调和的记事本 msn

限制用户硬盘使用空间

Sat, 21 Jul 2007 03:29:59 GMT

限制用户硬盘使用空间

UNIX作为一种多用户系统，它允许多个用户共同使用系统的资源，包括系统的内存，CPU和硬盘。在默认情况下，系统并不会限制每个用户可以使用硬盘空间的大小，所以如果用户恶意使用硬盘，或用户由于疏忽，将硬盘空间全部占用，将导致其他用户无法使用硬盘，从而使系统性能下降，甚至有崩溃的危险。

其实，UNIX提供的quota系列命令可以帮助我们解决这个问题，这些命令包括：
quota ：显示用户的硬盘限额和使用情况。
edquota ：为每个用户设定硬盘限额。
quotaon：启动文件系统硬盘限额服务
quotaoff ：关闭文件系统硬盘限额服务
repquota ：显示当前硬盘限额状态
配置这项服务的方法很简单。但在使用硬盘限额服务之前，我们要明白硬限制和软限制这两个概念。所谓硬限制是指对资源节点和数据块的绝对限制，在任何情况下都不允许用户超过这个限制；而软限制是指用户可以在一定时间范围内(默认时为一周，在/usr/include/sys/fs/ufs_quota.h文件中设置)超过软限制的额度，在硬限制的范围内继续申请资源，同时系统会在用户登录时给出警告信息和仍可继续申请资源剩余时间。如果达到时间期限，用户的硬盘使用仍超过软限制的额度，则系统将不允许用户再申请硬盘资源。

明白了这两个概念，我们就可以配置硬盘限额服务了，首先我们必须在要限制的文件系统的根目录下建立一名字为quotas的文件，该文件的所有者应是root,且其它用户不可以对它进行写操作。方法是：
# cd /home (进入文件系统根目录，注意并不是系统根目录，本例为/home目录)
# touch quotas(创建一名字为quotas的空文件)
# chmod 644 quotas (更改文件属性，使只有root可以对它进行写操作)

然后，我们编辑/etc/vfstab文件，找到要进行硬盘限额服务的文件系统，并将
mount option字段的值设为rq，然后并存盘退出。

完成这两步后，我们使用edquota命令为每个用户设置硬盘限额，在root权限下输入以下命令：
#edquota username
这时系统会自动生成一个临时文件，并且有如下内容：
fs /users blocks (soft = 0, hard = 0) inodes (soft = 0, hard = 0)
其中fs字段表明使用硬盘限额的文件系统，本例为/users，block和inodes表明用户可以使用的硬盘千字节数和I节点数，即用户可使用的硬盘空间和可建立的文件数，soft和hard分别对于前面提及的软限制和硬限制。

编辑这个文件，把软，硬限制设置到合适的数值，然后存盘退出。这时我们可以看到quotas文件的大小已经被改变，说明用户的限额已经储存。重复这条命令，给每一个用户都配置硬盘限额。另外，如果我们分配给用户的硬盘限额都相同，我们可以使用 "-p" 参数而不用为每个用户都编辑一个文件，它的使用方法是：
#edquota -p reference-usernameusername

编辑完文件后，我们就可以用quotaon来启动服务了，在root权限下输入
#quotaon /users
就可以启动限额服务。如果我们要查看各个用户的当前使用情况，可以使用
repquota 命令，在root权限下输入：
#repquota /users
系统会显示：
。。。

从中我们可以很容易看到用户的硬盘和文件的使用情况以及超过软限制后仍可申请资源的时间等等。

当然我们可以用quotaoff取消硬盘限额服务。另外，系统还提供quotacheck 命令对限额的一致性进行检查。

饮马流花河主题曲

Sat, 21 Jul 2007 03:29:33 GMT

歌名：独坐莫凭栏

男：早春迟暮，流水落花泪如珠
女：茫然对苍天，故人在何处。
男：几多寒暑，壮士梦断天涯路
女：挑灯寻旧事，何处是归途
男：天地悠悠，红颜不常驻
女：相思之泪何其苦
男：旧恨新仇，这般牵动我的心，一片痴情在江湖
男：你是那带露的玫瑰，你是那清晨初升的雾
女：你是那天边的彩虹，你是那广寒宫缥缈的桂树
男：让情爱之火焰燃尽，从此再不会有卿卿我我
女：约一轮共同的月亮，把一切吟过的诗只在梦里重复
男：独坐莫凭栏
合：任沧海桑田
女：红花绿树

...............

９７电视剧《梦幻天使》主题曲-嫁别江涛演唱

Sat, 21 Jul 2007 03:28:56 GMT

９７电视剧《梦幻天使》主题曲-嫁别江涛演唱

点一支雪茄
照亮熄灭的红蜡
背靠着书架
欣赏天使的图画
美丽的月光下
披着乌黑的长发
雪白的衣裙映着娇艳的玫瑰花
你是不是今天要出嫁
你为什么不说话
风吹响了心中的琵琶
可惜它也不能表达
你是不是今天要出嫁
我等待着你的回答
未来在心中悄悄计划
我丰满的羽翼是你永远的婚纱

快速解压文件

Sat, 21 Jul 2007 03:28:36 GMT

快速解压文件

如果我们需要对若干个压缩文件进行解压的话，有的用户可能会使用unzip命令来一个一个地对压缩文件进行解压，但这种方法操作效率太低，也有的用户想到了使用通配符的方法来同时对多个文件进行压缩，但是当他们在命令行中输入unzip *shi 时，发现会出现一个错误的提示，那么到底该怎样才能同时 unzip多个文件呢？其实后使用通配符的方法是正确的，只是那些用户在命令行中输入的命令不正确，正确的输入应该unzip "*"。

偶也人中吕布！马中赤兔！猪中广沪

Sat, 21 Jul 2007 03:26:10 GMT

半仙帖

http://cache.tianya.cn/pub/c/fans/1/102289.1239.shtml

黄安—先知

Sat, 21 Jul 2007 03:25:42 GMT

歌曲：先知
歌手：黄安专辑：不祥

黄安-先知
春风吹过来心里不明白
这世界变的不黑也不白不好也不坏
东边的山脉西边的大海
你来去之间多少的尘缘明天呀明天
啊......再见
生前我是谁生后谁是我
这命运的陀螺轮回的对错书上是否早有说
先知一张口大家齐步走
我站这个小小的窗口望着窗外一尊佛
那是你那是我
站在窗口望着窗外一尊佛
你双手指地又指天
强摘的水果不会甜强求的因缘不会圆
我坦诚事铺在心里面
淤泥也可化红莲做人好比作神仙

关于SpeedTouch 511e 这个adsl modem

Sat, 21 Jul 2007 03:24:57 GMT

http://www.speedtouch.net.nz/
http://www.speedtouch.net.nz/st510r3.htm

? 游客: 注册 | 登录 | 会员 | 帮助| 我要一边听歌一边上论坛返回 ebc's diy主页
自己友论坛 ? 【宽频台】 ? SpeedTouch 511e 可以限制局域网的某一台ip上网吗？

作者:
标题: SpeedTouch 511e 可以限制局域网的某一台ip上网吗？上一主题 | 下一主题
烽火台
新手上路

积分 4
发贴 4
注册 2005-1-15
状态离线
SpeedTouch 511e 可以限制局域网的某一台ip上网吗？

SpeedTouch 511e 可以限制局域网的某一台ip上网吗？
2005-1-15 11:36
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
用防火墙规则就行了，看精华区关于防火墙的介绍，比如限制10.0.0.1，加一条这样的规则：

:firewall rule create chain=FORWARD index=0 src=10.0.0.1 action=drop

个人主页：
http://ebc.r8.org
2005-1-15 12:27
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复
烽火台
新手上路

积分 4
发贴 4
注册 2005-1-15
状态离线
看了好久才明白一点谢谢 ebc
2005-1-15 14:28
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复
小混
新手上路

积分 6
发贴 6
注册 2005-12-20
状态离线
那要重新开启10.0.0.1上网呢
2006-3-9 23:31
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
把那条规则删掉，看cli文档，可以用telnet操作，也可以在带cli功能的744 firmware的web界面里操作。

个人主页：
http://ebc.r8.org
2006-3-10 09:27
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复

可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题

论坛跳转:

自己友论坛 ? 【宽频台】 ? SpeedTouch 511e 可以限制局域网的某一台ip上网吗？

< 联系我们 - ebc's diy主页 >

========================

? zerged: 退出 | 短消息 | 控制面板 | 会员 | 搜索 | 帮助| 我要一边听歌一边上论坛返回 ebc's diy主页
自己友论坛 ? 【宽频台】 ? 利用firewall禁止广东互联星空了

作者:
标题: 利用firewall禁止广东互联星空了上一主题 | 下一主题
ALCATELUSER
高级会员

积分 146
发贴 146
注册 2004-3-12
状态离线
利用firewall禁止广东互联星空了

可恶的互联星空，竟然不要密码就能上去消费。
我这里是几家共享的，不知是不是其它有人上过互联星空，结果是被扣了。
已打电话给10000，要求停止这种无耻行为，立即停掉连密码都不用就可以消费的一点通，当然其它的消费也是要取消的。因为这个网上消费功能是未经我同意就自动开通的。
电信真是无耻啊。

呼吁用ADSL的用户，立即至电10000，取消这种消费功能。

我对他们说了，如果你们的这种行为是合法的，那么，银行也可以自动开通消费实名制：只要你开办了银行卡，就自动开通这种"方便用户"的消费实名制，即，以后买东西时，只要大声说出你的名字就可以交费了。

当然，我自己先禁止上这个网了，因为我不能确定这个消费不是内部网中其它人的消费。这次算我的了吧。我交这个费得了。但以后不能再上这个什么星空了。

1. 在CMD窗口中输入ping gd.chinavnet.com，得到要禁止上的网的IP，这里得到的是61.145.125.229
2. telnet 10.0.0.138，进入ADSL后，输入用户名和密码
3. 按顺序输入以下：
firewall
chain create chain="yyy"
rule create chain=yyy index=0 src=61.145.125.229 action=drop
assign hook=input chain="yyy"
:config save

哈哈，搞定了。

注意：我在输入时，曾打错了字，系统显示无效命令，我重输入后倒是正常了。但这里猫也死了，无法上网。我是重新开猫电源后，又才能上网的。

谢谢这个网站了。谢谢EBC，谢谢lwx129

[ Last edited by ALCATELUSER on 2006-1-28 at 09:01 ]
2006-1-23 06:38 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线

个人主页：
http://ebc.r8.org
2006-1-23 08:37 PM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ALCATELUSER
高级会员

积分 146
发贴 146
注册 2004-3-12
状态离线
再想请教EBC：
我想通过修改user.ini，来增加防火墙规则，然后再上传。但发现user.ini中有：
[ nat.ini ]
bind application=H323 port=1720
bind application=FTP port=ftp
bind application=RTSP port=554
bind application=RAUDIO(PNA) port=7070
bind application=ils port=ldap
bind application=ils port=1002
enable addr=219.1xx.xx.xxx type=pat

其中的，219.1xx.xx.xxx 是此时动态分配给我的IP。

如果我修改ini文件后，再上传，如果此时重新分配IP了，这时会不会产生什么问题呢？

谢谢！
2006-1-23 10:20 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ALCATELUSER
高级会员

积分 146
发贴 146
注册 2004-3-12
状态离线
这个狗吃的星空，在网站说明里有注销用户的地方，可是我进去看了，注销的按钮都没有了，都不知道如果才能注销了。
真他妈的无耻！
2006-1-23 11:33 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子

可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题

快速回复主题
标题: (可选)
选项:
禁用 URL 识别
禁用 Smilies
禁用 Discuz! 代码
使用个人签名
接收新回复邮件通知
[完成后可按 Ctrl+Enter 发布]

论坛跳转:

自己友论坛 ? 【宽频台】 ? 利用firewall禁止广东互联星空了

< 联系我们 - ebc's diy主页 >

===================

? zerged: 退出 | 短消息 | 控制面板 | 会员 | 搜索 | 帮助| 我要一边听歌一边上论坛返回 ebc's diy主页
自己友论坛 ? 【宽频台】 ? 各位有没有设置过里面的firewall?

<< [1] [2] >>
作者:
标题: 各位有没有设置过里面的firewall? 上一主题 | 下一主题
lwx129
高级会员

积分 146
发贴 126
注册 2002-10-6
状态离线
各位有没有设置过里面的firewall?

近来没事干，想玩玩510plus里面的firewall，我查到边锋游戏的ip地址是218.104.136.6，port是4000，想把局域网里的边锋游戏禁掉，命令如下：

chain create chain="lwx"

rule create chain=lwx index=0 srcintfgrp=!wan dstintfgrp=wan dst=218.104.136.6 prot=tcp dstport=4000 action=drop

assign hook=input chain="lwx"

但没用效果，不知哪里有问题，请各位帮忙。谢谢！！
2003-5-22 04:02 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
gyp2000
超级版主

积分 305
发贴 275
注册 2003-4-2
状态离线
防火墙不是这样玩的~~~呵呵
2003-5-22 04:13 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
lwx129
高级会员

积分 146
发贴 126
注册 2002-10-6
状态离线
大哥快帮忙，教我一招呀！！感激不尽！！
2003-5-22 04:51 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
这个嘛，有时间我也研究研究，确实比较复杂。gyp2000最好写编教程。。。

个人主页：
http://ebc.r8.org
2003-5-22 08:48 PM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
lwx129
高级会员

积分 146
发贴 126
注册 2002-10-6
状态离线
firewall assign命令解释.
语法:
firlwall assign hook=<{input|sink|forward|source}> chain=

作用:给一入口点(entry point)分配关联(chain),这里的入口点又称为钩子(hook)或包拦截点(PIP)是指跟据关联(chain)中指定的约束规则来拦截包的位置.主要有以下四种入口点:
input：该点决定包是否允许到达SpeedTouch路由器，或本地主机。
sink：信息寻址点，将自己指向SpeedTouch路由器，或本地主机。该点决定是否允许包找到SpeedTouch路由器，或本地主机。
forward：信息出发点，该点决定是否允许信息从SpeedTouch路由器，或本地主机处理，比如路由。
source：该点决定是否允许信息从本地主机离开。
output：该点决定是否允许信息从SpeedTouch路由器，或本地主机离开。

-----------------------------------------------------------------------------------

翻译了这些，不知所云呀。
2003-5-22 10:32 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
等一下我帮你解释。。。

个人主页：
http://ebc.r8.org
2003-5-23 08:44 AM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
lwx129
高级会员

积分 146
发贴 126
注册 2002-10-6
状态离线
谢谢！！！
等待中。。。。。。。。。
2003-5-23 09:13 AM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
法国人的解释：

http://www.forpage.com/forum/vie ... um=17&3&start%203D0

我也没完全明白，呵呵。。。

首先把它们看作五个点，称为hook。

input：表示进来的数据包怎么处理。

sink：表示各个方向专门奔路由器去的数据包怎么处理。

forward：表示全部要路由器转送的数据包怎么处理。

source：表示全部源自于路由器的数据包怎么处理。

output：表示全部出去的数据包怎么处理。

注意input、output是相对而言，可以从内网这边看，也可以从外网那边看，主要看源跟目标是什么。

数据流的图如下：

本贴包含图片附件:

点击查看全图

个人主页：
http://ebc.r8.org
2003-5-23 11:06 AM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线

Quote:
chain create chain="lwx"

rule create chain=lwx index=0 srcintfgrp=!wan dstintfgrp=wan dst=218.104.136.6 prot=tcp dstport=4000 action=drop

assign hook=input chain="lwx"

问题在你没有跟5个拦截点挂勾，究竟工作模式是source、sink、input、output、forward中的那一个呢？

比如首先要assign，比如这样：
[ pfirewall.ini ]
assign hook=forward chain=lwx

然后再create，比如这样：
[ pfilter.ini ]
chain delete chain=lwx
chain create chain=lwx

然后才是写rule，比如你这样：
rule create chain=lwx index=0 srcintfgrp=!wan dstintfgrp=wan dst=218.104.136.6 prot=tcp dstport=4000 action=drop

然后还不知道你写的rule对不对，呵呵。。。你的规则看上去，似乎是所有内网的电脑不能连到外网的218.104.136.6 ip，协议是tcp，口是4000，但有没有疏漏，我也不清楚，你试一下通过上面的设置行不行就知道了。

个人主页：
http://ebc.r8.org
2003-5-24 07:00 AM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
一般预设置防火墙的标准格式是这样，在telnet里输入：

firewall
chain create chain=INPUT
chain create chain=SINK
chain create chain=FORWARD
chain create chain=SOURCE
chain create chain=OUTPUT

assign hook=input chain=INPUT
assign hook=sink chain=SINK
assign hook=forward chain=FORWARD
assign hook=source chain=SOURCE
assign hook=output chain=OUTPUT
chain save
save
:config save

个人觉得没必要自己起个chain的名称，就直接引用那五个大写的名称就可以了，直观，知道是跟什么"点"挂勾。

个人主页：
http://ebc.r8.org
2003-5-24 07:20 AM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
下面我根据自己的理解，解释一下防火墙的设置：

首先说一下是，防火墙是内置在modem的firmware里面，过滤内网（lan）、外网（internet）两个方向的数据包用的。

设置一般通过telnet设置，你也可以写进user.ini文件这样设置。

数据包以"流"的方式通过modem（路由器）。

数据包精确的通过五个"拦载点"被控制，称为hook（勾）。

它们分别是：

input：表示进来的数据包怎么处理。

sink：表示各个方向只针对路由器本身去的数据包怎么处理。

forward：表示全部要路由器在外网、内网间转送处理的数据包怎么处理。

source：表示全部只源出于路由器本身的数据包怎么处理。

output：表示全部出去的数据包怎么处理。

三个不同方向的流如下图所示：

流的方向不是由物理接口，而是由源跟目标的需要决定的。

比如这样：

内网要出去的时候，内网就被定义成input，外网被定义成output。

而外网要进来的时候，外网就被定义成input，内网被定义成output。

我理解的是，一条rule，用input的"勾"也可以写，用output的"勾"也可以写，只要源跟目标对调一下就行了，不知道是不是这样。

to be continue。。。

个人主页：
http://ebc.r8.org
2003-5-24 07:42 AM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
lwx129
高级会员

积分 146
发贴 126
注册 2002-10-6
状态离线
说得很细，谢谢！！可我还是有点不太清楚，特别是这个点是设在哪里。是内网lan?外网wan?还是local，还是!wan，!lan，还有优先级别问题，比如有好几个关于input的chain，在我的ADSL里是用INDEX0，INDEX1来标记的，它们是按顺序生效的吗？说明书上有个例子是封掉所有的连接，并只开一个与外网的（网址为200.20.20.1)Telnet通信的防火墙，如下：

firewall chain create chain=Telnet

firewall rule create chain=Telnet src=10.0.0.0/8 dst=200.20.20.1 srcintfgrp=lan prot=tcp srcport=1024 srcportend=65535 dstport=23 action=accept

firewall rule create chain=Telnet src=200.20.20.1 dst=192.6.11.10 srcintfgrp=wan prot=tcp srcport=23 dstport=1024 dstportend=65535 ack=yes action=accept //这里的192.6.11.10是nat转换IP地址。

firewall rule create chain=Telnet action=drop

firewall assign hook=input chain=Telnet

反过来，如果打开所有连接，只封掉与这个Telnet通信又如何设置？
2003-5-24 11:31 AM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
我有点忙，明天根据法国人的解释结合实例再中文解释一下。。。

个人主页：
http://ebc.r8.org
2003-5-24 02:44 PM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
gyp2000
超级版主

积分 305
发贴 275
注册 2003-4-2
状态离线
防火墙的规则和书写方式
先初始化防火墙
[ pfilter.ini ] （这个要在最前面）
chain delete chain=sink ；
chain create chain=sink
chain delete chain=forward
chain create chain=forward
chain delete chain=source
chain create chain=source

Show sfirewall rule create chain = ；规则名字

[index = ] ；规则序号
[srcintf [!]= ] ；源定义网卡名
[srcintfgrp [!]= <{wan|local|lan}>] ；源定义网卡名
[srcbridgeport [!]= ] ；定义端口
[src [!]= ] ；源IP
[srcmsk = ] ；源IP 子网掩码
[dstintf [!]= ] ；定义目标网卡
[dstintfgrp [!]= <{wan|local|lan}>] ；定义目标网卡
[dst [!]= ] ；目标IP
[dstmsk = ] ；目标IP 子网掩码
[tos [!]= ] ；包寿命
[prot [!]= <{tcp|udp|icmp|protocol}>] ；端口协议
[syn ] ；SYN标志位
[urg ] ；URG标志位
[ack ] ；ACK标志位
[srcport [!]= <{ftp|ftp-data|telnet|mail|smtp|dns|domain|tftp|port}>] ；源起始端口
[srcportend = <{ftp|ftp-data|telnet|mail|smtp|dns|domain|tftp|port}>] ；源结束端口
[dstport [!]= <{ftp|ftp-data|telnet|mail|smtp|dns|domain|tftp|port}>] ；目标起始端口
[dstportend = <{ftp|ftp-data|telnet|mail|smtp|dns|domain|tftp|port}>] ；目标结束端口
[icmptype [!]= <{echo-reply|destination-unreachable|source-quench|
redirect|echo-request|router-advertisement|
router-solicitation|time-exceeded|parameter-problems|
timestamp-request|timestamp-reply|
information-request|information-reply|
address-mask-request|address-mask-reply|
icmpnumber}>]
[icmpcode [!]= ] ;起始icmp
[icmpcodeend = ] ;结束icmp
[clink ]
action <{accept|deny|drop|count}> ;|接受|拒绝|丢弃|count

列：
rule create chain=sink index=0 srcintf=eth0 srcbridgeport=1 action=accept

rule create chain=sink index=1 srcintfgrp=!wan action=accept
由于网卡定义成!wan 不知道是什么意思~~~可能是透过路由的？
rule create chain=sink index=2 prot=udp dstport=dns action=accept

rule create chain=sink index=3 prot=udp dstport=68 action=accept

rule create chain=sink index=4 action=drop

rule create chain=forward index=0 srcintfgrp=wan dstintfgrp=wan action=drop
所有从接口wan 到接口wan 的都拒绝
rule create chain=source index=0 dstintfgrp=!wan action=accept
由于网卡定义成!wan 不知道是什么意思~~~可能是透过路由的？
rule create chain=source index=1 prot=udp dstport=dns action=accept

rule create chain=source index=2 prot=udp dstport=67 action=accept

rule create chain=source index=3 action=drop
2003-5-25 05:08 AM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
lwx129
高级会员

积分 146
发贴 126
注册 2002-10-6
状态离线
我已成功阻断边锋。

chain create chain="lwx"
rule create chain=lwx index=0 src=202.101.165.233 action=drop
rule create chain=lwx index=1 src=61.153.3.125 action=drop
rule create chain=lwx index=2 src=61.153.37.222 action=drop
rule create chain=lwx index=3 src=202.101.165.237 action=drop
rule create chain=lwx index=4 src=61.144.56.30 action=drop
rule create chain=lwx index=5 src=61.153.19.101 action=drop
rule create chain=lwx index=6 src=202.98.15.230 action=drop
rule create chain=lwx index=7 src=202.96.75.247 action=drop
rule create chain=lwx index=8 src=202.107.225.55 action=drop
rule create chain=lwx index=9 src=61.153.8.50 action=drop
rule create chain=lwx index=10 src=61.153.198.200 action=drop
rule create chain=lwx index=11 src=218.6.174.184 action=drop
rule create chain=lwx index=12 src=219.235.127.66 action=drop
rule create chain=lwx index=13 src=61.128.97.134 action=drop
rule create chain=lwx index=14 src=61.158.97.35 action=drop
rule create chain=lwx index=15 src=61.138.15.144 action=drop
rule create chain=lwx index=16 src=61.138.15.114 action=drop
rule create chain=lwx index=17 src=218.66.101.14 action=drop
rule create chain=lwx index=18 src=202.107.236.190 action=drop
rule create chain=lwx index=19 src=218.104.136.6 action=drop
rule create chain=lwx index=20 src=202.96.114.245 action=drop
rule create chain=lwx index=21 src=61.241.130.59 action=drop
rule create chain=lwx index=22 src=202.103.190.13 action=drop
rule create chain=lwx index=23 src=211.141.95.76 action=drop
rule create chain=lwx index=24 src=211.90.241.37 action=drop
rule create chain=lwx index=25 src=61.243.222.25 action=drop
rule create chain=lwx index=26 src=211.167.148.203 action=drop
rule create chain=lwx index=27 src=202.101.150.130 action=drop
rule create chain=lwx index=28 src=218.108.248.119 action=drop
rule create chain=lwx index=29 src=218.57.200.21 action=drop
rule create chain=lwx index=30 src=202.98.9.109 action=drop
rule create chain=lwx index=31 src=218.106.241.247 action=drop
rule create chain=lwx index=32 src=61.243.232.20 action=drop
rule create chain=lwx index=33 src=61.153.52.185 action=drop
rule create chain=lwx index=34 src=210.76.63.27 action=drop
rule create chain=lwx index=35 src=211.140.137.125 action=drop
assign hook=input chain="lwx"
2003-5-25 09:06 AM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
为了更好的写好rule，一定要打好基础，我再次试图形象解释上面gyp2000所说的几种"道具"的定义。

声明：用方括号括住的表示可写可不写，也就是可选项目。

chain：　一个拦截点的载体，表示我这个rule是在那个点上拦截过滤数据包的。

[index]：每个不同的拦截点的chain中，rule各自的起作用的先后顺序，这个不是必须写的，可能不写就按书写顺序，写了后就按它们的数字从小到大排列作用顺序。

[scrintf]：就是数据包来源的接口名。注意，不能用于"拦截点"定义为output的chain，这样可能要纠正我上面所说的input、 output是一样的，只要改源跟目标就可以起相同的效果，看来是有限制的，不然只要input、output其中一个拦截点就够了。

关于接口名，大概是这样，一般local组下的是loop（表示本地主机？）。lan组下的是eth0（表示连路由器的网卡？），如果有多台客户机，有这个条件的在telnet下在ip提示符打iflist看看是否还有eth1、eth2等接口？然后是wan组下的是你用在user.ini里面代表外网接口的名称，就是在[phone.ini]里那个名字。是否还有什么接口就不太清楚了。

[srcintfgrp]：就是上面的源接口的上级，源接口组，某个类型的接口的总称。一般是三个，分别是local、lan、wan。跟上面也一样，不能用于"拦截点"定义为output的chain。

[srcbridgeport]：就是数据包来源的桥接口，是一个0-6之间的数值。在telnet的bridge提示符下执行iflist可以看到都有什么口，我看见有obc、eth0，是什么东东，不太清楚，越来越难理解了，呵呵。。。

[src]：源ip地址或者范围。比如这样写src=10.0.0.1/8，表示从10.0.0.1-10.255.255.254的范围（不知道对不对，呵呵。。。）

[srcmsk]：跟上面ip跟着的/8是一样的，独立在这里写也可以，象上面那样连着写，这里就不用再定义了。

[dstintf]：目标接口名。（跟上面源的对应，请参看前述）

[dstintfgrp]：目标接口组。（跟上面源的对应，请参看前述）

[dst]：目标ip地址或者范围。（跟上面源的对应，请参看前述）

[dstmsk]：跟上面源的对应，请参看前述。

[tos]：数字介于0-255之间，表示由数字所指定的服务类型的ip包是否过滤。服务类型的编号由下面所列的数字决定：

Assigned Internet Protocol Numbers

Decimal Keyword Protocol References
------- ------- -------- ----------
0 Reserved [JBP]
1 ICMP Internet Control Message [RFC792,JBP]
2 IGMP Internet Group Management [RFC1112,JBP]
3 GGP Gateway-to-Gateway [RFC823,MB]
4 IP IP in IP (encasulation) [JBP]
5 ST Stream [RFC1190,IEN119,JWF]
6 TCP Transmission Control [RFC793,JBP]
7 UCL UCL [PK]
8 EGP Exterior Gateway Protocol [RFC888,DLM1]
9 IGP any private interior gateway [JBP]
10 BBN-RCC-MON BBN RCC Monitoring [SGC]
11 NVP-II Network Voice Protocol [RFC741,SC3]
12 PUP PUP [PUP,XEROX]
13 ARGUS ARGUS [RWS4]
14 EMCON EMCON [BN7]
15 XNET Cross Net Debugger [IEN158,JFH2]
16 CHAOS Chaos [NC3]
17 UDP User Datagram [RFC768,JBP]
18 MUX Multiplexing [IEN90,JBP]
19 DCN-MEAS DCN Measurement Subsystems [DLM1]
20 HMP Host Monitoring [RFC869,RH6]
21 PRM Packet Radio Measurement [ZSU]
22 XNS-IDP XEROX NS IDP [ETHERNET,XEROX]
23 TRUNK-1 Trunk-1 [BWB6]
24 TRUNK-2 Trunk-2 [BWB6]
25 LEAF-1 Leaf-1 [BWB6]
26 LEAF-2 Leaf-2 [BWB6]
27 RDP Reliable Data Protocol [RFC908,RH6]
28 IRTP Internet Reliable Transaction [RFC938,TXM]
29 ISO-TP4 ISO Transport Protocol Class 4 [RFC905,RC77]
30 NETBLT Bulk Data Transfer Protocol [RFC969,DDC1]
31 MFE-NSP MFE Network Services Protocol [MFENET,BCH2]
32 MERIT-INP MERIT Internodal Protocol [HWB]
33 SEP Sequential Exchange Protocol [JC120]
34 3PC Third Party Connect Protocol [SAF3]
35 IDPR Inter-Domain Policy Routing Protocol [MXS1]

36 XTP XTP [GXC]
37 DDP Datagram Delivery Protocol [WXC]
38 IDPR-CMTP IDPR Control Message Transport Proto [MXS1]
39 TP++ TP++ Transport Protocol [DXF]
40 IL IL Transport Protocol [DXP2]
41 SIP Simple Internet Protocol [SXD]
42 SDRP Source Demand Routing Protocol [DXE1]
43 SIP-SR SIP Source Route [SXD]
44 SIP-FRAG SIP Fragment [SXD]
45 IDRP Inter-Domain Routing Protocol [Sue Hares]
46 RSVP Reservation Protocol [Bob Braden]
47 GRE General Routing Encapsulation [Tony Li]
48 MHRP Mobile Host Routing Protocol[David Johnson]
49 BNA BNA [Gary Salamon]
50 SIPP-ESP SIPP Encap Security Payload [Steve Deering]
51 SIPP-AH SIPP Authentication Header [Steve Deering]
52 I-NLSP Integrated Net Layer Security TUBA [GLENN]
53 SWIPE IP with Encryption [JI6]
54 NHRP NBMA Next Hop Resolution Protocol
55-60 Unassigned [JBP]
61 any host internal protocol [JBP]
62 CFTP CFTP [CFTP,HCF2]
63 any local network [JBP]
64 SAT-EXPAK SATNET and Backroom EXPAK [SHB]
65 KRYPTOLAN Kryptolan [PXL1]
66 RVD MIT Remote Virtual Disk Protocol [MBG]
67 IPPC Internet Pluribus Packet Core [SHB]
68 any distributed file system [JBP]
69 SAT-MON SATNET Monitoring [SHB]
70 VISA VISA Protocol [GXT1]
71 IPCV Internet Packet Core Utility [SHB]
72 CPNX Computer Protocol Network Executive [DXM2]
73 CPHB Computer Protocol Heart Beat [DXM2]
74 WSN Wang Span Network [VXD]
75 PVP Packet Video Protocol [SC3]
76 BR-SAT-MON Backroom SATNET Monitoring [SHB]
77 SUN-ND SUN ND PROTOCOL-Temporary [WM3]
78 WB-MON WIDEBAND Monitoring [SHB]
79 WB-EXPAK WIDEBAND EXPAK [SHB]
80 ISO-IP ISO Internet Protocol [MTR]
81 VMTP VMTP [DRC3]
82 SECURE-VMTP SECURE-VMTP [DRC3]
83 VINES VINES [BXH]
84 TTP TTP [JXS]
85 NSFNET-IGP NSFNET-IGP [HWB]
86 DGP Dissimilar Gateway Protocol [DGP,ML109]
87 TCF TCF [GAL5]
88 IGRP IGRP [CISCO,GXS]

89 OSPFIGP OSPFIGP [RFC1583,JTM4]
90 Sprite-RPC Sprite RPC Protocol [SPRITE,BXW]
91 LARP Locus Address Resolution Protocol [BXH]
92 MTP Multicast Transport Protocol [SXA]
93 AX.25 AX.25 Frames [BK29]
94 IPIP IP-within-IP Encapsulation Protocol [JI6]
95 MICP Mobile Internetworking Control Pro. [JI6]
96 SCC-SP Semaphore Communications Sec. Pro. [HXH]
97 ETHERIP Ethernet-within-IP Encapsulation [RXH1]
98 ENCAP Encapsulation Header [RFC1241,RXB3]
99 any private encryption scheme [JBP]
100 GMTP GMTP [RXB5]
101-254 Unassigned [JBP]
255 Reserved [JBP]

[prot]：协议名称，一般是三个：tcp、udp、icmp。也可以用上面的表中的数字表示，tcp是6，udp是17，icmp是1。

[syn]：用于看看ip数据包里的syn（同步）标识是yes还是no，决定是否过滤。

[urg]：用于看看ip数据包里的urg（紧急指针，不知道什么东西，呵呵。。。）标识是yes还是no，决定是否过滤。

[ack]：用于看看ip数据包里的ack（应答）标识是yes还是no，决定是否过滤。

[srcport]：源ip端口，不用我说了吧。

[srcportend]：源ip结束端口，可以跟上面的配合指定一个端口范围。

[dstport]：跟上面源的对应，请参看前述。

[dstportend]：跟上面源的对应，请参看前述。

[icmptype]：icmp包的类型，有如下这些：

echo-reply
destination-unreachable
source-quench
redirect
echo-request
router-advertisement
router-solicitation
time-exceeded
parameter-problems
timestamp-request
timestamp-reply
information-request
information-reply
address-mask-request
address-mask-reply
Echo Reply [RFC792]

也可以如下表数字表示：

1 Unassigned [JBP]
2 Unassigned [JBP]
3 Destination Unreachable [RFC792]
4 Source Quench [RFC792]
5 Redirect [RFC792]
6 Alternate Host Address [JBP]
7 Unassigned [JBP]
8 Echo [RFC792]
9 Router Advertisement [RFC1256]
10 Router Selection [RFC1256]
11 Time Exceeded [RFC792]
12 Parameter Problem [RFC792]
13 Timestamp [RFC792]
14 Timestamp Reply [RFC792]
15 Information Request [RFC792]
16 Information Reply [RFC792]
17 Address Mask Request [RFC950]
18 Address Mask Reply [RFC950]
19 Reserved (for Security) [Solo]
20-29 Reserved (for Robustness Experiment) [ZSu]
30 Traceroute [RFC1393]
31 Datagram Conversion Error [RFC1475]
32 Mobile Host Redirect [David Johnson]
33 IPv6 Where-Are-You [Bill Simpson]
34 IPv6 I-Am-Here [Bill Simpson]
35 Mobile Registration Request [Bill Simpson]
36 Mobile Registration Reply [Bill Simpson]
37 Domain Name Request [Simpson]
38 Domain Name Reply [Simpson]
39 SKIP [Markson]
40 Photuris [Simpson]
41-255 Reserved

[icmpcode]：是否过滤带有指定的icmpcode的ip数据包，数字从0-15范围。

[icmpcodeend]：icmpcode结束数字，结合上面命令可以设置一个范围。

下面是icmp type中有icmpcode的type：

Type Name Reference
---- ------------------------- ---------
0 Echo Reply [RFC792]

Codes
0 No Code

1 Unassigned [JBP]

2 Unassigned [JBP]

3 Destination Unreachable [RFC792]

Codes
0 Net Unreachable
1 Host Unreachable
2 Protocol Unreachable
3 Port Unreachable
4 Fragmentation Needed and Don't Fragment was Set
5 Source Route Failed
6 Destination Network Unknown
7 Destination Host Unknown
8 Source Host Isolated
9 Communication with Destination Network is
Administratively Prohibited
10 Communication with Destination Host is
Administratively Prohibited
11 Destination Network Unreachable for Type of Service
12 Destination Host Unreachable for Type of Service
13 Communication Administratively Prohibited [RFC1812]
14 Host Precedence Violation [RFC1812]
15 Precedence cutoff in effect [RFC1812]

4 Source Quench [RFC792]
Codes
0 No Code

5 Redirect [RFC792]

Codes
0 Redirect Datagram for the Network (or subnet)
1 Redirect Datagram for the Host
2 Redirect Datagram for the Type of Service and Network
3 Redirect Datagram for the Type of Service and Host

6 Alternate Host Address [JBP]

Codes
0 Alternate Address for Host

7 Unassigned [JBP]

8 Echo [RFC792]

Codes
0 No Code

9 Router Advertisement [RFC1256]

Codes
0 No Code

10 Router Selection [RFC1256]

Codes
0 No Code

11 Time Exceeded [RFC792]

Codes
0 Time to Live exceeded in Transit
1 Fragment Reassembly Time Exceeded

12 Parameter Problem [RFC792]

Codes
0 Pointer indicates the error
1 Missing a Required Option [RFC1108]
2 Bad Length

13 Timestamp [RFC792]

Codes
0 No Code

14 Timestamp Reply [RFC792]

Codes
0 No Code

15 Information Request [RFC792]

Codes
0 No Code

16 Information Reply [RFC792]

Codes
0 No Code

17 Address Mask Request [RFC950]

Codes
0 No Code

18 Address Mask Reply [RFC950]

Codes
0 No Code

19 Reserved (for Security) [Solo]

20-29 Reserved (for Robustness Experiment) [ZSu]

30 Traceroute [RFC1393]

31 Datagram Conversion Error [RFC1475]

32 Mobile Host Redirect [David Johnson]

33 IPv6 Where-Are-You [Bill Simpson]

34 IPv6 I-Am-Here [Bill Simpson]

35 Mobile Registration Request [Bill Simpson]

36 Mobile Registration Reply [Bill Simpson]

39 SKIP [Markson]

40 Photuris [Simpson]

Code

0 Reserved
1 unknown security parameters index
2 valid security parameters, but authentication failed
3 valid security parameters, but decryption failed

[clink]：当应用这条rule时，chain的名称语法被较正？

action：rule的处理动作，有下面几种：

accept：允许数据包通过。
deny ：拦截数据包，而且会给发送者返回一个 ICMP error destination unreachable 的出错信息。
drop：拦截数据包，而且是安静的拦截，不给发送者返回信息指示发送失败。
count : 更新统计，不影响数据包。可能是提取rule中的数据添加到modem的监控系统的数据统计中。

有什么疏漏跟解释不清与错误，请大家补充。。。

to be continue。。。。

个人主页：
http://ebc.r8.org
2003-5-25 09:15 AM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线

Quote:
Originally posted by lwx129 at 2003-5-25 09:06:
我已成功阻断边锋。

chain create chain="lwx"
rule create chain=lwx index=0 src=202.101.165.233 action=drop
rule create chain=lwx index=1 src=61.153.3.125 action=drop
rule create chai ...

我看不用那么长吧，解释一下都是什么东东。。。估计有更简单的书写方法。

个人主页：
http://ebc.r8.org
2003-5-25 09:25 AM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
lwx129
高级会员

积分 146
发贴 126
注册 2002-10-6
状态离线
这些IP地址都是边锋服务器IP地址。边锋有那么多服务器，只好每一个都禁掉了，当然有好的办法，因为每个服务器都是用4000端口的，如果把所有外网进入的4000端口封掉，就只要一条语句：
rule create chain=lwx srcintfgrp=wan prot=tcp srcport=4000 action=drop
当然这样，非边锋但用的4000端口的也禁掉了，比如QQ。
2003-5-25 11:15 AM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线

Quote:
Originally posted by lwx129 at 2003-5-25 11:15:
这些IP地址都是边锋服务器IP地址。边锋有那么多服务器，只好每一个都禁掉了，当然有好的办法，因为每个服务器都是用4000端口的，如果把所有外网进入的4000端口封掉，就只要一条语句：
rule create chain=lwx src ...

qq用的是udp协议。。。

个人主页：
http://ebc.r8.org
2003-5-26 07:11 AM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
下面结合实例说一下rule的设置：

先看看所用的chain下的rule是否空，当然前提是已经如下与相应的拦截点（hook）挂上了勾：
[ pfirewall.ini ]
assign hook=input chain=INPUT
assign hook=sink chain=SINK
assign hook=forward chain=FORWARD
assign hook=source chain=SOURCE
assign hook=output chain=OUTPUT

在telnet打入：
Firewall=> rule list chain=FORWARD

如果不是空，要做下面这步：
chain delete chain=FORWARD
意思是清空原来在该chain下的rule。

然后再建立这条chain，chain首先要建立，才能在上面assign。
chain create chain=FORWARD
然后我们就可以设置我们自己想要的rule。

下面我们打开连http（80）的端口：
Firewall=> rule create chain=FORWARD index=0 srcintfgrp=lan prot=tcp dstport=80 action=accept

你如果明白我前帖所说的各种"道具"，这条rule就很好理解了，chain=FORWARD，意思是拦截点是通过路由器转送的数据包，注意名称是分大小写，index=0，意思是第一条起作用的rule，srcintfgrp=lan，意思源头是整个lan组（整个内网），prot=tcp，意思是只对 tcp协议起作用，dstport=80，意思是目标端口是80（http），action=accept，意思是允许通过。

但是要浏览网页，还要允许web服务器的数据包返回，我们再加一条这样的rule：
Firewall=> rule create chain=FORWARD index=1 srcintfgrp=wan prot=tcp srcport=80 action=accept
解释参看上面，不再重复。

但我只要浏览网页，其它数据包都不许通过，我们还要加上下面这条：
Firewall=> rule create chain=FORWARD index=2 action=drop

好，现在你可以浏览网页了，但收email等等。。都不行，呵呵。。。

提醒一下，如果你一条rule都不写，那么firewall是全通的。另外，优先级看写的顺序，先写的优先级高，但也可以用index调整顺序，如果index与已经存在的rule相同，新添加进去的rule会排在前面。

比如上面的三条rule，你不能把最后那条写在前面，如果这样，它是优先，而且覆盖了另两条rule的范围，相当于另两条rule不起作用了，也就是说网页也不能浏览了。

另外，nat的优先级比firewall高，已经做了nat的端口，就算firewall里没有打开，也会自动打开。

最后，如果要这些rule下次还能起作用，记住要存盘。

=>config save

to be continue。。。。

个人主页：
http://ebc.r8.org
2003-5-26 08:41 AM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
redtea
超级版主

积分 206
发贴 142
注册 2002-11-23
状态离线
呵呵，真是足本的firewall大全了！
2003-5-26 06:10 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
接着上面的例子，如果我们要开放ftp存取，要怎么设置呢？如下：

Firewall=> rule create chain=FORWARD index=0 srcintfgrp=lan prot=tcp dstport=21 action=accept
Firewall=> rule create chain=FORWARD index=0 srcintfgrp=wan prot=tcp srcport=21 ack=yes action=accept
Firewall=> rule create chain=FORWARD index=0 srcintfgrp=lan prot=tcp dstport=20 action=accept
Firewall=> rule create chain=FORWARD index=0 srcintfgrp=wan prot=tcp srcport=20 action=accept

具体就不再说了，注意一下第二条rule，是允许对方ftp服务器的应答（ack）通过。

那再开放email的收发又怎么样呢？如下：
Firewall=> rule create chain=FORWARD index=0 srcintfgrp=lan prot=tcp dstport=110 action=accept
Firewall=> rule create chain=FORWARD index=0 srcintfgrp=wan prot=tcp srcport=110 ack=yes action=accept
Firewall=> rule create chain=FORWARD index=0 srcintfgrp=lan prot=tcp dstport=25 action=accept
Firewall=> rule create chain=FORWARD index=0 srcintfgrp=wan prot=tcp srcport=25 ack=yes action=accept

同样要注意到第二、四两条也是允许对方邮件服务器的应答（ack）通过。

另外，这些rule的index=0，也就是插入到原来的rule的前面，这个很重要。最后那条rule是这条：

Firewall=> rule create chain=FORWARD action=drop

关掉除上面这些rule以外的所有转送的数据包，也就是说除上面的服务允许外，其它都禁止。

to be continue。。。。

个人主页：
http://ebc.r8.org
2003-5-28 06:59 AM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
lwx129
高级会员

积分 146
发贴 126
注册 2002-10-6
状态离线
这么多资料什么地方找到的?
2003-5-28 09:38 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
当然是网上找到的，用google找，什么都找得到。。。

个人主页：
http://ebc.r8.org
2003-5-28 11:04 PM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
下面，我们分析一下510v3的出厂默认的firewall设置，如下：

[ pfirewall.ini ]
assign hook=forward chain=forward
assign hook=sink chain=sink
assign hook=source chain=source

[ pfilter.ini ]
chain delete chain=forward
chain create chain=forward
chain delete chain=sink
chain create chain=sink
chain delete chain=source
chain create chain=source
rule create chain=forward index=0 srcintfgrp=wan dstintfgrp=wan action=drop
rule create chain=sink index=0 srcintf=eth0 prot=udp dstport=tftp action=drop
rule create chain=sink index=1 srcintf=eth0 srcbridgeport=1 action=accept
rule create chain=sink index=2 srcintfgrp=!wan action=accept
rule create chain=sink index=3 prot=udp dstport=dns action=accept
rule create chain=sink index=4 prot=udp dstport=68 action=accept
rule create chain=sink index=5 action=drop
rule create chain=source index=0 dstintfgrp=!wan action=accept
rule create chain=source index=1 prot=udp dstport=dns action=accept
rule create chain=source index=2 prot=udp dstport=67 action=accept
rule create chain=source index=3 action=drop

chain=foward
只有一条rule：
rule create chain=forward index=0 srcintfgrp=wan dstintfgrp=wan action=drop
意思是切断公网到公网通过路由器的数据包转送，这是什么意思呢？我是这样分析的，我估计是比如有些人黑了你的电脑，拿你的电脑作代理服务器，所以就有了公网到公网的数据包通过你的路由器，这样你就可以切断这方面的数据包通过。

chain=sink
第一条rule：
rule create chain=sink index=0 srcintf=eth0 prot=udp dstport=tftp action=drop
这里chain是用sink，是只与modem（10.0.0.138）本身打交道的意思（数据包直接发到modem本身），我估计是切断源于eth0的 tftp数据包，因为tftp是用udp协议，所以只切断tftp，以免切断其它tcp通过tftp端口发送的数据包，而eth0估计是所有内网直连 modem的网卡，比如通过hub或者交换机连modem，eth0就是内网客户机连到hub或者交换机那块网卡。为什么要这样做，因为speed touch内建tftp服务器，内网可以用直接的物理接口用tftp客户端不用密码就可以连到modem里面搞破坏。

第二条rule：
rule create chain=sink index=1 srcintf=eth0 srcbridgeport=1 action=accept
这里srcbridgeport=1，意思是指icmp端口，是用作ping等操作的，开放它应该是让内网的直连网卡可以用得到。

第三条rule：
rule create chain=sink index=2 srcintfgrp=!wan action=accept
这里srcintfgrp=!wan意思是指内网跟本地的电脑，所有chain是sink的，除上面的rule限制外都允许通向modem。这里并不是说外网传入的就不许通过，只是还没有定义，也就是默认是全通的，在下面定义。

第四条rule：
rule create chain=sink index=3 prot=udp dstport=dns action=accept
意思是所有向modem的dns请求，都可以向modem发出。

第五条rule：
rule create chain=sink index=4 prot=udp dstport=68 action=accept
意思是所有向modem的68端口的请求，都可以向modem发出，68端口不太清楚是什么东东，好象跟dhcp有关。

第六条rule：
rule create chain=sink index=5 action=drop
然后这条是chain=sink的除上面几条规则外，其它只针对通向modem的数据包全部不能通过。

chain=source
第一条rule：
rule create chain=source index=0 dstintfgrp=!wan action=accept
这到了chain=source的rule了，意思是只源自于modem本身的数据包。
detintfgrp=!wan，意思是内网跟本地，全部可以通过。这里并不是说传向外网的就不许通过，只是还没有定义，也就是默认是全通的，在下面定义。

第二条rule：
rule create chain=source index=1 prot=udp dstport=dns action=accept
所有modem发出的dns请求，都可以通过。

第三条rule：
rule create chain=source index=2 prot=udp dstport=67 action=accept
所有modem发出的67端口的请求，都可以通过，67端口是什么？不太清楚，好象跟dhcp有关。

第四条rule：
rule create chain=source index=3 action=drop
意思是除了上面几条chain=source的rule外，其它source的数据包就不允许通过了，没有这最后一条，就全部source都全开放了，也就是上面的都白写了，呵呵。。。

to be continue。。。

个人主页：
http://ebc.r8.org
2003-5-30 08:53 AM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
jscan
超级版主

积分 238
发贴 208
注册 2003-5-7
来自温州
状态离线
ebc,上面的分析很好。
据我所知etn0是modem的以太网口，你看是吧！
2003-5-30 05:03 PM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息 OICQ
编辑帖子引用回复向版主反应这个帖子
namecallmmm2
初级会员

积分 12
发贴 12
注册 2005-1-5
状态离线
请问各位大侠，那个10.0.0.0/8是什么意思啊？
我是第一次接触这个东东。你们说是10.0.0.0到255...
那我想要10.0.0.15以后的任何一个IP都不能上网，应该如何设置呢？
当然　10.0.0.138不能算啊，它是猫的嘛
2005-1-5 09:20 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
http://bianchini.altervista.org/discuz/viewthread.php?tid=4293

个人主页：
http://ebc.r8.org
2005-1-6 08:34 AM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
namecallmmm2
初级会员

积分 12
发贴 12
注册 2005-1-5
状态离线
我见有的人说像下面这样可以将除1－－－4以外的机子禁用上网
rule create chain=FORWARD index=0 src=10.0.0.1 action=accept
rule create chain=FORWARD index=0 src=10.0.0.2 action=accept
rule create chain=FORWARD index=0 src=10.0.0.3 action=accept
rule create chain=FORWARD index=0 src=10.0.0.4 action=accept
rule create chain=FORWARD action=drop
可是这样我试过了，根本不行啊，都不能上了
2005-1-6 01:39 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
你只写了一个方向，所以全部上不了网，再写四条dst的就行了。

个人主页：
http://ebc.r8.org
2005-1-6 03:16 PM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
<< [1] [2] >>

可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题

快速回复主题
标题: (可选)
选项:
禁用 URL 识别
禁用 Smilies
禁用 Discuz! 代码
使用个人签名
接收新回复邮件通知
[完成后可按 Ctrl+Enter 发布]

论坛跳转:

自己友论坛 ? 【宽频台】 ? 各位有没有设置过里面的firewall?

< 联系我们 - ebc's diy主页 >

=======================

? 游客: 注册 | 登录 | 会员 | 帮助| 我要一边听歌一边上论坛返回 ebc's diy主页
自己友论坛 ? 【宽频台】 ? 关于限制IP上网，ebc进来帮忙一下！呵呵！

作者:
标题: 关于限制IP上网，ebc进来帮忙一下！呵呵！上一主题 | 下一主题
YES东
高级会员

积分 116
发贴 96
注册 2003-7-15
状态离线
关于限制IP上网，ebc进来帮忙一下！呵呵！

现在用510上如何限制只能规定的IP才可以上？

例如我现在只允许
10.0.0.1和10.0.0.2上网！其他局域网内的电脑都不可以通过10.0.0.138上网！要在user.ini文件添加什么命令来实像？

http://www.516600.com
2004-7-16 17:00
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息 OICQ
编辑帖子引用回复
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
所以叫你看看我那篇关于防火墙的文章，forward那个chain那里，accept 10.0.0.1跟10.0.0.2，紧接着再一条drop就行了。

个人主页：
http://ebc.r8.org
2004-7-16 17:05
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
:firewall rule create chain=FORWARD index=0 src=10.0.0.1 action=accept
:firewall rule create chain=FORWARD index=0 dst=10.0.0.1 action=accept
:firewall rule create chain=FORWARD index=0 src=10.0.0.2 action=accept
:firewall rule create chain=FORWARD index=0 dst=10.0.0.2 action=accept
:firewall rule create chain=FORWARD action=drop

个人主页：
http://ebc.r8.org
2004-7-16 17:46
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复
YES东
高级会员

积分 116
发贴 96
注册 2003-7-15
状态离线

Quote:
Originally posted by ebc at 2004-7-16 05:05 PM:
所以叫你看看我那篇关于防火墙的文章，forward那个chain那里，accept 10.0.0.1跟10.0.0.2，紧接着再一条drop就行了。

好东西！谢谢！我主要懒得去看那些介绍！直接给个实例就可以解决拉！哈哈！我弄那些viking系列的搞得我头都烦

http://www.516600.com
2004-7-16 20:20
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息 OICQ
编辑帖子引用回复

可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题

论坛跳转:

自己友论坛 ? 【宽频台】 ? 关于限制IP上网，ebc进来帮忙一下！呵呵！

< 联系我们 - ebc's diy主页 >

=========================

<< [1] [2] >>
作者:
标题: 各位有没有设置过里面的firewall? 上一主题 | 下一主题
namecallmmm2
初级会员

积分 12
发贴 12
注册 2005-1-5
状态离线
为什么还是可以

firewall
chain create chain=FORWARD
assign hook=FORWARD chain=FORWARD
rule create chain=FORWARD index=0 src=10.0.0.1 action=accept
rule create chain=FORWARD index=0 dst=10.0.0.1 action=accept
rule create chain=FORWARD index=0 src=10.0.0.2 action=accept
rule create chain=FORWARD index=0 dst=10.0.0.2 action=accept
rule create chain=FORWARD index=0 src=10.0.0.3 action=accept
rule create chain=FORWARD index=0 dst=10.0.0.3 action=accept
rule create chain=FORWARD index=0 src=10.0.0.4 action=accept
rule create chain=FORWARD index=0 dst=10.0.0.4 action=accept
rule create chain=FORWARD action=drop

为什么其它的IP还是可以上啊？
2005-1-6 08:39 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
namecallmmm2
初级会员

积分 12
发贴 12
注册 2005-1-5
状态离线
firewall
chain create chain=FORWARD
assign hook=FORWARD chain=FORWARD
rule create chain=FORWARD index=0 src=10.0.0.1 action=accept
rule create chain=FORWARD index=0 dst=10.0.0.1 action=accept
rule create chain=FORWARD index=0 src=10.0.0.2 action=accept
rule create chain=FORWARD index=0 dst=10.0.0.2 action=accept
rule create chain=FORWARD index=0 src=10.0.0.3 action=accept
rule create chain=FORWARD index=0 dst=10.0.0.3 action=accept
rule create chain=FORWARD index=0 src=10.0.0.4 action=accept
rule create chain=FORWARD index=0 dst=10.0.0.4 action=accept
rule create chain=FORWARD action=drop
:config save
2005-1-6 08:42 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线
先delete chain。

个人主页：
http://ebc.r8.org
2005-1-6 10:18 PM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
jam_gu
新手上路

积分 1
发贴 1
注册 2005-1-19
状态离线

Quote:
Originally posted by ebc at 2003-5-30 08:53 AM:
下面，我们分析一下510v3的出厂默认的firewall设置，如下：

[ pfirewall.ini ]
assign hook=forward chain=forward
assign hook=sink chain=sink
assign hook=source chain=source

[ pfilter.ini ]
cha ...

很好的文档：
另外补充一下：
udp68是用来接收DHCP答复的
udp67是用来发送DHCP请求的
应该是用来在ADSL拨号时modem请求internet地址的。
2005-1-21 02:04 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线

Quote:
Originally posted by jam_gu at 2005-1-21 14:04:
很好的文档：
另外补充一下：
udp68是用来接收DHCP答复的
udp67是用来发送DHCP请求的
应该是用来在ADSL拨号时modem请求internet地址的。

个人主页：
http://ebc.r8.org
2005-1-21 02:16 PM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
Lucloner
高级会员

积分 122
发贴 122
注册 2005-1-20
状态离线
拜读。。。

modem的问题基本就搞一段落了我来打个招呼就走 88 各位
2005-1-21 04:49 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
rbhdragon
新手上路

积分 5
发贴 5
注册 2005-3-12
状态离线

Quote:
Originally posted by ebc at 2005-1-6 22:18:
先delete chain。

怎样delete ？
可以给出全部步骤么？谢谢...
2005-3-12 04:28 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
<< [1] [2] >>

可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题

快速回复主题
标题: (可选)
选项:
禁用 URL 识别
禁用 Smilies
禁用 Discuz! 代码
使用个人签名
接收新回复邮件通知
[完成后可按 Ctrl+Enter 发布]

论坛跳转:

自己友论坛 ? 【宽频台】 ? 各位有没有设置过里面的firewall?

< 联系我们 - ebc's diy主页 >

=====================

? zerged: 退出 | 短消息 | 控制面板 | 会员 | 搜索 | 帮助| 我要一边听歌一边上论坛返回 ebc's diy主页
自己友论坛 ? 【宽频台】 ? 通过防火墙指定可上网的IP地址范围

作者:
标题: 通过防火墙指定可上网的IP地址范围取消高亮 | 上一主题 | 下一主题
lalala
新手上路

积分 7
发贴 7
注册 2005-3-18
状态离线
通过防火墙指定可上网的IP地址范围

firewall rule create chain=forward index=0 srcintfgrp=wan dstintfgrp=wan action=drop
firewall rule create chain=forward index=1 src=10.0.0.[1-16] dstintfgrp=wan action=accept
firewall rule create chain=forward index=2 srcintfgrp=wan dst=10.0.0.[1-16] action=accept
firewall rule create chain=forward index=3 action=drop

在SpeedTouch 510 (Version 4.0.2.0.1)上成功!
2005-3-22 04:26 PM
查看资料搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
ebc
论坛管理员

积分 14010
发贴 13010
注册 2002-10-1
来自佛山
状态离线

个人主页：
http://ebc.r8.org
2005-3-22 06:01 PM
查看资料发送邮件访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
jiezi0315
版主

积分 328
发贴 328
注册 2004-3-25
状态离线
又学到东西了!!
2005-3-22 07:37 PM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
SCQS
新手上路

积分 1
发贴 1
注册 2005-3-24
状态离线
这些东西加在什么地方。我是菜鸟不好意思了
还有怎么绑定呀。我不明白510也有这个功能么
2005-3-25 01:21 AM
查看资料发送邮件搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
cclsoft
Herbie Cai

积分 1066
发贴 1006
注册 2003-6-15
来自苏州
状态离线
不错。

自己友论坛欢迎您
2005-3-25 08:43 AM
查看资料访问主页搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子
lalala
新手上路

积分 7
发贴 7
注册 2005-3-18
状态离线

Quote:
Originally posted by SCQS at 2005-3-25 01:21 AM:
这些东西加在什么地方。我是菜鸟不好意思了
还有怎么绑定呀。我不明白510也有这个功能么

telnet 10.0.0.138(默认是这个)
firewall rule
list
看看已经有什么了?
然后一条一条add进去
saveall

看看精华区的贴子吧:
http://bianchini.altervista.org/discuz/viewthread.php?tid=1202
2005-3-25 08:46 AM
查看资料搜索该用户的全部帖子发短消息
编辑帖子引用回复向版主反应这个帖子

可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题

快速回复主题
标题: (可选)
选项:
禁用 URL 识别
禁用 Smilies
禁用 Discuz! 代码
使用个人签名
接收新回复邮件通知
[完成后可按 Ctrl+Enter 发布]

论坛跳转:

自己友论坛 ? 【宽频台】 ? 通过防火墙指定可上网的IP地址范围

< 联系我们 - ebc's diy主页 >

linux下如何知道某个端口现在运行什么监听程序

Sat, 21 Jul 2007 03:23:56 GMT

http://it.rising.com.cn/newSite/Channels/Safety/SysSafety/Safe_Unix/200211/06-094102488.htm

linux下如何知道某个端口现在运行什么监听程序 www.rising.com.cn 2002-11-4 17:15:00 信息源:不详

当我们用netstat -an的时候，我们有时候可以看到类似的输出：
udp 0 0 0.0.0.0:32768 0.0.0.0:*
但是查找/etc/services又没有这个端口的相关说明，怎么办呢？这个是不是黑客程序？有没有办法查看究竟什么程序监听在这个端口？

使用lsof -i :32768就可以看到：
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
rpc.statd 603 root 4u IPv4 953 UDP *:32768
rpc.statd 603 root 6u IPv4 956 TCP *:32768 (LISTEN)
原来是rpc的程序。
使用lsof -i :port就能看见所指定端口运行的程序，同时还有当前连接。

Linux排序命令sort详解

Sat, 21 Jul 2007 03:23:25 GMT

http://blog.csdn.net/woso/archive/2007/04/03/1550856.aspx
语法格式

sort [ -A ] [ -b ] [ -c ] [ -d ] [ -f ] [ -i ] [ -m] [ -n ] [ -r ] [ -u ] [ -o OutFile ]
[ -t Character ] [ -T Directory ] [ -y [ Kilobytes ] ] [ -z RecordSize ] [ [ + [ FSkip ]
[ .CSkip ] [ b ] [ d ] [ f ] [ i ] [ n ] [ r ] ] [ - [ FSkip ] [ .CSkip ] [ b ] [ d ] [ f ]
[ i ] [ n ] [ r ] ] ] [ -k KeyDefinition ] [文件 ]

使用说明

sort 命令对 File 参数指定的文件中的行排序，并将结果写到标准输出。如果 File 参数指定多个文件，
那么 sort 命令将这些文件连接起来，并当作一个文件进行排序。-（减号）代替文件名指定标准输入。
如果您不指定任何文件名，那么该命令对标准输入排序。可以使用 -o 标志指定输出文件。

如果不指定任何标志，sort 命令基于当前语言环境的整理顺序对输入文件的所有行排序。

主要参数

-A 使用 ASCII 整理顺序代替当前语言环境的整理顺序在逐字节的基础上排序。
-b 忽略前导空格和制表符，找出字段的第一或最后列。
-c 检查输入是否已按照标志中指定的排序规则进行排序。如果输入文件排序不正确，就返回一个非零值。
-d 使用字典顺序排序。比较中仅考虑字母、数字和空格。
-f 比较前将所有小写字母改成大写字母。
-i 比较中忽略所有非显示字符。
-k KeyDefinition 指定排序关键字。KeyDefinition 选项的格式为：
[ FStart [ .CStart ] ] [ Modifier ] [ , [ FEnd [ .CEnd ] ][ Modifier ] ]
排序关键字包括所有以 FStart 变量指定的字段和 CStart 变量指定的列开头的字符及以 FEnd 变量指定的字段和
CEnd 变量指定的列结束的字符。Modifier 变量的值可以是 b、d、f、i、n 或 r。修饰符与同一字母的标志等价。

-m 只合并多个输入文件；假设输入文件已经排序。
-n 按算术值对数字字段排序。数字字段可包含前导空格、可选减号、十进制数字、千分位分隔符和可选基数符。
对包含任何非数字字符的字段进行数字排序会出现无法预知的结果。
-o OutFile 将输出指向 OutFile 参数指定的文件，而不是标准输出。OutFile 参数值可以与 File 参数值相同。
-r 颠倒指定排序的顺序。
-t Character 指定 Character 为单一的字段分隔符。
-u 禁止按照排序关键字和选项的所有等同排序（每一组行中一行除外）。
-T Directory 将创建的所有临时文件放入 Directory 参数指定的目录中。
-y[Kilobytes] 用 Kilobytes 参数指定的主存储的千字节数启动 sort 命令，并根据需要增加存储量。
（如果 Kilobytes 参数指定的值小于最小存储站点或大于最大存储站点，就以这个最小存储站点或最大存储站点取代）。
如果省略 -y 标志，sort 命令以缺省的存储大小启动。
-y0 标志用最小存储启动，而 -y 标志（不带 Kilobytes 值）用最大存储启动。sort 命令使用的存储量显著地影响性能。
以大存储量对小文件排序将很浪费。
-z RecordSize 如果正在排序的任一行大于缺省的缓冲区大小，要防止出现异常终止。
指定 -c 或 -m 标志时，省略排序阶段，使用系统的缺省缓冲大小。如果已排序行超出这一大小，排序异常终止。
-z 选项指定排序阶段最长行的记录，因而可在合并阶段分配足够的缓冲区。
RecordSize 必须指明等于或大于要合并的最长行的字节值。

应用实例

* 要在 LC_ALL、LC_COLLATE 或 LANG 环境变量设置为 En_US 的情况下排序 fruits 文件，请输入：

LANG=En_US sort fruits
此命令序列显示以升序词典顺序排序的 fruits 文件的内容。每一列的字符，包括空格、数字和特殊字符都经一一比较。
例如，如果 fruits 文件包含文本：
banana
orange
Persimmon
apple
%%banana
apple
ORANGE
sort 命令显示:
%%banana
ORANGE
Persimmon
apple
apple
banana
orange
在 ASCII 整理序列中，%（百分号）在大写字母前，大写字母在小写字母前。
如果您当前的语言环境指定 ASCII 之外的字符集，结果可能不同。

* 要以字典顺序排序，请输入：

sort -d fruits
此命令序列排序和显示 fruits 文件的内容，并且只比较字母、数字和空格。
如果 fruits 文件与示例 1 相同，那么 sort 命令显示：
ORANGE
Persimmon
apple
apple
%%banana
banana
orange
-d 标志忽略 %（百分号）字符，因为它不是个字母、数字或空格。（即 %%banana 被 banana 取代）。

* 要将包含大写字母和具有类似小写行的特殊字符行分组，请输入：

sort -d -f fruits

-d 标志忽略特殊字符，-f 标志忽略大小写差异。
将 LC_ALL、LC_COLLATE 或 LANG 环境变量设置为 C 的情况下，fruits 文件的输出结果变为：
apple
apple
%%banana
banana
ORANGE
orange
Persimmon

* 要除去重复行排序，请输入：

sort -d -f -u fruits

-u 标志告诉 sort 命令除去重复的行，使文件中的每一行唯一。此命令序列显示：
apple
%%banana
ORANGE
Persimmon
不仅除去重复的 apple，而且也除去了 banana 和 ORANGE。
除去这些是因为 -d 标志忽略 %% 这个特殊字符，-f 标志忽略大小写差异。

* 要如上面那样排序，除去重复的实例（除非是大写字母或标点不同），请输入：

sort -u +0 -d -f +0 fruits
输入 +0 -d -f 完成的排序与示例 3 中 -d -f 的排序类型相同，+0 进行另一项比较以区分不一样的行。
这防止 -u 标志将它们除去。
示例 1 所示的 fruits 文件中，添加的 +0 将 %%banana 与 banana 及 ORANGE 与 orange 区分开来。
然而，apple 的两个实例是相同的，所以其中之一被删除。
apple
%%banana
banana
ORANGE
orange
Persimmon

* 要指定分隔字段的字符，请输入：

sort -t: +1 vegetables

此命令序列排序 vegetables 文件，对每一行上第一个冒号后的文本进行比较。
+1 告诉 sort 命令忽略第一字段，从第二字段的开始到该行的结束进行比较。-t: 标志告诉 sort 命令冒号分隔字段。

如果 vegetables 包含：

yams:104
turnips:8
potatoes:15
carrots:104
green beans:32
radishes:5
lettuce:15
那么，将 LC_ALL、LC_COLLATE 或 LANG 环境变量设置为 C 的情况下，sort 命令将显示：
carrots:104
yams:104
lettuce:15
potatoes:15
green beans:32
radishes:5
turnips:8
注意数字没有按照数字排序。当用字典式分类从左至右比较每一个字符时出现这种情况。
换句话说，3 在 5 之前，所以 32 在 5 之前。

* 要排序数字，请输入：

sort -t: +1 -n vegetables

此命令序列按照第二个字段对 vegetables 文件进行数字排序。
如果 vegetables 文件与示例 6 中的相同，那么 sort 命令将显示：
radishes:5
turnips:8
lettuce:15
potatoes:15
green beans:32
carrots:104
yams:104

* 要对多个字段排序，请输入：

sort -t: +1 -2 -n +0 -1 -r vegetables
或
sort -t: -k2,2 n -k1,1 r vegetables

此命令序列对第二字段（+1 -2 -n）进行数字排序。在这个顺序中，它以逆字母顺序（+0 -1 -r）对第一字段排序。
将 LC_ALL、LC_COLLATE 或 LANG 环境变量设置为 C 的情况下，输出将类似于：
radishes:5
turnips:8
potatoes:15
lettuce:15
green beans:32
yams:104
carrots:104

此命令按数字顺序对行排序。当两行数字相同时，它们以逆字母顺序出现。

* 要使用排序的文本替换原始文件，请输入：

sort -o vegetables vegetables
此命令序列将排序输出存入 vegetables 文件（ -o vegetables）。

大家都是做个广告，何必呢（可能是重口味）

Sat, 21 Jul 2007 03:22:48 GMT

http://bbs.stage1st.com/thread-281034-1-1.html

快去救老泰，擎天柱是……是叛徒

Sat, 21 Jul 2007 03:22:12 GMT

http://bbs.stage1st.com/thread-280263-1-1.html

原帖由小孩于 2007-7-10 12:02 发表
有人告诉我旁边那个其实是大黄蜂

原帖由 B能水野多于 2007-7-10 12:24 发表
黑猫警长机械版？蓝猫大神肥胖版？大头儿子眼睛版？

阿尔卡特的SpeedTouch 511e ADSL modem设置防火墙来做到只能上msn

Sat, 21 Jul 2007 03:20:43 GMT

telnet modem

输入用户名密码

然后出现 "=>" 提示符，这时候我们可以开始输入命令了。

首先确认防火墙功能是否开启：

输入命令ip config ：

=>ip config

显示：

Forwarding on

Firewalling on

Sendredirects on

Sourcerouting off

NetBroadcasts off

Default TTL 64

Fraglimit 64 fragments

Fragcount currently 0 fragments

Defragment mode : always

Address checks : dynamic

Mss Clamping : on

第2 行Firewalling 显示on 说明防火墙已经开启。如果是off 说明防火墙是关闭状态。

如果是关闭状态则需要打开它：

=> ip config firewalling on

运行saveall 命令保存设置

=> saveall

如果以后要关闭则运行：

=> ip config firewalling on

然后设置防火墙：

=> Firewall

输入命令前的提示符变成[Firewall]=> 表示我们已经进入防火墙设置选项。

接下来我们开始建立过滤规则。

该modem 的建立规则的结构为：一个chain 下面包含若干个rule 。Rule 就是防火墙的过滤规则，而chain 是为了和modem 的拦载点挂钩（hook ）。首先说一下是，防火墙是内置在modem 的firmware 里面，过滤内网（lan ）、外网（internet ）两个方向的数据包用的。数据包以" 流" 的方式通过modem （路由器）。数据包精确的通过五个" 拦载点" 被控制，称为hook （勾）。它们分别是：
input ：表示进来的数据包怎么处理。
sink ：表示各个方向只针对路由器本身去的数据包怎么处理。
forward ：表示全部要路由器在外网、内网间转送处理的数据包怎么处理。
source ：表示全部只源出于路由器本身的数据包怎么处理。
output ：表示全部出去的数据包怎么处理。
chain 和拦截点挂钩modem 防火墙才知道是以上那种工作模式。

我们平时上网数据包都是要通过modem 转发，所以我们只需要设置forword 的类型的规则就可以了。

现在开始建立chain 。

假定建立一个chain 名字FORWARD( 注意名字是大写，名字小写是modem 自带的chain 。之所以取这个名字是为了方便操作者直观知道该chain 的类型，取其他名字也可以) 。

[Firewall]=> rule list chain=FORWARD
上面这条命令表示查看名字为FORWARD 的chain 否已经存在。

如果不是空，要做下面这步：
chain delete chain=FORWARD
意思是删除这个chain 并且清空原来在该chain 下的rule 。
然后再建立这条chain 。
chain create chain=FORWARD
然后我们就可以设置我们自己想要的rule 。

下面我们建立打开msn 服务器连接的rule ：
Firewall=> rule create chain=FORWARD index=0 srcintfgrp=lan dst=65.54.225.254 action=accept

Index 表示优先级，越高则越优先被执行。srcintfgrp=lan 表示数据包来自局域网，dst=65.54.225.254 表示数据包目的地，后面的action= accept 表示符合以上条件的数据包都允许通过。

上一条只是允许数据包发出去，还要允许msn 服务器的数据包返回，我们再加一条这样的rule ：

Firewall=> rule create chain=FORWARD index=1 src=65.54.225.254 dstintfgrp=lan action=accept

这一条和上一条类似只不过来源和目的地换了一下。

最后要设置其它数据包都不许通过，我们还要加上下面这条：
Firewall=> rule create chain=FORWARD index=4 action=drop

这条表示所有转发的数据包都禁止通过，因为上面2 条rule 优先级高所以msn 服务器还是能够通过。

Chain 建完要和拦截点挂钩，命令如下：

Firewall=> assign hook=forward chain= FORWARD

最后保存

Firewall=> ..

.. 这个命令是退出firewall 选项回到根选项。

=> config save

=> saveall

以上保存设置后重启modem 过滤规则开始生效。

调和的记事本 msn

限制用户硬盘使用空间

饮马流花河主题曲

９７电视剧《梦幻天使》主题曲-嫁别 江涛演唱

快速解压文件

偶也 人中吕布！马中赤兔！猪中广沪

黄安—先知

关于SpeedTouch 511e 这个adsl modem

linux下如何知道某个端口现在运行什么监听程序

Linux排序命令sort详解

大家都是做个广告，何必呢（可能是重口味）

快去救老泰，擎天柱是……是叛徒

阿尔卡特的SpeedTouch 511e ADSL modem设置防火墙来做到只能上msn

９７电视剧《梦幻天使》主题曲-嫁别江涛演唱

偶也人中吕布！马中赤兔！猪中广沪