什么是域名 <?xml:namespace prefix = o ns = “urn:schemas-microsoft-com:office:office” />
IP地址是以数字来代表的主机地址,比较难记。为了使用和记忆方便,也为了便于网络地址的分层管理和分配,INTERNET在1984年采用了域名管理系统(DOMAINNAMESYSTEM),入网的每台主机都具有类似于下列结构的域名: 主机号.机构名.网络名.最高层域名 域名用一组简短的英文表达,比用数字表达的IP地址容易记忆。例如:北京电报局的一台与INTERNET联网的电脑主机的IP地址是202.96.0.97,域名为PUBLIC.BTA.NET.CN。加入INTERNET的各级网络依照域名管理系统的命名规则对本网内的主机命名和分配网内主机号,并负责完成通信时域名到IP地址的转换。对使用者来说,我们一般不需要使用IP地址,而直接使用域名,INTERNET上的服务系统自动地转为IP类型的地址。
我的理解:IP地址就是219.245.xxx.xxx 域名就是
域名分为顶层(TOP-LEVEL)、第二层(SECOND-LEVEL)、子域(SUB-DOMAIN)等。
顶层分为几种类型,分别是:
.COM 商业性的机构或公司
.ORG 非盈利的组织、团体
.GOV 政府部门
.MIL 军事部门
.NET 从事Internet相关的网络服务的机构或公司
.XX 由两个字母组成的国家代码,如中国为.CN,日本为.JP,英国为.UK等等一般来说大型的或有国际业务的公司或机构不使用国家代码。这种不带国家代码的域名也叫国际域名。这种情况下,域名的第二层就是代表一个机构或公司的特征部分,如IBM.COM中的IBM。对于具有国家代码的域名,代表一个机构或公司的特征部分则是第三层,如ABC.COM.JP中的ABC。
.biz 取意为business
.info 一般的信息服务使用
.tv 作为国际顶级域名,原本是一个太平洋岛国图瓦卢的国家代码顶级域名。通过与图瓦卢签定的协议,DOTTV公司成为了以.TV为后缀域名的独家注册商和注册管理机构。
.CC是位于澳大利亚西北部印度洋中cocos和keeling岛的官方授权的域名。在美国,.CC现已成为继.com和.net之后第三大顶级域名,选择使用.CC域名已经成为一种潮流。
.SH是St.Helena岛(圣海伦岛)国家代码顶级域名,即伟大的拿破仑被流放了7年之久的那一片岛屿的简称。
我的理解:顶层域名是最后的,第二层是次后的,子域是再次的。顶层(TOP-LEVEL)、第二层(SECOND-LEVEL)、子域(SUB-DOMAIN)
免费域名多为子域名,诸如“” “mail.yahoo.com”“shop.yahoo.com”等期中的:“www”“mail”“shop”就全都是“yahoo”这个具有实际域名产权意义的域名的子域名。它们没有产权保障,可以重复,并非全球唯一,由于使用方对域名没有所有权,它可能随时被丢弃、失效。同时很多所谓免费顶级域名也同样普遍存在产权纠纷。记住,天底下没有免费的午餐,小心披着羊皮的狼,还是按照法定手续一步步来。
上面的这段明显是个收费的域名服务网站的宣传材料;具体来说就是东莞贸易网的。
什么是动态域名
Internet上的域名解析一般是静态的,即一个域名所对应的IP地址是静态的,长期不变的。也就是说,如果要在Internet上搭建一个网站,需要有一个固定的IP地址。
动态域名的功能,就是实现固定域名到动态IP地址之间的解析。用户每次上网得到新的IP地址之后,安装在用户计算机里的动态域名软件就会把这个IP地址发送到动态域名解析服务器,更新域名解析数据库。Internet上的其他人要访问这个域名的时候,动态域名解析服务器会返回正确的IP地址给他。
因为绝大部分Internet用户上网的时候分配到的IP地址都是动态的,用传统的静态域名解析方法,用户想把自己上网的计算机做成一个有固定域名的网站,是不可能的。而有了动态域名,这个美梦就可以成真。用户可以申请一个域名,利用动态域名解析服务,把域名与自己上网的计算机绑定在一起,这样就可以在家里或公司里搭建自己的网站,非常方便。
我的理解:动态域名就是用户使用客户软件将自己现在的IP发给DNS服务器,并在DNS服务器中刷新域名与IP的关联。当有人访问该客户端的服务器时,DNS给出现在(是不是实时的呢?)与该域名关联的IP。
什么是域名解析?
域名“开通”的说法看起来相当的不严密,但的确很多刚接触网络营销的人会提出这样的问题。提出“域名注册之后怎么才能开通”这样问题的人的其实主要是想知道,自己注册了域名之后如何才能看到自己的网站内容,用一个专业术语就叫“域名解析”。
??在相关术语解释中已经介绍,域名和网址并不是一回事,域名注册好之后,只说明你对这个域名拥有了使用权,如果不进行域名解析,那么这个域名就不能发挥别的作用,经过解析的域名可以用来作为电子邮箱的后缀,也可以用来作为网址访问自己的网站,因此域名投入使用的必备环节是“域名解析”。
??我们知道域名是为了方便记忆而专门建立的一套地址转换系统,要访问一台互联网上的服务器,最终还必须通过IP地址来实现,域名解析就是将域名重新转换为IP地址的过程。一个域名只能对应一个IP地址,而多个域名可以同时被解析到一个IP地址。域名解析需要由专门的域名解析服务器(DNS)来完成。
捷泰网络
我的理解:“域名解析就是将域名重新转换为IP地址的过程。一个域名只能对应一个IP地址,而多个域名可以同时被解析到一个IP地址。域名解析需要由专门的域名解析服务器(DNS)来完成”
什么是二级域名
比如您注册的域名是abc.com,那么他是由一个字符串加一个域名尾,中间用.号隔开。这就是一个顶级域名,如果在顶级域名前在由.隔开加上不同的字符,比如bbs.abc.com,那么我们就说bbs是顶级域名abc.com的一个主机名,bbs.abc.com就是一个二级域名。
wnsky.net万能时空
我的理解:主机名+域名=二级域名
什么是DNS
域名管理系统DNS(Domain Name System)是域名解析服务器的意思.它在互联网的作用是:把域名转换成为网络可以识别的ip地址.比如:我们上网时输入的会自动转换成为218.104.78.78。
我的理解:DNS(Domain Name System)域名管理系统是域名解析服务器的意思
什么是DHCP
DHCP 是动态主机配置协议(Dynamic Host Configure Protocol)的缩写。一台DHCP服务器可以让管理员集中指派和指定全局的和子网特有的TCP/IP 参数(含IP 地址、网关、DNS服务器等)供整个网络使用。
客户机不需要手动配置TCP/IP;并且,当客户机断开与服务器的连接后,旧的IP地址将被释放以便重用,根据这个特性,比如你只拥有20 个合法的IP 地址,而你管理的机器有50 台,只要这50 台机器同时使用服务器DHCP服务的不超过20台,则你就不会产生IP 地址资源不足的情况。
如果已配置冲突检测设置,则DHCP服务器在将租约中的地址提供给客户机之前会试用Ping 测试作用域中每个可用地址的连通性。这可确保提供给客户的每个IP地址都没有被使用手动TCP/IP配置的另一台非DHCP 计算机使用。
转载:http://blog.chinaitlab.com/ http://blog.chinaitlab.com/user1/265244/archives/2005/20104.html
曾经在选择服务器种类的时候,查了一些资料,下面的是其中的一篇。抱歉的是当时没有将转载地址记录下来,对此表示对原作者的歉意。
Linux邮件服务器软件比较Qmail
发表时间:2006-1-20 11:57:00<?xml:namespace prefix = o ns = “urn:schemas-microsoft-com:office:office” />
Qmail是DanBernstein开发的可以自由下载的MTA,其第一个beta版本0.7发布于1996年1月24日,1997年2月发布了 1.0版,当前版本是1.03。
1.Qmail的特点
安全性:为了验证Qmail的安全性,Qmail的支持者甚至出资\(1000</SPAN>悬赏寻找<SPAN lang=EN-US> Qmail</SPAN>的安全漏洞,一年以后,该奖金没有被领取,而被捐献给自由软件基金会。目前,<SPAN lang=EN-US>Qmail</SPAN>的作者也出资<SPAN lang=EN-US>\)500来寻求Qmail的安全漏洞。
速度:Qmail在一个中等规模的系统可以投递大约百万封邮件,甚至在一台486一天上能处理超过10万封邮件,起支持并行投递。Qmail支持邮件的并行投递,同时可以投递大约20封邮件。目前邮件投递的瓶颈在于SMTP协议,通过STMP向另外一台互联网主机投递一封电子邮件大约需要花费10多秒钟。Qmail的作者 提出了QMTP(Quick Mail Transfer Protocol)来加速邮件的投递,并且在Qmail中得到支持。Qmail的设计目标是在一台16M的机器上最终达到每天可以投递大约百万级数目的邮件。
可靠性:为了保证可靠性,Qmail只有在邮件被正确地写入到磁盘才返回处理成功的结果,这样即使在磁盘写入中发生系统崩溃或断电等情况,也可以保证邮件不被丢失,而是重新投递。
特别简单的虚拟域管理:甚至有一个第三方开发的称为vchkpw的add-on来支持虚拟POP域。使用这个软件包,POP3用户不需要具有系统的正式帐户。
使用ezmlm支持用户自控制的邮件列表功能。
邮件用户和系统帐户隔离,为用户提供邮件帐户不需要为其设置系统帐户,从而增加了安全性。
2.Sendmail vs Qmail
首先:sendmail是发展历史悠久的MTA,当前的版本是8.10.2。当然,Sendmail在可移植性、稳定性及确保没有bug方面有一定的保证。但是Internet上有很多帖子都是关于如果攻击Sendmail,这对于管理员来说是一个噩梦。Sendmail在发展过程中产生了一批经验丰富的Sendmail管理员,并且 Sendmail有大量完整的文档资料,除了 Sendmail的宝典: OReillys sendmail book written by Bryan Costales with Eric Allman以外,网络上有大量的tutorial、FAQ和其他的资源。这些大量的文档对于很好的利用Sendmail的各种特色功能是非常重要的。但是Sendmai当前来说是一个成熟的MTA。
当然,Sendmail具有一些缺点,其特色功能过多而导致配置文件的复杂性。当然,通过使用m4宏使配置文件的生成变的容易很多。但是,要掌握所有的配置选项是一个很不容易的事情。Sendmail在过去的版本中出现过很多安全漏洞,所以使管理员不得不赶快升级版本。而且Sendmail的流行性也使其成为攻击的目标,这有好处也有坏处:这意味着安全漏洞可以很快地被发现,但是同样使Sendmail更加稳定和安全。另外一个问题是 Sendmail一般缺省配置都是具有最小的安全特性,从而使Sendmail往往容易被攻 击。如果使用Sendmail,应该确保明白每个打开的选项的含义和影响。一旦你理解了Sendmail的工作原理,就Sendmail的安装和维护就变的非常容易了。通过Sendmail的配置文件,用户实现完成一切可以想象得到的需求。
Qmail是一个选择,其在设计实现中特别考虑了安全问题。如果你需要一个快速的解决方案如,一个安全的邮件网关,则Qmail是一个很好的选择。Qmail和Sendmail的配置文件完全不同。而对于Qmail,其有自己的配置文件,配置目录中包含了5-30个不同的文件,各个文件实现对不同部分的配置(如虚拟域或虚拟主机等)。这些配置说明都 在man中有很好的文档,但是Qmail的代码结构不是很好。
Qmail要比Sendmail小很多,其缺乏一些现今邮件服务器所具有的特色功能。如不象Sendmail,qmail不对邮件信封的发送者的域名进行验证,以确保域名的正确性。自身不提供对RBL的支持,而需要add-on来实现。,而Sendmail支持RBL。同样Qmail不能拒绝接收目的接收人不存在信件,而是先将邮件接收下来,然后返回查无此用户的的邮件。Qmail最大的问题就出在发送邮件给多个接收者的处理上。若发送一个很大的邮件给同 一个域中的多个用户,Sendmail将只向目的邮件服务器发送一个邮件拷贝。而 Qmail将并行地连接多次,每次都发送一个拷贝给一个用户。若用户日常要发送大邮件给多个用户,使用Qmail将浪费很多带宽。可以这么认为:Sendmail优化节省带宽资源,Qmail优化节省时间。若用户系统有很好的带宽,Qmail将具有更好的性能,而如果用户系统的带宽资源有限,并且要发送很多邮件列表信息,则Sendmail效率更高一些。Qmail不支持.forward(.forward在很多情况下对用户很有用处);不使用/var/spool/mail,而是将邮件存放在用户home目录。下面是一些使用Qmail不容易完成的工作,要使用Qmail完成这些工作,可能需要用户自己动手实现或者使用第三方提供的不够可靠的模块。
Qmail的源代码相对于Sendmail来说要更加容易理解,这对于希望深入到内部了解MTA机制的人员来说是一个优点。Qmail在安全性方面也要稳定一些。Qmail有很好的技术支持,但是没有象Sendmail那样被广泛地应用和大量的管理员用户群。Qmail的安装不象Sendmail那样自动化,需要手工步骤。而且 Qmail的文档不如Sendmail那样完整和丰富。
Qmail的add-ons比Sendmail要少一些。一般来说对于经验稍微少一些的管理员,选择Qmail相对要好一些。Qmail要简单一些,而且其特色功能能满足一般用户的需求。Sendmail类似于office套件,80%的功能往往都不被使用。这就使Qmail在一些场合可能被更受欢迎一些,其具有一些Sendmail所没有的更流行和实用的特色功能,如:Qmail具有内置的pop3支持。Qmail同样支持如主机或用户的伪装、虚拟域等等。Qmail的简单性也 使配置相对容易一些。
Qmail被认为相对于Sendmail更加安全和高效,运行 Qmail的一台pentium机器一天可以处理大约 200,0000条消息。
Qmail相对于其他的MTA要简单很多,主要体现在:
(1)其他的MTA的邮件转发、邮件别名和邮件列表都是采用相互独立的机制,而Qmail采用一种简单的转发(forwarding)机制来允许用户处理自己的邮件列表。
(2)其他的MTA都提供快速而不安全的方式及慢的队列方式的邮件投递机制;而Qmail发送是由新邮件的出现而触发的,所以其投递只有一种模式:快速的队列方式。
(3)其他的MTA实际上包括一个特定版本的inetd来监控MTA的平均负载,而qmail 设计了内部机制来限制系统负载,所以qmail-smtpd 能安全地从系统的inet来 运行sendmail有很多 的商业支持,而且由于大量的用户群,在互联网上有大量的潜在技术支持。而Qmail只有很有限的技术支持。有家公司inter7.com提供对Qmail的支持,该公司同样提供了免费的add-ons,包括一个基于web的管理工具-QmailAdmin及一个通过vpopmail的对虚拟域的支持,甚至具有一个基于web的客户借接口— SqWebMail。
Qmail还具有一些其他的缺憾。如它不是完全遵从标准,它不支持DSN,作者认为DSN是一个即将消亡的技术,而Qmail的VERP可以完成同样的工作,而又不象DSN依赖于其他主机的支持。Qmail另外一个问题是其不遵从支持7bit系统标准,而每次都发送8bit。若邮件接收一方不能处理这种情况,就会出现邮件乱码的情况。
从安全性来讲,Sendmail要比Qmail差一些,Sendmail在发展中出现过很多很著名的安全漏洞;而Qmail相对要短小精悍,但是仍然提供了基本的STMP功能。而Qmail的代码注释要少一些。Qmail的一个很好的特色是其支持一种可选的基于目录的邮件存储格式,而不是使用一个很大的文件来存储用户所有的邮件。若用户的邮件服务器进行很多的POP3服务,则这种邮件存储格式可以提高效率。但是遗憾的是Pine自身并不支持这种存储格式,如果需要可以使用一些补丁来达到这个目的。
Qmail的优点是:每个用户都可以创建邮件列表而无须具有根用户的权限,如用户“foo”可以创建名为foo-slashdot,foo-linux,foo-chickens的邮件列表,为了提供更好的功能,有一个叫 ezmlm(EZ Mailing List Maker)的工具可以支持自动注册和注销、索引等Majordomo所具有 的各种功能,但是都是CLI驱动的,只需要编辑很少的文件。Qmail非常适合在小型系统下工作,一般只支持较少的用户或用来管理邮件列表。Qmail速度快并且简单:Qmail是当你希望安全切容易配置的**的选择;Qmail可以在2个小时内搞定配置,而Sendmail可能在两天内都搞不定。
rocketmail internic 等都使用Qmail来构建。
<DIV>iptables 入门 选择自 linuxnote 的 Blog </DIV> 讯享网
1. 在 ipchains 中,诸如 input 链,是使用小写的 chains 名,在 iptables 中,要改用大写 INPUT。
2. 在 iptables 中,要指定规则是欲作用在那一个规则表上(使用 -t 来指定,如 -t nat),若不指定,则预设是作用在 filter 这个表。
3. 在 ipchains 中, -i 是指介面(interface),但在 iptables 中,-i 则是指进入的方向,且多了 -o,代表出去的方向。
4. 在 iptables 中,来源 port 要使用关键字 –sport 或 –source-port
5. 在 iptables 中,目的 port 要使用关键字 –dport 或 –destination-port
6. 在 iptables 中,”丢弃” 的处置动作,不再使用 DENY 这个 target,改用 DROP。
7. 在 ipchains 的记录档功能 -l,已改为目标 -j LOG,并可指定记录档的标题。
8. 在 ipchains 中的-y,在 iptables 中可用 –syn 或 –tcp-flag SYN,ACK,FIN SYN
9. 在 iptables 中,imcp messages 型态,要加上关键字 –icmp-type,如:
打开核心 forward 功能,作法如下:
# 打开 forward 功能
—————————————————–
或在/etc/sysconfig/network 中添加
FORWARD_IPV4=yes
打开转发功能
清除所有的规则,作法如下::
# 清除先前的设定
—————————————————–
iptables -F
iptables -X
iptables -F -t mangle
iptables -t mangle -X
iptables -F -t nat
iptables -t nat -X
选定预设的策略
接着,要选定各个不同的规则链,预设的策略为何。作法如下:
# 设定 filter table 的预设策略
—————————————————–
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# 设定 filter table 的预设策略
—————————————————–
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
因此 lo 只在 INPUT 及 OUTPUT 二个 chain 作用。
iptables -A OUTPUT -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -o eth1 -j ACCEPT
使内网的封包经过伪装之后,使用对外的 eth0 网卡当作代理号,对外连线。作法如下:
# 启动内部对外转址
—————————————————–
利用转址、转 port 的方式,使外网的封包,可以到达内网中的服务器主机,俗称虚拟主机。这种方式可保护服务器
# 启动外部对内部转址
—————————————————–
# 凡对 \(FW_IP:80 连线者, 则转址至 172.16.255.2:80 <BR>iptables -t nat -A PREROUTING -i eth0 -p tcp -d \)FW_IP –dport 80 -j DNAT –to-destination 172.16.255.2:80
开放内网,可以 telnet 至外部主机。
# open 外部主机 telnet port 23
—————————————————–
开放任意的邮件主机送信包给你的 Mail Server,而你的 Mail Server 也可以送信包过去。
# open SMTP port 25
—————————————————–
iptables -A INPUT -i eth0 -p tcp -s any/0 –sport 1024:65535 -d \(FW_IP --dport 25 -j ACCEPT <BR>iptables -A OUTPUT -o eth0 -p tcp ! --syn -s \)FW_IP –sport 25 -d any/0 –dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -s \(FW_IP --sport 1024:65535 -d any/0 --dport 25 -j ACCEPT <BR>iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 25 -d \)FW_IP –dport 1024:65525 -j ACCEPT
开放内网可以对外网的 POP3 server 取信件。
# open 对外部主机的 POP3 port 110
—————————————————–
开放内网可以观看外网的网站。
# open 对外部主机的 HTTP port 80
—————————————————–
开放内网,可以查询外网任何一台 DNS 主机。
# open DNS port 53
—————————————————–
iptables -A OUTPUT -o eth0 -p udp -s \(FW_IP --sport 1024:65535 -d any/0 --dport 53 -j ACCEPT <BR>iptables -A INPUT -i eth0 -p udp -s any/0 --sport 53 -d \)FW_IP –dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -s \(FW_IP --sport 1024:65535 -d any/0 --dport 53 -j ACCEPT <BR>iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 53 -d \)FW_IP –dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -s \(FW_IP --sport 53 -d any/0 --dport 53 -j ACCEPT <BR>iptables -A INPUT -i eth0 -p udp -s any/0 --sport 53 -d \)FW_IP –dport 53 -j ACCEPT
# 开放这台主机上的 DNS 和外部的 DNS 主机互动查询:使用 tcp
iptables -A OUTPUT -o eth0 -p tcp -s \(FW_IP --sport 53 -d any/0 --dport 53 -j ACCEPT <BR>iptables -A INPUT -i eth0 -p tcp ! -y -s any/0 --sport 53 -d \)FW_IP –dport 53 -j ACCEPT
开放内网,可以 ssh 至外部主机。
# open 外部主机 ssh port 22
—————————————————–
iptables -A OUTPUT -o eth0 -p tcp -s \(FW_IP --sport 1020:1023 -d any/0 --dport 22 -j ACCEPT <BR>iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 22 -d \)FW_IP –dport 1020:1023 -j ACCEPT
开放内网,可以 ftp 至外部主机。
# open 对外部主机 ftp port 21
—————————————————–
iptables -A OUTPUT -o eth0 -p tcp -s \(FW_IP --sport 1024:65535 -d any/0 --dport 21 -j ACCEPT <BR>iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 21 -d \)FW_IP –dport 1024:65535 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s any/0 –sport 20 -d \(FW_IP --dport 1024:65535 -j ACCEPT <BR>iptables -A OUTPUT -o eth0 -p tcp ! --syn -s \)FW_IP –sport 1024:65535 -d any/0 –dport 20 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -s \(FW_IP --sport 1024:65535 -d any/0 --dport 1024:65535 -j ACCEPT <BR>iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 1024:65535 -d \)FW_IP –dport 1024:65535 -j ACCEPT
可以对外 ping 任何一台主机。
追加:
_____
/ .
Incoming–>[Routing ]—>|FORWARD|——->Outgoing
[Decision] _____/ ^
| |
v _____
____ /
/ |OUTPUT|
|INPUT| ______/
____/ ^
| |
—-> Local Process —-
还是分析一下包的在链中的处理流程吧!
其中三个圈代表前述的三个链,当一个包抵达上图其中的一个链时,相应的链就会被检验(examined)以决定如何处理这个包。
(1)当一个包进入时,内核首先看包的目的地,如果目的地址为本机,这个包就下行至INPUT链,如果能够通过检测,
(2)如果目的地址不是本机,但内核没有启动转发功能,或者内核不知道如何转发这个包,那么该包就会被丢弃。
(3)如果目的地址不是本机,转发功能也已经启动,那么这个包将右行至FORWARD链。如果该包被接受,
(4)一个在本机运行的程序发送网络包,这时包会直接经过OUTPUT链,如果被接受,
作者Blog:http://blog.csdn.net/linuxnote/
讯享网 <DIV>Linux下IpTables的配置</DIV>
LOG表示包的有关信息被记录日志 TOS改写包的TOS值
用法:<严格区分大小写>
-P 为永久链指定默认规则
-C 检查给定的包是否与指定链的规则相匹配
-Z 将指定链中所有规则的包字节记数器清零
-h 显示帮助信息
的是source-port 4000,destination-port 8000
只需要在FORWARD里加入一条规则就可以
iptables -A FORWARD -i eth0 -p udp –dport 8000 -j DROP
这里的eth0是内网网卡.
要删了这条规则只需要输入:
iptables -D FORWARD 1
这里的1是指它的序号
附:
封杀MSN的方法:
/sbin/iptables -I FORWARD -d gateway.messenger.hotmail.com -j DROP
/sbin/iptables -I FORWARD -p tcp –dport 1863 -j DROP
设置链的目标规则。
-E -rename-chain
根据用户给出的名字对指定链进行重命名,这仅仅是修饰,对整个表的结构没有影响。TARGETS参数给出一个合法的目标。只有非用户自定义链可以使用规则,而且内建链和用户自定义链都不能是规则的目标。
-h Help.
帮助。给出当前命令语法非常简短的说明。
PARAMETERS
参数
以下参数构成规则详述,如用于add、delete、replace、append 和 check命令。
-p -protocal [!]protocol
规则或者包检查(待检查包)的协议。指定协议可以是tcp、udp、icmp中的一个或者全部,也可以是数值,代表这些协议中的某一个。当然也可以使用在/etc/protocols中定义的协议名。在协议名前加上”!“表示相反的规则。数字0相当于所有all。Protocol all会匹配所有协议,而且这是缺省时的选项。在和check命令结合时,all可以不被使用。
-s -source [!] address[/mask]
指定源地址,可以是主机名、网络名和清楚的IP地址。mask说明可以是网络掩码或清楚的数字,在网络掩码的左边指定网络掩码左边”1”的个数,因此,mask值为24等于255.255.255.0。在指定地址前加上”!“说明指定了相反的地址段。标志 –src 是这个选项的简写。
-d –destination [!] address[/mask]
指定目标地址,要获取详细说明请参见 -s标志的说明。标志 –dst 是这个选项的简写。
-j –jump target
-j 目标跳转
指定规则的目标;也就是说,如果包匹配应当做什么。目标可以是用户自定义链(不是这条规则所在的),某个会立即决定包的命运的专用内建目标,或者一个扩展(参见下面的EXTENSIONS)。如果规则的这个选项被忽略,那么匹配的过程不会对包产生影响,不过规则的计数器会增加。
-i -in-interface [!] [name]
i -进入的(网络)接口 [!][名称]
这是包经由该接口接收的可选的入口名称,包通过该接口接收(在链INPUT、FORWORD和PREROUTING中进入的包)。当在接口名前使用”!“说明后,指的是相反的名称。如果接口名后面加上”+“,则所有以此接口名开头的接口都会被匹配。如果这个选项被忽略,会假设为”+ “,那么将匹配任意接口。
-o –out-interface [!][name]
-o –输出接口[名称]
这是包经由该接口送出的可选的出口名称,包通过该口输出(在链FORWARD、OUTPUT和POSTROUTING中送出的包)。当在接口名前使用”!“说明后,指的是相反的名称。如果接口名后面加上”+“,则所有以此接口名开头的接口都会被匹配。如果这个选项被忽略,会假设为”+ “,那么将匹配所有任意接口。
[!] -f, –fragment
[!] -f –分片
这意味着在分片的包中,规则只询问第二及以后的片。自那以后由于无法判断这种把包的源端口或目标端口(或者是ICMP类型的),这类包将不能匹配任何指定对他们进行匹配的规则。如果”!“说明用在了”-f”标志之前,表示相反的意思。
OTHER OPTIONS
其他选项
还可以指定下列附加选项:
-v –verbose
-v –详细
详细输出。这个选项让list命令显示接口地址、规则选项(如果有)和TOS(Type of Service)掩码。包和字节计数器也将被显示,分别用K、M、G(前缀)表示1000、1,000,000和1,000,000,000倍(不过请参看-x标志改变它),对于添加,插入,删除和替换命令,这会使一个或多个规则的相关详细信息被打印。
-n –numeric
-n –数字
数字输出。IP地址和端口会以数字的形式打印。默认情况下,程序试显示主机名、网络名或者服务(只要可用)。
-x -exact
-x -精确
扩展数字。显示包和字节计数器的精确值,代替用K,M,G表示的约数。这个选项仅能用于 -L 命令。
–line-numbers
当列表显示规则时,在每个规则的前面加上行号,与该规则在链中的位置相对应。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/145062.html