INPUT -p icmp --icmp-type 8 -j DROP
* 請說明為何這個指令是錯誤的?『iptables -A INPUT -p udp --syn -s 192.168.0.20 -j DROP』?因為只有 TCP 封包才會具有 SYN 的標志, UDP 并沒有 SYN 的標志啊!所以上面的指令是錯誤的
* DNS 的要求是必須的,那么我該如何設定我的主機可以接受要求 DNS 的響應呢?因為 DNS 的來源是 port 53 ,因此要接受來自 port 53 的封包就成為了:
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A INPUT -p tcp --sport 53 -j ACCEPT
* 如何取消 iptables 在我的系統上面?先要清除規則后,才能夠將 iptables 移除!不過,我們主要將規則清除即可!
iptables -F; iptables -X; iptables -Z
iptables -t nat -F; iptables -t nat -X; iptables -t nat -Z
* 如何儲存目前的防火墻機制,以及如何將上次儲存下來的機制回復到目前的系統中?請利用 iptables-save 以及 iptables-restore 這兩個指令,配合命令重導向即可! 也可以使用 /etc/init.d/iptables save 來儲存喔!
* 如果你的區網當中有個 PC 使用者老是連上 Internet 亂搞,你想要將他的 IP 鎖住,但他總是有辦法修改成其他 IP 來連外, 那你該怎么辦?讓他無法繼續連外?可以利用封鎖網絡卡卡號 MAC 來處理!
* * *
- 鳥哥的Linux私房菜:服務器架設篇 第三版
- 第一部份:架站前的進修專區
- 作者序
- 第一章、架設服務器前的準備工作
- 1.1 前言: Linux 有啥功能
- 1.2 基本架設服務器流程
- 1.3 自我評估是否已經具有架站的能力
- 1.4 本章習題
- 第二章、基礎網絡概念
- 2.1 網絡是個什么玩意兒
- 2.2 TCP/IP 的鏈結層相關協議
- 2.3 TCP/IP 的網絡層相關封包與數據
- 2.4 TCP/IP 的傳輸層相關封包與數據
- 2.5 連上 Internet 前的準備事項
- 2.6 重點回顧:
- 2.7 本章習題
- 2.8 參考數據與延伸閱讀
- 第三章、局域網絡架構簡介
- 3.1 局域網絡的聯機
- 3.2 本書使用的內部聯機網絡參數與通訊協議
- 第四章、連上 Internet
- 4.1 Linux 連上 Internet 前的注意事項
- 4.2 連上 Internet 的設定方法
- 4.3 無線網絡--以筆記本電腦為例
- 4.4 常見問題說明
- 4.5 重點回顧
- 4.6 本章習題
- 4.7 參考數據與延伸閱讀
- 第五章、 Linux 常用網絡指令
- 5.1 網絡參數設定使用的指令
- 5.2 網絡偵錯與觀察指令
- 5.3 遠程聯機指令與實時通訊軟件
- 5.4 文字接口網頁瀏覽
- 5.5 封包擷取功能
- 5.6 重點回顧
- 5.7 本章習題
- 5.8 參考數據與延伸閱讀
- 第六章、 Linux 網絡偵錯
- 6.1 無法聯機原因分析
- 6.2 處理流程
- 6.3 本章習題
- 6.4 參考數據與延伸閱讀
- 第二部分:主機的簡易資安防護措施
- 第七章、網絡安全與主機基本防護:限制端口, 網絡升級與 SELinux
- 7.1 網絡封包聯機進入主機的流程
- 7.2 網絡自動升級軟件
- 7.3 限制聯機埠口 (port)
- 7.4 SELinux 管理原則
- 7.5 被攻擊后的主機修復工作
- 7.6 重點回顧
- 7.7 課后練習
- 7.8 參考數據與延伸閱讀
- 第八章、路由觀念與路由器設定
- 8.1 路由
- 8.2 路由器架設
- 8.3 動態路由器架設:quagga (zebra + ripd)
- 8.4 特殊狀況:路由器兩邊界面是同一個 IP 網段: ARP Proxy
- 8.5 重點回顧
- 8.6 本章習題
- 8.7 參考數據與延伸閱讀
- 第九章、防火墻與 NAT 服務器
- 9.1 認識防火墻
- 9.2 TCP Wrappers
- 9.3 Linux 的封包過濾軟件:iptables
- 9.4 單機防火墻的一個實例
- 9.5 NAT 服務器的設定
- 9.6 重點回顧
- 9.7 本章習題
- 9.8 參考數據與延伸閱讀
- 第十章、申請合法的主機名
- 10.1 為何需要主機名
- 10.2 注冊一個合法的主機名
- 10.3 重點回顧
- 10.4 本章習題
- 10.5 參考數據與延伸閱讀
- 第三部分:局域網絡內常見的服務器架設
- 第十一章、遠程聯機服務器SSH / XDMCP / VNC / RDP
- 11.1 遠程聯機服務器
- 11.2 文字接口聯機服務器: SSH 服務器
- 11.3 最原始圖形接口: Xdmcp 服務的啟用
- 11.4 華麗的圖形接口: VNC 服務器
- 11.5 仿真的遠程桌面系統: XRDP 服務器
- 11.6 SSH 服務器的進階應用
- 11.7 重點回顧
- 11.8 本章習題
- 11.9 參考數據與延伸閱讀
- 第十二章、網絡參數控管者: DHCP 服務器
- 12.1 DHCP 運作的原理
- 12.2 DHCP 服務器端的設定
- 12.3 DHCP 客戶端的設定
- 12.4 DHCP 服務器端進階觀察與使用
- 12.5 重點回顧
- 12.6 本章習題
- 12.7 參考數據與延伸閱讀
- 第十三章、文件服務器之一:NFS 服務器
- 13.1 NFS 的由來與其功能
- 13.2 NFS Server 端的設定
- 13.3 NFS 客戶端的設定
- 13.4 案例演練
- 13.5 重點回顧
- 13.6 本章習題
- 13.7 參考數據與延伸閱讀
- 第十四章、賬號控管: NIS 服務器
- 14.1 NIS 的由來與功能
- 14.2 NIS Server 端的設定
- 14.3 NIS Client 端的設定
- 14.4 NIS 搭配 NFS 的設定在叢集計算機上的應用
- 14.5 重點回顧
- 14.6 本章習題
- 14.7 參考數據與延伸閱讀
- 第十五章、時間服務器: NTP 服務器
- 15.1 關于時區與網絡校時的通訊協議
- 15.2 NTP 服務器的安裝與設定
- 15.3 客戶端的時間更新方式
- 15.4 重點回顧
- 15.5 本章習題
- 15.6 參考數據與延伸閱讀
- 第十六章、文件服務器之二: SAMBA 服務器
- 16.1 什么是 SAMBA
- 16.2 SAMBA 服務器的基礎設定
- 16.3 Samba 客戶端軟件功能
- 16.4 以 PDC 服務器提供賬號管理
- 16.5 服務器簡單維護與管理
- 16.6 重點回顧
- 16.7 本章習題
- 16.8 參考數據與延伸閱讀
- 第十七章、區網控制者: Proxy 服務器
- 17.1 什么是代理服務器 (Proxy)
- 17.2 Proxy 服務器的基礎設定
- 17.3 客戶端的使用與測試
- 17.4 服務器的其他應用設定
- 17.5 重點回顧
- 17.6 本章習題
- 17.7 參考數據與延伸閱讀
- 第十八章、網絡驅動器裝置: iSCSI 服務器
- 18.1 網絡文件系統還是網絡驅動器
- 18.2 iSCSI target 的設定
- 18.3 iSCSI initiator 的設定
- 18.4 重點回顧
- 18.5 本章習題
- 18.6 參考數據與延伸閱讀
- 第四部分:常見因特網服務器架設
- 第十九章、主機名控制者: DNS 服務器
- 19.1 什么是 DNS
- 19.2 Client 端的設定
- 19.3 DNS 服務器的軟件、種類與 cache only DNS 服務器設定
- 19.4 DNS 服務器的詳細設定
- 19.5 協同工作的 DNS: Slave DNS 及子域授權設定
- 19.6 DNS 服務器的進階設定
- 19.7 重點回顧
- 19.8 本章習題
- 19.9 參考數據與延伸閱讀
- 第二十章、WWW 伺服器
- 20.1 WWW 的簡史、資源以及伺服器軟體
- 20.2 WWW (LAMP) 伺服器基本設定
- 20.3 Apache 伺服器的進階設定
- 20.4 登錄檔分析以及 PHP 強化模組
- 20.5 建立連線加密網站 (https) 及防砍站腳本
- 20.6 重點回顧
- 20.7 本章習題
- 20.8 參考資料與延伸閱讀
- 第二十一章、文件服務器之三: FTP 服務器
- 21.1 FTP 的數據鏈路原理
- 21.2 vsftpd 服務器基礎設定
- 21.3 客戶端的圖形接口 FTP 聯機軟件
- 21.4 讓 vsftpd 增加 SSL 的加密功能
- 21.5 重點回顧
- 21.6 本章習題
- 21.7 參考數據與延伸閱讀
- 第二十二章、郵件服務器: Postfix
- 22.1 郵件服務器的功能與運作原理
- 22.2 MTA 服務器: Postfix 基礎設定
- 22.3 MRA 服務器: dovecot 設定
- 22.4 MUA 軟件:客戶端的收發信軟件
- 22.5 郵件服務器的進階設定
- 22.6 重點回顧
- 22.7 本章習題
- 22.8 參考數據與延伸閱讀