Windows LiveWindows Live
 
 
he's profile调和的记事本 msnBlogListsGuestbook Tools Help

Blog

    限制用户硬盘使用空间

    限制用户硬盘使用空间

    UNIX作为一种多用户系统,它允许多个用户共同使用系统的资源,包括系统的内存,CPU和硬盘。在默认情况下,系统并不会限制每个用户可以使用硬盘空间的大小,所以如果用户恶意使用硬盘,或用户由于疏忽,将硬盘空间全部占用,将导致其他用户无法使用硬盘,从而使系统性能下降,甚至有崩溃的危险。

    其实,UNIX提供的quota系列命令可以帮助我们解决这个问题,这些命令包括:
    quota : 显示用户的硬盘限额和使用情况。
    edquota : 为每个用户设定硬盘限额。
    quotaon: 启动文件系统硬盘限额服务
    quotaoff : 关闭文件系统硬盘限额服务
    repquota : 显示当前硬盘限额状态
    配置这项服务的方法很简单。但在使用硬盘限额服务之前,我们要明白硬限制和软限制这两个概念。所谓硬限制是指对资源节点和数据块的绝对限制,在任何情况下都不允许用户超过这个限制;而软限制是指用户可以在一定时间范围内(默认时为一周,在/usr/include/sys/fs/ufs_quota.h文件中设置)超过软限制的额度,在硬限制的范围内继续申请资源,同时系统会在用户登录时给出警告信息和仍可继续申请资源剩余时间。如果达到时间期限,用户的硬盘使用仍超过软限制的额度,则系统将不允许用户再申请硬盘资源。

    明白了这两个概念,我们就可以配置硬盘限额服务了,首先我们必须在要限制的文件系统的根目录下建立一名字为quotas的文件,该文件的所有者应是root,且其它用户不可以对它进行写操作。方法是:
    # cd /home (进入文件系统根目录,注意并不是系统根目录,本例为/home目录)
    # touch quotas(创建一名字为quotas的空文件)
    # chmod 644 quotas (更改文件属性,使只有root可以对它进行写操作)

    然后,我们编辑/etc/vfstab文件,找到要进行硬盘限额服务的文件系统,并将
    mount option字段的值设为rq,然后并存盘退出。

    完成这两步后,我们使用edquota命令为每个用户设置硬盘限额,在root权限下输入以下命令:
    #edquota username
    这时系统会自动生成一个临时文件,并且有如下内容:
    fs /users blocks (soft = 0, hard = 0) inodes (soft = 0, hard = 0)
    其中fs字段表明使用硬盘限额的文件系统,本例为/users,block和inodes表明用户可以使用的硬盘千字节数和I节点数,即用户可使用的硬盘空间和可建立的文件数,soft和hard分别对于前面提及的软限制和硬限制。

    编辑这个文件,把软,硬限制设置到合适的数值,然后存盘退出。这时我们可以看到quotas文件的大小已经被改变,说明用户的限额已经储存。重复这条命令,给每一个用户都配置硬盘限额。另外,如果我们分配给用户的硬盘限额都相同,我们可以使用 "-p" 参数而不用为每个用户都编辑一个文件,它的使用方法是:
    #edquota -p reference-usernameusername

    编辑完文件后,我们就可以用quotaon来启动服务了,在root权限下输入
    #quotaon /users
    就可以启动限额服务。如果我们要查看各个用户的当前使用情况,可以使用
    repquota 命令,在root权限下输入:
    #repquota /users
    系统会显示:
    。。。

    从中我们可以很容易看到用户的硬盘和文件的使用情况以及超过软限制后仍可申请资源的时间等等。

    当然我们可以用quotaoff取消硬盘限额服务。另外,系统还提供quotacheck 命令对限额的一致性进行检查。

    7/21/2007 11:29:59 AM | Add a comment | Permalink | Blog it | linux solaris

    饮马流花河主题曲

    歌名: 独坐莫凭栏

    男:早春迟暮,流水落花泪如珠
    女:茫然对苍天,故人在何处。
    男:几多寒暑,壮士梦断天涯路
    女:挑灯寻旧事,何处是归途
    男:天地悠悠,红颜不常驻
    女:相思之泪何其苦
    男:旧恨新仇,这般牵动我的心,一片痴情在江湖
    男:你是那带露的玫瑰,你是那清晨初升的雾
    女:你是那天边的彩虹,你是那广寒宫缥缈的桂树
    男:让情爱之火焰燃尽,从此再不会有卿卿我我
    女:约一轮共同的月亮,把一切吟过的诗只在梦里重复
    男:独坐莫凭栏
    合:任沧海桑田
    女:红花绿树

    ...............

    7/21/2007 11:29:33 AM | Add a comment | Permalink | Blog it | music

    97电视剧《梦幻天使》主题曲-嫁别 江涛演唱

    97电视剧《梦幻天使》主题曲-嫁别 江涛演唱

    点一支雪茄
    照亮熄灭的红蜡
    背靠着书架
    欣赏天使的图画
    美丽的月光下
    披着乌黑的长发
    雪白的衣裙映着娇艳的玫瑰花
    你是不是今天要出嫁
    你为什么不说话
    风吹响了心中的琵琶
    可惜它也不能表达
    你是不是今天要出嫁
    我等待着你的回答
    未来在心中悄悄计划
    我丰满的羽翼是你永远的婚纱

    7/21/2007 11:28:56 AM | Add a comment | Permalink | Blog it | music

    快速解压文件

    快速解压文件

    如果我们需要对若干个压缩文件进行解压的话,有的用户可能会使用unzip命令来一个一个地对压缩文件进行解压,但这种方法操作效率太低,也有的用户想到 了使用通配符的方法来同时对多个文件进行压缩,但是当他们在命令行中输入unzip *shi 时,发现会出现一个错误的提示,那么到底该怎样才能同时 unzip多个文件呢?其实后使用通配符的方法是正确的,只是那些用户在命令行中输入的命令不正确,正确的输入应该unzip "*"。

    7/21/2007 11:28:36 AM | Add a comment | Permalink | Blog it | linux solaris

    黄安—先知

    歌曲:先知
    歌手:黄安 专辑:不祥

    黄安-先知
    春风吹过来心里不明白
    这世界变的不黑也不白不好也不坏
    东边的山脉西边的大海
    你来去之间多少的尘缘明天呀明天
    啊......再见
    生前我是谁生后谁是我
    这命运的陀螺轮回的对错书上是否早有说
    先知一张口大家齐步走
    我站这个小小的窗口望着窗外一尊佛
    那是你那是我
    站在窗口望着窗外一尊佛
    你双手指地又指天
    强摘的水果不会甜强求的因缘不会圆
    我坦诚事铺在心里面
    淤泥也可化红莲做人好比作神仙

    7/21/2007 11:25:42 AM | Add a comment | Permalink | Blog it | music

    关于SpeedTouch 511e 这个adsl modem

    http://www.speedtouch.net.nz/
    http://www.speedtouch.net.nz/st510r3.htm

    ? 游客: 注册 | 登录 | 会员 | 帮助| 我要一边听歌一边上论坛 返回 ebc's diy主页
    自己友论坛 ? 【宽频台】 ? SpeedTouch 511e 可以限制局域网的某一台ip上网吗?

    作者:
    标题: SpeedTouch 511e 可以限制局域网的某一台ip上网吗? 上一主题 | 下一主题
    烽火台
    新手上路

    积分 4
    发贴 4
    注册 2005-1-15
    状态 离线
    SpeedTouch 511e 可以限制局域网的某一台ip上网吗?

    SpeedTouch 511e 可以限制局域网的某一台ip上网吗?
    2005-1-15 11:36
    查看资料 发送邮件 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复
    ebc
    论坛管理员

    积分 14010
    发贴 13010
    注册 2002-10-1
    来自 佛山
    状态 离线
    用防火墙规则就行了,看精华区关于防火墙的介绍,比如限制10.0.0.1,加一条这样的规则:

    :firewall rule create chain=FORWARD index=0 src=10.0.0.1 action=drop

    个人主页:
    http://ebc.r8.org
    2005-1-15 12:27
    查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复
    烽火台
    新手上路

    积分 4
    发贴 4
    注册 2005-1-15
    状态 离线
    看了好久才明白一点 谢谢 ebc
    2005-1-15 14:28
    查看资料 发送邮件 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复
    小混
    新手上路

    积分 6
    发贴 6
    注册 2005-12-20
    状态 离线
    那要重新开启10.0.0.1上网呢
    2006-3-9 23:31
    查看资料 发送邮件 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复
    ebc
    论坛管理员

    积分 14010
    发贴 13010
    注册 2002-10-1
    来自 佛山
    状态 离线
    把那条规则删掉,看cli文档,可以用telnet操作,也可以在带cli功能的744 firmware的web界面里操作。

    个人主页:
    http://ebc.r8.org
    2006-3-10 09:27
    查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复

    可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题

    论坛跳转:

    自己友论坛 ? 【宽频台】 ? SpeedTouch 511e 可以限制局域网的某一台ip上网吗?

    < 联系我们 - ebc's diy主页 >

    Powered by Discuz! 专业版 ? 2002, Crossday, Bokavan Corp.

    ========================

    ? zerged: 退出 | 短消息 | 控制面板 | 会员 | 搜索 | 帮助| 我要一边听歌一边上论坛 返回 ebc's diy主页
    自己友论坛 ? 【宽频台】 ? 利用firewall禁止广东互联星空了

    作者:
    标题: 利用firewall禁止广东互联星空了 上一主题 | 下一主题
    ALCATELUSER
    高级会员

    积分 146
    发贴 146
    注册 2004-3-12
    状态 离线
    利用firewall禁止广东互联星空了

    可恶的互联星空,竟然不要密码就能上去消费。
    我这里是几家共享的,不知是不是其它有人上过互联星空,结果是被扣了。
    已打电话给10000,要求停止这种无耻行为,立即停掉连密码都不用就可以消费的一点通,当然其它的消费也是要取消的。因为这个网上消费功能是未经我同意就自动开通的。
    电信真是无耻啊。

    呼吁用ADSL的用户,立即至电10000,取消这种消费功能。

    我对他们说了,如果你们的这种行为是合法的,那么,银行也可以自动开通消费实名制:只要你开办了银行卡,就自动开通这种"方便用户"的消费实名制,即,以后买东西时,只要大声说出你的名字就可以交费了。

    当然,我自己先禁止上这个网了,因为我不能确定这个消费不是内部网中其它人的消费。这次算我的了吧。我交这个费得了。但以后不能再上这个什么星空了。

    1. 在CMD窗口中输入ping gd.chinavnet.com,得到要禁止上的网的IP,这里得到的是61.145.125.229
    2. telnet 10.0.0.138,进入ADSL后,输入用户名和密码
    3. 按顺序输入以下:
    firewall
    chain create chain="yyy"
    rule create chain=yyy index=0 src=61.145.125.229 action=drop
    assign hook=input chain="yyy"
    :config save

    哈哈,搞定了。

    注意:我在输入时,曾打错了字,系统显示无效命令,我重输入后倒是正常了。但这里猫也死了,无法上网。我是重新开猫电源后,又才能上网的。

    谢谢这个网站了。谢谢EBC,谢谢lwx129

    [ Last edited by ALCATELUSER on 2006-1-28 at 09:01 ]
    2006-1-23 06:38 PM
    查看资料 发送邮件 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    ebc
    论坛管理员

    积分 14010
    发贴 13010
    注册 2002-10-1
    来自 佛山
    状态 离线

    个人主页:
    http://ebc.r8.org
    2006-1-23 08:37 PM
    查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    ALCATELUSER
    高级会员

    积分 146
    发贴 146
    注册 2004-3-12
    状态 离线
    再想请教EBC:
    我想通过修改user.ini,来增加防火墙规则,然后再上传。但发现user.ini中有:
    [ nat.ini ]
    bind application=H323 port=1720
    bind application=FTP port=ftp
    bind application=RTSP port=554
    bind application=RAUDIO(PNA) port=7070
    bind application=ils port=ldap
    bind application=ils port=1002
    enable addr=219.1xx.xx.xxx type=pat

    其中的,219.1xx.xx.xxx 是此时动态分配给我的IP。

    如果我修改ini文件后,再上传,如果此时重新分配IP了,这时会不会产生什么问题呢?

    谢谢!
    2006-1-23 10:20 PM
    查看资料 发送邮件 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    ALCATELUSER
    高级会员

    积分 146
    发贴 146
    注册 2004-3-12
    状态 离线
    这个狗吃的星空,在网站说明里有注销用户的地方,可是我进去看了,注销的按钮都没有了,都不知道如果才能注销了。
    真他妈的无耻!
    2006-1-23 11:33 PM
    查看资料 发送邮件 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子

    可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题

    快速回复主题
    标题: (可选)
    选项:
    禁用 URL 识别
    禁用 Smilies
    禁用 Discuz! 代码
    使用个人签名
    接收新回复邮件通知
    [完成后可按 Ctrl+Enter 发布]

    论坛跳转:

    自己友论坛 ? 【宽频台】 ? 利用firewall禁止广东互联星空了

    < 联系我们 - ebc's diy主页 >

    Powered by Discuz! 专业版 ? 2002, Crossday, Bokavan Corp.

    ===================

    ? zerged: 退出 | 短消息 | 控制面板 | 会员 | 搜索 | 帮助| 我要一边听歌一边上论坛 返回 ebc's diy主页
    自己友论坛 ? 【宽频台】 ? 各位有没有设置过里面的firewall?

    << [1] [2] >>
    作者:
    标题: 各位有没有设置过里面的firewall? 上一主题 | 下一主题
    lwx129
    高级会员

    积分 146
    发贴 126
    注册 2002-10-6
    状态 离线
    各位有没有设置过里面的firewall?

    近来没事干,想玩玩510plus里面的firewall,我查到边锋游戏的ip地址是218.104.136.6,port是4000,想把局域网里的边锋游戏禁掉,命令如下:

    chain create chain="lwx"

    rule create chain=lwx index=0 srcintfgrp=!wan dstintfgrp=wan dst=218.104.136.6 prot=tcp dstport=4000 action=drop

    assign hook=input chain="lwx"

    但没用效果,不知哪里有问题,请各位帮忙。谢谢!!
    2003-5-22 04:02 PM
    查看资料 发送邮件 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    gyp2000
    超级版主

    积分 305
    发贴 275
    注册 2003-4-2
    状态 离线
    防火墙不是这样玩的~~~呵呵
    2003-5-22 04:13 PM
    查看资料 发送邮件 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    lwx129
    高级会员

    积分 146
    发贴 126
    注册 2002-10-6
    状态 离线
    大哥快帮忙,教我一招呀!!感激不尽!!
    2003-5-22 04:51 PM
    查看资料 发送邮件 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    ebc
    论坛管理员

    积分 14010
    发贴 13010
    注册 2002-10-1
    来自 佛山
    状态 离线
    这个嘛,有时间我也研究研究,确实比较复杂。gyp2000最好写编教程。。。

    个人主页:
    http://ebc.r8.org
    2003-5-22 08:48 PM
    查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    lwx129
    高级会员

    积分 146
    发贴 126
    注册 2002-10-6
    状态 离线
    firewall assign命令解释.
    语法:
    firlwall assign hook=<{input|sink|forward|source}> chain=

    作用:给一入口点(entry point)分配关联(chain),这里的入口点又称为钩子(hook)或包拦截点(PIP)是指跟据关联(chain)中指定的约束规则来拦截包的位置.主要有以下四种入口点:
    input:该点决定包是否允许到达SpeedTouch路由器,或本地主机。
    sink:信息寻址点,将自己指向SpeedTouch路由器,或本地主机。该点决定是否允许包找到SpeedTouch路由器,或本地主机。
    forward:信息出发点,该点决定是否允许信息从SpeedTouch路由器,或本地主机处理,比如路由。
    source:该点决定是否允许信息从本地主机离开。
    output:该点决定是否允许信息从SpeedTouch路由器,或本地主机离开。

    -----------------------------------------------------------------------------------

    翻译了这些,不知所云呀。
    2003-5-22 10:32 PM
    查看资料 发送邮件 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    ebc
    论坛管理员

    积分 14010
    发贴 13010
    注册 2002-10-1
    来自 佛山
    状态 离线
    等一下我帮你解释。。。

    个人主页:
    http://ebc.r8.org
    2003-5-23 08:44 AM
    查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    lwx129
    高级会员

    积分 146
    发贴 126
    注册 2002-10-6
    状态 离线
    谢谢!!!
    等待中。。。。。。。。。
    2003-5-23 09:13 AM
    查看资料 发送邮件 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    ebc
    论坛管理员

    积分 14010
    发贴 13010
    注册 2002-10-1
    来自 佛山
    状态 离线
    法国人的解释:

    http://www.forpage.com/forum/vie ... um=17&3&start%203D0

    我也没完全明白,呵呵。。。

    首先把它们看作五个点,称为hook。

    input:表示进来的数据包怎么处理。

    sink:表示各个方向专门奔路由器去的数据包怎么处理。

    forward:表示全部要路由器转送的数据包怎么处理。

    source:表示全部源自于路由器的数据包怎么处理。

    output:表示全部出去的数据包怎么处理。

    注意input、output是相对而言,可以从内网这边看,也可以从外网那边看,主要看源跟目标是什么。

    数据流的图如下:

    本贴包含图片附件:

    点击查看全图

    个人主页:
    http://ebc.r8.org
    2003-5-23 11:06 AM
    查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    ebc
    论坛管理员

    积分 14010
    发贴 13010
    注册 2002-10-1
    来自 佛山
    状态 离线

    Quote:
    chain create chain="lwx"

    rule create chain=lwx index=0 srcintfgrp=!wan dstintfgrp=wan dst=218.104.136.6 prot=tcp dstport=4000 action=drop

    assign hook=input chain="lwx"

    问题在你没有跟5个拦截点挂勾,究竟工作模式是source、sink、input、output、forward中的那一个呢?

    比如首先要assign,比如这样:
    [ pfirewall.ini ]
    assign hook=forward chain=lwx

    然后再create,比如这样:
    [ pfilter.ini ]
    chain delete chain=lwx
    chain create chain=lwx

    然后才是写rule,比如你这样:
    rule create chain=lwx index=0 srcintfgrp=!wan dstintfgrp=wan dst=218.104.136.6 prot=tcp dstport=4000 action=drop

    然后还不知道你写的rule对不对,呵呵。。。你的规则看上去,似乎是所有内网的电脑不能连到外网的218.104.136.6 ip,协议是tcp,口是4000,但有没有疏漏,我也不清楚,你试一下通过上面的设置行不行就知道了。

    个人主页:
    http://ebc.r8.org
    2003-5-24 07:00 AM
    查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    ebc
    论坛管理员

    积分 14010
    发贴 13010
    注册 2002-10-1
    来自 佛山
    状态 离线
    一般预设置防火墙的标准格式是这样,在telnet里输入:

    firewall
    chain create chain=INPUT
    chain create chain=SINK
    chain create chain=FORWARD
    chain create chain=SOURCE
    chain create chain=OUTPUT

    assign hook=input chain=INPUT
    assign hook=sink chain=SINK
    assign hook=forward chain=FORWARD
    assign hook=source chain=SOURCE
    assign hook=output chain=OUTPUT
    chain save
    save
    :config save

    个人觉得没必要自己起个chain的名称,就直接引用那五个大写的名称就可以了,直观,知道是跟什么"点"挂勾。

    个人主页:
    http://ebc.r8.org
    2003-5-24 07:20 AM
    查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    ebc
    论坛管理员

    积分 14010
    发贴 13010
    注册 2002-10-1
    来自 佛山
    状态 离线
    下面我根据自己的理解,解释一下防火墙的设置:

    首先说一下是,防火墙是内置在modem的firmware里面,过滤内网(lan)、外网(internet)两个方向的数据包用的。

    设置一般通过telnet设置,你也可以写进user.ini文件这样设置。

    数据包以"流"的方式通过modem(路由器)。

    数据包精确的通过五个"拦载点"被控制,称为hook(勾)。

    它们分别是:

    input:表示进来的数据包怎么处理。

    sink:表示各个方向只针对路由器本身去的数据包怎么处理。

    forward:表示全部要路由器在外网、内网间转送处理的数据包怎么处理。

    source:表示全部只源出于路由器本身的数据包怎么处理。

    output:表示全部出去的数据包怎么处理。

    三个不同方向的流如下图所示:

    流的方向不是由物理接口,而是由源跟目标的需要决定的。

    比如这样:

    内网要出去的时候,内网就被定义成input,外网被定义成output。

    而外网要进来的时候,外网就被定义成input,内网被定义成output。

    我理解的是,一条rule,用input的"勾"也可以写,用output的"勾"也可以写,只要源跟目标对调一下就行了,不知道是不是这样。

    to be continue。。。

    个人主页:
    http://ebc.r8.org
    2003-5-24 07:42 AM
    查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    lwx129
    高级会员

    积分 146
    发贴 126
    注册 2002-10-6
    状态 离线
    说得很细,谢谢!!可我还是有点不太清楚,特别是这个点是设在哪里。是内网lan?外网wan?还是local,还是!wan,!lan,还有优先级别问题,比如有好几个关于input的chain,在我的ADSL里是用INDEX0,INDEX1来标记的,它们是按顺序生效的吗?说明书上有个例子是封掉所有的连接,并只开一个与外网的(网址为200.20.20.1)Telnet通信的防火墙,如下:

    firewall chain create chain=Telnet

    firewall rule create chain=Telnet src=10.0.0.0/8 dst=200.20.20.1 srcintfgrp=lan prot=tcp srcport=1024 srcportend=65535 dstport=23 action=accept

    firewall rule create chain=Telnet src=200.20.20.1 dst=192.6.11.10 srcintfgrp=wan prot=tcp srcport=23 dstport=1024 dstportend=65535 ack=yes action=accept //这里的192.6.11.10是nat转换IP地址。

    firewall rule create chain=Telnet action=drop

    firewall assign hook=input chain=Telnet

    反过来,如果打开所有连接,只封掉与这个Telnet通信又如何设置?
    2003-5-24 11:31 AM
    查看资料 发送邮件 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    ebc
    论坛管理员

    积分 14010
    发贴 13010
    注册 2002-10-1
    来自 佛山
    状态 离线
    我有点忙,明天根据法国人的解释结合实例再中文解释一下。。。

    个人主页:
    http://ebc.r8.org
    2003-5-24 02:44 PM
    查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    gyp2000
    超级版主

    积分 305
    发贴 275
    注册 2003-4-2
    状态 离线
    防火墙的规则和书写方式
    先初始化防火墙
    [ pfilter.ini ] (这个要在最前面)
    chain delete chain=sink ;
    chain create chain=sink
    chain delete chain=forward
    chain create chain=forward
    chain delete chain=source
    chain create chain=source

    Show sfirewall rule create chain = ; 规则名字

    [index = ] ;规则序号
    [srcintf [!]= ] ;源定义网卡名
    [srcintfgrp [!]= <{wan|local|lan}>] ;源定义网卡名
    [srcbridgeport [!]= ] ;定义端口
    [src [!]= ] ;源IP
    [srcmsk = ] ;源IP 子网掩码
    [dstintf [!]= ] ;定义目标网卡
    [dstintfgrp [!]= <{wan|local|lan}>] ;定义目标网卡
    [dst [!]= ] ;目标IP
    [dstmsk = ] ;目标IP 子网掩码
    [tos [!]= ] ;包寿命
    [prot [!]= <{tcp|udp|icmp|protocol}>] ;端口协议
    [syn ] ;SYN标志位
    [urg ] ;URG标志位
    [ack ] ;ACK标志位
    [srcport [!]= <{ftp|ftp-data|telnet|mail|smtp|dns|domain|tftp|port}>] ;源起始端口
    [srcportend = <{ftp|ftp-data|telnet|mail|smtp|dns|domain|tftp|port}>] ;源结束端口
    [dstport [!]= <{ftp|ftp-data|telnet|mail|smtp|dns|domain|tftp|port}>] ;目标起始端口
    [dstportend = <{ftp|ftp-data|telnet|mail|smtp|dns|domain|tftp|port}>] ;目标结束端口
    [icmptype [!]= <{echo-reply|destination-unreachable|source-quench|
    redirect|echo-request|router-advertisement|
    router-solicitation|time-exceeded|parameter-problems|
    timestamp-request|timestamp-reply|
    information-request|information-reply|
    address-mask-request|address-mask-reply|
    icmpnumber}>]
    [icmpcode [!]= ] ;起始icmp
    [icmpcodeend = ] ;结束icmp
    [clink ]
    action <{accept|deny|drop|count}> ;|接受|拒绝|丢弃|count

    列:
    rule create chain=sink index=0 srcintf=eth0 srcbridgeport=1 action=accept

    rule create chain=sink index=1 srcintfgrp=!wan action=accept
    由于网卡定义成!wan 不知道是什么意思~~~可能是透过路由的?
    rule create chain=sink index=2 prot=udp dstport=dns action=accept

    rule create chain=sink index=3 prot=udp dstport=68 action=accept

    rule create chain=sink index=4 action=drop

    rule create chain=forward index=0 srcintfgrp=wan dstintfgrp=wan action=drop
    所有从接口wan 到接口wan 的都拒绝
    rule create chain=source index=0 dstintfgrp=!wan action=accept
    由于网卡定义成!wan 不知道是什么意思~~~可能是透过路由的?
    rule create chain=source index=1 prot=udp dstport=dns action=accept

    rule create chain=source index=2 prot=udp dstport=67 action=accept

    rule create chain=source index=3 action=drop
    2003-5-25 05:08 AM
    查看资料 发送邮件 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    lwx129
    高级会员

    积分 146
    发贴 126
    注册 2002-10-6
    状态 离线
    我已成功阻断边锋。

    chain create chain="lwx"
    rule create chain=lwx index=0 src=202.101.165.233 action=drop
    rule create chain=lwx index=1 src=61.153.3.125 action=drop
    rule create chain=lwx index=2 src=61.153.37.222 action=drop
    rule create chain=lwx index=3 src=202.101.165.237 action=drop
    rule create chain=lwx index=4 src=61.144.56.30 action=drop
    rule create chain=lwx index=5 src=61.153.19.101 action=drop
    rule create chain=lwx index=6 src=202.98.15.230 action=drop
    rule create chain=lwx index=7 src=202.96.75.247 action=drop
    rule create chain=lwx index=8 src=202.107.225.55 action=drop
    rule create chain=lwx index=9 src=61.153.8.50 action=drop
    rule create chain=lwx index=10 src=61.153.198.200 action=drop
    rule create chain=lwx index=11 src=218.6.174.184 action=drop
    rule create chain=lwx index=12 src=219.235.127.66 action=drop
    rule create chain=lwx index=13 src=61.128.97.134 action=drop
    rule create chain=lwx index=14 src=61.158.97.35 action=drop
    rule create chain=lwx index=15 src=61.138.15.144 action=drop
    rule create chain=lwx index=16 src=61.138.15.114 action=drop
    rule create chain=lwx index=17 src=218.66.101.14 action=drop
    rule create chain=lwx index=18 src=202.107.236.190 action=drop
    rule create chain=lwx index=19 src=218.104.136.6 action=drop
    rule create chain=lwx index=20 src=202.96.114.245 action=drop
    rule create chain=lwx index=21 src=61.241.130.59 action=drop
    rule create chain=lwx index=22 src=202.103.190.13 action=drop
    rule create chain=lwx index=23 src=211.141.95.76 action=drop
    rule create chain=lwx index=24 src=211.90.241.37 action=drop
    rule create chain=lwx index=25 src=61.243.222.25 action=drop
    rule create chain=lwx index=26 src=211.167.148.203 action=drop
    rule create chain=lwx index=27 src=202.101.150.130 action=drop
    rule create chain=lwx index=28 src=218.108.248.119 action=drop
    rule create chain=lwx index=29 src=218.57.200.21 action=drop
    rule create chain=lwx index=30 src=202.98.9.109 action=drop
    rule create chain=lwx index=31 src=218.106.241.247 action=drop
    rule create chain=lwx index=32 src=61.243.232.20 action=drop
    rule create chain=lwx index=33 src=61.153.52.185 action=drop
    rule create chain=lwx index=34 src=210.76.63.27 action=drop
    rule create chain=lwx index=35 src=211.140.137.125 action=drop
    assign hook=input chain="lwx"
    2003-5-25 09:06 AM
    查看资料 发送邮件 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    ebc
    论坛管理员

    积分 14010
    发贴 13010
    注册 2002-10-1
    来自 佛山
    状态 离线
    为了更好的写好rule,一定要打好基础,我再次试图形象解释上面gyp2000所说的几种"道具"的定义。

    声明:用方括号括住的表示可写可不写,也就是可选项目。

    chain: 一个拦截点的载体,表示我这个rule是在那个点上拦截过滤数据包的。

    [index]:每个不同的拦截点的chain中,rule各自的起作用的先后顺序,这个不是必须写的,可能不写就按书写顺序,写了后就按它们的数字从小到大排列作用顺序。

    [scrintf]:就是数据包来源的接口名。注意,不能用于"拦截点"定义为output的chain,这样可能要纠正我上面所说的input、 output是一样的,只要改源跟目标就可以起相同的效果,看来是有限制的,不然只要input、output其中一个拦截点就够了。

    关于接口名,大概是这样,一般local组下的是loop(表示本地主机?)。lan组下的是eth0(表示连路由器的网卡?),如果有多台客户机,有这个条件的在telnet下在ip提示符打iflist看看是否还有eth1、eth2等接口?然后是wan组下的是你用在user.ini里面代表外网接口的名称,就是在[phone.ini]里那个名字。是否还有什么接口就不太清楚了。

    [srcintfgrp]:就是上面的源接口的上级,源接口组,某个类型的接口的总称。一般是三个,分别是local、lan、wan。跟上面也一样,不能用于"拦截点"定义为output的chain。

    [srcbridgeport]:就是数据包来源的桥接口,是一个0-6之间的数值。在telnet的bridge提示符下执行iflist可以看到都有什么口,我看见有obc、eth0,是什么东东,不太清楚,越来越难理解了,呵呵。。。

    [src]:源ip地址或者范围。比如这样写src=10.0.0.1/8,表示从10.0.0.1-10.255.255.254的范围(不知道对不对,呵呵。。。)

    [srcmsk]:跟上面ip跟着的/8是一样的,独立在这里写也可以,象上面那样连着写,这里就不用再定义了。

    [dstintf]:目标接口名。(跟上面源的对应,请参看前述)

    [dstintfgrp]:目标接口组。(跟上面源的对应,请参看前述)

    [dst]:目标ip地址或者范围。(跟上面源的对应,请参看前述)

    [dstmsk]:跟上面源的对应,请参看前述。

    [tos]:数字介于0-255之间,表示由数字所指定的服务类型的ip包是否过滤。服务类型的编号由下面所列的数字决定:

    Assigned Internet Protocol Numbers

    Decimal Keyword Protocol References
    ------- ------- -------- ----------
    0 Reserved [JBP]
    1 ICMP Internet Control Message [RFC792,JBP]
    2 IGMP Internet Group Management [RFC1112,JBP]
    3 GGP Gateway-to-Gateway [RFC823,MB]
    4 IP IP in IP (encasulation) [JBP]
    5 ST Stream [RFC1190,IEN119,JWF]
    6 TCP Transmission Control [RFC793,JBP]
    7 UCL UCL [PK]
    8 EGP Exterior Gateway Protocol [RFC888,DLM1]
    9 IGP any private interior gateway [JBP]
    10 BBN-RCC-MON BBN RCC Monitoring [SGC]
    11 NVP-II Network Voice Protocol [RFC741,SC3]
    12 PUP PUP [PUP,XEROX]
    13 ARGUS ARGUS [RWS4]
    14 EMCON EMCON [BN7]
    15 XNET Cross Net Debugger [IEN158,JFH2]
    16 CHAOS Chaos [NC3]
    17 UDP User Datagram [RFC768,JBP]
    18 MUX Multiplexing [IEN90,JBP]
    19 DCN-MEAS DCN Measurement Subsystems [DLM1]
    20 HMP Host Monitoring [RFC869,RH6]
    21 PRM Packet Radio Measurement [ZSU]
    22 XNS-IDP XEROX NS IDP [ETHERNET,XEROX]
    23 TRUNK-1 Trunk-1 [BWB6]
    24 TRUNK-2 Trunk-2 [BWB6]
    25 LEAF-1 Leaf-1 [BWB6]
    26 LEAF-2 Leaf-2 [BWB6]
    27 RDP Reliable Data Protocol [RFC908,RH6]
    28 IRTP Internet Reliable Transaction [RFC938,TXM]
    29 ISO-TP4 ISO Transport Protocol Class 4 [RFC905,RC77]
    30 NETBLT Bulk Data Transfer Protocol [RFC969,DDC1]
    31 MFE-NSP MFE Network Services Protocol [MFENET,BCH2]
    32 MERIT-INP MERIT Internodal Protocol [HWB]
    33 SEP Sequential Exchange Protocol [JC120]
    34 3PC Third Party Connect Protocol [SAF3]
    35 IDPR Inter-Domain Policy Routing Protocol [MXS1]

    36 XTP XTP [GXC]
    37 DDP Datagram Delivery Protocol [WXC]
    38 IDPR-CMTP IDPR Control Message Transport Proto [MXS1]
    39 TP++ TP++ Transport Protocol [DXF]
    40 IL IL Transport Protocol [DXP2]
    41 SIP Simple Internet Protocol [SXD]
    42 SDRP Source Demand Routing Protocol [DXE1]
    43 SIP-SR SIP Source Route [SXD]
    44 SIP-FRAG SIP Fragment [SXD]
    45 IDRP Inter-Domain Routing Protocol [Sue Hares]
    46 RSVP Reservation Protocol [Bob Braden]
    47 GRE General Routing Encapsulation [Tony Li]
    48 MHRP Mobile Host Routing Protocol[David Johnson]
    49 BNA BNA [Gary Salamon]
    50 SIPP-ESP SIPP Encap Security Payload [Steve Deering]
    51 SIPP-AH SIPP Authentication Header [Steve Deering]
    52 I-NLSP Integrated Net Layer Security TUBA [GLENN]
    53 SWIPE IP with Encryption [JI6]
    54 NHRP NBMA Next Hop Resolution Protocol
    55-60 Unassigned [JBP]
    61 any host internal protocol [JBP]
    62 CFTP CFTP [CFTP,HCF2]
    63 any local network [JBP]
    64 SAT-EXPAK SATNET and Backroom EXPAK [SHB]
    65 KRYPTOLAN Kryptolan [PXL1]
    66 RVD MIT Remote Virtual Disk Protocol [MBG]
    67 IPPC Internet Pluribus Packet Core [SHB]
    68 any distributed file system [JBP]
    69 SAT-MON SATNET Monitoring [SHB]
    70 VISA VISA Protocol [GXT1]
    71 IPCV Internet Packet Core Utility [SHB]
    72 CPNX Computer Protocol Network Executive [DXM2]
    73 CPHB Computer Protocol Heart Beat [DXM2]
    74 WSN Wang Span Network [VXD]
    75 PVP Packet Video Protocol [SC3]
    76 BR-SAT-MON Backroom SATNET Monitoring [SHB]
    77 SUN-ND SUN ND PROTOCOL-Temporary [WM3]
    78 WB-MON WIDEBAND Monitoring [SHB]
    79 WB-EXPAK WIDEBAND EXPAK [SHB]
    80 ISO-IP ISO Internet Protocol [MTR]
    81 VMTP VMTP [DRC3]
    82 SECURE-VMTP SECURE-VMTP [DRC3]
    83 VINES VINES [BXH]
    84 TTP TTP [JXS]
    85 NSFNET-IGP NSFNET-IGP [HWB]
    86 DGP Dissimilar Gateway Protocol [DGP,ML109]
    87 TCF TCF [GAL5]
    88 IGRP IGRP [CISCO,GXS]

    89 OSPFIGP OSPFIGP [RFC1583,JTM4]
    90 Sprite-RPC Sprite RPC Protocol [SPRITE,BXW]
    91 LARP Locus Address Resolution Protocol [BXH]
    92 MTP Multicast Transport Protocol [SXA]
    93 AX.25 AX.25 Frames [BK29]
    94 IPIP IP-within-IP Encapsulation Protocol [JI6]
    95 MICP Mobile Internetworking Control Pro. [JI6]
    96 SCC-SP Semaphore Communications Sec. Pro. [HXH]
    97 ETHERIP Ethernet-within-IP Encapsulation [RXH1]
    98 ENCAP Encapsulation Header [RFC1241,RXB3]
    99 any private encryption scheme [JBP]
    100 GMTP GMTP [RXB5]
    101-254 Unassigned [JBP]
    255 Reserved [JBP]

    [prot]:协议名称,一般是三个:tcp、udp、icmp。也可以用上面的表中的数字表示,tcp是6,udp是17,icmp是1。

    [syn]:用于看看ip数据包里的syn(同步)标识是yes还是no,决定是否过滤。

    [urg]:用于看看ip数据包里的urg(紧急指针,不知道什么东西,呵呵。。。)标识是yes还是no,决定是否过滤。

    [ack]:用于看看ip数据包里的ack(应答)标识是yes还是no,决定是否过滤。

    [srcport]:源ip端口,不用我说了吧。

    [srcportend]:源ip结束端口,可以跟上面的配合指定一个端口范围。

    [dstport]:跟上面源的对应,请参看前述。

    [dstportend]:跟上面源的对应,请参看前述。

    [icmptype]:icmp包的类型,有如下这些:

    echo-reply
    destination-unreachable
    source-quench
    redirect
    echo-request
    router-advertisement
    router-solicitation
    time-exceeded
    parameter-problems
    timestamp-request
    timestamp-reply
    information-request
    information-reply
    address-mask-request
    address-mask-reply
    Echo Reply [RFC792]

    也可以如下表数字表示:

    1 Unassigned [JBP]
    2 Unassigned [JBP]
    3 Destination Unreachable [RFC792]
    4 Source Quench [RFC792]
    5 Redirect [RFC792]
    6 Alternate Host Address [JBP]
    7 Unassigned [JBP]
    8 Echo [RFC792]
    9 Router Advertisement [RFC1256]
    10 Router Selection [RFC1256]
    11 Time Exceeded [RFC792]
    12 Parameter Problem [RFC792]
    13 Timestamp [RFC792]
    14 Timestamp Reply [RFC792]
    15 Information Request [RFC792]
    16 Information Reply [RFC792]
    17 Address Mask Request [RFC950]
    18 Address Mask Reply [RFC950]
    19 Reserved (for Security) [Solo]
    20-29 Reserved (for Robustness Experiment) [ZSu]
    30 Traceroute [RFC1393]
    31 Datagram Conversion Error [RFC1475]
    32 Mobile Host Redirect [David Johnson]
    33 IPv6 Where-Are-You [Bill Simpson]
    34 IPv6 I-Am-Here [Bill Simpson]
    35 Mobile Registration Request [Bill Simpson]
    36 Mobile Registration Reply [Bill Simpson]
    37 Domain Name Request [Simpson]
    38 Domain Name Reply [Simpson]
    39 SKIP [Markson]
    40 Photuris [Simpson]
    41-255 Reserved

    [icmpcode]:是否过滤带有指定的icmpcode的ip数据包,数字从0-15范围。

    [icmpcodeend]:icmpcode结束数字,结合上面命令可以设置一个范围。

    下面是icmp type中有icmpcode的type:

    Type Name Reference
    ---- ------------------------- ---------
    0 Echo Reply [RFC792]

    Codes
    0 No Code

    1 Unassigned [JBP]

    2 Unassigned [JBP]

    3 Destination Unreachable [RFC792]

    Codes
    0 Net Unreachable
    1 Host Unreachable
    2 Protocol Unreachable
    3 Port Unreachable
    4 Fragmentation Needed and Don't Fragment was Set
    5 Source Route Failed
    6 Destination Network Unknown
    7 Destination Host Unknown
    8 Source Host Isolated
    9 Communication with Destination Network is
    Administratively Prohibited
    10 Communication with Destination Host is
    Administratively Prohibited
    11 Destination Network Unreachable for Type of Service
    12 Destination Host Unreachable for Type of Service
    13 Communication Administratively Prohibited [RFC1812]
    14 Host Precedence Violation [RFC1812]
    15 Precedence cutoff in effect [RFC1812]

    4 Source Quench [RFC792]
    Codes
    0 No Code

    5 Redirect [RFC792]

    Codes
    0 Redirect Datagram for the Network (or subnet)
    1 Redirect Datagram for the Host
    2 Redirect Datagram for the Type of Service and Network
    3 Redirect Datagram for the Type of Service and Host

    6 Alternate Host Address [JBP]

    Codes
    0 Alternate Address for Host

    7 Unassigned [JBP]

    8 Echo [RFC792]

    Codes
    0 No Code

    9 Router Advertisement [RFC1256]

    Codes
    0 No Code

    10 Router Selection [RFC1256]

    Codes
    0 No Code

    11 Time Exceeded [RFC792]

    Codes
    0 Time to Live exceeded in Transit
    1 Fragment Reassembly Time Exceeded

    12 Parameter Problem [RFC792]

    Codes
    0 Pointer indicates the error
    1 Missing a Required Option [RFC1108]
    2 Bad Length

    13 Timestamp [RFC792]

    Codes
    0 No Code

    14 Timestamp Reply [RFC792]

    Codes
    0 No Code

    15 Information Request [RFC792]

    Codes
    0 No Code

    16 Information Reply [RFC792]

    Codes
    0 No Code

    17 Address Mask Request [RFC950]

    Codes
    0 No Code

    18 Address Mask Reply [RFC950]

    Codes
    0 No Code

    19 Reserved (for Security) [Solo]

    20-29 Reserved (for Robustness Experiment) [ZSu]

    30 Traceroute [RFC1393]

    31 Datagram Conversion Error [RFC1475]

    32 Mobile Host Redirect [David Johnson]

    33 IPv6 Where-Are-You [Bill Simpson]

    34 IPv6 I-Am-Here [Bill Simpson]

    35 Mobile Registration Request [Bill Simpson]

    36 Mobile Registration Reply [Bill Simpson]

    39 SKIP [Markson]

    40 Photuris [Simpson]

    Code

    0 Reserved
    1 unknown security parameters index
    2 valid security parameters, but authentication failed
    3 valid security parameters, but decryption failed

    [clink]:当应用这条rule时,chain的名称语法被较正?

    action:rule的处理动作,有下面几种:

    accept:允许数据包通过。
    deny :拦截数据包,而且会给发送者返回一个 ICMP error destination unreachable 的出错信息。
    drop:拦截数据包,而且是安静的拦截,不给发送者返回信息指示发送失败。
    count : 更新统计,不影响数据包。可能是提取rule中的数据添加到modem的监控系统的数据统计中。

    有什么疏漏跟解释不清与错误,请大家补充。。。

    to be continue。。。。

    个人主页:
    http://ebc.r8.org
    2003-5-25 09:15 AM
    查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    ebc
    论坛管理员

    积分 14010
    发贴 13010
    注册 2002-10-1
    来自 佛山
    状态 离线

    Quote:
    Originally posted by lwx129 at 2003-5-25 09:06:
    我已成功阻断边锋。

    chain create chain="lwx"
    rule create chain=lwx index=0 src=202.101.165.233 action=drop
    rule create chain=lwx index=1 src=61.153.3.125 action=drop
    rule create chai ...

    我看不用那么长吧,解释一下都是什么东东。。。估计有更简单的书写方法。

    个人主页:
    http://ebc.r8.org
    2003-5-25 09:25 AM
    查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    lwx129
    高级会员

    积分 146
    发贴 126
    注册 2002-10-6
    状态 离线
    这些IP地址都是边锋服务器IP地址。边锋有那么多服务器,只好每一个都禁掉了,当然有好的办法,因为每个服务器都是用4000端口的,如果把所有外网进入的4000端口封掉,就只要一条语句:
    rule create chain=lwx srcintfgrp=wan prot=tcp srcport=4000 action=drop
    当然这样,非边锋但用的4000端口的也禁掉了,比如QQ。
    2003-5-25 11:15 AM
    查看资料 发送邮件 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    ebc
    论坛管理员

    积分 14010
    发贴 13010
    注册 2002-10-1
    来自 佛山
    状态 离线

    Quote:
    Originally posted by lwx129 at 2003-5-25 11:15:
    这些IP地址都是边锋服务器IP地址。边锋有那么多服务器,只好每一个都禁掉了,当然有好的办法,因为每个服务器都是用4000端口的,如果把所有外网进入的4000端口封掉,就只要一条语句:
    rule create chain=lwx src ...

    qq用的是udp协议。。。

    个人主页:
    http://ebc.r8.org
    2003-5-26 07:11 AM
    查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    ebc
    论坛管理员

    积分 14010
    发贴 13010
    注册 2002-10-1
    来自 佛山
    状态 离线
    下面结合实例说一下rule的设置:

    先看看所用的chain下的rule是否空,当然前提是已经如下与相应的拦截点(hook)挂上了勾:
    [ pfirewall.ini ]
    assign hook=input chain=INPUT
    assign hook=sink chain=SINK
    assign hook=forward chain=FORWARD
    assign hook=source chain=SOURCE
    assign hook=output chain=OUTPUT

    在telnet打入:
    Firewall=> rule list chain=FORWARD

    如果不是空,要做下面这步:
    chain delete chain=FORWARD
    意思是清空原来在该chain下的rule。

    然后再建立这条chain,chain首先要建立,才能在上面assign。
    chain create chain=FORWARD
    然后我们就可以设置我们自己想要的rule。

    下面我们打开连http(80)的端口:
    Firewall=> rule create chain=FORWARD index=0 srcintfgrp=lan prot=tcp dstport=80 action=accept

    你如果明白我前帖所说的各种"道具",这条rule就很好理解了,chain=FORWARD,意思是拦截点是通过路由器转送的数据包,注意名称是分大小写,index=0,意思是第一条起作用的rule,srcintfgrp=lan,意思源头是整个lan组(整个内网),prot=tcp,意思是只对 tcp协议起作用,dstport=80,意思是目标端口是80(http),action=accept,意思是允许通过。

    但是要浏览网页,还要允许web服务器的数据包返回,我们再加一条这样的rule:
    Firewall=> rule create chain=FORWARD index=1 srcintfgrp=wan prot=tcp srcport=80 action=accept
    解释参看上面,不再重复。

    但我只要浏览网页,其它数据包都不许通过,我们还要加上下面这条:
    Firewall=> rule create chain=FORWARD index=2 action=drop

    好,现在你可以浏览网页了,但收email等等。。都不行,呵呵。。。

    提醒一下,如果你一条rule都不写,那么firewall是全通的。另外,优先级看写的顺序,先写的优先级高,但也可以用index调整顺序,如果index与已经存在的rule相同,新添加进去的rule会排在前面。

    比如上面的三条rule,你不能把最后那条写在前面,如果这样,它是优先,而且覆盖了另两条rule的范围,相当于另两条rule不起作用了,也就是说网页也不能浏览了。

    另外,nat的优先级比firewall高,已经做了nat的端口,就算firewall里没有打开,也会自动打开。

    最后,如果要这些rule下次还能起作用,记住要存盘。

    =>config save

    to be continue。。。。

    个人主页:
    http://ebc.r8.org
    2003-5-26 08:41 AM
    查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    redtea
    超级版主

    积分 206
    发贴 142
    注册 2002-11-23
    状态 离线
    呵呵,真是足本的firewall大全了!
    2003-5-26 06:10 PM
    查看资料 发送邮件 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    ebc
    论坛管理员

    积分 14010
    发贴 13010
    注册 2002-10-1
    来自 佛山
    状态 离线
    接着上面的例子,如果我们要开放ftp存取,要怎么设置呢?如下:

    Firewall=> rule create chain=FORWARD index=0 srcintfgrp=lan prot=tcp dstport=21 action=accept
    Firewall=> rule create chain=FORWARD index=0 srcintfgrp=wan prot=tcp srcport=21 ack=yes action=accept
    Firewall=> rule create chain=FORWARD index=0 srcintfgrp=lan prot=tcp dstport=20 action=accept
    Firewall=> rule create chain=FORWARD index=0 srcintfgrp=wan prot=tcp srcport=20 action=accept

    具体就不再说了,注意一下第二条rule,是允许对方ftp服务器的应答(ack)通过。

    那再开放email的收发又怎么样呢?如下:
    Firewall=> rule create chain=FORWARD index=0 srcintfgrp=lan prot=tcp dstport=110 action=accept
    Firewall=> rule create chain=FORWARD index=0 srcintfgrp=wan prot=tcp srcport=110 ack=yes action=accept
    Firewall=> rule create chain=FORWARD index=0 srcintfgrp=lan prot=tcp dstport=25 action=accept
    Firewall=> rule create chain=FORWARD index=0 srcintfgrp=wan prot=tcp srcport=25 ack=yes action=accept

    同样要注意到第二、四两条也是允许对方邮件服务器的应答(ack)通过。

    另外,这些rule的index=0,也就是插入到原来的rule的前面,这个很重要。最后那条rule是这条:

    Firewall=> rule create chain=FORWARD action=drop

    关掉除上面这些rule以外的所有转送的数据包,也就是说除上面的服务允许外,其它都禁止。

    to be continue。。。。

    个人主页:
    http://ebc.r8.org
    2003-5-28 06:59 AM
    查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    lwx129
    高级会员

    积分 146
    发贴 126
    注册 2002-10-6
    状态 离线
    这么多资料什么地方找到的?
    2003-5-28 09:38 PM
    查看资料 发送邮件 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    ebc
    论坛管理员

    积分 14010
    发贴 13010
    注册 2002-10-1
    来自 佛山
    状态 离线
    当然是网上找到的,用google找,什么都找得到。。。

    个人主页:
    http://ebc.r8.org
    2003-5-28 11:04 PM
    查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    ebc
    论坛管理员

    积分 14010
    发贴 13010
    注册 2002-10-1
    来自 佛山
    状态 离线
    下面,我们分析一下510v3的出厂默认的firewall设置,如下:

    [ pfirewall.ini ]
    assign hook=forward chain=forward
    assign hook=sink chain=sink
    assign hook=source chain=source

    [ pfilter.ini ]
    chain delete chain=forward
    chain create chain=forward
    chain delete chain=sink
    chain create chain=sink
    chain delete chain=source
    chain create chain=source
    rule create chain=forward index=0 srcintfgrp=wan dstintfgrp=wan action=drop
    rule create chain=sink index=0 srcintf=eth0 prot=udp dstport=tftp action=drop
    rule create chain=sink index=1 srcintf=eth0 srcbridgeport=1 action=accept
    rule create chain=sink index=2 srcintfgrp=!wan action=accept
    rule create chain=sink index=3 prot=udp dstport=dns action=accept
    rule create chain=sink index=4 prot=udp dstport=68 action=accept
    rule create chain=sink index=5 action=drop
    rule create chain=source index=0 dstintfgrp=!wan action=accept
    rule create chain=source index=1 prot=udp dstport=dns action=accept
    rule create chain=source index=2 prot=udp dstport=67 action=accept
    rule create chain=source index=3 action=drop

    chain=foward
    只有一条rule:
    rule create chain=forward index=0 srcintfgrp=wan dstintfgrp=wan action=drop
    意思是切断公网到公网通过路由器的数据包转送,这是什么意思呢?我是这样分析的,我估计是比如有些人黑了你的电脑,拿你的电脑作代理服务器,所以就有了公网到公网的数据包通过你的路由器,这样你就可以切断这方面的数据包通过。

    chain=sink
    第一条rule:
    rule create chain=sink index=0 srcintf=eth0 prot=udp dstport=tftp action=drop
    这里chain是用sink,是只与modem(10.0.0.138)本身打交道的意思(数据包直接发到modem本身),我估计是切断源于eth0的 tftp数据包,因为tftp是用udp协议,所以只切断tftp,以免切断其它tcp通过tftp端口发送的数据包,而eth0估计是所有内网直连 modem的网卡,比如通过hub或者交换机连modem,eth0就是内网客户机连到hub或者交换机那块网卡。为什么要这样做,因为speed touch内建tftp服务器,内网可以用直接的物理接口用tftp客户端不用密码就可以连到modem里面搞破坏。

    第二条rule:
    rule create chain=sink index=1 srcintf=eth0 srcbridgeport=1 action=accept
    这里srcbridgeport=1,意思是指icmp端口,是用作ping等操作的,开放它应该是让内网的直连网卡可以用得到。

    第三条rule:
    rule create chain=sink index=2 srcintfgrp=!wan action=accept
    这里srcintfgrp=!wan意思是指内网跟本地的电脑,所有chain是sink的,除上面的rule限制外都允许通向modem。这里并不是说外网传入的就不许通过,只是还没有定义,也就是默认是全通的,在下面定义。

    第四条rule:
    rule create chain=sink index=3 prot=udp dstport=dns action=accept
    意思是所有向modem的dns请求,都可以向modem发出。

    第五条rule:
    rule create chain=sink index=4 prot=udp dstport=68 action=accept
    意思是所有向modem的68端口的请求,都可以向modem发出,68端口不太清楚是什么东东,好象跟dhcp有关。

    第六条rule:
    rule create chain=sink index=5 action=drop
    然后这条是chain=sink的除上面几条规则外,其它只针对通向modem的数据包全部不能通过。

    chain=source
    第一条rule:
    rule create chain=source index=0 dstintfgrp=!wan action=accept
    这到了chain=source的rule了,意思是只源自于modem本身的数据包。
    detintfgrp=!wan,意思是内网跟本地,全部可以通过。这里并不是说传向外网的就不许通过,只是还没有定义,也就是默认是全通的,在下面定义。

    第二条rule:
    rule create chain=source index=1 prot=udp dstport=dns action=accept
    所有modem发出的dns请求,都可以通过。

    第三条rule:
    rule create chain=source index=2 prot=udp dstport=67 action=accept
    所有modem发出的67端口的请求,都可以通过,67端口是什么?不太清楚,好象跟dhcp有关。

    第四条rule:
    rule create chain=source index=3 action=drop
    意思是除了上面几条chain=source的rule外,其它source的数据包就不允许通过了,没有这最后一条,就全部source都全开放了,也就是上面的都白写了,呵呵。。。

    to be continue。。。

    个人主页:
    http://ebc.r8.org
    2003-5-30 08:53 AM
    查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    jscan
    超级版主

    积分 238
    发贴 208
    注册 2003-5-7
    来自 温州
    状态 离线
    ebc,上面的分析很好。
    据我所知etn0是modem的以太网口,你看是吧!
    2003-5-30 05:03 PM
    查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息 OICQ
    编辑帖子 引用回复 向版主反应这个帖子
    namecallmmm2
    初级会员

    积分 12
    发贴 12
    注册 2005-1-5
    状态 离线
    请问各位大侠,那个10.0.0.0/8是什么意思啊?
    我是第一次接触这个东东。你们说是10.0.0.0到255...
    那我想要10.0.0.15以后的任何一个IP都不能上网,应该如何设置呢?
    当然 10.0.0.138不能算啊,它是猫的嘛
    2005-1-5 09:20 PM
    查看资料 发送邮件 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    ebc
    论坛管理员

    积分 14010
    发贴 13010
    注册 2002-10-1
    来自 佛山
    状态 离线
    http://bianchini.altervista.org/discuz/viewthread.php?tid=4293

    个人主页:
    http://ebc.r8.org
    2005-1-6 08:34 AM
    查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    namecallmmm2
    初级会员

    积分 12
    发贴 12
    注册 2005-1-5
    状态 离线
    我见有的人说像下面这样可以将除1---4以外的机子禁用上网
    rule create chain=FORWARD index=0 src=10.0.0.1 action=accept
    rule create chain=FORWARD index=0 src=10.0.0.2 action=accept
    rule create chain=FORWARD index=0 src=10.0.0.3 action=accept
    rule create chain=FORWARD index=0 src=10.0.0.4 action=accept
    rule create chain=FORWARD action=drop
    可是这样我试过了,根本不行啊,都不能上了
    2005-1-6 01:39 PM
    查看资料 发送邮件 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    ebc
    论坛管理员

    积分 14010
    发贴 13010
    注册 2002-10-1
    来自 佛山
    状态 离线
    你只写了一个方向,所以全部上不了网,再写四条dst的就行了。

    个人主页:
    http://ebc.r8.org
    2005-1-6 03:16 PM
    查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    << [1] [2] >>

    可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题

    快速回复主题
    标题: (可选)
    选项:
    禁用 URL 识别
    禁用 Smilies
    禁用 Discuz! 代码
    使用个人签名
    接收新回复邮件通知
    [完成后可按 Ctrl+Enter 发布]

    论坛跳转:

    自己友论坛 ? 【宽频台】 ? 各位有没有设置过里面的firewall?

    < 联系我们 - ebc's diy主页 >

    Powered by Discuz! 专业版 ? 2002, Crossday, Bokavan Corp.

    =======================

    ? 游客: 注册 | 登录 | 会员 | 帮助| 我要一边听歌一边上论坛 返回 ebc's diy主页
    自己友论坛 ? 【宽频台】 ? 关于限制IP上网,ebc进来帮忙一下!呵呵!

    作者:
    标题: 关于限制IP上网,ebc进来帮忙一下!呵呵! 上一主题 | 下一主题
    YES东
    高级会员

    积分 116
    发贴 96
    注册 2003-7-15
    状态 离线
    关于限制IP上网,ebc进来帮忙一下!呵呵!

    现在用510上如何限制只能规定的IP才可以上?

    例如我现在只允许
    10.0.0.1和10.0.0.2上网!其他局域网内的电脑都不可以通过10.0.0.138上网!要在user.ini文件添加什么命令来实像?

    http://www.516600.com
    2004-7-16 17:00
    查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息 OICQ
    编辑帖子 引用回复
    ebc
    论坛管理员

    积分 14010
    发贴 13010
    注册 2002-10-1
    来自 佛山
    状态 离线
    所以叫你看看我那篇关于防火墙的文章,forward那个chain那里,accept 10.0.0.1跟10.0.0.2,紧接着再一条drop就行了。

    个人主页:
    http://ebc.r8.org
    2004-7-16 17:05
    查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复
    ebc
    论坛管理员

    积分 14010
    发贴 13010
    注册 2002-10-1
    来自 佛山
    状态 离线
    :firewall rule create chain=FORWARD index=0 src=10.0.0.1 action=accept
    :firewall rule create chain=FORWARD index=0 dst=10.0.0.1 action=accept
    :firewall rule create chain=FORWARD index=0 src=10.0.0.2 action=accept
    :firewall rule create chain=FORWARD index=0 dst=10.0.0.2 action=accept
    :firewall rule create chain=FORWARD action=drop

    个人主页:
    http://ebc.r8.org
    2004-7-16 17:46
    查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复
    YES东
    高级会员

    积分 116
    发贴 96
    注册 2003-7-15
    状态 离线

    Quote:
    Originally posted by ebc at 2004-7-16 05:05 PM:
    所以叫你看看我那篇关于防火墙的文章,forward那个chain那里,accept 10.0.0.1跟10.0.0.2,紧接着再一条drop就行了。

    好东西!谢谢!我主要懒得去看那些介绍!直接给个实例就可以解决拉!哈哈!我弄那些viking系列的搞得我头都烦

    http://www.516600.com
    2004-7-16 20:20
    查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息 OICQ
    编辑帖子 引用回复

    可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题

    论坛跳转:

    自己友论坛 ? 【宽频台】 ? 关于限制IP上网,ebc进来帮忙一下!呵呵!

    < 联系我们 - ebc's diy主页 >

    Powered by Discuz! 专业版 ? 2002, Crossday, Bokavan Corp.

    =========================

    ? zerged: 退出 | 短消息 | 控制面板 | 会员 | 搜索 | 帮助| 我要一边听歌一边上论坛 返回 ebc's diy主页
    自己友论坛 ? 【宽频台】 ? 各位有没有设置过里面的firewall?

    << [1] [2] >>
    作者:
    标题: 各位有没有设置过里面的firewall? 上一主题 | 下一主题
    namecallmmm2
    初级会员

    积分 12
    发贴 12
    注册 2005-1-5
    状态 离线
    为什么还是可以

    firewall
    chain create chain=FORWARD
    assign hook=FORWARD chain=FORWARD
    rule create chain=FORWARD index=0 src=10.0.0.1 action=accept
    rule create chain=FORWARD index=0 dst=10.0.0.1 action=accept
    rule create chain=FORWARD index=0 src=10.0.0.2 action=accept
    rule create chain=FORWARD index=0 dst=10.0.0.2 action=accept
    rule create chain=FORWARD index=0 src=10.0.0.3 action=accept
    rule create chain=FORWARD index=0 dst=10.0.0.3 action=accept
    rule create chain=FORWARD index=0 src=10.0.0.4 action=accept
    rule create chain=FORWARD index=0 dst=10.0.0.4 action=accept
    rule create chain=FORWARD action=drop

    为什么其它的IP还是可以上啊?
    2005-1-6 08:39 PM
    查看资料 发送邮件 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    namecallmmm2
    初级会员

    积分 12
    发贴 12
    注册 2005-1-5
    状态 离线
    firewall
    chain create chain=FORWARD
    assign hook=FORWARD chain=FORWARD
    rule create chain=FORWARD index=0 src=10.0.0.1 action=accept
    rule create chain=FORWARD index=0 dst=10.0.0.1 action=accept
    rule create chain=FORWARD index=0 src=10.0.0.2 action=accept
    rule create chain=FORWARD index=0 dst=10.0.0.2 action=accept
    rule create chain=FORWARD index=0 src=10.0.0.3 action=accept
    rule create chain=FORWARD index=0 dst=10.0.0.3 action=accept
    rule create chain=FORWARD index=0 src=10.0.0.4 action=accept
    rule create chain=FORWARD index=0 dst=10.0.0.4 action=accept
    rule create chain=FORWARD action=drop
    :config save
    2005-1-6 08:42 PM
    查看资料 发送邮件 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    ebc
    论坛管理员

    积分 14010
    发贴 13010
    注册 2002-10-1
    来自 佛山
    状态 离线
    先delete chain。

    个人主页:
    http://ebc.r8.org
    2005-1-6 10:18 PM
    查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    jam_gu
    新手上路

    积分 1
    发贴 1
    注册 2005-1-19
    状态 离线

    Quote:
    Originally posted by ebc at 2003-5-30 08:53 AM:
    下面,我们分析一下510v3的出厂默认的firewall设置,如下:

    [ pfirewall.ini ]
    assign hook=forward chain=forward
    assign hook=sink chain=sink
    assign hook=source chain=source

    [ pfilter.ini ]
    cha ...

    很好的文档:
    另外补充一下:
    udp68是用来接收DHCP答复的
    udp67是用来发送DHCP请求的
    应该是用来在ADSL拨号时modem请求internet地址的。
    2005-1-21 02:04 PM
    查看资料 发送邮件 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    ebc
    论坛管理员

    积分 14010
    发贴 13010
    注册 2002-10-1
    来自 佛山
    状态 离线

    Quote:
    Originally posted by jam_gu at 2005-1-21 14:04:
    很好的文档:
    另外补充一下:
    udp68是用来接收DHCP答复的
    udp67是用来发送DHCP请求的
    应该是用来在ADSL拨号时modem请求internet地址的。

    个人主页:
    http://ebc.r8.org
    2005-1-21 02:16 PM
    查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    Lucloner
    高级会员

    积分 122
    发贴 122
    注册 2005-1-20
    状态 离线
    拜读。。。

    modem的问题基本就搞一段落了 我来打个招呼就走 88 各位
    2005-1-21 04:49 PM
    查看资料 发送邮件 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    rbhdragon
    新手上路

    积分 5
    发贴 5
    注册 2005-3-12
    状态 离线

    Quote:
    Originally posted by ebc at 2005-1-6 22:18:
    先delete chain。

    怎样delete ?
    可以给出 全部 步骤 么 ? 谢谢...
    2005-3-12 04:28 PM
    查看资料 发送邮件 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    << [1] [2] >>

    可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题

    快速回复主题
    标题: (可选)
    选项:
    禁用 URL 识别
    禁用 Smilies
    禁用 Discuz! 代码
    使用个人签名
    接收新回复邮件通知
    [完成后可按 Ctrl+Enter 发布]

    论坛跳转:

    自己友论坛 ? 【宽频台】 ? 各位有没有设置过里面的firewall?

    < 联系我们 - ebc's diy主页 >

    Powered by Discuz! 专业版 ? 2002, Crossday, Bokavan Corp.

    =====================

    ? zerged: 退出 | 短消息 | 控制面板 | 会员 | 搜索 | 帮助| 我要一边听歌一边上论坛 返回 ebc's diy主页
    自己友论坛 ? 【宽频台】 ? 通过防火墙指定可上网的IP地址范围

    作者:
    标题: 通过防火墙指定可上网的IP地址范围 取消高亮 | 上一主题 | 下一主题
    lalala
    新手上路

    积分 7
    发贴 7
    注册 2005-3-18
    状态 离线
    通过防火墙指定可上网的IP地址范围

    firewall rule create chain=forward index=0 srcintfgrp=wan dstintfgrp=wan action=drop
    firewall rule create chain=forward index=1 src=10.0.0.[1-16] dstintfgrp=wan action=accept
    firewall rule create chain=forward index=2 srcintfgrp=wan dst=10.0.0.[1-16] action=accept
    firewall rule create chain=forward index=3 action=drop

    在SpeedTouch 510 (Version 4.0.2.0.1)上成功!
    2005-3-22 04:26 PM
    查看资料 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    ebc
    论坛管理员

    积分 14010
    发贴 13010
    注册 2002-10-1
    来自 佛山
    状态 离线

    个人主页:
    http://ebc.r8.org
    2005-3-22 06:01 PM
    查看资料 发送邮件 访问主页 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    jiezi0315
    版主

    积分 328
    发贴 328
    注册 2004-3-25
    状态 离线
    又学到东西了!!
    2005-3-22 07:37 PM
    查看资料 发送邮件 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    SCQS
    新手上路

    积分 1
    发贴 1
    注册 2005-3-24
    状态 离线
    这些东西加在什么地方。我是菜鸟不好意思了
    还有怎么绑定呀。我不明白510也有这个功能么
    2005-3-25 01:21 AM
    查看资料 发送邮件 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    cclsoft
    Herbie Cai

    积分 1066
    发贴 1006
    注册 2003-6-15
    来自 苏州
    状态 离线
    不错。

    自己友论坛欢迎您
    2005-3-25 08:43 AM
    查看资料 访问主页 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子
    lalala
    新手上路

    积分 7
    发贴 7
    注册 2005-3-18
    状态 离线

    Quote:
    Originally posted by SCQS at 2005-3-25 01:21 AM:
    这些东西加在什么地方。我是菜鸟不好意思了
    还有怎么绑定呀。我不明白510也有这个功能么

    telnet 10.0.0.138(默认是这个)
    firewall rule
    list
    看看已经有什么了?
    然后一条一条add进去
    saveall

    看看精华区的贴子吧:
    http://bianchini.altervista.org/discuz/viewthread.php?tid=1202
    2005-3-25 08:46 AM
    查看资料 搜索该用户的全部帖子 发短消息
    编辑帖子 引用回复 向版主反应这个帖子

    可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题

    快速回复主题
    标题: (可选)
    选项:
    禁用 URL 识别
    禁用 Smilies
    禁用 Discuz! 代码
    使用个人签名
    接收新回复邮件通知
    [完成后可按 Ctrl+Enter 发布]

    论坛跳转:

    自己友论坛 ? 【宽频台】 ? 通过防火墙指定可上网的IP地址范围

    < 联系我们 - ebc's diy主页 >

    Powered by Discuz! 专业版 ? 2002, Crossday, Bokavan Corp.

    7/21/2007 11:24:57 AM | Add a comment | Read comments (1) | Permalink | Blog it | 工作相关

    linux下如何知道某个端口现在运行什么监听程序

    http://it.rising.com.cn/newSite/Channels/Safety/SysSafety/Safe_Unix/200211/06-094102488.htm

    linux下如何知道某个端口现在运行什么监听程序 www.rising.com.cn 2002-11-4 17:15:00 信息源:不详

    当我们用netstat -an的时候,我们有时候可以看到类似的输出:
    udp 0 0 0.0.0.0:32768 0.0.0.0:*
    但是查找/etc/services又没有这个端口的相关说明,怎么办呢?这个是不是黑客程序?有没有办法查看究竟什么程序监听在这个端口?

    使用lsof -i :32768就可以看到:
    COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
    rpc.statd 603 root 4u IPv4 953 UDP *:32768
    rpc.statd 603 root 6u IPv4 956 TCP *:32768 (LISTEN)
    原来是rpc的程序。
    使用lsof -i :port就能看见所指定端口运行的程序,同时还有当前连接。

    7/21/2007 11:23:56 AM | Add a comment | Permalink | Blog it | linux solaris

    Linux排序命令sort详解

    http://blog.csdn.net/woso/archive/2007/04/03/1550856.aspx
    语法格式

    sort [ -A ] [ -b ] [ -c ] [ -d ] [ -f ] [ -i ] [ -m] [ -n ] [ -r ] [ -u ] [ -o OutFile ]
    [ -t Character ] [ -T Directory ] [ -y [ Kilobytes ] ] [ -z RecordSize ] [ [ + [ FSkip ]
    [ .CSkip ] [ b ] [ d ] [ f ] [ i ] [ n ] [ r ] ] [ - [ FSkip ] [ .CSkip ] [ b ] [ d ] [ f ]
    [ i ] [ n ] [ r ] ] ] [ -k KeyDefinition ] [文件 ]

    使用说明

    sort 命令对 File 参数指定的文件中的行排序,并将结果写到标准输出。如果 File 参数指定多个文件,
    那么 sort 命令将这些文件连接起来,并当作一个文件进行排序。-(减号)代替文件名指定标准输入。
    如果您不指定任何文件名,那么该命令对标准输入排序。可以使用 -o 标志指定输出文件。

    如果不指定任何标志,sort 命令基于当前语言环境的整理顺序对输入文件的所有行排序。

    主要参数

    -A 使用 ASCII 整理顺序代替当前语言环境的整理顺序在逐字节的基础上排序。
    -b 忽略前导空格和制表符,找出字段的第一或最后列。
    -c 检查输入是否已按照标志中指定的排序规则进行排序。如果输入文件排序不正确,就返回一个非零值。
    -d 使用字典顺序排序。比较中仅考虑字母、数字和空格。
    -f 比较前将所有小写字母改成大写字母。
    -i 比较中忽略所有非显示字符。
    -k KeyDefinition 指定排序关键字。KeyDefinition 选项的格式为:
    [ FStart [ .CStart ] ] [ Modifier ] [ , [ FEnd [ .CEnd ] ][ Modifier ] ]
    排序关键字包括所有以 FStart 变量指定的字段和 CStart 变量指定的列开头的字符及以 FEnd 变量指定的字段和
    CEnd 变量指定的列结束的字符。Modifier 变量的值可以是 b、d、f、i、n 或 r。修饰符与同一字母的标志等价。

    -m 只合并多个输入文件;假设输入文件已经排序。
    -n 按算术值对数字字段排序。数字字段可包含前导空格、可选减号、十进制数字、千分位分隔符和可选基数符。
    对包含任何非数字字符的字段进行数字排序会出现无法预知的结果。
    -o OutFile 将输出指向 OutFile 参数指定的文件,而不是标准输出。OutFile 参数值可以与 File 参数值相同。
    -r 颠倒指定排序的顺序。
    -t Character 指定 Character 为单一的字段分隔符。
    -u 禁止按照排序关键字和选项的所有等同排序(每一组行中一行除外)。
    -T Directory 将创建的所有临时文件放入 Directory 参数指定的目录中。
    -y[Kilobytes] 用 Kilobytes 参数指定的主存储的千字节数启动 sort 命令,并根据需要增加存储量。
    (如果 Kilobytes 参数指定的值小于最小存储站点或大于最大存储站点,就以这个最小存储站点或最大存储站点取代)。
    如果省略 -y 标志,sort 命令以缺省的存储大小启动。
    -y0 标志用最小存储启动,而 -y 标志(不带 Kilobytes 值)用最大存储启动。sort 命令使用的存储量显著地影响性能。
    以大存储量对小文件排序将很浪费。
    -z RecordSize 如果正在排序的任一行大于缺省的缓冲区大小,要防止出现异常终止。
    指定 -c 或 -m 标志时,省略排序阶段,使用系统的缺省缓冲大小。如果已排序行超出这一大小,排序异常终止。
    -z 选项指定排序阶段最长行的记录,因而可在合并阶段分配足够的缓冲区。
    RecordSize 必须指明等于或大于要合并的最长行的字节值。

    应用实例

    * 要在 LC_ALL、LC_COLLATE 或 LANG 环境变量设置为 En_US 的情况下排序 fruits 文件,请输入:

    LANG=En_US sort fruits
    此命令序列显示以升序词典顺序排序的 fruits 文件的内容。每一列的字符,包括空格、数字和特殊字符都经一一比较。
    例如,如果 fruits 文件包含文本:
    banana
    orange
    Persimmon
    apple
    %%banana
    apple
    ORANGE
    sort 命令显示:
    %%banana
    ORANGE
    Persimmon
    apple
    apple
    banana
    orange
    在 ASCII 整理序列中,%(百分号)在大写字母前,大写字母在小写字母前。
    如果您当前的语言环境指定 ASCII 之外的字符集,结果可能不同。

    * 要以字典顺序排序,请输入:

    sort -d fruits
    此命令序列排序和显示 fruits 文件的内容,并且只比较字母、数字和空格。
    如果 fruits 文件与示例 1 相同,那么 sort 命令显示:
    ORANGE
    Persimmon
    apple
    apple
    %%banana
    banana
    orange
    -d 标志忽略 %(百分号)字符,因为它不是个字母、数字或空格。(即 %%banana 被 banana 取代)。

    * 要将包含大写字母和具有类似小写行的特殊字符行分组,请输入:

    sort -d -f fruits

    -d 标志忽略特殊字符,-f 标志忽略大小写差异。
    将 LC_ALL、LC_COLLATE 或 LANG 环境变量设置为 C 的情况下,fruits 文件的输出结果变为:
    apple
    apple
    %%banana
    banana
    ORANGE
    orange
    Persimmon

    * 要除去重复行排序,请输入:

    sort -d -f -u fruits

    -u 标志告诉 sort 命令除去重复的行,使文件中的每一行唯一。此命令序列显示:
    apple
    %%banana
    ORANGE
    Persimmon
    不仅除去重复的 apple,而且也除去了 banana 和 ORANGE。
    除去这些是因为 -d 标志忽略 %% 这个特殊字符,-f 标志忽略大小写差异。

    * 要如上面那样排序,除去重复的实例(除非是大写字母或标点不同),请输入:

    sort -u +0 -d -f +0 fruits
    输入 +0 -d -f 完成的排序与示例 3 中 -d -f 的排序类型相同,+0 进行另一项比较以区分不一样的行。
    这防止 -u 标志将它们除去。
    示例 1 所示的 fruits 文件中,添加的 +0 将 %%banana 与 banana 及 ORANGE 与 orange 区分开来。
    然而,apple 的两个实例是相同的,所以其中之一被删除。
    apple
    %%banana
    banana
    ORANGE
    orange
    Persimmon

    * 要指定分隔字段的字符,请输入:

    sort -t: +1 vegetables

    此命令序列排序 vegetables 文件,对每一行上第一个冒号后的文本进行比较。
    +1 告诉 sort 命令忽略第一字段,从第二字段的开始到该行的结束进行比较。-t: 标志告诉 sort 命令冒号分隔字段。

    如果 vegetables 包含:

    yams:104
    turnips:8
    potatoes:15
    carrots:104
    green beans:32
    radishes:5
    lettuce:15
    那么,将 LC_ALL、LC_COLLATE 或 LANG 环境变量设置为 C 的情况下,sort 命令将显示:
    carrots:104
    yams:104
    lettuce:15
    potatoes:15
    green beans:32
    radishes:5
    turnips:8
    注意数字没有按照数字排序。当用字典式分类从左至右比较每一个字符时出现这种情况。
    换句话说,3 在 5 之前,所以 32 在 5 之前。

    * 要排序数字,请输入:

    sort -t: +1 -n vegetables

    此命令序列按照第二个字段对 vegetables 文件进行数字排序。
    如果 vegetables 文件与示例 6 中的相同,那么 sort 命令将显示:
    radishes:5
    turnips:8
    lettuce:15
    potatoes:15
    green beans:32
    carrots:104
    yams:104

    * 要对多个字段排序,请输入:

    sort -t: +1 -2 -n +0 -1 -r vegetables

    sort -t: -k2,2 n -k1,1 r vegetables

    此命令序列对第二字段(+1 -2 -n)进行数字排序。在这个顺序中,它以逆字母顺序(+0 -1 -r)对第一字段排序。
    将 LC_ALL、LC_COLLATE 或 LANG 环境变量设置为 C 的情况下,输出将类似于:
    radishes:5
    turnips:8
    potatoes:15
    lettuce:15
    green beans:32
    yams:104
    carrots:104

    此命令按数字顺序对行排序。当两行数字相同时,它们以逆字母顺序出现。

    * 要使用排序的文本替换原始文件,请输入:

    sort -o vegetables vegetables
    此命令序列将排序输出存入 vegetables 文件( -o vegetables)。

    7/21/2007 11:23:25 AM | Add a comment | Read comments (2) | Permalink | Blog it | linux solaris

    快去救老泰,擎天柱是……是叛徒

    http://bbs.stage1st.com/thread-280263-1-1.html


    原帖由 小孩 于 2007-7-10 12:02 发表
    有人告诉我旁边那个其实是大黄蜂

    原帖由 B能水野多于 2007-7-10 12:24 发表
    黑猫警长机械版?蓝猫大神肥胖版?大头儿子眼睛版?

    7/21/2007 11:22:12 AM | Add a comment | Permalink | Blog it | fun

    阿尔卡特的SpeedTouch 511e ADSL modem设置防火墙来做到只能上msn

    telnet modem

    输入用户名密码

    然后出现 "=>" 提示符,这时候我们可以开始输入命令了。

    首先确认防火墙功能是否开启:

    输入命令ip config

    =>ip config

    显示:

    Forwarding on

    Firewalling on

    Sendredirects on

    Sourcerouting off

    NetBroadcasts off

    Default TTL 64

    Fraglimit 64 fragments

    Fragcount currently 0 fragments

    Defragment mode : always

    Address checks : dynamic

    Mss Clamping : on

    2 Firewalling 显示on 说明防火墙已经开启。如果是off 说明防火墙是关闭状态。

    如果是关闭状态则需要打开它:

    => ip config firewalling on

    运行saveall 命令保存设置

    => saveall

    如果以后要关闭则运行:

    => ip config firewalling on

    然后设置防火墙:

    => Firewall

    输入命令前的提示符变成[Firewall]=> 表示我们已经进入防火墙设置选项。

    接下来我们开始建立过滤规则。

    modem 的建立规则的结构为:一个chain 下面包含若干个rule Rule 就是防火墙的过滤规则,而chain 是为了和modem 的拦载点挂钩(hook )。首先说一下是,防火墙是内置在modem firmware 里面,过滤内网(lan )、外网(internet )两个方向的数据包用的。数据包以" " 的方式通过modem (路由器)。数据包精确的通过五个" 拦载点" 被控制,称为hook (勾)。它们分别是:
    input     :表示进来的数据包怎么处理。
    sink     :表示各个方向只针对路由器本身去的数据包怎么处理。
    forward     :表示全部要路由器在外网、内网间转送处理的数据包怎么处理。
    source     :表示全部只源出于路由器本身的数据包怎么处理。
    output     :表示全部出去的数据包怎么处理。
    chain     和拦截点挂钩modem 防火墙才知道是以上那种工作模式。

    我们平时上网数据包都是要通过modem 转发,所以我们只需要设置forword 的类型的规则就可以了。

    现在开始建立chain

    假定建立一个chain 名字FORWARD( 注意名字是大写,名字小写是modem 自带的chain 。之所以取这个名字是为了方便操作者直观知道该chain 的类型,取其他名字也可以)

    [Firewall]=> rule list chain=FORWARD
    上面这条命令表示查看名字为FORWARD chain 否已经存在。

    如果不是空,要做下面这步:
    chain delete chain=FORWARD
    意思是删除这个chain 并且清空原来在该chain 下的rule
    然后再建立这条chain
    chain create chain=FORWARD
    然后我们就可以设置我们自己想要的rule

    下面我们建立打开msn 服务器连接的rule
    Firewall=> rule create chain=FORWARD index=0 srcintfgrp=lan dst=65.54.225.254 action=accept

    Index 表示优先级,越高则越优先被执行。srcintfgrp=lan 表示数据包来自局域网,dst=65.54.225.254 表示数据包目的地,后面的action= accept 表示符合以上条件的数据包都允许通过。

    上一条只是允许数据包发出去,还要允许msn 服务器的数据包返回,我们再加一条这样的rule

    Firewall=> rule create chain=FORWARD index=1 src=65.54.225.254 dstintfgrp=lan action=accept

    这一条和上一条类似只不过来源和目的地换了一下。

    最后要设置其它数据包都不许通过,我们还要加上下面这条:
    Firewall=> rule create chain=FORWARD index=4 action=drop

    这条表示所有转发的数据包都禁止通过,因为上面2 rule 优先级高所以msn 服务器还是能够通过。

    Chain 建完要和拦截点挂钩,命令如下:

    Firewall=> assign hook=forward chain= FORWARD

    最后保存

    Firewall=> ..

    .. 这个命令是退出firewall 选项回到根选项。

    => config save

    => saveall

    以上保存设置后重启modem 过滤规则开始生效。




    7/21/2007 11:20:43 AM | Add a comment | Permalink | Blog it | 工作相关

    警惕 ADSL用户信息远程盗窃竟如此简单

    警惕 ADSL用户信息远程盗窃竟如此简单

    文中揭露了黑客攻击ADSL用户,窃取用户名密码的常见方法,读者请勿将其用于不法用途,并提醒所有与此漏洞相关的用户尽快采取措施进行防范。

      1.密码被盗 ADSL路由拨号惹的祸

      ADSL作为一种宽带接入方式已经被广大用户接受,现在一些用户家里有很多台电脑,通过一台ADSL路由器拨号上网,这样充分利用了带宽,对于家中有多台电脑需共享上网的用户来说,一般可通过建立和配置代理服务器来实现共享上网,缺点是主机必须开着才能实现共享;另外一种有效的方法是使用路由来实现共享,这样每个客户端都能独立上网,不足之处是要添置昂贵的路由设备。其实有些ADSL MODEM本身就带有路由功能,只要用户能够正确配置相关参数就可以路由共享,根本不需要外添设备。

      国内ADSL服务提供商所提供的调制解调器大部分都内置了路由功能,不过由于技术上的原因,少量ADSL调制解调器虽然在硬件上设计了路由功能,但调制解调器随机软件并不能支持在PPPoE虚拟拨号接入方式下使用该功能,只有拥有固定IP地址的专线用户才可以使用路由 功能,或者需要服务商局端设备同为该品牌的产品才能够支持在PPPoE接入方式下使用,这时需要升级调制解调器的软件后才可以使用内置的路由功能。不同路由器的配置方法不同,这类主题的帖子网上有很多,我们在这里主要介绍那些使用路由拨号上网的用户,需要注意的安全问题。

      最常见的安全问题就是用户没有修改路由器的配置密码,一般的路由器在出场的时候夺回有一个默认的配置密码。只有知道这个密码,用户才能对路由器的进行配置。很多用户在配置自己的路由器之后,并没有修改这个密码。导致网上一些不法之徒可以控制路由器,从而盗窃用户的ADSL账号。这些不法之徒是如何做的呢,我们下面来把他们的手法一一曝光。

      2.扫描ADSL在线用户 寻找攻击目标

      扫描ADSL上网用户的IP段,获取开放80端口的主机列表

      这些用户首先拨通自己家的ADSL,然后用ipconfig命令查看自己的Ip,如下图所示:

      在开始->运行->输入cmd,在出现的dos窗口中输入ipconfig即可看到:


      一般北京的ADSL上网的用户多为61.49.*.*。获得了自己的IP段之后,就可以找一个好的端口扫描工具了。新在端口扫描工具有很多,其中支持多线程、体积小、速度快的首推superscan。我们这里就使用它作为示范工具。Superscan的界面如下:

     一般我们在开始地址处输入自己的IP段首地址,即61.49.*.1,结束IP地址会自动显示出 61.49.*.254,这里需要说明的是,旁边那个ping,以及connect数据需要根据自己的情况输入,对于本网段的IP,即IP地址前3部分与自己的IP地址相同的IP,在扫描的时候可以把这些数据设置的短小一些,而对于其他网段的地址,一般需要设置的大一点。具体情况根据扫描结果而定,如果输入的数据太小,扫描之后会找不到计算机。


      下面需要设置一下扫描端口,我们在探测路由器的时候只需要扫描80端口即可。所以单击窗体右上的配置列表,会出现如下窗体:


      修改select ports如图所示,去掉所有其他端口前的绿钩,(单击该端口即可)最终只保留80端口,然后单击save,把端口配置表保存到硬盘上,以后每次使用superscan的时候就不再需要从新配置,只需要load即可。

      全部设置好之后,单击start进行扫描。扫描结束之后,如图所示:


      我们可以看到这个网段有两台机器打开了80端口,单击这两台机器左边的小+号图标,可以显示这两台机器所开发的端口信息。61.49.150.68这台机器开放的是一个IIS服务器61.49.150.85这台机器开的是一个302标志,根据经验,我们可以知道这里开放的是一个中兴系列的路由器配置接口。本篇文章我们主要介绍ADSL路由器的安全隐患,IIS的安全性问题我们在后面的文章再介绍,这里我们只需在61.49.150.85上单击右键,选择web方式浏览即可。

     3.点击鼠标轻松破解密码 防范意识需加强




      单击之后会出现一个连接配置对话框,如图所示:


      点击OK,就可以连接了。连接之后弹出的提示框如图所示:


      通过刚才连接页上的标志,我们可以肯定这是一台中兴831路由器,输入出厂默认的用户名、密码:ZXDSLZXDSL,就进入了配置界面:


      点击导航栏上的"quick configuration"就进入了快速配置界面,如图所示:



      用户名已经看到了,密码却显示为小黑点,这怎么办呢,其实也难不倒大家,单击右键,选择查看源代码:


      至此一个ADSL账户就被轻易盗取了。

      其实补上这个漏洞的方法非常简单,只要用户在安装路由器的时候修改自己默认的密码即可了,但是很多人都没有去做这一步,为黑客留下了很多"靶子"


      我们把一些常见的路由器配置口令和IP地址公布一下,希望大家根据自己的路由器品牌进行甄别,修改默认的口令。需要说明的是,这些数据都不是什么机密,它们就印在产品的说明书上面,所以我们强烈建议路由方式上网的ADSL用户赶快修改你们的密码,不要为不法之徒留下犯罪的空

    7/7/2007 8:59:52 PM | Add a comment | Permalink | Blog it | pc知识

    直接telnet 25端口发邮件

    直接telnet 25端口发邮件

    转自:http://hi.baidu.com/x278384/blog/item/0aa38d77f869071bb051b9cf.html


    :)可以自己写个程序发邮件咯。用jmail控件也行。
    下次说telnet上收邮件,可以做邮件到达提醒。:)偶们的oa里用得到哦。

    使用以下命令启动 TELNET 会话:
    Telnet xxx.xxx.xxx.xxx 25
    如果正常,您将会看到以下来自 IMC 的响应:
    220 site.company.com Microsoft Exchange Internet Mail
    Connector 4.0.xxx.xx

    其中,xxx.xx 对 RTM 是 837.3,对 SP1 是 838.14。

    键入以下命令开始进行通讯:
    HELO test.company.com
    您应看到如下响应:
    250 OK

    键入以下命令来通知 IMC 邮件源于何处:
    MAIL FROM:Admin@test.company.com
    您应得到如下响应:
    250 OK - MAIL FROM <[email]Admin@test.company.com[/email]>

    键入以下命令来通知 IMC 邮件的目标地址(使用一个有效的 Microsoft Exchange 收件人 SMTP 地址)。
    RCPT TO:<[email]User@Site.Domain.Com[/email]>
    您应看到如下响应:
    250 OK - Recipient <[email]User@Site.Domain.Com[/email]>

    键入以下命令以通知 IMC 您已准备好发送数据:
    DATA
    您应看到如下响应:
    354 Send data. End with CRLF.CRLF

    键入以下命令以添加主题行:
    Subject: test message

    然后按两次 Enter 键。

    该命令看不到任何响应。

    备注: 两个 Enter 命令符合 RFC 822 规则,即 822 命令后必须跟空行。


    键入以下命令来添加邮件正文:
    This is a test message
    您将看不到来自该命令的响应。


    在紧接着的空行处键入句号,然后按 ENTER 键。

    您应看到如下响应:
    250 OK

    键入以下命令以关闭连接:
    QUIT
    您应看到如下响应:
    221 closing connection

    对于上述任一命令,如果您收到"500 Command not recognized"错误消息,则表明由于语法错误或无效的命令导致 IMC 无法识别您所键入的内容。

    登录进入您在上述步骤 4 中选择的邮件收件人的 Microsoft Exchange 客户邮箱。 如果邮箱中有您的测试邮件,说明传入 IMC 通讯工作正常。

    如果应用程序事件日志显示任何错误消息,或在接收邮件时出现问题,请检查配置或到主机的通讯。

    概要

    本文介绍如何 telnet 到运行简单邮件传输协议 (SMTP) 服务的计算机上的端口 25,以解决 SMTP 通信问题。默认情况下,SMTP 侦听端口 25。

    您可以根据您遇到的问题类型选用以下适当的疑难解答步骤。例如,如果您在两台 Microsoft Exchange 2000 Server 服务器之间通过 SMTP 发送邮件时遇到问题,则可以通过在发送服务器上使用 Telnet 连接到目标服务器上的端口 25 来测试 SMTP 连接。或者,如果您在接收来自 Internet 的 SMTP 邮件时遇到问题,则可以按照本文中列出的步骤,测试驻留在 Internet 上但不在您的网络上的主机与您的 SMTP 服务器的连接。

    更多信息

    Microsoft 产品线中有 SMTP 的多个不同变体。Microsoft Windows 产品线的 SMTP 服务包含在 Internet 信息服务 (IIS) 中,而在 Microsoft Windows NT Server 4.0 中,SMTP 服务包含在 Option Pack 中。在较新版本的 Windows 中,IIS 已被集成到操作系统中,并且您可以使用"控制面板"中的"添加或删除程序"添加 IIS。此外,Exchange 2000 和 Microsoft Exchange Server 2003 都使用 IIS 中的现有 SMTP 服务及其他功能。Microsoft Exchange Server 版本 4.0、5.0 和 5.5 均包含它们自己的 SMTP 版本,所采用的形式为 Internet Mail Connector (IMC) 或 Internet Mail Service (IMS)。

    注意:在 Exchange 5.0 及更高版本中,Internet Mail Connector (IMC) 被重命名为 Internet Mail Service。

    在启动 Telnet 会话之前,必须具有要将此测试邮件发送到的目标用户的完整 SMTP 电子邮件地址。该电子邮件地址必须采用以下格式:

    User@Site.Domain.com

    您也可以具有运行 SMTP 服务的服务器计算机的完全限定域名 (FQDN) 或 IP 地址(例如,10.120.159.1)。如果服务器在您的组织中,您可能已经拥有这些信息。如果服务器是外部服务器,查找这些信息最简单的方法是使用 Nslookup.exe 以找到包含这些信息的 DNS 记录。 有关 NSlookup 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

    200525 使用 NSlookup.exe

    有关如何获取 Internet 邮件交换器记录的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

    203204 XFOR:如何获取 Internet 邮件交换器记录


    确保运行 SMTP 服务的服务器上已启动 SMTP。要测试 SMTP 是否已启动,您可以运行本文中列出的基本测试,并验证您是否会收到来自远程服务器的 220 消息。这还将验证 SMTP 是否正在运行。

    注意:
    • 有些 Telnet 应用程序要求您打开本地回显功能,以查看键入的命令。要在 Microsoft Telnet 会话中执行此操作,请在命令提示符处键入 set local_echo
    • 在 Microsoft Windows XP 中,应键入 set localecho 而不是 set local_echo

    基本测试

    按照下列步骤操作,以确保主机和远程 SMTP 服务器能够通信。如果在您键入以下任一命令之后,收到以下错误信息,则说明 SMTP 服务器因为语法错误或命令错误而无法识别您所键入的内容:
    500 Command not recognized
    检查该命令并再次键入它,或者验证您是否正在与 Microsoft SMTP 服务器直接通信。

    注意:Microsoft Telnet 不允许您使用 Backspace 键。如果在键入时出错,必须按 Enter 键,然后开始键入新的命令。

    在以下步骤中,您要从命令行中运行 Telnet。要打开命令行,请单击"开始",单击"运行",在"打开"框中键入 cmd,然后单击"确定"。
    1. 您可以通过使用以下格式的 Telnet 命令来启动 Telnet 会话:

      注意:在键入每行内容之后按 Enter 键。

      telnet 服务器名端口号

      例如,键入:

      telnet mail.contoso.com 25

      注意:您可以将服务器名 替换为您要连接到的 SMTP 服务器的 IP 地址或 FQDN。记住在键入每个命令之后按 Enter 键。

      如果该命令起作用,您将会收到来自 SMTP 服务器的类似以下内容的消息:

      ?/P>

      220 site.contoso.com Microsoft Exchange Internet Mail Connector <IMC 的版本号>
      注意:由于有许多不同版本的 Microsoft SMTP 或第三方 SMTP 服务器,因此您可能会收到来自接收服务器的不同的消息。不过,您肯定会收到包含服务器的 FQDN 和 SMTP 的版本的 220 消息。此外,所有版本的 Microsoft SMTP 在 220 消息中都包含"Microsoft"一词。
    2. 通过键入以下命令开始通信:

      EHLO test.com

      注意:您可以使用 HELO 命令,但是 EHLO 是扩展 SMTP 动词集中的一个动词,SMTP 的所有当前 Microsoft 实现都支持该动词集。除非您认为扩展 SMTP 动词有问题,否则最好使用 EHLO。

      如果该命令成功,您会收到以下消息:

      ?/P>

      250 OK
    3. 键入以下命令向接收 SMTP 服务器通知邮件发件人:

      MAIL FROM:Admin@test.com

      注意:该地址可以是您想使用的任何 SMTP 地址,但是最好考虑以下问题:
      1. 有些 SMTP 邮件系统会基于 MAIL FROM:地址筛选邮件,并且会禁止某些 IP 地址连接到 SMTP 邮件系统,或者如果连接 IP 地址与 SMTP 邮件系统所在的域不匹配,它还会禁止该地址向 SMTP 邮件系统发送电子邮件。在本例中,该域是 test.com。
      2. 如果您在发送邮件时没有使用有效的电子邮件地址,您将无法确定在发送邮件时是否有问题,因为未送达报告 (NDR) 无法到达无效的 IP 地址。如果您使用有效的电子邮件地址,您将会收到来自 SMTP 服务器的以下消息:

        ?/P>

        250 OK - MAIL FROM Admin@test.com
    4. 键入以下命令向接收 SMTP 服务器通知邮件的收件人。

      注意:最好始终使用要发送到的域中的有效收件人 SMTP 地址。例如,如果您要发送到 john@domain.com,必须确保域中存在 john@domain.com。否则,您会收到 NDR。

      使用您要发送到的人员的 SMTP 地址键入以下命令:

      RCPT TO:User@Domain.Com

      您会收到以下消息:

      ?/P>

      250 OK - Recipient User@ Domain.Com
    5. 键入以下命令通知 SMTP 服务器您已准备好发送数据:

      DATA

      您会收到以下消息: 
      354 Send data. End with CRLF.CRLF
    6. 您现在已可以开始键入邮件的 822/2822 部分。用户将会在他们的收件箱中看到邮件的这一部分。键入以下命令以添加主题行:

      Subject:test message

      按两次 Enter 键。此命令不会显示任何信息。

      注意:按两次 Enter 键为了与 Request for Comments (RFC) 822 和 2822 保持一致。它规定 822 命令后面必须跟一个空行。
    7. 键入以下命令以添加邮件正文:

      This is a test message you will not see a response from this command.

    8. 在下一个空行中键入英文句点 (.),然后按 Enter 键。您会收到以下消息:

      ?/P>

      250 OK
    9. 键入以下命令关闭连接:

      QUIT

      您会收到以下消息:

      ?/P>

      221 closing connection
    10. 验证收件人是否收到您发送的消息。如果在应用程序事件日志中出现任何错误事件消息,或者接收邮件时出现问题,请检查主机的配置或通信。

    高级测试

    除本文前面列出的基本测试步骤外,您还可以使用送达回执对邮件进行双向测试。您可以使用此方法验证 SMTP 服务器是否可以接受入站连接,并且为发件人生成一个送达回执以测试 SMTP 服务器的出站连接。

    要为测试邮件请求送达回执,请参见本文"基本测试"一节的第 4 步,以确保提供的信息是可以接收送达回执的有效电子邮件地址。然后在本文"基本测试"一节的第 5 步中,在 Telnet 会话中键入以下命令:
    7/6/2007 3:24:20 PM | Add a comment | Permalink | Blog it | 工作相关

    新买的USB硬盘看不到?

    新买的USB硬盘看不到?

    Published by 调和的记事本 under pc与互联网

    http://www.cublog.cn/u/166/showart.php?id=1897

    USB外接硬盘初次如何使用


    cccc安装好USB外接盒后,接入Windows Me以上电脑,一般来说,系统会自动安装好驱动程式,并可以直接使用USB装置。

    cccc 但是新购买的硬盘是没有经过分区及格式化的!因此就算驱动程序安装成功,还是看不到硬盘盘符,仍无法使用!所以安装好USB外接硬盘后,第一次还需到电脑中的硬盘管理程序,将硬盘分区及格式化,才能使用。在Windows98或Me中,并没有硬盘管理程序,只有采用NT平台架构的Windows NT、2000、XP、2003才具有硬盘管理程式。


    硬盘分区与格式化


    cccc这里以Windows XP为例,说明如何使用电脑中的硬盘管理程序,来将硬盘分区及格式化。开启计算机管理程序的方式,除了如下面(步骤1)的操作方式外,还可以从控制面板开启。选择(控制面板/管理工具/计算机管理),一样可以开启计算机管理程序。


    cccc 硬盘管理中有两颗硬盘,分别为硬盘0和硬盘1,硬盘0是开机所使用的硬盘;硬盘1是USB外接的硬盘,状态为未配置,表示硬盘尚未被分区与格式化。新增硬盘分区精灵可引导使用者分区并格式化硬盘,以避免分区硬盘后,忘了格式化。硬盘分区类型有三种:主要、扩展、逻辑的硬盘分区。只有主要的硬盘才可以开机,因为我们待会要测试硬盘开机,所以选择主要硬盘分区。


    步骤1:点选桌面上我的电脑图标,按鼠标右健,选择管理,开启计算机管理程序:


    步骤2:开启Windows中计算机管理的硬盘管理程序,以分区及格式化硬盘。


    步骤3:选择磁盘管理/硬盘1的未配置区域,按鼠标右健,选择硬盘分区,开启新增硬盘分区精灵:


    步骤4:选择主要硬盘分区后,按下一步按钮进入下一步骤:


    步骤5:指定硬盘分区大小,按照预设值不变更,选择最大硬盘空间,按下一步钮进入下一步骤:


    步骤6:选择指定下列硬盘盘符后,按下一步纽进入下一步骤:


    步骤7:选择用下列设定将这个硬盘区格式化,按下一步纽进入下一步骤:


    步骤8:完成新增硬盘分区精灵,近完成钮结束精灵:


    步骤9:刚刚选择了格式化硬盘,因此系统会自动进行格式化:


    步骤10:待格式化完成后,USB外接盒中的硬碟机在我的电脑出现了,格式化成功。

    7/6/2007 10:45:16 AM | Add a comment | Permalink | Blog it | pc知识

    redhat/solaris下允许root通过telnet登录

    redhat/solaris下允许root通过telnet登录

    一般redhat是禁止直接用root远程登录到本机上的。 限制了远程root登陆,可以用一般用户登陆,在用su切换到root。不过如果一定要直接用root远程登录的话,如下:

    方法1.redhat中对于远程login的限制,体现在/etc/pam.d/login文件中,缺省有一行:
            auth required /lib/security/pam_security.so
        注释该行,任何限制都没有,root当然可以直接telnet登陆。
      方法2. 如果不注释该行,则必须验证,我们删除验证规则,即将/etc/securetty文件改名,
        该文件是定义root只能在tty1~tty6的终端上登录的,详细的信息可以"man login"
      方法3. 如果不注释该行,则必须验证,我们更改验证规则,即在/etc/securetty文件中添加下列行:
            pts/0
            pts/1
            pts/2
            .
            pts/11
      另外,对于Solaris系统,限制体现在/etc/default/login文件中,如果有    "CONSOLE=/dev/console"
    一行,则root不能直接登陆,如果注释掉该行,则root可以直接登陆。

    然后确保在服务器上的/etc/hosts中有类似下面的行。
    192.168.x.x client.domain.com client

    如果没有,则在server上运行    echo "192.168.x.x client.domain.com client" >>
    /etc/hosts

    至此你应该能从client远程telnet直接作为root了。

    如果服务器是redhat 6.x,则加单个数字如0,1,2,3…/etc/securetty后面,一个数
    字一行,必须以0开始。

    仅仅加数字而己,没有pts,tty

    如果服务器是redhat 5.x,则加ttyp0, ttyp1,ttyp2… 等到    /etc/securetty.

    经常有人问,为什么telnet/ftp进服务器时需要等很久?那是因为当服务器检测出有客户
    远程连接进来时,它知道客户的IP,但根据telnet/ftp服务的内部机制,它需要反向检
    查该IP的域名,如果你有DNS服务器且设置了反向域名,则很快查到,若没有,则简单地在服务器的/etc/hosts中加入客户的记录就可以了。

    7/5/2007 3:44:55 PM | Add a comment | Permalink | Blog it | linux solaris

    又一个新的可以网战的mame-Mame32 Plus Plus

    http://www.emu-zone.org/html/download/moniqi/jiejimoniqi/Mame/20070703/518.html

    Mame32 Plus! Plus!0.116u3.1(2007.07.03)
    Mame Plus! 0.116u3ベース
    Kaillera対応 [EmeraldMame]
    PSXプラグイン対応 [EK-MAME, Mame32 Pro Special]
    AVI録画機能対応 [EmeraldMame]

    更新内容0.116u3.1(2007.07.03)
     CPS3ドライバのWIP版ソースを適用
     リージョンハックの影響でウォーザードが動作不良になっていたのを修正・・・cps3.c
     メガドライブのゲームが起動しなくなっていたのを修正

    讨论请上:Mame32 Plus Plus 0.116u3.1 GCC 编译版 (2007.07.03) 本地下载

    7/5/2007 2:48:29 PM | Add a comment | Permalink | Blog it | Games

    真笑假笑测试

    真笑假笑测试

    Published by 调和的记事本 under 转载

    《属猫的天秤座小女子》里看见了一个非常有意思的测试,看你分辨真笑和假笑的能力如何。该测试由BBC提供,非常精致。可惜的是,它是全E文的,而且服务器遥远,速度缓慢。不过不算非常烦难,打开页面以后,先有两个调查条。第一个是: Overall outlook on life,你对人生持有的看法,Optimistic是乐观,Pessimistic是悲观。你根据你的认为,选择靠近乐观一头,还是靠近悲观一头,以及有多靠近。第二个是Confidence rating of your skill at discriminating between fake and real smiles,你自认为对察言观色的能力有多强,LOW是低,HIGH是高。选择完了以后,点NEXT进入测试页面。

    会有20个很短的小视频让你作测试,每个只能播放一次,然后你在视频下面选择。Genuine是真笑,Fake是假笑。完成20个测试以后,会出来一个输入框,要求你填写What part of the face was most useful for discriminating between fake and real smiles?您察言观色最重要的依据是什么?你必须填写一下,然后才能点NEXT,看到评分,以及正确答案。

    有兴趣测试自己察言观色能力的朋友,请访问:

    Spot The Fake Smile

    最后的结论部分抄一下:

    Most people are surprisingly bad at spotting fake smiles. One possible explanation for this is that it may be easier for people to get along if they don't always know what others are really feeling.

    Although fake smiles often look very similar to genuine smiles, they are actually slightly different, because they are brought about by different muscles, which are controlled by different parts of the brain.

    Fake smiles can be performed at will, because the brain signals that create them come from the conscious part of the brain and prompt the zygomaticus major muscles in the cheeks to contract. These are the muscles that pull the corners of the mouth outwards.

    Genuine smiles, on the other hand, are generated by the unconscious brain, so are automatic. When people feel pleasure, signals pass through the part of the brain that processes emotion. As well as making the mouth muscles move, the muscles that raise the cheeks - the orbicularis oculi and the pars orbitalis - also contract, making the eyes crease up, and the eyebrows dip slightly.

    Lines around the eyes do sometimes appear in intense fake smiles, and the cheeks may bunch up, making it look as if the eyes are contracting and the smile is genuine. But there are a few key signs that distinguish these smiles from real ones. For example, when a smile is genuine, the eye cover fold - the fleshy part of the eye between the eyebrow and the eyelid - moves downwards and the end of the eyebrows dip slightly.

    Scientists distinguish between genuine and fake smiles by using a coding system called the Facial Action Coding System (FACS), which was devised by Professor Paul Ekman of the University of California and Dr Wallace V. Friesen of the University of Kentucky.

    7/5/2007 2:43:59 PM | Add a comment | Permalink | Blog it | 转载

    塞尔达传说幻影沙漏汉化版 by 巴士汉化组

    http://down.tgbus.com/soft/14200.htm

    软件简介:

    抛却华丽的口号和空洞的誓言
    辛勤的汗水会证明一切
    忘记过程的艰辛和重重的困难
    玩家的认同将引领我们前进

    胸中塞满一腔热血
    执着、尔雅、迅捷
    最终达到
    幸福之彼岸
    奇妙的幻影包围了游戏的国度
    时光的沙漏记载着我们的成长

    我们需要的是你的支持
    我们渴望的是你的参与
    玩家的需求是我们最大的动力
    巴士将承载着光荣和梦想
    长风破浪会有时 直挂云帆济沧海

    制作成员:

    破解:恶梦的死神
    翻译:KEN 风清扬 嘟嘟 凌乱
    子元 佐仓蜜柑 野明
    润色:小心点 西行妖 古月
    怪璞 翔 丧尸 哥布林
    美工:Victor_Song waltz wowogood
    视频:o86791008
    测试:树京 GUU

    免责声明:

    本汉化游戏是在NDS官方商业游戏基础上修改过来的,游戏版权归属原制作商所有,汉化部分版权归巴士汉化组(http: //nds.tgbus.com/chinagame)所有。本品仅供汉化研究之用,任何组织或个人不得以本品用于任何形式的商业目的,对此产生的一切后 果由使用方自负,本网站和小组将不对此付任何责任!

    7/4/2007 9:23:32 PM | Add a comment | Permalink | Blog it | Games

    深度揭密《变形金刚》电影为何眼熟---新浪也有很好很强大党

    http://games.sina.com.cn/t/n/2007-07-04/1120203960.shtml

    深度揭密《变形金刚》电影为何眼熟

    http://www.sina.com.cn 2007年07月04日 11:20 新浪游戏

      有很多网友反映《变形金刚》电影版中的萨克巨人非常眼熟,目前新浪网友"鼻子真怪"提供了证据显示,确实眼熟的原因:

    新浪游戏_深度揭密《变形金刚》电影为何眼熟

    萨克巨人和蝎子大王 作为同样经典的金刚葫芦娃中的蝎子大王,萨克巨人确实像得很好,很强大。

    7/4/2007 2:50:00 PM | Add a comment | Permalink | Blog it | fun