有關於LINUX防火牆指令..會的人進來解答一下

shunxing · 發表於 2010-12-11 18:26:43

我想問的是～~~
iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j DROP
這段指令可以封鎖192.168.1.1~192.168.1.255
但如果我下達
iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j DROP
這樣可以封鎖192.168.1.1~192.168.255.255這範圍的區段嗎???

懂的人回一下吧...
若不行的話~~~我只好麻煩一點...一行一行新增了

ezchon · 發表於 2010-12-11 18:33:15

iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP

要改成這樣 24 改成16
24 是一個C 16是一個B

s10274chen · 發表於 2010-12-11 18:37:04

後面16個位元會變動，所以前面16位元保留，結果就會改成ezchon大說的樣子。
/24或是/16，代表的是要子網遮罩多少位元。24代表遮罩24個位元；16代表遮罩16個位元。

wst2080 · 發表於 2010-12-11 19:01:19

我想問的是～~~
iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j DROP
這段指令可以封鎖192.168.1.1~192.168.1.255
shunxing 發表於 2010-12-11 06:26 PM http://bbs.pigoo.com/images/common/back.gif

恩這個正確 /24 = 255.255.255.0
意思就是說總共有24個1 這樣... /24的縮寫...
iptables除了支援/24之外,亦可寫 x.x.x.x/255.255.255.0 這樣

但如果我下達
iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j DROP
這樣可以封鎖192.168.1.1~192.168.255.255這範圍的區段嗎???
shunxing 發表於 2010-12-11 06:26 PM http://bbs.pigoo.com/images/common/back.gif

這個就不對... 由於你針對的是 255.255.0.0
所以換算總共會有16個1 所以你要寫成/16 這樣~~~

逃兵 · 發表於 2010-12-11 20:05:11

本帖最後由逃兵於 2010-12-11 08:09 PM 編輯

順仔，你對 netmask 不熟喔。
.來. 我教你怎麼算.

192.168.1.1
在 netmask 上我們也分成4段來看.
11111111.11111111.11111111.11111111
這表示完全的32BIT.
那我們可以一直往上限制.
比方說,我有128 個不給它來.
那就成了.
11111111.11111111.11111111.10000000
好了, 那你算一下有幾個 1 ? ANS:25
所以當你的 /25 出現時. 就是砍掉半個 class C
所以...在這個的計算上, 不是只有 8, 16, 24 的選擇而已.

shunxing · 發表於 2010-12-11 21:36:15

iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP

要改成這樣 24 改成16
24 是一個C 16是一個B ...
ezchon 發表於 2010-12-11 06:33 PM http://bbs.pigoo.com/images/common/back.gif

感謝解說~~~然怪我怎麼設定都覺得奇怪.....
沒學過IP的計算方式.....

後面16個位元會變動，所以前面16位元保留，結果就會改成ezchon大說的樣子。
/24或是/16，代表的是要子網遮 ...
s10274chen 發表於 2010-12-11 06:37 PM http://bbs.pigoo.com/images/common/back.gif

說真的~~~看了你的回覆我還是不懂原理........但多少知道怎麼設定了

恩這個正確 /24 = 255.255.255.0
意思就是說總共有24個1 這樣... /24的縮寫...
iptables除了支援/24之 ...
wst2080 發表於 2010-12-11 07:01 PM http://bbs.pigoo.com/images/common/back.gif

再看過你的解說~~~還是不太懂.....

順仔，你對 netmask 不熟喔。
.來. 我教你怎麼算.

192.168.1.1
在 netmask 上我們也分成4段來看.
11111111 ...
逃兵發表於 2010-12-11 08:05 PM http://bbs.pigoo.com/images/common/back.gif

逃兵~~~你果然是高手中的高手...
居然完整的解說出IP的設定方式...與解析方式.....
並且...將我多年來的困擾一並解決了....

只是...我真的不懂 netmask .......
而且這二進制1組就用到8個位元阿.....
這麼說來...8.16.24所代表的意義就是我們要保留幾個二進位......
只是~~~LINUX...真的可以保留25個嗎???設定上應該不可行吧....

carl0804 · 發表於 2010-12-11 22:47:58

順仔~~
你如果不太了解,那就從設定區段開始反推回去計算就知道了,
理論上是可以保留25個...實際上,我沒有試過,你可以試試看...

wst2080 · 發表於 2010-12-11 23:02:10

本帖最後由 wst2080 於 2010-12-12 12:03 PM 編輯

只是...我真的不懂 netmask .......
而且這二進制1組就用到8個位元阿.....
這麼說來...8.16.24所代表的意義就是我們要保留幾個二進位......
只是~~~LINUX...真的可以保留25個嗎???設定上應該不可行吧....
shunxing 發表於 2010-12-11 09:36 PM http://bbs.pigoo.com/images/common/back.gif

由於Linux的iptables可以支援CIDR與VLSM的機制...所以他算是可以支援屬於classless的協議~~~
而你認為的是屬於Classful的部分
例如:
255.0.0.0       Class A /8
255.255.0.0    Class B /16
255.255.255.0 Class C  /24
這種是屬於 Classful 的部分~
而通常這樣的規劃是很浪費有限的IPv4的資源,所以延伸出來就是打破這種網段分級的制度~
來徹底有效的利用IPv4有限的IP數量~~~

相信你應該知道 255.255.255.0 等於 /24 的由來吧~~~
就是前面三個欄位有八個 1
11111111.11111111.11111111.00000000
總共有24個1 所以prefix可以寫成 /24

而剛所說的 255.255.255.128
換算2進制就是
11111111.11111111.11111111.10000000
所以會有25個1

在 iptables 就可以寫成 x.x.x.x/25 或者 x.x.x.x/255.255.255.128

八個欄位的2進制算法很簡單
128    64    32 16    8    4       2       1

假設 /26 的遮罩怎麼算呢?
其實很簡單就是 128+64 = 192
所以就會變成 255.255.255.192 這樣~~~
那以192.168.0/26  遮罩就變成 192.168.0/255.255.255.192 (iptables應該不支援這個格式,我只是舉例而已!!!)
而這個網段就會變切割4等分(前提 subnet-zero 的狀態下!!!)

稍微講解一下基礎~~~ IPv4的切割玩法跟規則~~~
               NetID       host
192.168.0. 00          000000 → 網段宣告
               00          111111 → 廣播
               01          000000 → 網段宣告
               01          111111 → 廣播
               10          000000 → 網段宣告
               10          111111 → 廣播
               11          000000 → 網段宣告
               11          111111 → 廣播

[font color=red]**  host 全為 0 就是網段宣告; 全為 1 就是廣播

用這樣的算法~~~ 很累~~~ 來分享一個偷吃步(老外稱這個方法叫做 Magic Number)
就是透過 256 來扣掉遮罩的末端號碼 192 (256-192=64)
所以每64來切割一次,得到四個網段...
192.168.0.0 ~192.168.0.63
192.168.0.64  ~192.168.0.127
192.168.0.128~192.168.0.191
192.168.0.192~192.168.0.255

然後表示的方法就是
192.168.0.0 ~192.168.0.63          → 192.168.0.0/26
192.168.0.64  ~192.168.0.127       → 192.168.0.64/26
192.168.0.128~192.168.0.191       → 192.168.0.128/26
192.168.0.192~192.168.0.255       → 192.168.0.192/26

192.168.0.0/26
192.168.0.0 是屬於NetID 所以不能當作IP使用
192.168.0.63 是屬於廣播IP 所以不能當作IP使用
能用的網段範圍為: 192.168.0.1~62

192.168.0.64/26
192.168.0.64 是屬於NetID 所以不能當作IP使用
192.168.0.127 是屬於廣播IP 所以不能當作IP使用
能用的網段範圍為: 192.168.0.65~126

192.168.0.128/26
192.168.0.128 是屬於NetID 所以不能當作IP使用
192.168.0.191 是屬於廣播IP 所以不能當作IP使用
能用的網段範圍為: 192.168.129.~190

192.168.0.192/26
192.168.0.192 是屬於NetID 所以不能當作IP使用
192.168.0.255 是屬於廣播IP 所以不能當作IP使用
能用的網段範圍為: 192.168.0.193~254

這樣來計算子網切割是不是快上很多啊???

有興趣的話請參考這篇文章的末端我有稍微解說並且提供子網計算軟體(更偷懶的話,就用軟體算吧)
http://www.mml.com.tw/block/foru ... ;f=431&t=135224

wst2080 · 發表於 2010-12-11 23:04:21

只是...我真的不懂 netmask .......
而且這二進制1組就用到8個位元阿.....
shunxing 發表於 2010-12-11 09:36 PM http://bbs.pigoo.com/images/common/back.gif

不過現階段你應該還沒有機會用到 Wildcard Mask 才是....
目前你只是需要知道怎麼計算子網的切割就行了~~~~

shunxing · 發表於 2010-12-11 23:13:26

wst2080 ......沒想到～～～你也是對IP有超級深入研究的人阿.....
你這種解說方式讓我可以有效的抵擋一些不良IP的範圍了

carl0804 · 發表於 2010-12-11 23:25:55

由於Linux的iptables可以支援CIDR與VLSM的機制...所以他算是可以支援屬於classless的協議~~~
而你認為的 ...
wst2080 發表於 2010-12-11 11:02 PM http://bbs.pigoo.com/images/common/back.gif

以前上課有學到這個....
都忘記了....
現在看到又想起來了....那時候算的可真是辛苦咧....

wst2080 · 發表於 2010-12-11 23:28:26

本帖最後由 wst2080 於 2010-12-11 11:35 PM 編輯

回復 10# shunxing

CentOS 5.4-2010-12-11-23-25-23.png

有圖有真相~~~ 兩種寫法都OK的~~~

642-902 955 Pass

就上個星期以955的分數 Pass 這個科目搂~~~

Linux我不敢說我很強... 不過先前有不小心Pass 兩張關於 Linux 的 License 這樣~~~

http://img9.imageshack.us/img9/2423/rhctx.jpg
By wst2080 at 2009-04-18

http://img21.imageshack.us/img21/5940/rhce.jpg
By wst2080 at 2009-04-18

landskip · 發表於 2010-12-11 23:29:13

據我在01潛水的了解......wst2080是個網路專家

因為對他的頭像有點印象

wst2080 · 發表於 2010-12-11 23:50:39

wst2080 ......
你這種解說方式讓我可以有效的抵擋一些不良IP的範圍了
shunxing 發表於 2010-12-11 11:13 PM http://bbs.pigoo.com/images/common/back.gif

除了阻擋IP之外,亦可使用iptables當中的 multiport 模組方便設置連接埠的管制...
http://www.linuxhomenetworking.c ... alls_Using_iptables

以及部分服務上來使用 limit 來來做流量的管控~~~

目前市場很多軟路由以及嵌入式防火牆等等都是 base on iptables 上頭Run的~~~
玩得很熟的話~~~ 就會發現他連L7都能夠控管的到~~~

wst2080 · 發表於 2010-12-11 23:52:47

據我在01潛水的了解......wst2080是個網路專家
因為對他的頭像有點印象
landskip 發表於 2010-12-11 11:29 PM http://bbs.pigoo.com/images/common/back.gif

不敢當... 只是騙吃騙吃而已~~~
PS: 專家 = 專門騙人家

說到靈異...為啥我會想到這張圖啊???
http://farm3.static.flickr.com/2534/4119466374_446bd1e04e_z.jpg?zz=1

wst2080 · 發表於 2010-12-12 00:03:35

以前上課有學到這個....
都忘記了....
現在看到又想起來了....那時候算的可真是辛苦咧.... ...
carl0804 發表於 2010-12-11 11:25 PM http://bbs.pigoo.com/images/common/back.gif

這個不算難的...

我覺得最機車的還是 EIGRP 的計算公式... 真是又臭又長...
就算當中的5個K值有只有兩個K值等於1 (K1=K3=1) 剩下的均為零...
化整下來的公式算下來也是會頭暈的!!!

http://upload.wikimedia.org/math/c/8/b/c8bb6111fb31e61875ee63c17e797f7a.png
這就是 EIGRP 的原始計算公式

carl0804 · 發表於 2010-12-12 00:16:59

哈~~~
課本有.......
那時候大家都是算到兩眼昏花忘了自己姓啥叫啥~~
不過也是好久以前的事了~~~
您的證照好新喔~~
我的證照通通都過期了.....(我的MCSE還是2000咧~).....
也通通都不知道被我丟去哪了?
工作只要不是相關領域的,都不會去用到說....
我那時考LPIC還只有Lv.1 Lv.2兩等級,現在都還有Lv.3了....
倒是RH的證照我都沒考...或許和我從一開始接觸Linux就不是用RH有關係...
一直到現在,幾乎都沒用過RH....

shunxing · 發表於 2010-12-12 00:33:15

....看到你們的證照我才覺得神奇勒～～～....
都是我不可能考的到的.....

看到那公式....我先吐血

n_158|

carl0804 · 發表於 2010-12-12 01:11:23

有些證照並不難考...
至少我那個時候不難考....現在不知道....
以你的實力來說,真的一點也不難,
我考過最好考的證照應該是Sun Micro的Java吧...
記的那時是考五十幾題選擇題,只要"猜"對一半再多3題就有了...
我真的是用"猜"的...就算有證照了,到現在我還是不會寫Java...
我考CCNA好像也都是用猜的...唯有實做是朋友幫忙惡補出來的....
考証照最痛苦的其實並不是準備考試,考試費用才是最痛的...好貴...

wst2080 · 發表於 2010-12-12 07:30:40

本帖最後由 wst2080 於 2010-12-12 07:44 AM 編輯

有些證照並不難考...
至少我那個時候不難考....現在不知道....
carl0804 發表於 2010-12-12 01:11 AM http://bbs.pigoo.com/images/common/back.gif

RH的考試都是實機考試~~~ 題目出給你~~~ 你就把東西架出來然後符合題目的規則
(當然不可能 open book.....)

然後有出十道除錯題...
就是系統出錯... 你得用救援光碟把系統修好到能夠正常開機到 login: 底下...並且能用root登入...

難考與否是在於自己的準備是否充實....  之後有機會再考慮要不要考NCLP...

至於LPI... 我個人是沒啥興趣考... 考LPI的時間... 我不如拿來準備 CCIE 比較實際....
目前正準備CCNP當中 (Pass一個科目,還剩兩個科目)

若NP拿到手,好像只要多考一個科目就能多拿到一個 CCDP 了... 考慮要不要多考那個科目~~

RHCE考試價格不斐... 一萬三千多 (以前要一萬八千多)
我考兩次...第一次只拿到RHCT 第二次拿到RHCE.... 不過當時我算是聯成RHCE課程學員,所以有優惠價 6000元/次 ....
(人家只能考一次賭運氣,我可以一次考兩次.....)

至於CCNA新版的是USD 250... CCNP全部考完要USD 600...

是有看過那種 paper License ... 不過那種下場都很慘啦~~~
相比之下我是有花錢上課(上過兩次RHCE~一次在恆逸;另一次在聯成.然後~NA也上過~說到微軟又想到我以前在第三波上過Windows Server 2003 專家研討)、設備、教材等等....  再加上以前的工作經驗(工作都接觸到一些伺服端與網路端方面的) 考證照對我來說... 只是增加自己的學識.... 就當作活到老學到老摟....

emc88888 · 發表於 2010-12-12 21:11:30

看到wst2080的解說就知道不用再補充啦....他已經作了十分詳細清楚的說明了....

不過老實說, 當公司同事告訴我, 他的同學考了CCIE, 一個月卻只有40K的$$後, 這些東西對我來說就不再那麼重要了....CCNA過期就給他過吧.(NA, DN, NP的課都上過, 以前是沒錢考, 現在多加個沒力去考)

還是周遊列國跑維修比較有意思說.......

wish · 發表於 2010-12-12 21:18:25

回復 20# wst2080

我覺得我應該來一個如何考證照的版，請你來當版主，不知你意下如何？

wish · 發表於 2010-12-12 21:20:55

回復 18# shunxing

shunxing︰
不用吐血，每個人都有每個人強項與弱點。

wst2080 · 發表於 2010-12-12 21:21:16

回復 wst2080
我覺得我應該來一個如何考證照的版，請你來當版主，不知你意下如何？ ...
wish 發表於 2010-12-12 09:18 PM http://bbs.pigoo.com/images/common/back.gif

哈! 感謝抬愛~ 不過我比較喜歡回答問題啦~~ 雞婆倒是真的~~~ 不用刻意開個版~~~
大家有興趣就一起討論討論摟~~~

逃兵 · 發表於 2010-12-12 22:47:43

回復 18# shunxing

放心放心，現在的學生都用工具軟體來解題。根本不用自己算那個公式了。

carl0804 · 發表於 2010-12-12 23:58:40

初出社會的話,證照的確很好用,錄取機率增加不少,但是薪水未必會高...
如果已經有幾年工作經驗的話,證照反而不是那麼重要了...
我面試新人也是會看有沒有證照啊...
不過更重視的是實務經驗,尤其我的工作性質不太一樣,
證照對我們這行來說只是送檢用的...

jason1204 · 發表於 2010-12-13 11:32:41

本帖最後由 jason1204 於 2010-12-13 11:35 AM 編輯

有牌的果然是不一樣.

n_048|

ttckmj · 發表於 2010-12-13 18:22:06

看到公式就倒了一半了

hwj · 發表於 2010-12-13 21:36:51

考證照的版~
這個好~好多人再找考題

pchappy · 發表於 2010-12-13 22:27:13

....看到你們的證照我才覺得神奇勒～～～....
都是我不可能考的到的.....

看到那公式....我先吐血 ...
shunxing 發表於 2010-12-12 12:33 AM http://bbs.pigoo.com/images/common/back.gif

沒有什麼公式的... /16 只是代表16個bit /24 只是表示24個bit 要被mask
就像你去申請adsl時需要固定ip時
如果申請的是3 個 ip 你的mask 就是 255.255.255.252=11111111.11111111.11111111.11111100 以16進位來看=FF.FF.FF.FC
如果你申請是8 個 ip 你的subnet mask 就是 255.255.255.248 =11111111.11111111.11111111.11111000 以16進位來看=FF.FF.FF.F8
對16進位有觀念定的這樣會比較好記也比較好換算不用算半天的2進位..

對了你查到我那7月就因為主機板掛點的網站被當跳板攻擊你的圖了沒我要真相...
可惡的傢伙看來雨天使並沒有好好的教訓你...

		自動登錄	找回密碼
密碼			立即註冊