系統的input和output預設策略為drop;
1、限制本地主機的web伺服器在周一不允許訪問;新請求的速率不能超過100個每秒;web伺服器包含了admin字串的頁面不允許訪問;web伺服器僅允許響應報文離開本機;
]# iptables -a input -p tcp --dport 80 -mtime ! --weekdays mon -m connlimit --connlimit-above 100 -j accept
]# iptables -a output -p tcp --sport 80 -m state --stateestablished -m string --algo kmp --string "admin" -j reject
]# iptables -a output -m state --state established,related -jaccept
]# iptables -ainput -s 172.16.0.0/16 -p tcp --dport 21-m time --weekdays mon,mon,tus,wed,thu,fri --timestart 08:30:00 --timestop18:00:00 -m connlimit --connlimit-above 5 -j accept
3、開放本機的ssh服務給172.16.x.1-172.16.x.100中的主機,x為你的座位號,新請求建立的速率一分鐘不得超過2個;僅允許響應報文通過其服務埠離開本機;
]#iptables -a input -p tcp --dport 22 -miprange --src-range 172.16.1.1-172.16.1.100 -m limit --limit 2/minute -j accept
]#iptables -a output -m state --state established,related -jaccept
]# iptables -a output -m state --state established,related -jaccept
4、拒絕tcp標誌位全部為1及全部為0的報文訪問本機;
]#iptables -a input -p tcp --tcp-flags all all -j drop
]#iptables -a input -p tcp --tcp-flags all none -j drop
5、允許本機ping別的主機;但不開放別的主機ping本機;
#] iptables -a output -s 192.168.10.132 -p icmp --icmp-type 8 -j accept
#] iptables -a input -d 192.168.10.132 -p icmp --icmp-type 0 -j accept
6、判斷下述規則的意義:
# iptables -n clean_in
新增一條自定義鏈clean_in
# iptables -a clean_in -d 255.255.255.255 -p icmp -j drop
在自定義鏈clean_in中新增規則:丟棄對受限廣播的位址255.255.255.255的ping包
# iptables -a clean_in -d 172.16.255.255 -p icmp -j drop
在自定義鏈clean_in中新增規則:丟棄對172.16.0.0/16網段廣播位址的ping包
# iptables -a clean_in -p tcp ! --syn -m state --state new -j drop
在自定義鏈clean_in中新增規則:丟棄tcp連線非第一次握手的新請求包
# iptables -a clean_in -p tcp --tcp-flags all all -j drop
在自定義鏈clean_in中新增規則:丟棄標誌位全為1的tcp報文
# iptables -a clean_in -p tcp --tcp-flags all none -j drop
在自定義鏈clean_in中新增規則:丟棄標誌位全為0的tcp報文
# iptables -a clean_in -d 172.16.100.7 -j return
在自定義鏈clean_in中新增規則:目的位址為172.16.100.7的報文返回主鏈
# iptables -a input -d 172.16.100.7 -j clean_in
對目的位址為172.16.100.7的報文呼叫自定義鏈clean_in
# iptables -a input -i lo -j accept
允許資料報文流入本地回環介面lo
# iptables -a output -o lo -j accept
允許資料報文流出本地回環介面lo
# iptables -a input -i eth0 -m multiport -p tcp --dports 53,113,135,137,139,445 -j drop
指定流入介面為eth0,訪問tcp埠53,113,135,137,139,445的報文丟棄
# iptables -a input -i eth0 -m multiport -p udp --dports 53,113,135,137,139,445 -j drop
指定流入介面為eth0,訪問udp埠53,113,135,137,139,445的報文丟棄
# iptables -a input -i eth0 -p udp --dport 1026 -j drop
丟棄流入介面為eth0,訪問udp 1026埠的請求
# iptables -a input -i eth0 -m multiport -p tcp --dports 1433,4899 -j drop
丟棄流入介面為eth0,訪問1433,4899埠的tcp資料報文
# iptables -a input -p icmp -m limit --limit 10/second -j accept
限制ping包速率每秒不超過10個
#] vim /etc/hosts.allow
vsftpd:172.16. except 172.16.100.3
#] vim /etc/hosts.deny
OSG VS 第十一周
成果總結 1.關於獲取模型的世界座標 問了師姐,師姐給我講解了一些模型結構上的東西,指了個大致方向,說實話半懂不懂,回來自己試了試,沒有成功。正巧經理來跟我討論下一步的計畫,我就跟他講了座標的問題。第二天他告訴我說,目前沒有現成的介面可以用 他也跟師姐討論了,獲取頂點座標之後再區分有效可用的,很麻煩...
第十一周作業
1 tabcontrol imagelist panel功能演示 2 timer picturebox splitcontainer contextmenustrip控制項功能演示 設定三個控制項的以下屬性和事件 a.picturebox控制項的三個屬性 picture.image 匯入資源 pic...
第十一周小結
一周又結束了,轉眼之間,大半個學期都過去了。第一件事就是體育考試,這次考的是三步上籃,不怎麼好,只投進了兩顆球,剛好及格。對於乙個完美主義的我來說感覺就是一次敗筆,同時也怨自己沒有多加練習,好了過去的就讓它過去吧,沒有什麼大不了的,明天會更好。第二件事,就是學生會的幹部培訓。在學生會工作了大半年了,...