我想对本地网络上的用户阻止端口 22。我的 linux 服务器使用iptables. 哪些规则最合适?
iptables -A INPUT -i $LAN -p tcp --sport 22 -j DROP
或者
iptables -A INPUT -i $LAN -p tcp --dport 22 -j DROP
重要:规则只是一个例子。你们可以在答案中选择任何示例端口
我只想知道在链中使用dport和使用的场景是什么。答案可以用其他例子sportINPUT
PS:问题的目的是阻止本地局域网用户访问这个端口(或任何其他端口),因此规则必须只针对本地局域网(而不是广域网)的接口。$LAN是 LAN 接口的变量(例如enp2s1,eth1等)。
如果我在 bash 脚本(类似于这个)中运行以将内容发送到文件:
sudo ./bar.sh > foo
内容栏.sh:
echo 'for pid in $(ps -ef | grep "smbd" | awk '{print $2}'); do kill -9 $pid &> /dev/null; done'
富出:
for pid in $(ps -ef | grep "smbd" | awk {print }); do kill -9 $pid &> /dev/null; done
$2迷失了。
预期输出:
for pid in $(ps -ef | grep "smbd" | awk '{print $2}'); do kill -9 $pid &> /dev/null; done
我如何得到它?
在一个文件中,我有以下几行
foo
bar
xxx
yyy
zzz
我需要注释掉 xxx、yyy、zzz 行。所以我运行以下命令:
sed -e '/xxx/ s/^#*/#/' -i file
sed -e '/yyy/ s/^#*/#/' -i file
sed -e '/zzz/ s/^#*/#/' -i file
出去
foo
bar
#xxx
#yyy
#zzz
我怎样才能在循环中执行此操作(检查我感兴趣的所有行是否已评论,如果没有,请评论它们)?
谢谢
PD:如果我知道行号,这个命令会很有用,但我不知道,因为它可能会有所不同。
sed -e '2s/^/#/' -e '5s/^/#/' -e '7s/^/#/' file
PD:我也不能使用 EOF,因为每一行都是正则表达式
我尝试从我的网络外部连接到我的 ssh 服务器,但我只想将此连接限制为我的 mac 地址
此规则有效:
iptables -t mangle -A PREROUTING -p tcp --dport 22 -j ACCEPT
但是,这些规则都不适合我:
iptables -t mangle -A PREROUTING -m mac --mac-source 2c:fd:a1:zz:xx:yy -p tcp --dport 22 -j ACCEPT
iptables -t nat -A PREROUTING -m mac --mac-source 2c:fd:a1:zz:xx:yy -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m mac --mac-source 2c:fd:a1:zz:xx:yy -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 2c:fd:a1:zz:xx:yy -p tcp --dport 22 -j ACCEPT
我应该怎么做才能通过 mac 验证来保护 ssh?
PD:我知道SSH是一个TCP/IP协议,只听一个IP地址,而不是一个mac地址,但是我在一些论坛上看到可以做到,但是他们没有解释方法。我也知道还有其他保护ssh的方法,比如“端口敲门”、“密钥代替密码”等等,而且mac地址可以被伪造。但我仍然想知道如何使用 mac 验证通过 ssh 验证条目
我想要类似的东西:
cat infile | xargs -I {} -P3 curl {} -o /dev/null --silent --head --write-out "%{http_code} {}\n" > outfile
但使用此脚本(即包含 xargs 以启动多个查询):
for ip in `cat infile`; do
for sub in "" "www." "ftp."; do
host -t a "${sub}${ip}";
done
done | grep address | awk '{ print $4 }' > out
文件:
google.com
facebook.com
输出文件:
172.217.172.14
172.217.30.196
157.240.6.35
31.13.67.35
我有以下 bash 脚本(在这篇文章中):
#!/bin/bash
while read LINE; do
curl -o /dev/null --silent --head --write-out "%{http_code} $LINE\n" "$LINE"
done < infile > outfile
文件:
google.com
facebook.com
输出文件:
301 amazon.com
302 facebook.com
问题:它非常慢,因为它逐行验证。
测试:我已经尝试过其他替代方案,例如fping(考虑到列表的大小非常有限)、pyfunceble(冻结)、wget、GNU parallel等。没有人说服我。这是一个带有xargs的解决方案,但输出与原始脚本不同
问题:如何使用此脚本启动多个查询(并行处理),以便我可以同时处理多行(如果可以手动设置要处理的行数,避免冻结或阻塞脚本或个人电脑)?
更新:解决了!谢谢
cat infile | xargs -I {} -P3 curl {} -o /dev/null --silent --head --write-out "%{http_code} {}\n" > outfile
PD:“-P 3”实例数
如何使用单个连字符删除无效域,开始或结束,或两者兼而有之?
要删除的示例域:
.-domain--.com
.-domain-.com
.domain-.com
.--domain.com
.subdomain.-domain.com
失败的尝试:
grep -vP '-\.'
sed 's/^\.-//'
我向那些已经发表评论的人道歉。我不得不改写这个问题,因为它是不正确的。谢谢
我有一个类似的案例,但它有一些不同。
内容列表A:
.co
.best.co
.com
.test.server.cloud.us-east.amazonaws.com
.com.co
.abc.com.co
.jp
.def.museum.hiroshima.jp
.net
.xyz.xxx.yyy.net
.exe
.xyz.exe
# and anything else i want to add
内容清单B:
.bar
.co
.com
.server.cloud.us-east.amazonaws.com
.com.co
.jp
.museum.hiroshima.jp
.net
.xxx.yyy.net
# and anything else i want to add
我想要的是从“listA”中删除那些不以“listB”中出现的内容结尾的行,并且也重复
期望的输出:
.best.co
.test.server.cloud.us-east.amazonaws.com
.abc.com.co
.def.museum.hiroshima.jp
.xyz.xxx.yyy.net
我尝试了一些命令,但它对我不起作用:
grep -vi -f <(sed 's:^\(.*\)$:\\\1\$:' listB ) listA > out
grep -v -f <(sed 's/$/$/' listB ) listA > out
提前致谢
我想通过命令行(bash)在 webmin 中安装一个模块。你怎么做到这一点?
例子:
wget https://download.webmin.com/download/modules/text-editor.wbm.gz
在这个.gz里面:text-editor.wbm
sudo tar -xf text-editor.wbm.gz
通过 GUI 安装时的模块(在本例中为文本编辑器):
它将文件发送到几个地方。例子:
到/usr/share/webmin/text-editor
收件人:/etc/webmin/text-editor
至:/var/webmin/modules/text-editor(空):
重要的:
我的测试中使用的Webmin安装方法:
方法一:
sudo sh -c 'echo "deb http://download.webmin.com/download/repository sarge contrib" >> /etc/apt/sources.list'
wget -q http://www.webmin.com/jcameron-key.asc -O- | sudo apt-key add -
sudo apt -y install webmin
方法二:
wget https://prdownloads.sourceforge.net/webadmin/webmin_1.910_all.deb
sudo dpkg --install webmin_1.910_all.deb
我问作者(Jamie Cameron)没有回复日期,因为他是 webmin的作者和我尝试安装的模块的作者
Text Editor 1.4
Description Provides a simple interface for editing text files, with a history of recently-edited files.
Download text-editor.wbm.gz
Author Jamie Cameron
Last updated 2007-04-18 11:27:19
更新:
我设法制作了一个安装文本编辑器模块的脚本。它不是很“优雅”,但它有效:
sudo chmod +x text-editor.sh && sudo ./text-editor.sh
#!/bin/bash
fshare=/usr/share/webmin/text-editor
fetc=/etc/webmin/text-editor
fvar=/var/webmin/modules/text-editor
if [ ! -d $fshare ]; then mkdir -p $fshare; fi
if [ ! -d $fetc ]; then mkdir -p $fetc; fi
if [ ! -d $fvar ]; then mkdir -p $fvar; fi
touch $fetc/files
wget -c https://download.webmin.com/download/modules/text-editor.wbm.gz
tar -xf text-editor.wbm.gz
cp -f -R text-editor/* $fshare
cp text-editor/config $fetc
sed -i '$ s/$/ text-editor/' /etc/webmin/webmin.acl
sh -c 'echo "text-editor=1" >> /etc/webmin/installed.cache'
/etc/init.d/webmin restart
但是,应该有更好的方法来通过命令行安装任何 webmin 模块
我们可以使用 iptables 以非透明模式 (3128) 将 DNS (tcp/udp) 请求重定向到 Squid 代理吗?(鱿鱼代理会理解并处理它吗?)
重定向 tcp 53 的示例规则(可能是另一个类似的):
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -i eth1 -p tcp --dport 53 -j REDIRECT --to-port 3128
重定向 udp 53 的示例规则(可能是另一个类似的):
注意:squid“监听”高 udp 端口。示例:36352,命令:netstat -tlunp | grep 鱿鱼
参考: http: //linuxplayer.org/2012/02/why-squid-listen-on-high-udp-port-number
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -i eth1 -p udp --dport 53 -j REDIRECT --to-port 36352
PD:这些只是与 DNS 相关的 squid 指令的示例。我并不是说它们符合我的目的:
positive_dns_ttl
negative_dns_ttl
dns_nameservers 8.8.8.8 8.8.4.4
udp_incoming_address
如果无法做到这一点,我接受替代方案
我有这个 wpad.pac
function FindProxyForURL(url, host) {
if (isPlainHostName(host) ||
shExpMatch(host, "*.local") ||
isInNet(dnsResolve(host), "192.168.0.0", "255.255.255.0") ||
isInNet(dnsResolve(host), "127.0.0.0", "255.255.255.0"))
return "DIRECT";
return "PROXY 192.168.0.1:3128";
}
我的服务器是 Ubuntu 18.04.1 x64,带有 Squid Cache v3.5.27 (3128) 和 Apache v2.4.33,我使用选项 dhcp 252 发布 wpad.pac:
option wpad code 252 = text;
option wpad \"http://192.168.0.1:3500/wpad.pac\";
文件存储在:
/var/www/html/wpad.pac
它发布在链接中:
http://192.168.0.1:3500/wpad.pac
由带有 wpad.conf 的 apache 管理:
<VirtualHost *:3500>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html/
<Directory />
Options FollowSymLinks
DirectoryIndex wpad.pac
AllowOverride None
</Directory>
<Directory /var/www/html/>
# serve proxy autoconfig correctly:
<Files "wpad.pac">
AddType application/x-ns-proxy-autoconfig .pac
</Files>
Options Indexes FollowSymLinks MultiViews
AllowOverride ALL
Require all granted
</Directory>
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory "/usr/lib/cgi-bin">
AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Require all granted
</Directory>
ErrorLog ${APACHE_LOG_DIR}/error.log
# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn
CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
在 ports.conf 中:
Listen 3500
和防火墙规则:
iptables -t mangle -A PREROUTING -i enp2s0 -p tcp --dport 3500 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -i enp2s0 -p tcp --dport 3500 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i enp2s0 -p tcp --dport 3500 -j ACCEPT
它适用于 Chrome 69.0.3497.100、IE v11.0.9600.19100 和 Opera 55.0.2994.61,但不适用于默认配置的 Mozilla Firefox 62.0.2(我没有用 Edge 测试过,但它不相关)。然而 Mozilla 很好地加载了 wpad.pac 的 URL,但是没有导航(它在以前的版本中也不起作用)。
我的 wpad.pac 有什么问题?
重要的:
我不想在本地网络的每个 Mozilla 中指定 wpad.pac 的 URL,因为它们有很多计算机。我希望您采用默认配置。
带有 android 的智能手机都没有检测到我的 wpad(我没有用 iphone 尝试过)
在某些站点中,他们说您必须在 Firefox 中禁用 ipv6('about: config' network.dns.disableIPv6 为 true)。我已经这样做了,但该解决方案不起作用。
我使用了这些替代 wpad.pac 文件,它们也不适用于 Firefox
备选方案1:
function FindProxyForURL(url, host)
{
if (isInNet(host, "192.168.0.0", "255.255.255.0"))
return "DIRECT";
else
return "192.168.0.1:3128";
}
function FindProxyForURL(url,host) {
var hostIP;
if (isIpV4Addr.test (host)) {
hostIP = host;
}
else {
hostIP = dnsResolve(host);
}
if (isInNet(hostIP, "192.168.0.0", "255.255.255.0")) {
return "DIRECT";
}
if (host == "localhost") {
return "DIRECT";
}
return "PROXY 192.168.0.1:3128";
}
替代方案3:
function FindProxyForURL(url, host) {return "PROXY 192.168.0.1:3128";}
提前致谢
我有一个代理 Ubuntu 18.04,带有 squid 3128 和 apache2,我发布了带有选项 dhcp 252 的自动配置文件 proxy.pac。
该文件具有以下内容:
function FindProxyForURL(url, host) {return "PROXY 192.168.0.10:3128";}
我的本地网络中的某些计算机上有一些应用程序具有这些 url 供访问:
http://localhost:8080
http://192.168.0.12:8090/app/bar
问题是 squid 对这种类型的请求有限制
如何配置 proxy.pac 以排除对本地地址的请求?(例如:192.168.0.0/24 或 localhost:port)
需要注意的重要一点是,临时解决方案是手动将代理的 ip:port 放入浏览器中(在 Windows:控制面板/Internet 选项中),然后选中“不要将代理服务器用于本地地址”框,然后proxy.pac 没有意义。
我需要搜索(在整个磁盘上)并将一个文件替换(在有匹配项的地方)另一个文件(都在同一路径中)。
例子:
Folder 1
x*.txt (good) (e.g.: xFile.txt)
*.txt (bad) (e.g.: File.txt)
如果同一路径中的两个文件都匹配,我需要删除:*.txt (e.g.: File.txt)并将:重命名x*.txt (e.g.: xFile.txt)为*.txt (e.g.: File.txt)
结果:
Folder 1
*.txt (e.g: File.txt... old xFile.txt)
我使用这个命令:
find -name 'x*.txt' | sed -r 'p;s/g([^\/]*.txt)/\1/' | xargs -d '\n' -n2 mv
问题是该命令在执行命令之前不会验证两个文件是否存在(同一路径中的 xFile.txt 和 File.txt)
我该如何解决?提前致谢
如何从 Linux 终端(命令行)处理 Windows (*.exe) 的可执行程序的属性(读取、写入、隐藏...)?
提前致谢
更新:
为了进一步说明,假设我在 Windows (NTFS) 中有一个隐藏的可执行文件。从 Linux LiveCD 开始,挂载 NTFS 分区,我想删除读取和隐藏的可执行文件 (.exe) 的属性。(只是一个例子)
在一些关于 netplan dhcp4 的教程 ( Here和Here ) 中出现如下方式:
network:
version: 2
renderer: networkd
ethernets:
enp2s0:
dhcp4: no
或者
dhcp4: yes
但是在netplan示例和博客中ubuntu有时会出现如下方式:
dhcp4: true
或者
dhcp4: false
在其他示例中,它显示为不是/是
在 Ubuntu 18.04 中设置 dhcp 的正确方法是什么(yes/no或true/false)?谢谢
这是我的网络计划配置:
network:
version: 2
renderer: NetworkManager
ethernets:
enp2s0:
dhcp4: no
addresses: [192.168.88.13/24]
gateway4: 192.168.88.1
nameservers:
addresses: [8.8.8.8,8.8.4.4]
enp2s8:
addresses: [192.168.0.10/24]
以前的格式(/etc/network/interfaces)包括“网络”和“广播”的信息。
broadcast 192.168.0.255
network 192.168.0.0
现在,我应该在哪里以新的 netplan 格式放置这些信息?谢谢
注意:我没有在netplan 示例中找到此信息
在 ubuntu 16.04 上,我的接口文件包含以下信息:
sudo nano /etc/network/interfaces
# interfaces(5) file used by ifup(8) and ifdown(8)
auto lo
iface lo inet loopback
# Public Interface (Static IP)
auto enp2s0
iface enp2s0 inet static
address 192.168.88.13
gateway 192.168.88.1
netmask 255.255.255.0
broadcast 192.168.88.255
dns-nameservers 8.8.8.8 8.8.4.4
dns-search 8.8.8.8 8.8.4.4
dns-domain 8.8.8.8 8.8.4.4
# Local Network Interface (Static IP)
auto enp2s1
iface enp2s1 inet static
address 192.168.0.10
netmask 255.255.255.0
broadcast 192.168.0.255
network 192.168.0.0
并且工作正常。现在更新 Ubuntu 18.04 并且不工作 enp2s0 (第一个接口 public)
ifconfig
enp2s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.88.13 netmask 255.255.255.0 broadcast 192.168.88.255
ether 94:18:82:0c:00:01 txqueuelen 1000 (Ethernet)
RX packets 570 bytes 53571 (53.5 KB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 79 bytes 11201 (11.2 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
device interrupt 16
仅在 dhcp 中工作:
auto enp2s0
iface enp2s0 inet dhcp
不接受以前配置的新版本有什么变化?谢谢
如果我运行命令
ip link | awk '{print $2}'
在 Ubuntu 18.04 中,我得到以下输出:
lo:
00:00:00:00:00:00
wlp1s0:
2c:6e:85:bf:01:00
enp2s0:
14:18:77:a3:01:02
我希望它像这样格式化(没有lo)
wlp1s0: 2c:6e:85:bf:01:00
enp2s0: 14:18:77:a3:01:02
我该怎么做呢?
我有这条规则来控制我的 mac 地址并正常工作:
注意:$mac 是一个包含我本地网络的 mac 地址的变量,因此 iptables 规则位于“for;do done”中
iptables -A INPUT -s 192.168.1.0/24 -i eth1 -m mac --mac-source $mac -p tcp --dport 80 -m time --timestart 08:00:00 --timestop 18:00:00 --weekdays Mon,Tue,Wed,Thu,Fri -j ACCEPT
但是,如果我反向更改时间表,该规则将停止工作。也就是说,它从下午 6:00 开始,到第二天早上 8:00 结束
iptables -A INPUT -s 192.168.1.0/24 -i eth1 -m mac --mac-source $mac -p tcp --dport 80 -m time --timestart 18:00:00 --timestop 08:00:00 --weekdays Mon,Tue,Wed,Thu,Fri -j ACCEPT
为什么会这样?。提前致谢
我有这个命令:
grep -Pvi ".(\.var|\.foo|\.varfoo)$" myfile.txt > newfile.txt
注意:.var、.foo 和 .varfoo(以及许多其他)是 myfile.txt 中的行。
我的文件.txt:
.var
.foo
.varfoo
.xxx.var
.yyy.foo
.zzz.varfoo
该命令运行良好并完成了它必须做的事情(删除任何以 .var、.foo、.varfoo 结尾的行,但保留这 3 个)。执行命令后:
新文件.txt
.var
.foo
.varfoo
现在,我需要将 .var、.foo、.varfoo 放在“greplist.txt”中,以避免将它们放在命令中,以便“grep”读取它:
greplist.txt
.var
.foo
.varfoo
我该怎么做?