Linux对外发包的缓兵之计iptables

# Generated by iptables-save v1.4.7 on Fri Sep 11 09:54:56 2015
*filter
:INPUT DROP [3338:200864]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [184:18178]

#for http
-A INPUT -p tcp –dport 80 -j ACCEPT
-A OUTPUT -p tcp –sport 80 -j ACCEPT
#允许UDP服务IP
-A OUTPUT -p udp –dport 53 -d 8.8.8.8 -j ACCEPT
#禁止udp服务
-A OUTPUT -p udp -j DROP
#禁用ping
-A INPUT -p icmp –icmp-type 8 -s 0/0 -j DROP
COMMIT
# Completed on Fri Sep 11 09:54:56 2015
 
遇到服务器对外发包,用这段iptables规则可以暂时不对外发包,给予充足的时间去检查恶意发包程序。

Kali ssh配置 win7下访问

用虚拟机搭建的kali,本地win7用putty访问看了网上一些资料都不全或者是过时了,要汇总到一起才管用。
开始配置,虚拟机与本地ip不在一个网段,一直ping不通,于是查了下,虚拟机的网络配置中选择桥接:直接链接到物理网络,下面的NAT:使用共享主机的ip地址要打勾选上去才可以,这样保证了虚拟机和本机在一个段中,或许也有其他的设置方法,我是用的这种方法。
修改sshd_config文件,命令为:vi /etc/ssh/sshd_config
将#PasswordAuthentication no的注释去掉,并且将NO修改为YES? //我的kali中默认是yes
其他的看了下与ssh相关的,端口了什么的都把注释#去掉了,网上说的#PermitRootLogin在新版的kali里面没有找到这个选项,然后启动ssh(service ssh start),验证ssh是否启动的命令为/etc/init.d/ssh status。
最后就是自启动了,看了下网上的几种方法都配置不成功,于是找了系统启动加载的一种方法。
vi /etc/rc.local
在exit 0之前添加上service ssh start或者/etc/init.d/ssh start就好了。
顺利链接成功,这样本地直接访问虚拟机使用里面的工具就好了,部分工具还是要直接去虚拟机操作的。

Linux常用基础命令汇总笔记

TAB? 为命令补齐
文件权限 r=4,w=2,x=1 -rwxrwxrwx = 777 读,写,执行
/usr (软件放置处)
/etc (配置文件)
/opt (第三方协力软件)
/boot (开机不核心档)
/var/mail (使用者邮件信箱)
/var/run (程序相关)
/var/spool/news (新闻组)
/var/lock (程序相关)

cd:变换目录
pwd:显示当前目录
mkdir:建立一个新的目录
rmdir:删除一个空白目录

cd ~? 代表转到这个用户的目录 /home/用户
cd?? 没有加上任何路径,也还是代表回到自己目录
cd ..表示去到目前上层目录
cd – 表示回到刚才的目录

cat 由第一行开始显示文档内容
tac 从最后一行开始显示,可以看出 tac 是 cat 倒着写
nl 显示的时候,顺序输出行号
more 一页一页的显示档案内容
less 与more 类似,但是比 more 更好的是,他可以往前翻页
head 叧看头几行
tail 叧看尾几行
od 以二进制癿方式读取文档内容

which (寻找『执行档』)

VIM编辑器
i 编辑
:wq保存退出 (加!强制写入)
H 光标首行
:20 跳转到行位置
dd删除一行
yy复制游标所在行
u复原前一个动作
ctrl + r 重复上一个动作

Ctrl + C 终止目前的命令
Ctrl + D 输入结束 (EOF),例如邮件结束的癿时候
Ctrl + M 就是 Enter
Ctrl + S 暂停屏幕的输出
Ctrl + Q 恢复屏幕的输出
Ctrl + Z 暂停目前的命令
jobs 进入工作中的进程
kill 杀掉进程pid

chmod -R? 755? /data 改变目录权限
chown -R web-tyj /data 改变目录所有者

grep 搜索+正则
ps -aux 查看应用程序进程
uname -a 查看系统核心信息
netstat -atunlp 查看联机信息
chattr lsattr? 隐藏只读属性命令
df -h 查看磁盘容量
halt 关机 reboot重新启动

IPTABLES常用脚本

收集了2个不错的网址,也是别人收藏的。
http://www.cnblogs.com/bangerlee/archive/2013/02/27/2935422.html
http://www.cnblogs.com/JemBai/archive/2009/03/19/1416364.html
http://blog.chinaunix.net/uid-366408-id-3190812.html
其次整理一些通用规则,在不熟悉的情况下可以直接COPY。

 
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT
-A INPUT -j REJECT –reject-with icmp-host-prohibited
-A FORWARD -j REJECT –reject-with icmp-host-prohibited
#for mysqld
-I INPUT -p tcp –dport 3306 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 3306 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 3306 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 3306 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 3306 -j ACCEPT
#for oracle db
-I INPUT -p tcp –dport 1521 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 1521 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 1521 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 1521 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 1521 -j ACCEPT
-I INPUT -s 192.168.32.0/24 -p tcp –dport 1521 -j ACCEPT
-I INPUT -s 192.168.25.0/24 -p tcp –dport 1521 -j ACCEPT
-I INPUT -s 192.168.100.0/24 -p tcp –dport 1521 -j ACCEPT
#for sshd
-I INPUT -p tcp –dport 9527 -j ACCEPT
#-I INPUT -s 192.168.65.0/24 -p tcp –dport 9527 -j ACCEPT
#-I INPUT -s 192.168.30.0/24 -p tcp –dport 9527 -j ACCEPT
#-I INPUT -s 192.168.31.0/24 -p tcp –dport 9527 -j ACCEPT
#-I INPUT -s 192.168.12.0/24 -p tcp –dport 9527 -j ACCEPT
#-I INPUT -s 192.168.22.0/24 -p tcp –dport 9527 -j ACCEPT
#search 1 caoduo
-I INPUT -p tcp –dport 9200 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 9200 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 9200 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 9200 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 9200 -j ACCEPT
#search 2 caoduo
-I INPUT -p tcp –dport 9300 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 9300 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 9300 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 9300 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 9300 -j ACCEPT
#tomcat_server1
-I INPUT -p tcp –dport 8001 -j ACCEPT
#tomcat_server2
-I INPUT -p tcp –dport 8002 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 8002 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 8002 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 8002 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 8002 -j ACCEPT
#tomcat_server3
-I INPUT -p tcp –dport 8003 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 8003 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 8003 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 8003 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 8003 -j ACCEPT
#tomcat_server4
-I INPUT -p tcp –dport 8004 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 8004 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 8004 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 8004 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 8004 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 8004 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 8004 -j ACCEPT
#tomcat_server5
-I INPUT -p tcp –dport 8005 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 8005 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 8005 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 8005 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 8005 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 8005 -j ACCEPT
#tomcat_admin
-I INPUT -p tcp –dport 9799 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 9799 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 9799 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 9799 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 9799 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 9799 -j ACCEPT
-I INPUT -s 192.168.23.0/24 -p tcp –dport 9799 -j ACCEPT
#for was7
-I INPUT -p tcp –dport 9043 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 9043 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 9043 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 9043 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 9043 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 9043 -j ACCEPT
-I INPUT -p tcp –dport 9060 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 9060 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 9060 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 9060 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 9060 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 9060 -j ACCEPT
-I INPUT -p tcp –dport 9080 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 9080 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 9080 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 9080 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 9080 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 9080 -j ACCEPT
-I INPUT -p tcp –dport 9081 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 9081 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 9081 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 9081 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 9081 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 9081 -j ACCEPT
#for rabbitmq
-I INPUT -p tcp –dport 5672 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 5672 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 5672 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 5672 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 5672 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 5672 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 5672 -j ACCEPT
#for fdfs
-I INPUT -p tcp –dport 8090 -j ACCEPT
#-I INPUT -s 192.168.65.0/24 -p tcp –dport 8090 -j ACCEPT
#-I INPUT -s 192.168.30.0/24 -p tcp –dport 8090 -j ACCEPT
#-I INPUT -s 192.168.31.0/24 -p tcp –dport 8090 -j ACCEPT
#-I INPUT -s 192.168.12.0/24 -p tcp –dport 8090 -j ACCEPT
#-I INPUT -s 192.168.22.0/24 -p tcp –dport 8090 -j ACCEPT
#-I INPUT -s 127.0.0.1 -p tcp –dport 8090 -j ACCEPT
-I INPUT -p tcp –dport 22122 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 22122 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 22122 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 22122 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 22122 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 22122 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 22122 -j ACCEPT
-I INPUT -p tcp –dport 23000 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 23000 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 23000 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 23000 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 23000 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 23000 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 23000 -j ACCEPT
#for hudson 6080
-I INPUT -p tcp –dport 6080 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 6080 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 6080 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 6080 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 6080 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 6080 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 6080 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 6080 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 6080 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 6080 -j ACCEPT
-I INPUT -p tcp –dport 6060 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 6060 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 6060 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 6060 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 6060 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 6060 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 6060 -j ACCEPT
#for 电子账户
-I INPUT -p tcp –dport 8888 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 8888 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 8888 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 8888 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 8888 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 8888 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 8888 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 8888 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 8888 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 8888 -j ACCEPT
#for 郑州 apache 测试
-I INPUT -p tcp –dport 7000 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 7000 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 7000 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 7000 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 7000 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 7000 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 7000 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 7000 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 7000 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 7000 -j ACCEPT
#for weblogic 访问
-I INPUT -p tcp –dport 7001 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 7001 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 7001 -j ACCEPT
-I INPUT -s 192.168.32.0/24 -p tcp –dport 7001 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 7001 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 7001 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 7001 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 7001 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 7001 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 7001 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 7001 -j ACCEPT
-I INPUT -p tcp –dport 7002 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 7002 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 7002 -j ACCEPT
-I INPUT -s 192.168.32.0/24 -p tcp –dport 7002 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 7002 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 7002 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 7002 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 7002 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 7002 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 7002 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 7002 -j ACCEPT
-I INPUT -p tcp –dport 7003 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 7003 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 7003 -j ACCEPT
-I INPUT -s 192.168.32.0/24 -p tcp –dport 7003 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 7003 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 7003 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 7003 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 7003 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 7003 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 7003 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 7003 -j ACCEPT
-I INPUT -p tcp –dport 7004 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 7004 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 7004 -j ACCEPT
-I INPUT -s 192.168.32.0/24 -p tcp –dport 7004 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 7004 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 7004 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 7004 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 7004 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 7004 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 7004 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 7004 -j ACCEPT
-I INPUT -p tcp –dport 5556 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 5556 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 5556 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 5556 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 5556 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 5556 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 5556 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 5556 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 5556 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 5556 -j ACCEPT
#for VNC 客户端
-I INPUT -p tcp –dport 5901 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 5901 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 5901 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 5901 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 5901 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 5901 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 5901 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 5901 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 5901 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 5901 -j ACCEPT

#for 与55的zookeeper
-I INPUT -p tcp –dport 2888 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 2888 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 2888 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 2888 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 2888 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 2888 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 2888 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 2888 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 2888 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 2888 -j ACCEPT
-I INPUT -p tcp –dport 3888 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 3888 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 3888 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 3888 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 3888 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 3888 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 3888 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 3888 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 3888 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 3888 -j ACCEPT
-I INPUT -p tcp –dport 20882 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 20882 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 20882 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 20882 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 20882 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 20882 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 20882 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 20882 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 20882 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 20882 -j ACCEPT
-I INPUT -p tcp –dport 20881 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 20881 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 20881 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 20881 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 20881 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 20881 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 20881 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 20881 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 20881 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 20881 -j ACCEPT
-I INPUT -p tcp –dport 2182 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 2182 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 2182 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 2182 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 2182 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 2182 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 2182 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 2182 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 2182 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 2181 -j ACCEPT
#for HR birthday app
-I INPUT -p tcp –dport 9798 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 9798 -j ACCEPT
#for svn evertalk @wenqiang
-I INPUT -p tcp –dport 9666 -j ACCEPT
#for svn all developer
-I INPUT -p tcp –dport 10443 -j ACCEPT
-I OUTPUT -p tcp –sport 10443 -j ACCEPT
-I INPUT -p tcp –dport 3343 -j ACCEPT
#for svn liucengrong
-I INPUT -p tcp –dport 8999 -j ACCEPT
#for svn? chanpan? zhangpeng
-I INPUT -p tcp –dport 9999 -j ACCEPT
#for web1
-I INPUT -p tcp –dport 81 -j ACCEPT
#for web2
-I INPUT -p tcp –dport 82 -j ACCEPT
#for jira caoduo zhanghao etc.
-I INPUT -p tcp –dport 8080 -j ACCEPT
#for 55:8081 nexus
-I INPUT -p tcp –dport 8081 -j ACCEPT
#for jenkins
-I INPUT -p tcp –dport 8888 -j ACCEPT
-I INPUT -p tcp –dport 8889 -j ACCEPT
COMMIT

 

===================================================

IPT=”/sbin/iptables”
$IPT –delete-chain
$IPT –flush
$IPT -P INPUT DROP #1
$IPT -P FORWARD DROP#1
$IPT -P OUTPUT DROP #1
$IPT -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT #2
$IPT -A INPUT -p tcp -m tcp –dport 80 -j ACCEPT #3
$IPT -A INPUT -p tcp -m tcp –dport 22 -j ACCEPT #3
$IPT -A INPUT -p tcp -m tcp –dport 21 -j ACCEPT#3
$IPT -A INPUT -p tcp -m tcp –dport 873 -j ACCEPT #3
$IPT -A INPUT -i lo -j ACCEPT #4
$IPT -A INPUT -p icmp -m icmp –icmp-type 8 -j ACCEPT#5
$IPT -A INPUT -p icmp -m icmp –icmp-type 11 -j ACCEPT #5
$IPT -A OUTPUT -m state –state RELATED,ESTABLISHED -j ACCEPT #6
$IPT -A OUTPUT -p udp -m udp –dport 53 -j ACCEPT #7
$IPT -A OUTPUT -o lo -j ACCEPT #4
$IPT -A OUTPUT -p tcp -m tcp –dport 80 -j ACCEPT #8
$IPT -A OUTPUT -p tcp -m tcp –dport 25 -j ACCEPT #9
$IPT -A OUTPUT -p icmp -m icmp –icmp-type 8 -j ACCEPT#10
$IPT -A OUTPUT -p icmp -m icmp –icmp-type 11 -j ACCEPT #10
service iptables save
service iptables restart
存为脚本iptables. sh,执行sh iptables. sh自动配置防火墙。
解释:
#1、设置INPUT,FORWARD,OUTPUT链默认target为DROP,也就是外部与服务器不能通信。
#2、设置当连接状态为RELATED和ESTABLISHED时,允许数据进入服务器。
#3、设置外部客户端连接服务器端口80,22,21,873。
#4、允许内部数据循回。
#5、允许外部ping服务器。
#6、设置状态为RELATED和ESTABLISHED的数据可以从服务器发送到外部。
#7、允许服务器使用外部dns解析域名。
#8、设置服务器连接外部服务器端口80。
#9、允许服务器发送邮件。
#10、允许从服务器ping外部。
iptables保存:iptables-save
iptables还原:iptables-restore

 

centos常用iptables脚本汇总

#!/bin/bash
export PATH=/sbin:/usr/sbin:/bin:/usr/bin

iptables -F
iptables -X
iptables -Z

#远程SSH登陆,我们要开启22端口
iptables -A INPUT -p tcp –dport 22 -j ACCEPT

#WEB服务器,开启80端口
iptables -A INPUT -p tcp –dport 80 -j ACCEPT

#邮件服务器,开启25,110端口.
iptables -A INPUT -p tcp –dport 110 -j ACCEPT
iptables -A INPUT -p tcp –dport 25 -j ACCEPT

#FTP服务器,开启20,21端口

iptables -A INPUT -p tcp -m multiport –dport 21,60000:60050 -j ACCEPT
#如果做了DNS服务器,开启53端口

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p udp –sport 53 -j ACCEPT
iptables -A INPUT -p udp –dport 53 -j ACCEPT
#对PING做设置
#iptables -A INPUT -p icmp –icmp-type 8 -s 0/0 -j DROP
#所以对别人的请求丢弃应该就可以达到别人无法PING的
#iptables -A OUTPUT -p icmp –icmp-type 0 -s localip -j DROP
#其实可以不要 包都丢弃了 还怎么会发出响应的包呢

iptables -A INPUT -p icmp –icmp-type 8 -s 0/0 -j ACCEPT
iptables -A INPUT -p icmp –icmp-type 0 -s 0/0 -j ACCEPT
iptables -A OUTPUT -p icmp –icmp-type 0 -s $FW_IP -j ACCEPT
iptables -A OUTPUT -p icmp –icmp-type 8 -s $FW_IP -j ACCEPT

#开放本机对外部80端口
iptables -A INPUT -p tcp ! –syn -s any/0 –sport 80 –dport 1024:65535 -j ACCEPT
iptables -P INPUT DROP

/etc/rc.d/init.d/iptables save
service iptables restart

 

### 允许一个外网IP访问规则

iptables -I INPUT -i lo -j ACCEPT
iptables -I INPUT -s A.B.C.D -j ACCEPT
iptables -P INPUT DROP

WIN-service服务与本地文件进程rdpclip

win系列服务器与本地文件直接复制粘贴。默认情况下进程是不启动的,需要手工在服务器上启动一下进程:rdpclip.exe 文件位置:c:\windows\system32\rdpclip.exe 。 启动后本地文件可以直接复制到服务器,服务器文件也可以直接复制到本地。不需要的时候可以关闭此进程。

基于WIN系列一个很难查找到的挂马thumbs.db

今天浏览自己的演示系统,奇怪,被挂黑链了,iframe框架链接的一个exe可执行文件,而且时而有,时而没有,有的时候用谷歌浏览器会自动下载并运行。试了服务器的好几个站点都存在这种问题,甚至只有html页面的站也存在这问题。奇怪了,难道apache环境被挂马了?找了下apache,没有第三方模块加载,找了许久也没找到问题。
一个疑点有了思路,看到站点虚拟目录的最新创建时间都是当天,而这几个站点今天不可能同时都在更新,难道所有站点都被挂马了?觉得不太可能,或者服务器被提权了?为何只挂web页面呢。用一份备份的程序替换了,打开网站依旧时而有挂马,时而没有挂马。最新下载一份Thinkphp框架,生成一个项目,依旧有挂马,不可能Thinkphp官网的程序被挂马。然后把虚拟站点文件夹隐藏属性取消了,显示隐藏文件,发现每个站点下都有一个thumbs.db 文件,理论上thumbs.db是缩略图缓冲文件,以为不会出现什么问题,实在找不到其他问题了,于是删掉这个文件后访问站点,果然挂马不在了。确定是thumbs.db文件的问题了。
百度查了下对于thumbs.db的说法有很多。百度讲:http://baike.baidu.com/link?url=9p0lOi4y1lqhluQNaR54KBhiWJhEUDMEcMXvkXkjm6X2FhJXDDL3gU38a04RxCJJNEtwyk_gKdlTGsO0q5WF8K?互动百度讲:http://www.baike.com/wiki/%E7%BC%A9%E7%95%A5%E5%9B%BE%E6%BC%8F%E6%B4%9E?可见此漏洞的危害性极大。是一个WINDOWS图形接口远程执行漏洞,尝试了把这个文件复制出,用360和小红伞等各种web安全软件和服务器软件,都是查不到任何信息。修复服务器漏洞看来真的是非常重要。
之前出现过一次问题,由于忽略了,并未细致检查原因,导致这次多个站点被挂马。解决方案需要配置下文件夹属性,不允许缩略图缓存就好了。同时微软出了漏洞补丁,也打下补丁。回头有时间研究研究这个高级的服务器漏洞。很奇葩的漏洞,中招后,实在难找出问题所在。
补充:微软官网补丁说明有可能提权,如果单纯是这一个文件提不了权,需要通过这个文件进一步交互才可以提权。如服务器已经被挂马,掺改,可以用以下批处理批量删掉并且设置文件夹属性中的缩略图缓存功能打勾。del /S *.db

WIN-VPS虚拟服务器环境配置总结

win系列服务器环境配置有很多,默认的iis,apache,还有很多集成环境wamp,phpnow,phpstudy等。先后都用过,觉得两种方式比较好,一种是配置iis扩展php,这样服务器可以支持asp,php,aspx,mysql单独安装一个即可。还有一种比较方便可以直接用界面操作,用phpstudy也比较合适,备份也比较方便,而且可以自由切换组合模式。
服务器首先要具有ftp,在这里ftp我选择用filezilla ftp开源工具,体积小,消耗资源也小,安装后首先要创建一个组,设定好组权限,然后增加用户,创建用户的时候必须选属于那个组,有Linux的权限特征。也可以修改ftp端口,提示等等,比较方便。
另外服务器应该具有单独的数据库,如果自己用的话,网站不多,而且是自己的程序觉得用Linux比较好,如果是客户的站点,100个站点,还是用win管理比较方便。最近2个服务器都出问题了,一个linux,一个win,linux恢复的时间超过win恢复时间的2倍。维护成本比较高。创建用户只可以用自己的数据库用 phpmyadmin比较方便,在顶部菜单有个权限,或者进入创建的数据库中选择指定的数据库,然后点用户,可以新增加用户,这里就可以设置一个用户只能管理自己的数据库了。
有了ftp,数据库,还要有控制面板呢? 第三方的星外主机控制面板还可以,但是我没用那东东,觉得有ftp和数据库足够客户使用了。在有需求的时候再单独配置。
第一次的话,推荐用ntbackup命令做下影像备份。方便以后用到,其次可以用计划任务做间断性备份。

实现万网二级域名绑定二级目录

之前用万网主机想用二级域名绑定二级目录,开始想了两种个方法,一种是直接跳转目录,这种情况下会造成调用的文件不加载,因为不在同一级目录下,但是修改为绝对路径又觉得不合适,这不应该是最好的解决方案,于是放弃了这种做法,还有另一种做法就是301重定向,这种到是没啥问题,不过重定向的是二级域名定向到二级目录,与开始想的需求不吻合了,之后这事就不了了之了,今天实在需要这个功能,仔细研究了下,还是要用第一种方法,可以不用网址绝对路径,用虚拟目录的相对绝对路径,可能有点别扭,不过就是这么实现的。贴代码:

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP_HOST} ^(wap.)?URL$
RewriteRule ^(/)?$ wap/index.html [L]
</IfModule>

把index.html的静态资源路径改为wap相对绝对路径就可以加载静态文件了。
上面没有考虑默认主域名,如果只用上面的规则的话,主域名也会跳转到相关的目录,这样就要加以区分一下了,完整的代码如下:

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

RewriteCond %{HTTP_HOST} ^URL$
RewriteRule ^(/)?$ wap/index.php [L]

RewriteCond %{HTTP_HOST} ^(wap.)?URL$
RewriteRule ^(/)?$ wap/index.html [L]
</IfModule>

经测试,这样就完整了。

Apache下通过伪静态配置跳转步骤

win下apache配置跳转步骤:

首先要检查下是否开启了伪静态组件,去httpd.conf检查下,具体步骤如下:

找到apache目录下的 http.conf文件 搜索 LoadModule rewrite_module modules/mod_rewrite.so
默认在前面是有个 # 号的,代表注释。需要把注释去掉,开启下伪静态模块,其次就可以配置伪静态规则了。

比如让127.0.0.1本地域名跳转到127.0.0.2域名下,在web根目录下新建文件.htaccess,默认win创建不了含有.的文件,可以百度查下用dos创建,或者复制一个。写入以下规则:

RewriteEngine On
RewriteCond %{HTTP_HOST} ^127.0.0.1 [NC]
RewriteRule ^(.*) http://127.0.0.2/ [R=301,L]

保存后访问127.0.0.1会自动跳转到127.0.0.2,还有另一种方法是利用php的跳转函数header,后面跟个参数就行。
如果是绑定的多个域名都需要跳转,上面要用以下规则:

RewriteCond %{HTTP_HOST} ^域名1$ [OR]
RewriteCond %{HTTP_HOST} ^域名2$