顯示文章

這裡允許您檢視這個會員的所有文章。請注意, 您只能看見您有權限閱讀的文章。


文章 - best6553

頁: [1]
1
系統安全討論版 / 幾個防火牆的問題請教
« 於: 2009-12-16 12:35 »
大家好

最近我參考 http://www.xspace.idv.tw/bo_blog/read.php?145 的 Script 來實做簡易抵擋攻擊的防火牆
我把上面的 Script 弄成名為 Anti_Attack  的 chain
讓 Firewall 跑完之後,在跑自訂 Server 開放服務 port 的 chain
最後再 Log & Drop all Packet

不過感覺那個 Anti_Attack  的 chain 不是寫的很好,
因為有些 HTTP 的Packet 也會被它擋掉

代碼: [選擇]
Dec 16 11:51:57 www kernel: [35539.599788] 'Attack'IN=eth0 OUT= MAC=00:0c:29:da:d9:3a:00:0b:5f:49:5f:80:08:00 SRC=140.*.*.192 DST=140.*.*.198 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=8898 DF PROTO=TCP SPT=1708 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405B401010402)
(*140.*.*.198 是Server 的IP ,140.*.*.192 是Client 的IP)

但是又不能把 自訂 Server 開放服務 port 的 chain 的優先權 擺在  Anti_Attack  的 chain 上面,
因為這樣就不能抵擋 Port Scan 了。
請問有沒有其他 還不錯的 iptable Script 可以抵擋 FLOOD 跟 Port Scan?

2
已解決

NAT 加入一條:
-A POSTROUTING -s 192.168.65.0/24 -j MASQUERADE

編輯 /etc/sysctl.conf
vim /etc/sysctl.conf
代碼: [選擇]
27 # Uncomment the next line to enable packet forwarding for IPv4
28 net.ipv4.ip_forward=1
;)

3
如題

我在 Debian 上裝了 PPTP server (PoPToP version 1.3.4)

Client PPTP連進來Server之後 ,

Server 上會多出幾個網路介面:ppp0 、ppp1 ...etc ip為 (192.168.65.1、192.168.65.2)

我如果想要讓他們能夠透過我的 Server 上網 是否可行?

是不是從 Iptable 下手呢?

該如何實作呢?

先謝過各位大大。 :)


4
引用
我不太確定怎樣新增一小時跑一次的排程

代碼: [選擇]
0 * * * * your_program--

謝謝 k 大

最後改成:
代碼: [選擇]
0 * * * * /home/robo/UPS_Check.sh > /dev/null 2>&1
@reboot /home/robo/UPS_Check.sh > /dev/null 2>&1
這樣對嗎?

5

1. 這個排程語法就是每隔 1min 執行而已,不知道你改變哪邊呢 ?

代碼: [選擇]
* */1 * * * /home/robo/UPS_Check.sh
2. 你這樣的排程與你的程式寫法,會導致你的程式重複執行。一會 ps aux 會看到一堆你的 script 都在 run

其實我的用意是要排程 一個小時跑一次,只是 Script 裡面跑 120 個迴圈
我不太確定怎樣新增一小時跑一次的排程,還煩請賜教一下 :) 謝謝。

6
不用 1min 就一次
那太短了
間隔要稍微長一點

好吧,那我改成
代碼: [選擇]
#!/bin/sh
for (( i=1; i<=120; i=i+1 ))
do
  ping -w 1 168.95.1.1  >/dev/null
  if [ $? = 0 ];then
    echo $?
  else
    poweroff
  fi
  sleep 28
done

crontab -e
代碼: [選擇]
* */1 * * * /home/robo/UPS_Check.sh  /dev/null 2>&1

這樣應該沒錯了吧? ;D 一小時一次
老實說 UPS 是偷借別的單位來共用的(使用排插插在一起)
所以不敢讓機器消耗UPS 電池太久,選擇使用 30 秒檢查一次

7
這應該是 crontab 來作更好?

 :D 好。
那把 Script 改成這樣
代碼: [選擇]
#!/bin/sh
ping -w 3 168.95.1.1 >/dev/null
if [ $? = 0 ];then
  echo $?
else
  poweroff
fi
  sleep 30
ping -w 3 168.95.1.1 >/dev/null
if [ $? = 0 ];then
  echo $?
else
  poweroff
fi

然後 crontab -e
*/1 * * * * /home/robo/UPS_Check.sh

是這樣嗎?
有個疑問是這樣做 /var/log/cron 的內容會不會越來越大?會不會出問題?
因為對 Linux 不太熟所以如果這樣做有問題請協助指正。

 ;)

8
抱歉,已在  Linux 討論版 問到答案

http://phorum.study-area.org/index.php/topic,57470.msg293983.html#msg293983

如果這篇是廢文,請板主幫我刪掉這篇。

謝謝

9
Linux 討論版 / 請教有關於 開機執行 Scripts
« 於: 2009-07-24 20:39 »
各位前輩好:

小弟最近再裝 VMware ESX (RHEL)
參考 Google 爬文抄了一個 Script如下

代碼: [選擇]
#!/bin/sh
PowerOK=true
while true
do
  ping -w 3 168.95.1.1 >/dev/null
  if [ $? = 0 ];then
    echo $?
  else
    poweroff
    PowerOK=false
  fi
  sleep 30
done

這是 Ping 不到自動關機的 Script (UPS 供電時自動關機的另類作法)
如果我想要讓這個 Script 在開機時自動執行
應該要怎麼做呢?
請教一下各位 Linux 前輩與高手們。

10
免費序號在一開始download時有提供,
下載esxi一開始有一封確認信寄到你註冊填的信箱上,信裡有一個download連結,進入後,裡面除了載點連結外,還有免費序號,註冊後就不會有60天的限制 :)

原來如次。
終於沒有60天的限制了 ^ ^
感謝 kknrs29423 前輩。

聽說這個序號可以拿去用 ESX
我拿這序號來改裝ESX 看看

11
小弟最近灌了一台 ESXi
不過發現了一件事:
如圖


VMWare 的 ESXi 不是免費的嗎?
為什麼 VMware vSphere Client 上面都會寫只能用 60 天評估版
這個評估版是指 VMware vSphere Client 還是我的 ESXi 4.0 ?

感謝 ^ ^

12
預算只有29000,而且只用一台,老實說我不太建議用ESXi.
1.備份方式有想過嗎?印象中沒有免費且可線上備份的軟體.
2.只有一台的話,壞了你要怎麼辦?vmfs格式資料無法接普通PC讀取.ESXi備份的vm還要經過轉換才可以給別的vmware軟體用.
那我放棄好了,原來還有這些問題。
那我還是弄個 VM Server 看看。
thx 大大幫我配的硬體[IBM X3200 M2   Intel Xeon E3110 3.0 duo 2 core] 來跑 Windows 2003 + VMware server 的話效能 OK 嗎?
以一台三四百人同時上線的網站伺服器來說?

13
 :D
資料挺豐富的
謝謝。

14
IBM 網站應該報不出 這價格   :P ...
至於框架 客服可能會瞪大了眼睛 完全不知道有這種料件存在 ...

呵呵,那我這樣的配備要透過什麼管道買呢?
謝謝 ;D

15
老實說,我完全沒接觸過 Server 的硬體,
之前都是拿 PC 來架架 Web Server 與 Mail Server
最近幫忙學校單位重新裝設 伺服器(我是學生,所以沒有太多的進度限制)
正好有 29,000 - 的預算
想說正好可以拿學校的錢來玩玩看 Server 硬體
可以的話也來裝個比以前專業的 Server  :D
不過看起來這樣的預算要裝 Server 會比較困難。
何況學校購買設備還要跑一些 共同契約採購 的流程。。。
如果說真的 沒辦法的話,只好在買 PC 架構的機器,
找看看有沒有 除了 VMware ESXi 之外的 虛擬化的作法。

16
一、光華組裝電腦???你在開自己的玩笑嗎?
...
UPS在於你想不斷電多久?這絕對是花的錢多停越久。
...
其實我是不排斥用 PC 架構的機器來裝
UPS對我來說,是想要讓停電的時候,要能夠設定成會幫Server關機,因為都停電了,網路設備 (Switch)也沒有電源,網路也中斷了
Server 有電也是沒太大的作用。

17
..
IBM X3200 M2   Intel Xeon E3110 3.0 duo 2 core . 15k ~16k  ( 光這顆CPU 市價大概就 6000)
dram買一般就好 不用買ECC 2gb nt 750 , *4 = 3000
原廠hdd160G 3000元 ,250G : 4000 貴的有病
所以另外買框架...框架有分塑膠匡跟鐵框. 大概是每個nt 500跟 nt 1000   .HDD 640gb nt 2250*2 =4500
..
IBM X3200 ,E3110 , 8GB ,Raid 1 , 640GB *2 Raid 1 .買這樣套件唯一要注意的是有可能後面hdd背版要拆下就是了.
您好,我拿著個配備去 IBM 網站問問客服看看 @@ 謝謝。
不知道硬碟那些用非原廠的,IBM 會不會幫我整台裝好在賣我?

18
大家好,
我最近有一筆預算 約 29,000
想要拿來購買可以裝設 VMware ESXi 的機器,
主要是要來架設一台負載為幾百人以內的動態網頁伺服器,其次想要拿來架設當作練習用的架設一些小負載的伺服器服務(如10人以內的VPN等)

需求是:必須要有 RAID (1) 與 UPS 不斷電系統

目前心裡有幾個方案:

方案 1. 組裝 光華牌 電腦

方案 2. 找台較廉價的 品牌伺服器

如果要用 方案1的話,應該要選擇 Intel 的 CPU 還是 AMD 的 CPU 好?
市面上有沒有推薦哪一張主機板的儲存媒體晶片與網路卡晶片可以被 VMware ESXi 相容?
請推薦。

抑或者是 使用方案2. 如果是使用方案2. 想要包含 RAID 與 UPS 在 29,000的預算內,有沒有學長推薦的型號呢?
謝謝。 :)

19
Network 討論版 / BrazilFW 的MASQUERADE 設定問題
« 於: 2008-01-21 12:39 »
請問
如圖

是不是表示只有客戶端 192.168.0.1 這個IP會做偽裝呢?
我這樣設定之後把客戶端IP改成192.168.0.3還是可以上奇摩
這表示是不是在哪裡設定有問題?
 ???

20
我是這麼做的啦~~
iptables -A PREROUTING -t mangle -s 1.1.1.1 -m mac --mac-source ! 11:11:11:11:11:11 -j DROP
iptables -A POSTROUTING -t nat -s 1.1.1.1 -j MASQUERADE
也就是不要一開始就全部MASQUERADE

不過這個只能防君子不能防小人的啦....
MAC也是可以改的.....

湯姆貓大哥您好^^~
關於
iptables -A POSTROUTING -t nat -s 1.1.1.1 -j MASQUERADE
我的系統是用BrazilFW加上
http://www.pczone.com.tw/vbb3/thread/29/116666/
裡面的方法寫的
tc 指令 ( /etc/rc.d/rc.local )

iptables 指令、過濾器
我不知道我是在哪裡做了MASQUERADE
是否有 MASQUERADE的反動作?
類似
iptables -A POSTROUTING -t nat -s 1.1.1.1 -j Anti-MASQUERADE
的東西呢?
或者我應該去哪裡取消MASQUERADE 的動作呢?
謝謝^^~

21
各位前輩好 ;)

請問關於在IPTABLE上面寫
iptables -t mangle -A PREROUTING -s 1.1.1.1 -m mac --mac-source ! 11:11:11:11:11:11 -j DROP

是不是可以指定1.1.1.1 的IP綁住  11:11:11:11:11:11這張網卡才能用
那要怎麼寫可以確定當 11:11:11:11:11:11這張網卡改別的IP的時候也不能上網,只能使用1.1.1.1才能上網呢? ???
謝謝 :D

22
Network 討論版 / 關於 Brekeke SIP Server
« 於: 2007-09-12 22:42 »
除了Brekeke SIP Server以外
還有沒有免費的SIP Server軟體呢?
感謝

23
引述: "threeseconds"
把這些全部看完吧。
http://www.pczone.com.tw/vbb3/thread/16/109306/
http://www.pczone.com.tw/vbb3/thread/16/110123/
http://www.pczone.com.tw/vbb3/thread/16/109334/
看完包你功力大增。


感謝threeseconds大哥
我這兩天來把Ipcop裝看看

24
請求各位前輩大大:
最近要裝一台Router
功能要有
1.L7 Filter。(要用來擋P2P)
2.可以設定網路使用的優先權。 (HTTP 的優先權為最高,其他為一般,Pfsense裡面好像有這個功能)
3.可以給底下兩百台左右的電腦用
4.可以快速簡單的鎖定IP所配對的電腦MAC(不使用DHCP時,預防Lan電腦亂改IP)
5.免費的。
6.有HTTP管理功能。
7.QOS設定每個IP的頻寬。

這兩天分別裝好 Pfsense  與 BrazilFW
Pfsense  似乎沒有 L7 Filter(也許是小弟英文太破沒找到@@),
BrazilFW 在操作起來又不夠友善。

不知道還有沒有其他類似這兩套軟體,可以讓我試試看?
懇求各位有經驗的大大了。
感謝。 :)  :)

頁: [1]