一堵墙,像一把刀
把一个城市切成两半
一半在东方
一半在西方
墙有多高?
有多厚?
有多长?
再高、再厚、再长
也不可能比中国的长城
更高、更厚、更长
它也只是历史的陈迹
民族的创伤
谁也不喜欢这样的墙
三米高算得了什么
五十厘米厚算得了什么
四十五公里长算得了什么
再高一千倍
再长一千倍
又怎能阻挡
天上的云彩、风、雨和阳光?
又怎能阻挡
飞鸟的翅膀和夜鶯的歌唱?
又怎能阻挡
流动的水与空气?
又怎能阻挡
千百万人的
比风更自由的思想?
比土地更深厚的意志?
比时间更漫长的愿望? Continue reading »
虚拟主机服务商在运营过程中可能会受到黑客攻击,常见的攻击方式有SYN,DDOS等。通过更换IP,查找被攻击的站点可能避开攻击,但是中断服务的时间比较长。比较彻底的解决方法是添置硬件防火墙。不过,硬件防火墙价格比较昂贵。可以考虑利用Linux 系统本身提供的防火墙功能来防御。
抵御SYN SYN攻击是利用TCP/IP协议3次握手的原理,发送大量的建立连接的网络包,但不实际建立连接,最终导致被攻击服务器的网络队列被占满,无法被正常用户访问。
Linux内核提供了若干SYN相关的配置,用命令: sysctl -a | grep syn 看到:
net.ipv4.tcp_max_syn_backlog = 1024 net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5 net.ipv4.tcp_syn_retries = 5
tcp_max_syn_backlog是SYN队列的长度,tcp_syncookies是一个开关,是否打开SYN Cookie 功能,该功能可以防止部分SYN攻击。tcp_synack_retries和tcp_syn_retries定义SYN 的重试次数。加大SYN队列长度可以容纳更多等待连接的网络连接数,打开SYN Cookie功能可以阻止部分 SYN攻击,降低重试次数也有一定效果。 Continue reading »
一般LINUX防火墙(iptalbes)的运用无非是用nat 表(PREROUTING、OUTPUT、POSTROUTING)和filter表(FORWARD、INPUT、OUTPUT)。我们只有知道了数据的流向才能正确的配置防火墙。现用一个相对比较直观的图形解释数据的走向。
(此处只作最基本的iptables数据流走向说明。)
上图是你的家,蓝色的圈是你家院子,有两扇大门①⑥进出,你家有两个房间,分别为eth0和 eth1房间,每个房间有两个门可以进出②③④⑤。旁边是张三和李四的家,张三家和李四家之间的往返必须要过你家院子。
现假设,eth0网卡IP为:192.168.5.1链接内网,eth1网卡IP为:218.100.100.111链接互连网。
再假设,“张三家”为一个局域网,“李四家”为互连网。进我家院子用PREROUTING,出我家院子用FORWARD,进我家门用INPUT,出我家门用OUTPUT。(当我们的操作是征对服务器本身而言的话,如SSH操作,此时肯定会用到PREROUTING、INPUT和OUTPUT,当数据只是通过服务器去访问别的机器时会用到PREROUTING和FORWARD。) Continue reading »
WEB里就装了个LAMP,要求服务器只开放80,21,22端口外网访问,服务器出去的端口都开放
#!/bin/bash
/sbin/modprobe ip_conntrac
/sbin/modprobe ip_conntrack_ftp
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -p tcp –sport 21 -j ACCEPT
/sbin/iptables -A INPUT -p tcp –dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p udp –dport 53 -j ACCEPT
/sbin/iptables -A INPUT -p tcp –dport 80 -j ACCEPT
/sbin/iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT Continue reading »
关于iptables的4种连接状态,简单点理解
1,恶意或未知的包叫 INVALID
2,一条连接的第一个包叫 NEW
3,如果一个包成功穿越防火墙,那么这个包所在的连接以后的包都被标记为 ESTABLISHED
4,如果一条连接而引起一条新的连接,那么新的连接产生的包就叫 RELATED ,如果这包成功穿越防火墙,那么就变为ESTABLISHED
问题描述:
1. 在启用firewall的情况下, 程序第一次使用cmnet上网后,不能使用wifi来上网; 程序第一次使用wifi上网后,不能使用cmnet来上网.
2. 关闭firewall后才可以上. 黑莓自带浏览器不受影响.Goonuu不受影响.
3. 现象,不能连接时提示: The application has attempted to open a connection to a location inside the firewall and outside the firewall.
原因剖析:
1. 在黑莓出厂的默认设置中, 为保持手持设备的网络安全,禁止了第三方程序的private和public两种类型连接方式的共存,以保护内部网络数据不被第三方程序传送到public网络. 例如黑莓企业服务器的MDS输入private类型,而wap和cmnet属于public类型.
2. 此项控制是通过手机IT Policy中 “ALLOW_SPLIT_PIPE_CONNECTIONS” 这一条策略来调整,出厂默认为False.需将其设置为True才可以使用多种类型上网方式.
解决方法:… Continue reading »