有關於LINUX防火牆指令..會的人進來解答一下

shunxing

我想問的是～~~
iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j DROP
這段指令可以封鎖192.168.1.1~192.168.1.255
但如果我下達
iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j DROP
這樣可以封鎖192.168.1.1~192.168.255.255這範圍的區段嗎???

懂的人回一下吧...
若不行的話~~~我只好麻煩一點...一行一行新增了

ezchon

iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP

要改成這樣 24 改成16
24 是一個C 16是一個B

s10274chen

後面16個位元會變動，所以前面16位元保留，結果就會改成ezchon大說的樣子。
/24或是/16，代表的是要子網遮罩多少位元。24代表遮罩24個位元；16代表遮罩16個位元。

wst2080

我想問的是～~~
iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j DROP
這段指令可以封鎖192.168.1.1~192.168.1.255
shunxing 發表於 2010-12-11 06:26 PM http://bbs.pigoo.com/images/common/back.gif

恩 這個正確 /24 = 255.255.255.0
意思就是說總共有24個1 這樣... /24的縮寫...
iptables除了支援/24之外,亦可寫 x.x.x.x/255.255.255.0 這樣

但如果我下達
iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j DROP
這樣可以封鎖192.168.1.1~192.168.255.255這範圍的區段嗎???
shunxing 發表於 2010-12-11 06:26 PM http://bbs.pigoo.com/images/common/back.gif

這個就不對... 由於你針對的是 255.255.0.0
所以換算總共會有16個1 所以你要寫成/16 這樣~~~

逃兵

順仔，你對 netmask 不熟喔。
.來. 我教你怎麼算.

192.168.1.1
在 netmask 上我們也分成4段來看.
11111111.11111111.11111111.11111111
這表示完全的32BIT.
那我們可以一直往上限制.
比方說,我有128 個不給它來.
那就成了.
11111111.11111111.11111111.10000000
好了, 那你算一下有幾個 1 ? ANS:25
所以當你的 /25 出現時. 就是砍掉半個 class C
所以...在這個的計算上, 不是只有 8, 16, 24 的選擇而已.

shunxing

iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP

要改成這樣 24 改成16
24 是一個C 16是一個B ...
ezchon 發表於 2010-12-11 06:33 PM http://bbs.pigoo.com/images/common/back.gif

   
感謝解說~~~然怪我怎麼設定都覺得奇怪.....
沒學過IP的計算方式.....

後面16個位元會變動，所以前面16位元保留，結果就會改成ezchon大說的樣子。
/24或是/16，代表的是要子網遮 ...
s10274chen 發表於 2010-12-11 06:37 PM http://bbs.pigoo.com/images/common/back.gif

    說真的~~~看了你的回覆我還是不懂原理........但多少知道怎麼設定了

恩 這個正確 /24 = 255.255.255.0
意思就是說總共有24個1 這樣... /24的縮寫...
iptables除了支援/24之 ...
wst2080 發表於 2010-12-11 07:01 PM http://bbs.pigoo.com/images/common/back.gif

    再看過你的解說~~~還是不太懂.....

順仔，你對 netmask 不熟喔。
.來. 我教你怎麼算.

192.168.1.1
在 netmask 上我們也分成4段來看.
11111111 ...
逃兵 發表於 2010-12-11 08:05 PM http://bbs.pigoo.com/images/common/back.gif

    逃兵~~~你果然是高手中的高手...
居然完整的解說出IP的設定方式...與解析方式.....
並且...將我多年來的困擾一並解決了....

只是...我真的不懂 netmask .......
而且這二進制1組就用到8個位元阿.....
這麼說來...8.16.24所代表的意義就是我們要保留幾個二進位......
只是~~~LINUX...真的可以保留25個嗎???設定上應該不可行吧....

carl0804

順仔~~
你如果不太了解,那就從設定區段開始反推回去計算就知道了,
理論上是可以保留25個...實際上,我沒有試過,你可以試試看...

wst2080

只是...我真的不懂 netmask .......
而且這二進制1組就用到8個位元阿.....
這麼說來...8.16.24所代表的意義就是我們要保留幾個二進位......
只是~~~LINUX...真的可以保留25個嗎???設定上應該不可行吧....
shunxing 發表於 2010-12-11 09:36 PM http://bbs.pigoo.com/images/common/back.gif

由於Linux的iptables可以支援CIDR與VLSM的機制...所以他算是可以支援屬於classless的協議~~~
而你認為的是屬於Classful的部分
例如:
255.0.0.0         Class A   /8
255.255.0.0     Class B   /16
255.255.255.0 Class C  /24   
這種是屬於 Classful 的部分~
而通常這樣的規劃是很浪費有限的IPv4的資源,所以延伸出來就是打破這種網段分級的制度~
來徹底有效的利用IPv4有限的IP數量~~~

相信你應該知道 255.255.255.0 等於 /24 的由來吧~~~
就是前面三個欄位有八個 1
11111111.11111111.11111111.00000000
總共有24個1 所以prefix可以寫成 /24

而剛所說的 255.255.255.128
換算2進制就是
11111111.11111111.11111111.10000000
所以會有25個1

在 iptables 就可以寫成 x.x.x.x/25 或者 x.x.x.x/255.255.255.128

八個欄位的2進制算法很簡單
128      64     32    16      8       4        2          1
  
假設 /26 的遮罩怎麼算呢?
其實很簡單 就是 128+64 = 192
所以就會變成 255.255.255.192 這樣~~~
那以192.168.0/26  遮罩就變成 192.168.0/255.255.255.192 (iptables應該不支援這個格式,我只是舉例而已!!!)
而這個網段就會變切割4等分(前提 subnet-zero 的狀態下!!!)

稍微講解一下基礎~~~ IPv4的切割玩法跟規則~~~
                  NetID        host
192.168.0. 00           000000   → 網段宣告
                  00           111111   → 廣播
                  01           000000   → 網段宣告
                  01           111111   → 廣播
                  10           000000   → 網段宣告
                  10           111111   → 廣播
                  11           000000   → 網段宣告
                  11           111111   → 廣播

[font color=red]**  host 全為 0 就是網段宣告; 全為 1 就是廣播

用這樣的算法~~~ 很累~~~ 來分享一個偷吃步(老外稱這個方法叫做 Magic Number)
就是透過 256 來扣掉遮罩的末端號碼 192 (256-192=64)
所以每64來切割一次,得到四個網段...
192.168.0.0    ~192.168.0.63
192.168.0.64  ~192.168.0.127
192.168.0.128~192.168.0.191
192.168.0.192~192.168.0.255

然後表示的方法就是
192.168.0.0    ~192.168.0.63            → 192.168.0.0/26
192.168.0.64  ~192.168.0.127          → 192.168.0.64/26
192.168.0.128~192.168.0.191          → 192.168.0.128/26
192.168.0.192~192.168.0.255          → 192.168.0.192/26


192.168.0.0/26
192.168.0.0 是屬於NetID 所以不能當作IP使用
192.168.0.63 是屬於廣播IP 所以不能當作IP使用
能用的網段範圍為: 192.168.0.1~62

192.168.0.64/26
192.168.0.64 是屬於NetID 所以不能當作IP使用
192.168.0.127 是屬於廣播IP 所以不能當作IP使用
能用的網段範圍為: 192.168.0.65~126

192.168.0.128/26
192.168.0.128 是屬於NetID 所以不能當作IP使用
192.168.0.191 是屬於廣播IP 所以不能當作IP使用
能用的網段範圍為: 192.168.129.~190

192.168.0.192/26
192.168.0.192 是屬於NetID 所以不能當作IP使用
192.168.0.255 是屬於廣播IP 所以不能當作IP使用
能用的網段範圍為: 192.168.0.193~254

這樣來計算子網切割是不是快上很多啊???

有興趣的話請參考這篇文章的末端 我有稍微解說 並且提供子網計算軟體(更偷懶的話,就用軟體算吧)
http://www.mml.com.tw/block/foru ... ;f=431&t=135224

wst2080

只是...我真的不懂 netmask .......
而且這二進制1組就用到8個位元阿.....
shunxing 發表於 2010-12-11 09:36 PM http://bbs.pigoo.com/images/common/back.gif

不過現階段你應該還沒有機會用到 Wildcard Mask 才是....
目前你只是需要知道怎麼計算子網的切割就行了~~~~

shunxing

wst2080 ......沒想到～～～你也是對IP有超級深入研究的人阿.....
你這種解說方式讓我可以有效的抵擋一些不良IP的範圍了

carl0804

由於Linux的iptables可以支援CIDR與VLSM的機制...所以他算是可以支援屬於classless的協議~~~
而你認為的 ...
wst2080 發表於 2010-12-11 11:02 PM http://bbs.pigoo.com/images/common/back.gif

以前上課有學到這個....
都忘記了....
現在看到又想起來了....那時候算的可真是辛苦咧....

wst2080

回復 10# shunxing


有圖有真相~~~ 兩種寫法都OK的~~~

642-902 955 Pass

就上個星期以955的分數 Pass 這個科目搂~~~


Linux我不敢說我很強... 不過先前有不小心Pass 兩張關於 Linux 的 License 這樣~~~

http://img9.imageshack.us/img9/2423/rhctx.jpg
By wst2080 at 2009-04-18

http://img21.imageshack.us/img21/5940/rhce.jpg
By wst2080 at 2009-04-18

landskip

據我在01潛水的了解......wst2080是個網路專家

因為對他的頭像有點印象

wst2080

wst2080 ......
你這種解說方式讓我可以有效的抵擋一些不良IP的範圍了
shunxing 發表於 2010-12-11 11:13 PM http://bbs.pigoo.com/images/common/back.gif

除了阻擋IP之外,亦可使用iptables當中的 multiport 模組 方便設置連接埠的管制...
http://www.linuxhomenetworking.c ... alls_Using_iptables

以及部分服務上來使用 limit 來來做流量的管控~~~

目前市場很多軟路由以及嵌入式防火牆等等 都是 base on iptables 上頭Run的~~~
玩得很熟的話~~~ 就會發現他連L7都能夠控管的到~~~

wst2080

據我在01潛水的了解......wst2080是個網路專家
因為對他的頭像有點印象
landskip 發表於 2010-12-11 11:29 PM http://bbs.pigoo.com/images/common/back.gif

不敢當... 只是騙吃騙吃而已~~~
PS: 專家 = 專門騙人家


說到靈異...為啥我會想到這張圖啊???
http://farm3.static.flickr.com/2534/4119466374_446bd1e04e_z.jpg?zz=1

wst2080

以前上課有學到這個....
都忘記了....
現在看到又想起來了....那時候算的可真是辛苦咧.... ...
carl0804 發表於 2010-12-11 11:25 PM http://bbs.pigoo.com/images/common/back.gif

    這個不算難的...

我覺得最機車的還是 EIGRP 的計算公式... 真是又臭又長...
就算當中的5個K值有只有兩個K值等於1 (K1=K3=1) 剩下的均為零...
化整下來的公式算下來也是會頭暈的!!!

http://upload.wikimedia.org/math/c/8/b/c8bb6111fb31e61875ee63c17e797f7a.png
這就是 EIGRP 的原始計算公式

carl0804

哈~~~
課本有.......
那時候大家都是算到兩眼昏花忘了自己姓啥叫啥~~
不過也是好久以前的事了~~~
您的證照好新喔~~
我的證照通通都過期了.....(我的MCSE還是2000咧~).....
也通通都不知道被我丟去哪了?
工作只要不是相關領域的,都不會去用到說....
我那時考LPIC還只有Lv.1 Lv.2兩等級,現在都還有Lv.3了....
倒是RH的證照我都沒考...或許和我從一開始接觸Linux就不是用RH有關係...
一直到現在,幾乎都沒用過RH....

shunxing

....看到你們的證照我才覺得神奇勒～～～....
都是我不可能考的到的.....

看到那公式....我先吐血n_158|

carl0804

有些證照並不難考...
至少我那個時候不難考....現在不知道....
以你的實力來說,真的一點也不難,
我考過最好考的證照應該是Sun Micro的Java吧...
記的那時是考五十幾題選擇題,只要"猜"對一半再多3題就有了...
我真的是用"猜"的...就算有證照了,到現在我還是不會寫Java...
我考CCNA好像也都是用猜的...唯有實做是朋友幫忙惡補出來的....
考証照最痛苦的其實並不是準備考試,考試費用才是最痛的...好貴...

wst2080

有些證照並不難考...
至少我那個時候不難考....現在不知道....
carl0804 發表於 2010-12-12 01:11 AM http://bbs.pigoo.com/images/common/back.gif

RH的考試都是實機考試~~~ 題目出給你~~~ 你就把東西架出來然後符合題目的規則
(當然不可能 open book.....)

然後有出十道除錯題...
就是系統出錯... 你得用救援光碟把系統修好到能夠正常開機到 login: 底下...並且能用root登入...

難考與否 是在於自己的準備是否充實....  之後有機會再考慮要不要考NCLP...

至於LPI... 我個人是沒啥興趣考... 考LPI的時間... 我不如拿來準備 CCIE 比較實際....
目前正準備CCNP當中 (Pass一個科目,還剩兩個科目)

若NP拿到手,好像只要多考一個科目 就能多拿到一個 CCDP 了... 考慮要不要多考那個科目~~

RHCE考試價格不斐... 一萬三千多 (以前要一萬八千多)
我考兩次...第一次只拿到RHCT 第二次拿到RHCE.... 不過當時我算是聯成RHCE課程學員,所以有優惠價 6000元/次 ....
(人家只能考一次賭運氣,我可以一次考兩次.....)

至於CCNA新版的是USD 250... CCNP全部考完要USD 600...  

是有看過那種 paper License ... 不過那種下場都很慘啦~~~
相比之下我是有花錢上課(上過兩次RHCE~一次在恆逸;另一次在聯成.然後~NA也上過~說到微軟又想到我以前在第三波上過Windows Server 2003 專家研討)、設備、教材等等....  再加上以前的工作經驗(工作都接觸到一些伺服端與網路端方面的)   考證照對我來說... 只是增加自己的學識.... 就當作活到老學到老摟....

emc88888

看到wst2080的解說就知道不用再補充啦....他已經作了十分詳細清楚的說明了....

不過老實說, 當公司同事告訴我, 他的同學考了CCIE, 一個月卻只有40K的$$後, 這些東西對我來說就不再那麼重要了....CCNA過期就給他過吧.(NA, DN, NP的課都上過, 以前是沒錢考, 現在多加個沒力去考)

還是周遊列國跑維修比較有意思說.......

wish

回復 20# wst2080

我覺得我應該來一個如何考證照的版，請你來當版主，不知你意下如何？

wish

回復 18# shunxing

shunxing︰
不用吐血，每個人都有每個人強項與弱點。

wst2080

回復  wst2080
我覺得我應該來一個如何考證照的版，請你來當版主，不知你意下如何？ ...
wish 發表於 2010-12-12 09:18 PM http://bbs.pigoo.com/images/common/back.gif

哈! 感謝抬愛~ 不過我比較喜歡回答問題啦~~ 雞婆倒是真的~~~ 不用刻意開個版~~~
大家有興趣就一起討論討論摟~~~

逃兵

回復 18# shunxing


    放心放心，現在的學生都用工具軟體來解題。根本不用自己算那個公式了。

carl0804

初出社會的話,證照的確很好用,錄取機率增加不少,但是薪水未必會高...
如果已經有幾年工作經驗的話,證照反而不是那麼重要了...
我面試新人也是會看有沒有證照啊...
不過更重視的是實務經驗,尤其我的工作性質不太一樣,
證照對我們這行來說只是送檢用的...

jason1204

有牌的果然是不一樣.
n_048|

ttckmj

看到公式就倒了一半了

hwj

考證照的版~
這個好~好多人再找考題

pchappy

....看到你們的證照我才覺得神奇勒～～～....
都是我不可能考的到的.....

看到那公式....我先吐血 ...
shunxing 發表於 2010-12-12 12:33 AM http://bbs.pigoo.com/images/common/back.gif

沒有什麼公式的... /16 只是代表16個bit  /24 只是表示24個bit 要被mask
就像你去申請adsl時 需要固定ip時
如果申請的是3 個 ip 你的mask 就是 255.255.255.252=11111111.11111111.11111111.11111100 以16進位來看=FF.FF.FF.FC
如果你申請是8 個 ip 你的subnet mask 就是 255.255.255.248 =11111111.11111111.11111111.11111000 以16進位來看=FF.FF.FF.F8
對16進位有觀念定的 這樣會比較好記 也比較好換算 不用算半天的2進位..

對了 你查到我那7月就因為主機板掛點的網站被當跳板攻擊你的圖了沒 我要真相...  
可惡的傢伙 看來雨天使並沒有好好的教訓你...