【免費註冊】 【會員登入】 【個人資料】 【會員列表】 【論壇幫助】 【論壇搜尋】 【登出論壇】

∮Ω奧米加空間∮
∮Ω奧米加空間∮»技術文件區»Linux 筆記

訂覽該主題更新消息 | 將該主題推薦給朋友 發表新主題 發起投票  回覆
作者 主題     分頁:[ 1 2 3 4 ]
dc
管理員



性別:男
來自:瓦肯星
發表總數:6489
註冊時間:2002-05-07 16:32
(第 11 篇)

在 Linux 底下用 traceroute 其實還有更方便的工具~就是 MTR
他結合了 ping, traceroute, nslookup 的特性

yum install -y mtr

使用看看吧^^

win 版本可以看
http://winmtr.net/

補上說明
資料來源:阿舍的隨手記記、隨手寫寫...

Loss%
封包傳送出去未回應(遺失)的比率,越高表示那個路由點的狀況很糟,要想辦不經過那裡。

Snt
已傳送幾次封包來進行測試。

Last
最後一個封包花費的時間。

Avg
傳送每一個封包平均所花費的時間。

Best
傳輸時間花最短的那一次的所花費時間。

Wrst
傳輸時間最長(最差) 那一次的所花費時間。

StDev
標準差,這個數字越高,表示平均值的可信度就不夠高。

如果在 MTR 出現的路由中,有出現「???」而沒有顯示主機名稱或 IP 位址的話,通常,就表示路由的設定可能有問題,使得封包到不了目的地,或者是該路由器超過時間未回應,但也可能是那台路由器的設定有問題造成的哩 ! 但是,也可能是該路由器有設定不回應 Ping (ICMP) 封包哩 !

除了用即時監控的方式來查看之外,也可以用只顯示一次的方式來查詢,操作指令如下,用這種方式的查詢,MTR 預設會以傳送10次封包的方式來做檢測,所以,在 Snt 那一欄所顯示的,就會都是 10。

mtr  -r  網址

MTR 所顯示的路由,預設是會用主機名稱來顯示,如果希望用 IP 位址來顯示的話,就要下面這個方式

mtr  -n  -r 網址

而如果想要多傳幾次或少傳幾次封包的話,可以利用「-c」參數,後面加上數字的方式來指定,操作指令如下。

mtr  -c 3 -r 網址




本帖由dc最後編輯於2016-03-29 14:36

Your mind to my mind,

your thought to my thought
發表時間:2014-08-15 17:06
dc的個人資料 傳送郵件給dc dc的個人首頁 dc發表的所有文章 送出悄悄話給dc IP:210.*.*.* 編輯  引言回覆 
dc
管理員



性別:男
來自:瓦肯星
發表總數:6489
註冊時間:2002-05-07 16:32
(第 12 篇)

修改SSH端口並禁止 root 登入

vi /etc/ssh/sshd_config

#Port 22
改成
Port 你要改的 port num

#PermitRootLogin yes
改成
PermitRootLogin no

service sshd restart
or
/etc/init.d/ssh restart






Your mind to my mind,

your thought to my thought
發表時間:2014-08-18 16:25
dc的個人資料 傳送郵件給dc dc的個人首頁 dc發表的所有文章 送出悄悄話給dc IP:210.*.*.* 編輯  引言回覆 
dc
管理員



性別:男
來自:瓦肯星
發表總數:6489
註冊時間:2002-05-07 16:32
(第 13 篇) 【轉貼】Iptables对内网开放所有端口,对外只开放80端口

資料來源:个人技术网

背景:
准备把Raspberry Pi开放外网访问,先配置好防火墙

目标:
对内网ip开放所有端口
对外网ip只开放80端口
因为是开发环境,所以允许访问外网所有ip和端口



iptables -F # 清空规则
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT # 允许内网ip访问所有端口
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT # 允许本机本机访问所有端口
iptables -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT # 允许所有ip访问80端口
iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT # 允许本地发起的连接返回数据到任意端口。本地作为客户端可以发起到任何ip和端口的请求,这条规则确保能够收到返回
iptables -A OUTPUT  -p tcp --sport 80 -m conntrack --ctstate ESTABLISHED -j ACCEPT # 允许80端口返回数据
iptables -A OUTPUT -j ACCEPT #允许返回数据给所有ip所有端口(上面那条就没用了)
iptables -P INPUT DROP # 除上面允许的规则,抛弃所有INPUT请求
iptables -P FORWARD DROP # 除上面允许的规则,抛弃所有FORWARD请求
iptables -P OUTPUT DROP # 除上面允许的规则,抛弃所有OUTPUT请求
iptables-save > /etc/iptables/iptables.rules # 保存(ArchLinux系统下的路径可能和其他系统下的路径不同)
iptables -L # 列出规则,供查看






Your mind to my mind,

your thought to my thought
發表時間:2014-10-22 12:30
dc的個人資料 傳送郵件給dc dc的個人首頁 dc發表的所有文章 送出悄悄話給dc IP:210.*.*.* 編輯  引言回覆 
dc
管理員



性別:男
來自:瓦肯星
發表總數:6489
註冊時間:2002-05-07 16:32
(第 14 篇)

資料來源:苦咖啡's运维之路

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

这句的意思是拒绝所有的主机切ping包返回的错误结果是有 --reject-with 后面的
icmp-net-unreachable        ICMP network unreachable    
icmp-host-unreachable       ICMP host unreachable    
icmp-proto-unreachable      ICMP protocol unreachable
icmp-port-unreachable       ICMP port unreachable (default)
icmp-net-prohibited         ICMP network prohibited
icmp-host-prohibited        ICMP host prohibited
tcp-reset                   TCP RST packet
icmp-admin-prohibited       ICMP administratively prohibited (*)
这些选项控制的,也就是说,--reject-with 的作用是定义 返回错误包的

所以我們必須在上一行加上 snmp 的 udp 161 連線才會通,只單開IP或全開都無效因為都是返回錯誤包
vi /etc/sysconfig/iptables
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 161 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited






Your mind to my mind,

your thought to my thought
發表時間:2014-11-11 18:01
dc的個人資料 傳送郵件給dc dc的個人首頁 dc發表的所有文章 送出悄悄話給dc IP:210.*.*.* 編輯  引言回覆 
dc
管理員



性別:男
來自:瓦肯星
發表總數:6489
註冊時間:2002-05-07 16:32
(第 15 篇) 【轉貼】Centos 6.x安裝denyhosts阻止惡意破解SSH

資料來源:Jalena_Blog

官網網站 http://denyhosts.sourceforge.net/

環境檢查
ldd /usr/sbin/sshd|grep libwrap
# libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f08fed34000)
python -V
#  Python 2.6.6

安裝步驟
cd /usr/src
wget http://ncu.dl.sourceforge.net/sourceforge/denyhosts/DenyHosts-2.6.tar.gz
tar -xzvf DenyHosts-2.6.tar.gz
cd DenyHosts-2.6
python setup.py install
cd /usr/share/denyhosts/
cp denyhosts.cfg-dist denyhosts.cfg


參數配置
#日誌文件 根據裡面的內容來判斷鎖定的 IP
SECURE_LOG = /var/log/secure
#禁止登入的 IP 列表
HOSTS_DENY = /etc/hosts.deny
#過多久後清除禁止的IP
PURGE_DENY =
#禁止的服務名稱
BLOCK_SERVICE  = sshd
#允許無效用戶失敗的次數
DENY_THRESHOLD_INVALID = 1
#允許普通用戶登陸失敗的次數
DENY_THRESHOLD_VALID = 5
#允許root登陸失敗的次數
DENY_THRESHOLD_ROOT = 5
#允許 WORK_DIR/restricted-usernames 登陸失敗的次數
DENY_THRESHOLD_RESTRICTED = 1
#設定 WORK_DIR 路徑,會詳細記錄hosts,hosts-restricted,hosts-root,hosts-valid,offset,suspicious-logins,users-hosts,users-invalid,users-valid
WORK_DIR = /usr/share/denyhosts/data
#對allowed-host的可疑的登入報告
SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES
#是否做網域名稱反解
HOSTNAME_LOOKUP=NO
#鎖定檔案
LOCK_FILE = /var/lock/subsys/denyhosts
#管理員郵件地址,它會給管理員發郵件
ADMIN_EMAIL =

SMTP_HOST = localhost

SMTP_PORT = 25

SMTP_FROM = DenyHosts <nobody@localhost>

SMTP_SUBJECT = DenyHosts Report
#合法使用者重設期間
AGE_RESET_VALID=5d
#root使用者重設期間
AGE_RESET_ROOT=25d
#限制的使用者重設期間
AGE_RESET_RESTRICTED=25d
#非法使用者重設期間
AGE_RESET_INVALID=10d
#自己的日誌文件
DAEMON_LOG = /var/log/denyhosts
#預設睡眠這個數值是DenyHosts在請求SECURE_LOG的時間量
DAEMON_SLEEP = 30s
#預設清除:當DenyHosts在預設模式下執行,執行清除機械作用過期最久的HOSTS_DENY
DAEMON_PURGE = 1h


啟動配置
cp daemon-control-dist daemon-control
chown root daemon-control
chmod 700 daemon-control
./daemon-control start
#starting DenyHosts:    /usr/bin/env python /usr/bin/denyhosts.py --daemon --config=/usr/share/denyhosts/denyhosts.cfg
ln -s /usr/share/denyhosts/daemon-control /etc/init.d/denyhosts
chkconfig --add denyhosts
chkconfig denyhosts on
chkconfig --list denyhosts
#denyhosts       0:off 1:off 2:on 3:on 4:on 5:on 6:off
tail -f /var/log/secure
cat /var/log/denyhosts
cat /etc/hosts.deny

DenyHost 設定檔中譯 by coke750101
http://coke750101.pixnet.net/blog/post/6566501-denyhost-%E8%A8%AD%E5%AE%9A%E6%AA%94%E4%B8%AD%E8%AD%AF-by-coke750101




本帖由dc最後編輯於2015-06-02 12:00

Your mind to my mind,

your thought to my thought
發表時間:2014-11-14 12:31
dc的個人資料 傳送郵件給dc dc的個人首頁 dc發表的所有文章 送出悄悄話給dc IP:210.*.*.* 編輯  引言回覆 
dc
管理員



性別:男
來自:瓦肯星
發表總數:6489
註冊時間:2002-05-07 16:32
(第 16 篇) 測試 UDP 連線是否開通

nc -vuz 192.168.1.1 161
Connection to 192.168.1.1 161 port [udp/ntp] succeeded!

windows 的話要使用 Portqry.exe
http://support.microsoft.com/kb/310099
portqry -n 192.168.1.1 -p udp -r 161:162 -l my_server.txt






Your mind to my mind,

your thought to my thought
發表時間:2015-01-30 11:16
dc的個人資料 傳送郵件給dc dc的個人首頁 dc發表的所有文章 送出悄悄話給dc IP:210.*.*.* 編輯  引言回覆 
dc
管理員



性別:男
來自:瓦肯星
發表總數:6489
註冊時間:2002-05-07 16:32
(第 17 篇)

資料來源:JRS Systems: the blog

iptables 如果要開放被 traceroute 的話必須開啟下列的規則

# allow ICMP Type 8 (ping, ICMP traceroute)
-A INPUT -p icmp --icmp-type 8 -j ACCEPT
# enable UDP traceroute rejections to get sent out
-A INPUT -p udp --dport 33434:33523 -j REJECT




本帖由dc最後編輯於2015-03-05 16:01

Your mind to my mind,

your thought to my thought
發表時間:2015-03-05 16:00
dc的個人資料 傳送郵件給dc dc的個人首頁 dc發表的所有文章 送出悄悄話給dc IP:210.*.*.* 編輯  引言回覆 
dc
管理員



性別:男
來自:瓦肯星
發表總數:6489
註冊時間:2002-05-07 16:32
(第 18 篇)

資料來源:LinuxQuestions

如何記錄時間加 ping 結果呢?如下即可

while [ 1 ];do date +"%x %X - `ping -c1 127.0.0.1|grep rtt`" >> ping.log;sleep 30;done

ping.log 內容如下
05/08/2015 02:57:45 PM - rtt min/avg/max/mdev = 3.197/3.197/3.197/0.000 ms


如果要每5秒 ping 一次且分日期一天一個紀錄 log 的話 例如 ping_20161207.log

while [ 1 ];do date +"%x %X - `ping -c1 127.0.0.1|grep rtt`" >> ping_$(date +"%Y%m%d").log;sleep 5;done




本帖由dc最後編輯於2016-12-07 17:57

Your mind to my mind,

your thought to my thought
發表時間:2015-05-08 15:16
dc的個人資料 傳送郵件給dc dc的個人首頁 dc發表的所有文章 送出悄悄話給dc IP:210.*.*.* 編輯  引言回覆 
dc
管理員



性別:男
來自:瓦肯星
發表總數:6489
註冊時間:2002-05-07 16:32
(第 19 篇)

如何掃描開放的 Port

# nmap -sU 127.0.0.1
Starting Nmap 5.51 ( http://nmap.org ) at 2015-05-08 16:43 CST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000012s latency).
Not shown: 998 closed ports
PORT    STATE SERVICE
111/udp open  rpcbind
161/udp open  snmp

# nmap -sS 127.0.0.1
Starting Nmap 5.51 ( http://nmap.org ) at 2015-05-08 16:43 CST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000014s latency).
Not shown: 994 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
111/tcp  open  rpcbind
199/tcp  open  smux
443/tcp  open  https
3306/tcp open  mysql


可以紀錄查詢到的 IP & MAC Address 到文字檔內
# nmap -sP -oN ipandmaclist.txt 192.168.1.0/24
# Nmap 5.51 scan initiated Fri May  8 18:17:59 2015 as: nmap -sP -oN ipandmaclist.txt 192.168.1.0/24
Nmap scan report for 192.168.1.1
Host is up (0.0012s latency).
MAC Address: 00:20:E9:0B:8A:E2 (VMware)
Nmap scan report for 192.168.1.2
Host is up (0.00080s latency).
MAC Address: B1:AD:0B:3B:27:A2 (Unknown)


如果要改成方便辨識的模式可以改成
# nmap -sP 192.168.1.0/24 | awk '/Nmap scan report for/{printf $5;}/MAC Address:/{print ","$3;}' >> ipmaclist.txt
192.168.1.5,A4:B5:2B:AB:AF:63
192.168.1.6192.168.1.7,0C:0C:2B:57:C6:03  <--- 同一個 mac 有兩個 ip 會變成這樣,在後續使用的時候需要注意
192.168.1.8,0C:0C:2B:BA:25:E3
a.b.com,0C:0C:2B:87:FF:13  <--- 如果有配網域不會記錄成ip,在後續使用的時候需要注意
192.168.1.10,0C:0C:2B:57:CC:53




本帖由dc最後編輯於2015-05-11 15:58

Your mind to my mind,

your thought to my thought
發表時間:2015-05-08 16:45
dc的個人資料 傳送郵件給dc dc的個人首頁 dc發表的所有文章 送出悄悄話給dc IP:210.*.*.* 編輯  引言回覆 
dc
管理員



性別:男
來自:瓦肯星
發表總數:6489
註冊時間:2002-05-07 16:32
(第 20 篇)

iptraf 查詢網路卡流量
# yum install -y iptraf

查詢該網卡流量,如果該台 Server 是 Gateway 角色的話可以查詢封包量最多的IP,如果不是的話可以看出有多少個IP透過這張網卡交流
# iptraf -i eth0

要依流量排序的話先按 s 再按 b  (S-sort TCP, B - sort by byte count)






Your mind to my mind,

your thought to my thought
發表時間:2015-05-14 13:48
dc的個人資料 傳送郵件給dc dc的個人首頁 dc發表的所有文章 送出悄悄話給dc IP:210.*.*.* 編輯  引言回覆 
所有時間均為GMT+8, 現在是2017-08-17 05:51     分頁:[ 1 2 3 4 ]
訂覽該主題更新消息 | 將該主題推薦給朋友 發表新主題 發起投票  回覆

快速回覆
主題 ( 回覆文章可以不輸入標題 )
URLs自動分析
有回覆時郵件通知
禁用表情符號
使用簽名

<聯絡我們 - OMEGA - 控制面板>

Powered by Centaur & Joksky & DC, ver 2003.08.14
Copyright ©2002-2008 PHPY.COM


頁面生成時間:0.011759996414185