亚洲狠狠婷婷综合久久蜜芽,色偷偷尼玛图亚洲综合,xvideos亚洲永久网址

一：需要包含的包
import java.security.*;
import java.io.*;
import java.util.*;
import java.security.*;
import java.security.cert.*;
import sun.security.x509.*
import java.security.cert.Certificate;
import java.security.cert.CertificateFactory;
二：從文件中讀取證書
用keytool將.keystore中的證書寫入文件中，然后從該文件中讀取證書信息
CertificateFactory cf=CertificateFactory.getInstance("X.509");
FileInputStream in=new FileInputStream("out.csr");
Certificate c=cf.generateCertificate(in);
String s=c.toString();
三：從密鑰庫中直接讀取證書
String pass="123456";
FileInputStream in=new FileInputStream(".keystore");
KeyStore ks=KeyStore.getInstance("JKS");
ks.load(in,pass.toCharArray());
java.security.cert.Certificate c=ks.getCertificate(alias);//alias為條目的別名
四：JAVA程序中顯示證書指定信息
System.out.println("輸出證書信息:\n"+c.toString());
System.out.println("版本號:"+t.getVersion());
System.out.println("序列號:"+t.getSerialNumber().toString(16));
System.out.println("主體名："+t.getSubjectDN());
System.out.println("簽發者："+t.getIssuerDN());
System.out.println("有效期："+t.getNotBefore());
System.out.println("簽名算法："+t.getSigAlgName());
byte [] sig=t.getSignature();//簽名值
PublicKey pk=t.getPublicKey();
byte [] pkenc=pk.getEncoded();
System.out.println("公鑰");
for(int i=0;i<pkenc.length;i++)System.out.print(pkenc[i]+",");
五：JAVA程序列出密鑰庫所有條目
String pass="123456";
FileInputStream in=new FileInputStream(".keystore");
KeyStore ks=KeyStore.getInstance("JKS");
ks.load(in,pass.toCharArray());
Enumeration e=ks.aliases();
while(e.hasMoreElements())
java.security.cert.Certificate c=ks.getCertificate((String)e.nextElement());
六：JAVA程序修改密鑰庫口令
String oldpass="123456";
String newpass="654321";
FileInputStream in=new FileInputStream(".keystore");
KeyStore ks=KeyStore.getInstance("JKS");
ks.load(in,oldpass.toCharArray());
in.close();
FileOutputStream output=new FileOutputStream(".keystore");
ks.store(output,newpass.toCharArray());
output.close();
七：JAVA程序修改密鑰庫條目的口令及添加條目
FileInputStream in=new FileInputStream(".keystore");
KeyStore ks=KeyStore.getInstance("JKS");
ks.load(in,storepass.toCharArray());
Certificate [] cchain=ks.getCertificate(alias);獲取別名對應條目的證書鏈
PrivateKey pk=(PrivateKey)ks.getKey(alias,oldkeypass.toCharArray());獲取別名對應條目的私鑰
ks.setKeyEntry(alias,pk,newkeypass.toCharArray(),cchain);向密鑰庫中添加條目
第一個參數指定所添加條目的別名，假如使用已存在別名將覆蓋已存在條目，使用新別名將增加一個新條目，第二個參數為條目的私鑰，第三個為設置的新口令，第四個為該私鑰的公鑰的證書鏈
FileOutputStream output=new FileOutputStream("another");
ks.store(output,storepass.toCharArray())將keystore對象內容寫入新文件
八：JAVA程序檢驗別名和刪除條目
FileInputStream in=new FileInputStream(".keystore");
KeyStore ks=KeyStore.getInstance("JKS");
ks.load(in,storepass.toCharArray());
ks.containsAlias("sage");檢驗條目是否在密鑰庫中，存在返回true
ks.deleteEntry("sage");刪除別名對應的條目
FileOutputStream output=new FileOutputStream(".keystore");
ks.store(output,storepass.toCharArray())將keystore對象內容寫入文件,條目刪除成功
九：JAVA程序簽發數字證書
（1）從密鑰庫中讀取CA的證書
FileInputStream in=new FileInputStream(".keystore");
KeyStore ks=KeyStore.getInstance("JKS");
ks.load(in,storepass.toCharArray());
java.security.cert.Certificate c1=ks.getCertificate("caroot");
（2）從密鑰庫中讀取CA的私鑰
PrivateKey caprk=(PrivateKey)ks.getKey(alias,cakeypass.toCharArray());
（3）從CA的證書中提取簽發者的信息
byte[] encod1=c1.getEncoded();提取CA證書的編碼
X509CertImpl cimp1=new X509CertImpl(encod1);　用該編碼創建X509CertImpl類型對象
X509CertInfo cinfo1=(X509CertInfo)cimp1.get(X509CertImpl.NAME+"."+X509CertImpl.INFO);　獲取X509CertInfo對象
X500Name issuer=(X500Name)cinfo1.get(X509CertInfo.SUBJECT+"."+CertificateIssuerName.DN_NAME); 獲取X509Name類型的簽發者信息
（4）獲取待簽發的證書
CertificateFactory cf=CertificateFactory.getInstance("X.509");
FileInputStream in2=new FileInputStream("user.csr");
java.security.cert.Certificate c2=cf.generateCertificate(in);
（5）從待簽發的證書中提取證書信息
byte [] encod2=c2.getEncoded();
X509CertImpl cimp2=new X509CertImpl(encod2);　用該編碼創建X509CertImpl類型對象
X509CertInfo cinfo2=(X509CertInfo)cimp2.get(X509CertImpl.NAME+"."+X509CertImpl.INFO);　獲取X509CertInfo對象
（6）設置新證書有效期
Date begindate=new Date(); 獲取當前時間
Date enddate=new Date(begindate.getTime()+3000*24*60*60*1000L); 有效期為3000天
CertificateValidity cv=new CertificateValidity(begindate,enddate); 創建對象
cinfo2.set(X509CertInfo.VALIDITY,cv);　設置有效期
（7）設置新證書序列號
int sn=(int)(begindate.getTime()/1000);以當前時間為序列號
CertificateSerialNumber csn=new CertificateSerialNumber(sn);
cinfo2.set(X509CertInfo.SERIAL_NUMBER,csn);
（8）設置新證書簽發者
cinfo2.set(X509CertInfo.ISSUER+"."+CertificateIssuerName.DN_NAME,issuer);應用第三步的結果
（9）設置新證書簽名算法信息
AlgorithmId algorithm=new AlgorithmId(AlgorithmId.md5WithRSAEncryption_oid);
cinfo2.set(CertificateAlgorithmId.NAME+"."+CertificateAlgorithmId.ALGORITHM,algorithm);
（10）創建證書并使用CA的私鑰對其簽名
X509CertImpl newcert=new X509CertImpl(cinfo2);
newcert.sign(caprk,"MD5WithRSA"); 使用CA私鑰對其簽名
（11）將新證書寫入密鑰庫
ks.setCertificateEntry("lf_signed",newcert);
FileOutputStream out=new FileOutputStream("newstore");
ks.store(out,"newpass".toCharArray());　這里是寫入了新的密鑰庫，也可以使用第七條來增加條目
十：數字證書的檢驗
（1）驗證證書的有效期
（a）獲取X509Certificate類型對象
CertificateFactory cf=CertificateFactory.getInstance("X.509");
FileInputStream in1=new FileInputStream("aa.crt");
java.security.cert.Certificate　c1=cf.generateCertificate(in1);
X509Certificate t=(X509Certificate)c1;
in2.close();
（b）獲取日期
Date TimeNow=new Date();
（c）檢驗有效性
try{
t.checkValidity(TimeNow);
System.out.println("OK");
}catch(CertificateExpiredException e){　//過期
System.out.println("Expired");
System.out.println(e.getMessage());
}catch((CertificateNotYetValidException e){ //尚未生效
System.out.println("Too early");
System.out.println(e.getMessage());}
（2）驗證證書簽名的有效性
（a）獲取CA證書
CertificateFactory cf=CertificateFactory.getInstance("X.509");
FileInputStream in2=new FileInputStream("caroot.crt");
java.security.cert.Certificate　cac=cf.generateCertificate(in2);
in2.close();
（c）獲取CA的公鑰
PublicKey pbk=cac.getPublicKey();
（b）獲取待檢驗的證書（上步已經獲取了，就是C1）
（c）檢驗證書
boolean pass=false;
try{
c1.verify(pbk);
pass=true;
}catch(Exception e){
pass=false;
System.out.println(e);
}

#!/usr/bin/python import re import fileinput exists_re = re.compile(r'^(.*?) INFO.*Such a record already exists', re.I) location_re = re.compile(r'^AwbLocation (.*?) insert into', re.I) for line in fileinput.input(): fn = fileinput.filename() currline = line.rstrip() mprev = exists_re.search(currline) if(mprev): xlogtime = mprev.group(1) mcurr = location_re.search(currline) if(mcurr): print fn, xlogtime, mcurr.group(1)

#!/usr/bin/perl while (<>) { chomp; if (m/^(.*?) INFO.*Such a record already exists/i) { $xlogtime = $1; } if (m/^AwbLocation (.*?) insert into/i) { print "$ARGV $xlogtime $1\n"; } }

在文本處理方面，Perl 比Python快8倍左右。

所以在處理大文件如大日志方面，用perl更好，因為更快。

如果對速度要求不是很嚴格的話，用python更好，因為python簡潔易懂，容易維護和閱讀。

為什么在文本處理時，Perl比Python快很多呢？

這是因為Perl的模式匹配是其內置功能，而Python需要加載re模塊，使用內置命令比外部命令要快很多。

內置命令和外部命令的區別

Linux命令有內置命令和外部命令之分，功能基本相同，但是調用有些細微差別。

內置命令實際上是shell程序的一部分，其中包含的是一些簡單的linux系統命令，這些命令在shell程序識別并在shell程序內部完成運行，通常在linux系統加載運行時shell就被加載并駐留在系統內存中。內部命令是設在bash源代碼里面的，其執行速度比外部命令快，因為解析內部命令shell不需要創建子進程，比如exit，cd，pwd，echo，history等。

外部命令是linux系統中的實用應用程序，因為實用程序的功能通常比較強大，其包含的程序量也很大，在系統加載的時候并不隨系統一起被加載到內存中，而是在需要的時候才將其調入內存。通常外部命令的實體并不包含在shell中，但是其命令執行過程是由shell程序控制的。shell程序管理外部命令執行的路徑查找，加載存放，并控制命令的執行。外部命令是在bash之外額外安裝的，通常放在/bin, /usr/bin, /sbin, /usr/sbin,....等。

用type命令可以分辨內部命令與外部命令。

轉自：

Eclipse下Debug時，彈出錯誤提示：“Unable to install breakpoint due to missing line number attributes. Modify compiler options to generate line number attributes”，無法進行調試。

遇到這個錯誤時找到的解答方案匯總：

1、修改Eclipse的java編譯器使用jdk，而不是jre；
2、使用Ant編譯時，未打開debug開關，在寫javac 任務時，設置debug="true"，否則不能調試。THe settings for the eclipse compiler don't affect the ant build and even if you launch the ant build from withineclipse. ant controls it's own compiler settings.you can tell ant to generate debugging info like this 'javac ... debug="true".../>；（我遇到的問題，是采用這個辦法解決的）
3、編譯器的設置問題，window->preferences->java->Compiler在compiler起始頁，classfile Generation區域中確認已經勾選了All line number attributes to generated class files。如果已經勾選，從新來一下再Apply一下。或者從項目層次進行設定，項目屬性->java compiler同樣在起始頁，確定已經勾選。

Eclipse編譯時出現Outof Memory問題，解決辦法如下：

window->preferences->java->Installed JREs，選擇安裝的jre（如jdk1.5.0），單擊右邊按鈕“Edit”，彈出“Edit JRE”的對話框，在Default VM Argument的輸入框中輸入：-Xmx512m，然后按確定，即可。(-Xms是設定最小內存，-Xmx是設定最大內存）

一：前言

防火墻，其實說白了講，就是用于實現Linux下訪問控制的功能的，它分為硬件的或者軟件的防火墻兩種。無論是在哪個網絡中，防火墻工作的地方一定是在網絡的邊緣。而我們的任務就是需要去定義到底防火墻如何工作，這就是防火墻的策略，規則，以達到讓它對出入網絡的IP、數據進行檢測。

目前市面上比較常見的有3、4層的防火墻，叫網絡層的防火墻，還有7層的防火墻，其實是代理層的網關。

對于TCP/IP的七層模型來講，我們知道第三層是網絡層，三層的防火墻會在這層對源地址和目標地址進行檢測。但是對于七層的防火墻，不管你源端口或者目標端口，源地址或者目標地址是什么，都將對你所有的東西進行檢查。所以，對于設計原理來講，七層防火墻更加安全，但是這卻帶來了效率更低。所以市面上通常的防火墻方案，都是兩者結合的。而又由于我們都需要從防火墻所控制的這個口來訪問，所以防火墻的工作效率就成了用戶能夠訪問數據多少的一個最重要的控制，配置的不好甚至有可能成為流量的瓶頸。

二：iptables 的歷史以及工作原理

1.iptables的發展:

iptables的前身叫ipfirewall （內核1.x時代）,這是一個作者從freeBSD上移植過來的，能夠工作在內核當中的，對數據包進行檢測的一款簡易訪問控制工具。但是ipfirewall工作功能極其有限(它需要將所有的規則都放進內核當中，這樣規則才能夠運行起來，而放進內核，這個做法一般是極其困難的)。當內核發展到2.x系列的時候，軟件更名為ipchains，它可以定義多條規則，將他們串起來，共同發揮作用，而現在，它叫做iptables，可以將規則組成一個列表，實現絕對詳細的訪問控制功能。

他們都是工作在用戶空間中，定義規則的工具，本身并不算是防火墻。它們定義的規則，可以讓在內核空間當中的netfilter來讀取，并且實現讓防火墻工作。而放入內核的地方必須要是特定的位置，必須是tcp/ip的協議棧經過的地方。而這個tcp/ip協議棧必須經過的地方，可以實現讀取規則的地方就叫做 netfilter.(網絡過濾器)

作者一共在內核空間中選擇了5個位置，

1.內核空間中：從一個網絡接口進來，到另一個網絡接口去的

2.數據包從內核流入用戶空間的

3.數據包從用戶空間流出的

4.進入/離開本機的外網接口

5.進入/離開本機的內網接口

2.iptables的工作機制

從上面的發展我們知道了作者選擇了5個位置，來作為控制的地方，但是你有沒有發現，其實前三個位置已經基本上能將路徑徹底封鎖了，但是為什么已經在進出的口設置了關卡之后還要在內部卡呢？由于數據包尚未進行路由決策，還不知道數據要走向哪里，所以在進出口是沒辦法實現數據過濾的。所以要在內核空間里設置轉發的關卡，進入用戶空間的關卡，從用戶空間出去的關卡。那么，既然他們沒什么用，那我們為什么還要放置他們呢？因為我們在做NAT和DNAT的時候，目標地址轉換必須在路由之前轉換。所以我們必須在外網而后內網的接口處進行設置關卡。

這五個位置也被稱為五個鉤子函數（hook functions）,也叫五個規則鏈。

1.PREROUTING (路由前)

2.INPUT (數據包流入口)

3.FORWARD (轉發管卡)

4.OUTPUT(數據包出口)

5.POSTROUTING（路由后）

這是NetFilter規定的五個規則鏈，任何一個數據包，只要經過本機，必將經過這五個鏈中的其中一個鏈。

3.防火墻的策略

防火墻策略一般分為兩種，一種叫“通”策略，一種叫“堵”策略，通策略，默認門是關著的，必須要定義誰能進。堵策略則是，大門是洞開的，但是你必須有身份認證，否則不能進。所以我們要定義，讓進來的進來，讓出去的出去，所以通，是要全通，而堵，則是要選擇。當我們定義的策略的時候，要分別定義多條功能，其中：定義數據包中允許或者不允許的策略，filter過濾的功能，而定義地址轉換的功能的則是nat選項。為了讓這些功能交替工作，我們制定出了“表”這個定義，來定義、區分各種不同的工作功能和處理方式。

我們現在用的比較多個功能有3個：

1.filter 定義允許或者不允許的

2.nat 定義地址轉換的

3.mangle功能:修改報文原數據

我們修改報文原數據就是來修改TTL的。能夠實現將數據包的元數據拆開，在里面做標記/修改內容的。而防火墻標記，其實就是靠mangle來實現的。

小擴展:

對于filter來講一般只能做在3個鏈上：INPUT ，FORWARD ，OUTPUT

對于nat來講一般也只能做在3個鏈上：PREROUTING ，OUTPUT ，POSTROUTING

而mangle則是5個鏈都可以做：PREROUTING，INPUT，FORWARD，OUTPUT，POSTROUTING

iptables/netfilter（這款軟件）是工作在用戶空間的，它可以讓規則進行生效的，本身不是一種服務，而且規則是立即生效的。而我們iptables現在被做成了一個服務，可以進行啟動，停止的。啟動，則將規則直接生效，停止，則將規則撤銷。

iptables還支持自己定義鏈。但是自己定義的鏈，必須是跟某種特定的鏈關聯起來的。在一個關卡設定，指定當有數據的時候專門去找某個特定的鏈來處理，當那個鏈處理完之后，再返回。接著在特定的鏈中繼續檢查。

注意：規則的次序非常關鍵，誰的規則越嚴格，應該放的越靠前，而檢查規則的時候，是按照從上往下的方式進行檢查的。

三．規則的寫法:

iptables定義規則的方式比較復雜:

格式：iptables [-t table] COMMAND chain CRETIRIA -j ACTION

-t table ：3個filter nat mangle

COMMAND：定義如何對規則進行管理

chain：指定你接下來的規則到底是在哪個鏈上操作的，當定義策略的時候，是可以省略的

CRETIRIA:指定匹配標準

-j ACTION :指定如何進行處理

比如：不允許172.16.0.0/24的進行訪問。

iptables -t filter -A INPUT -s 172.16.0.0/16 -p udp --dport 53 -j DROP

當然你如果想拒絕的更徹底：

iptables -t filter -R INPUT 1 -s 172.16.0.0/16 -p udp --dport 53 -j REJECT

iptables -L -n -v #查看定義規則的詳細信息

四：詳解COMMAND:

1.鏈管理命令（這都是立即生效的）

-P :設置默認策略的（設定默認門是關著的還是開著的）

默認策略一般只有兩種

iptables -P INPUT (DROP|ACCEPT) 默認是關的/默認是開的

比如：

iptables -P INPUT DROP 這就把默認規則給拒絕了。并且沒有定義哪個動作，所以關于外界連接的所有規則包括Xshell連接之類的，遠程連接都被拒絕了。

-F: FLASH，清空規則鏈的(注意每個鏈的管理權限)

iptables -t nat -F PREROUTING

iptables -t nat -F 清空nat表的所有鏈

-N:NEW 支持用戶新建一個鏈

iptables -N inbound_tcp_web 表示附在tcp表上用于檢查web的。

-X: 用于刪除用戶自定義的空鏈

使用方法跟-N相同，但是在刪除之前必須要將里面的鏈給清空昂了

-E：用來Rename chain主要是用來給用戶自定義的鏈重命名

-E oldname newname

-Z：清空鏈，及鏈中默認規則的計數器的（有兩個計數器，被匹配到多少個數據包，多少個字節）

iptables -Z :清空

2.規則管理命令

-A：追加，在當前鏈的最后新增一個規則

-I num : 插入，把當前規則插入為第幾條。

-I 3 :插入為第三條

-R num：Replays替換/修改第幾條規則

格式：iptables -R 3 …………

-D num：刪除，明確指定刪除第幾條規則

3.查看管理命令 “-L”

附加子命令

-n：以數字的方式顯示ip，它會將ip直接顯示出來，如果不加-n，則會將ip反向解析成主機名。

-v：顯示詳細信息

-vv

-vvv :越多越詳細

-x：在計數器上顯示精確值，不做單位換算

--line-numbers : 顯示規則的行號

-t nat：顯示所有的關卡的信息

五：詳解匹配標準

1.通用匹配：源地址目標地址的匹配

-s：指定作為源地址匹配，這里不能指定主機名稱，必須是IP

IP | IP/MASK | 0.0.0.0/0.0.0.0

而且地址可以取反，加一個“!”表示除了哪個IP之外

-d：表示匹配目標地址

-p：用于匹配協議的（這里的協議通常有3種，TCP/UDP/ICMP）

-i eth0：從這塊網卡流入的數據

流入一般用在INPUT和PREROUTING上

-o eth0：從這塊網卡流出的數據

流出一般在OUTPUT和POSTROUTING上

2.擴展匹配

2.1隱含擴展：對協議的擴展

-p tcp :TCP協議的擴展。一般有三種擴展

--dport XX-XX：指定目標端口,不能指定多個非連續端口,只能指定單個端口，比如

--dport 21 或者 --dport 21-23 (此時表示21,22,23)

--sport：指定源端口

--tcp-fiags：TCP的標志位（SYN,ACK，FIN,PSH，RST,URG）

對于它，一般要跟兩個參數：

1.檢查的標志位

2.必須為1的標志位

--tcpflags syn,ack,fin,rst syn = --syn

表示檢查這4個位，這4個位中syn必須為1，其他的必須為0。所以這個意思就是用于檢測三次握手的第一次包的。對于這種專門匹配第一包的SYN為1的包，還有一種簡寫方式，叫做--syn

-p udp：UDP協議的擴展

--dport

--sport

-p icmp：icmp數據報文的擴展

--icmp-type：

echo-request(請求回顯)，一般用8 來表示

所以 --icmp-type 8 匹配請求回顯數據包

echo-reply （響應的數據包）一般用0來表示

2.2顯式擴展（-m）

擴展各種模塊

-m multiport：表示啟用多端口擴展

之后我們就可以啟用比如 --dports 21,23,80

六：詳解-j ACTION

常用的ACTION：

DROP：悄悄丟棄

一般我們多用DROP來隱藏我們的身份，以及隱藏我們的鏈表

REJECT：明示拒絕

ACCEPT：接受

custom_chain：轉向一個自定義的鏈

DNAT

SNAT

MASQUERADE：源地址偽裝

REDIRECT：重定向：主要用于實現端口重定向

MARK：打防火墻標記的

RETURN：返回

在自定義鏈執行完畢后使用返回，來返回原規則鏈。

練習題1：

只要是來自于172.16.0.0/16網段的都允許訪問我本機的172.16.100.1的SSHD服務

分析：首先肯定是在允許表中定義的。因為不需要做NAT地址轉換之類的，然后查看我們SSHD服務，在22號端口上，處理機制是接受，對于這個表，需要有一來一回兩個規則，如果我們允許也好，拒絕也好，對于訪問本機服務，我們最好是定義在INPUT鏈上，而OUTPUT再予以定義就好。(會話的初始端先定義)，所以加規則就是：

定義進來的： iptables -t filter -A INPUT -s 172.16.0.0/16 -d 172.16.100.1 -p tcp --dport 22 -j ACCEPT

定義出去的： iptables -t filter -A OUTPUT -s 172.16.100.1 -d 172.16.0.0/16 -p tcp --dport 22 -j ACCEPT

將默認策略改成DROP:

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

七：狀態檢測：

是一種顯式擴展，用于檢測會話之間的連接關系的，有了檢測我們可以實現會話間功能的擴展

什么是狀態檢測？對于整個TCP協議來講，它是一個有連接的協議，三次握手中，第一次握手，我們就叫NEW連接，而從第二次握手以后的，ack都為1，這是正常的數據傳輸，和tcp的第二次第三次握手，叫做已建立的連接（ESTABLISHED）,還有一種狀態，比較詭異的，比如：SYN=1 ACK=1 RST=1,對于這種我們無法識別的，我們都稱之為INVALID無法識別的。還有第四種，FTP這種古老的擁有的特征，每個端口都是獨立的，21號和20號端口都是一去一回，他們之間是有關系的，這種關系我們稱之為RELATED。

所以我們的狀態一共有四種：

NEW

ESTABLISHED

INVALID

所以我們對于剛才的練習題，可以增加狀態檢測。比如進來的只允許狀態為NEW和ESTABLISHED的進來，出去只允許ESTABLISHED的狀態出去，這就可以將比較常見的反彈式木馬有很好的控制機制。

對于練習題的擴展：

進來的拒絕出去的允許，進來的只允許ESTABLISHED進來，出去只允許ESTABLISHED出去。默認規則都使用拒絕

iptables -L -n --line-number ：查看之前的規則位于第幾行

改寫INPUT

iptables -R INPUT 2 -s 172.16.0.0/16 -d 172.16.100.1 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -R OUTPUT 1 -m state --state ESTABLISHED -j ACCEPT

此時如果想再放行一個80端口如何放行呢？

iptables -A INPUT -d 172.16.100.1 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -R INPUT 1 -d 172.16.100.1 -p udp --dport 53 -j ACCEPT

練習題2：

假如我們允許自己ping別人，但是別人ping自己ping不通如何實現呢？

分析：對于ping這個協議，進來的為8（ping），出去的為0(響應).我們為了達到目的，需要8出去,允許0進來

在出去的端口上：iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT

在進來的端口上：iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT

小擴展：對于127.0.0.1比較特殊，我們需要明確定義它

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

八：SNAT和DNAT的實現

由于我們現在IP地址十分緊俏，已經分配完了，這就導致我們必須要進行地址轉換，來節約我們僅剩的一點IP資源。那么通過iptables如何實現NAT的地址轉換呢？

1.SNAT基于原地址的轉換

基于原地址的轉換一般用在我們的許多內網用戶通過一個外網的口上網的時候，這時我們將我們內網的地址轉換為一個外網的IP，我們就可以實現連接其他外網IP的功能。

所以我們在iptables中就要定義到底如何轉換：

定義的樣式：

比如我們現在要將所有192.168.10.0網段的IP在經過的時候全都轉換成172.16.100.1這個假設出來的外網地址：

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 172.16.100.1

這樣，只要是來自本地網絡的試圖通過網卡訪問網絡的，都會被統統轉換成172.16.100.1這個IP.

那么，如果172.16.100.1不是固定的怎么辦？

我們都知道當我們使用聯通或者電信上網的時候，一般它都會在每次你開機的時候隨機生成一個外網的IP，意思就是外網地址是動態變換的。這時我們就要將外網地址換成 MASQUERADE(動態偽裝):它可以實現自動尋找到外網地址，而自動將其改為正確的外網地址。所以，我們就需要這樣設置：

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE

這里要注意：地址偽裝并不適用于所有的地方。

2.DNAT目標地址轉換

對于目標地址轉換，數據流向是從外向內的，外面的是客戶端，里面的是服務器端通過目標地址轉換，我們可以讓外面的ip通過我們對外的外網ip來訪問我們服務器不同的服務器，而我們的服務卻放在內網服務器的不同的服務器上。

如何做目標地址轉換呢？：

iptables -t nat -A PREROUTING -d 192.168.10.18 -p tcp --dport 80 -j DNAT --todestination 172.16.100.2

目標地址轉換要做在到達網卡之前進行轉換,所以要做在PREROUTING這個位置上

九：控制規則的存放以及開啟

注意：你所定義的所有內容，當你重啟的時候都會失效，要想我們能夠生效，需要使用一個命令將它保存起來

1.service iptables save 命令

它會保存在/etc/sysconfig/iptables這個文件中

2.iptables-save 命令

iptables-save > /etc/sysconfig/iptables

3.iptables-restore 命令

開機的時候，它會自動加載/etc/sysconfig/iptabels

如果開機不能加載或者沒有加載，而你想讓一個自己寫的配置文件（假設為iptables.2）手動生效的話：

iptables-restore < /etc/sysconfig/iptables.2

則完成了將iptables中定義的規則手動生效

十：總結

Iptables是一個非常重要的工具，它是每一個防火墻上幾乎必備的設置，也是我們在做大型網絡的時候，為了很多原因而必須要設置的。學好Iptables,可以讓我們對整個網絡的結構有一個比較深刻的了解，同時，我們還能夠將內核空間中數據的走向以及linux的安全給掌握的非常透徹。我們在學習的時候，盡量能結合著各種各樣的項目，實驗來完成，這樣對你加深iptables的配置，以及各種技巧有非常大的幫助。

附加iptables比較好的文章：

netfilter/iptables全攻略

在文本處理方面，Perl 比Python快8倍左右。

內置命令和外部命令的區別

常用鏈接

留言簿(12)

隨筆分類

隨筆檔案

收藏夾

搜索

最新評論

閱讀排行榜

評論排行榜