再谈 iptables 防火墙的指令配置

手机上使用localhost为什么不能访问？

电脑上使用localhost 访问主页的原理是电脑上有网站资源和服务器相关程序apache等的支持, 同时在电脑的hosts文件中有 127.0.0.1 到localhost的映射

. 而手机上的hosts文件中是没有这样的映射的,即使有,也不可以使用localhost,因为手机本机上并没有网站资源和apache等. 只有创建 localhost 到电脑主机对

应的服务器的ip地址之间的映射, 才有可能访问.

wap和http的区别?

以前的非智能手机(功能机), 只能访问wap的网站,(这种wap要专门写,跟html的网站不同). 而现在的只能机都能直接访问http协议了.所以, 即使你开发阶段部署在本

地局域网中的服务器上的站点, 也可以用手机进行测试了.

只要你的手机和服务器在局域网的同一网段比如192.168.1.* ,那么在手机中输入http://...地址都是可以访问到的.

为什么手机不能访问局域网中同一网段的linux服务器?

手机访问 win的服务器基本没有问题
如果不能访问linux的话, 通常是因为 selinux和防火墙. 暂时关闭selinux和防火墙firewalld. 一般来说,暂时关闭这两个后都可以访问.
或者精准设置 iptables (iptables 本身是ip规则过滤系统而已, 相当于交换机/路由器上的acl)但是可以用它来做防火墙.

iptables (什么链input还是output) (源的限制, -s ... -p) (目标的限制, -dport ...)   (动作 -j accept 还是 deny?)

bs其实也不难, 因为常见的常用的bs/html元素, 标签也就那些, 也就那么几个. 你把那些 常用的用法搞清楚就好了.

整个bs包括四个部分: css优化, bs组件, javascript组件, bs扩展

要区别三种形式的表单: 普通表单, inline内联表单(.form-inline, 所有的表单组件都在同一行显示), 水平表单(这个是相对于垂直的普通表单而言的,即每一

个.form-group中的 label和对应的input等控件放在同一行, 但是不同的组是放在不同行的, 水平表单要结合 .form-horizontal 和布局.col-md-? 来使用.

表单的checkbox和radio跟其他input控件有所不同, bs的选择按钮, 相应的类不是放在input上,而是放在 div,或 label上.

而且选择按钮都是 input在前, 提示文字在后.

普通的选择按钮的类是放在 div上, 而内联的选择按钮的类是放在 label上:

label中的for, 可以是对于后面的input控件的 name, 也可以是控件的id.

<div class="checkbox">

    <label for="some-check">

	<input type="checkbox" id="some-check" value="1">选项1

    </label>

</div>

内联选择按钮

<div>

    <label class="col-md-2 checkbox-inline" for="some-check">

	<input type="checkbox" id="some-check" value="1">选项1

    </label>

</div>

要区分选择框的单项和多选框的区别?

单选是一个倒三角形和下拉列表
而多选是所有选项直接全部显示出来的

bootstrap 使用哪一个版本: v3.3.?(可能是 v3.3.5, 还是 v3.3.7)

关于iptables的使用?

在实际工作中配置iptables, 往往并不是一个命令一个命令的输入, 而是写成一个script的sh脚本, 在脚本的最后用 /etc/init.d/iptables-save 写入到

iptables的配置文件(/etc/sysconfig/iptables)中.

利用脚本, 可以将复杂的/ 大量内容的脚本, 分成几个独立的小文件, 有诸多好处, 最后主脚本可以 (调用/呼叫/引用)其他脚本文件:

if [ -f  other-foo-related.sh ]; then

	sh other-foo-related.sh

fi

iptables中的一些选项字母的意思

通常来说都有对应的单词(首字母), 当然也不actually/absolutely. 有时候有些快捷字母/快捷键, 是出于一些习惯/ 便于操作 / 与历史兼容等原因
-j是 --jump 后面的 ACCEPT|DROP|REJECT|LOG 是target(是目标, (所谓目标就是一些规则的集合规则序列, 规则的盒子, 是系统预先定义好了的) 可以理解为

是相应的控制列表 , 比如有 Accept的控制列表, 或者说有 Accept的过滤规则集合规则序列. 所以 jump 到这些target 就是把这条规则 "放到" 相应的规则序列的

最后/或开头.

A 是 Append追加, 将新的规则放在规则target的最后, 而I则是insert 是插入, 是将新的规则放在目标的最前面

-s 表示源地址机器, 可以单个的ip也可以是一个网域, 网域的表示可以用子网掩码的数字,也可以用255.来表示, 比如: 192.168.1.0/24 和

192.168.1.0/255.255.255.0 都是可以的. 都要在中间加斜杠.

--sport 是表示源机器的端口. --dport 表示目的机器的端口. 端口号可以用数字和服务名称表示,比如: --dport 21 和 --dport ftp都是可以的要注意使

用端口的时候, 一定要指明前面使用的协议 ,比如 -p tcp

端口号可以使用连续的范围表示, 比如: 一般客户端访问外部的端口号都是在 1024以上, 所以如果端口号是1:1023的包都可以拒绝. `iptables -A INPUT -p tcp

--sport 1:1023 -j DROP `

但是一条命令中, 只能规定一个单独的端口号, 几个分散的端口号不能写在一条命令中, 要写多条命令来实现.

--syn 表示的主动联机的标志. 如果是外部客户端机器的小于1024的端口号主动联机的话, 则要拒绝: `iptables -A INPUT -p tcp --sport 1:1023 --syn

-j DROP `

iptables 中, 可以使用的在第三层的封包的协议有tcp udp icmp 或者all. 对tcp udp 的过滤, 主要是基于端口, 而icmp的过滤是基于 icmp

的封包类型, icmp中的封包类型较多, 其中类型 8 表示的是 "echo request" 即对外部来的ping命令给予回应. 所以如果要保护服务器, 不让外部机器知道有这样的

服务器, (屏蔽ping) 就是对 INPUT链的 -p icmp --icmp-type 8 -j DROP.

-m 表示的是module ,iptables的外挂模块, 主要有 state状态模块,和 mac 硬件地址模块. 可以简化iptables的配置. 提供了另外一种配置思路, 比如不必一个一个

地配置外部/远程服务器到本地机器的包允许, 那样的话工作量太大, 也不大现实. 所以就可以用 state模块来处理: --state 有 INVALID NEW RELATED

ESTABLISHED 四种, 后面两种表示如果一个进来的包 (他的状态) 是本地机器发起到远程服务器的请求的响应包, 那么就应该放行, 所以要accept. 如果是无效

的包 invalid, 就要drop. `iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -m state --state INVALID -j DROP

`

而mac 外挂模块则可以基于机器的mac地址进行过滤, 阻止(这个可以针对使用软件进行伪造 ip地址的包绕过防火墙的行为进行阻截).

-i eth0 或 -o eth0 表示数据从从哪个接口进入或从哪个接口出去. i表示input, o表示 output出去.

总之,iptables的内容很多,也很复杂, 但是你掌握最常用的最主要的内容就好了. 比如对input链的配置过滤. 其实就相当于一个ACL. 也不是太难. 因此, 也就

没有必要将防火墙一关了之. 可以对他进行配置的.

iptables 的内容大的方面来说,主要有三个表 filter, nat, mangle表. 而对访问控制的主要就是 filter(这个过滤表,也是默认的表, 即不指定-t TABLENAME的时候

).

filter表有三个链 (即三个进出方向), INPUT OUTPUT FORWARD. 通常 output和forward链都是accept的, 因为这两个链对本地机器通常没有伤害. 主要是配置指定

input链.

具体对iptables 的配置步骤

首先是查看, iptables -nv -L (-n表示不翻译/不解析成hostname. -v表示详情verbos)

也可以用 iptables-save查看?
清除原有的内容:

iptables -F (清除默认的政策policy)

iptalbes -X(清除用户自定义的规则)

iptables -Z( 将数据清零)
建立默认的/总的原则(政策) , 用 -P选项(这里的P表示 Policy政策, 即当封包没有自定义规则匹配的时候, 就按这里的 "政策" 执行)

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT // 所以通常只是配置input莲, 你所看到的大多是input莲的过滤.
默认的格式: iptables [-AI] INPUT [-io eth0] [-p 协议tcp udp icmp all] [-s !source] [-d !destionation 感叹号表示否定非] [--sport / --dport

/--icmp-type ...] -j ACCEPT|DROP|REJECT|LOG

log是记录在系统的核心消息文件 /var/log/messages 中.

信任装置?

就是在iptables命令中, 凡是没有设置的内容/项目, 表示 "全都接受" , 这就是所谓的信任装置.

可以用来修改ip地址或mac地址的黑客软件是什么?

iptables也是一个服务吗?

可以用systemctl status iptables 来查看吗?
可以用chkconfig --list iptables 来查看?

可以直接修改 /etc/sysconfig/iptables 这个文件来配置防火墙吗?