1. 首页首页
  2. 编程日记编程日记

2025年ip域名解析网(ip地址域名解析)

编程日记 阅读 29

ip域名解析网(ip地址域名解析)什么是域名 IP 地址是以数字来代表的主机地址 比较难记 为了使用和记忆方便 也为了便于网络地址的分层管理和分配 INTERNET 在 1984 年采用了域名管理系统 DOMAINNAMESY 入网的每台主机都具有类似于下列结构的域名 主机号 机构名 网络名 最高层域名 域名用一组简短的英文表达 比用数字表达的 IP 地址容易记忆 例如 北京电报局的一台与 INTERNET 联网的电脑主机的 IP 地址是 202 96 0 97 域名为 PUBLIC BTA



什么是域名

IP 地址是以数字来代表的主机地址,比较难记。为了使用和记忆方便,也为了便于网络地址的分层管理和分配, INTERNET 1984 年采用了域名管理系统( DOMAINNAMESYSTEM ),入网的每台主机都具有类似于下列结构的域名: 主机号 . 机构名 . 网络名 . 最高层域名 域名用一组简短的英文表达,比用数字表达的 IP 地址容易记忆。例如:北京电报局的一台与 INTERNET 联网的电脑主机的 IP 地址是 202.96.0.97 ,域名为 PUBLIC.BTA.NET.CN 。加入 INTERNET 的各级网络依照域名管理系统的命名规则对本网内的主机命名和分配网内主机号,并负责完成通信时域名到 IP 地址的转换。对使用者来说,我们一般不需要使用 IP 地址,而直接使用域名, INTERNET 上的服务系统自动地转为 IP 类型的地址。

我的理解: IP 地址就是 219.245.xxx.xxx      域名就是

域名分为顶层( TOP-LEVEL )、第二层( SECOND-LEVEL )、子域( SUB-DOMAIN )等。



顶层分为几种类型,分别是:
.COM


商业性的机构或公司
.ORG


非盈利的组织、团体
.GOV


政府部门
.MIL


军事部门
.NET


从事 Internet 相关的网络服务的机构或公司
.XX


由两个字母组成的国家代码,如中国为 .CN ,日本为 .JP ,英国为 .UK 等等一般来说大型的或有国际业务的公司或机构不使用国家代码。这种不带国家代码的域名也叫国际域名。这种情况下,域名的第二层就是代表一个机构或公司的特征部分,如 IBM.COM 中的 IBM 。对于具有国家代码的域名,代表一个机构或公司的特征部分则是第三层,如 ABC.COM.JP 中的 ABC
.biz


取意为 business
.info


一般的信息服务使用
.tv


作为国际顶级域名,原本是一个太平洋岛国图瓦卢的国家代码顶级域名。通过与图瓦卢签定的协议, DOTTV 公司成为了以 .TV 为后缀域名的独家注册商和注册管理机构。
.CC


是位于澳大利亚西北部印度洋中 cocos keeling 岛的官方授权的域名。在美国, .CC 现已成为继 .com .net 之后第三大顶级域名,选择使用 .CC 域名已经成为一种潮流。
.SH


St.Helena 岛(圣海伦岛)国家代码顶级域名,即伟大的拿破仑被流放了 7 年之久的那一片岛屿的简称。

我的理解: 顶层域名是最后的,第二层是次后的,子域是再次的。顶层( TOP-LEVEL )、第二层( SECOND-LEVEL )、子域( SUB-DOMAIN

免费域名 多为子域名,诸如 “” “mail.yahoo.com”“shop.yahoo.com” 等期中的: “www”“mail”“shop” 就全都是 “yahoo” 这个具有实际域名产权意义的域名的子域名。它们没有产权保障,可以重复,并非全球唯一,由于使用方对域名没有所有权,它可能随时被丢弃、失效。同时很多所谓免费顶级域名也同样普遍存在产权纠纷。记住,天底下没有免费的午餐,小心披着羊皮的狼,还是按照法定手续一步步来。

上面的这段明显是个收费的域名服务网站的宣传材料;具体来说就是东莞贸易网的。

什么是动态域名

Internet 上的域名解析一般是静态的,即一个域名所对应的 IP 地址是静态的,长期不变的。也就是说,如果要在 Internet 上搭建一个网站,需要有一个固定的 IP 地址。

动态域名的功能,就是实现固定域名到动态 IP 地址之间的解析。用户每次上网得到新的 IP 地址之后,安装在用户计算机里的动态域名软件就会把这个 IP 地址发送到动态域名解析服务器,更新域名解析数据库。 Internet 上的其他人要访问这个域名的时候,动态域名解析服务器会返回正确的 IP 地址给他。

因为绝大部分 Internet 用户上网的时候分配到的 IP 地址都是动态的,用传统的静态域名解析方法,用户想把自己上网的计算机做成一个有固定域名的网站,是不可能的。而有了动态域名,这个美梦就可以成真。用户可以申请一个域名,利用动态域名解析服务,把域名与自己上网的计算机绑定在一起,这样就可以在家里或公司里搭建自己的网站,非常方便。

我的理解: 动态域名就是用户使用客户软件将自己现在的 IP 发给 DNS 服务器,并在 DNS 服务器中刷新域名与 IP 的关联。当有人访问该客户端的服务器时, DNS 给出现在( 是不是实时的呢 ?)与该域名关联的 IP

什么是域名解析?

域名 开通 的说法看起来相当的不严密,但的确很多刚接触网络营销的人会提出这样的问题。提出 域名注册之后怎么才能开通 这样问题的人的其实主要是想知道,自己注册了域名之后如何才能看到自己的网站内容,用一个专业术语就叫 域名解析

??在相关术语解释中已经介绍,域名和网址并不是一回事,域名注册好之后,只说明你对这个域名拥有了使用权,如果不进行域名解析,那么这个域名就不能发挥别的作用,经过解析的域名可以用来作为电子邮箱的后缀,也可以用来作为网址访问自己的网站,因此域名投入使用的必备环节是 域名解析

??我们知道域名是为了方便记忆而专门建立的一套地址转换系统,要访问一台互联网上的服务器,最终还必须通过 IP 地址来实现,域名解析就是将域名重新转换为 IP 地址的过程。一个域名只能对应一个 IP 地址,而多个域名可以同时被解析到一个 IP 地址。域名解析需要由专门的域名解析服务器 (DNS) 来完成。

捷泰网络

我的理解 域名解析就是将域名重新转换为 IP 地址的 过程 。一个域名只能对应一个 IP 地址,而多个域名可以同时被解析到一个 IP 地址。域名解析需要由专门的域名解析服务器 (DNS) 来完成

什么是二级域名

比如您注册的域名是 abc.com, 那么他是由一个字符串加一个域名尾,中间用 . 号隔开。这就是一个顶级域名,如果在顶级域名前在由 . 隔开加上不同的字符,比如 bbs.abc.com, 那么我们就说 bbs 是顶级域名 abc.com 的一个主机名, bbs.abc.com 就是一个二级域名。

wnsky.net 万能时空

我的理解 :主机名+域名=二级域名

什么是 DNS

  域名管理系统 DNS Domain Name System )是域名解析服务器的意思 . 它在互联网的作用是:把域名转换成为网络可以识别的 ip 地址 . 比如:我们上网时输入的 会自动转换成为 218.104.78.78

我的理解 DNS Domain Name System )域名管理系统是域名解析 服务器 的意思

什么是 DHCP

    DHCP 是动态主机配置 协议 Dynamic Host Configure Protocol )的缩写。一台 DHCP 服务器可以让管理员集中指派和指定全局的和子网特有的 TCP/IP 参数(含 IP 地址、网关、 DNS 服务器等)供整个网络使用。

    客户机不需要手动配置 TCP/IP ;并且,当客户机断开与服务器的连接后,旧的 IP 地址将被释放以便重用,根据这个特性,比如你只拥有 20 个合法的 IP 地址,而你管理的机器有 50 台,只要这 50 台机器同时使用服务器 DHCP 服务的不超过 20 台,则你就不会产生 IP 地址资源不足的情况。

    如果已配置冲突检测设置,则 DHCP 服务器在将租约中的地址提供给客户机之前会试用 Ping 测试作用域中每个可用地址的连通性。这可确保提供给客户的每个 IP 地址都没有被使用手动 TCP/IP 配置的另一台非 DHCP 计算机使用。





转载: http://blog.chinaitlab.com/ http://blog.chinaitlab.com/user1/265244/archives/2005/20104.html

曾经在选择服务器种类的时候,查了一些资料,下面的是其中的一篇。抱歉的是当时没有将转载地址记录下来,对此表示对原作者的歉意。

Linux 邮件服务器软件比较 Qmail



发表时间: 2006-1-20 11:57:00

Qmail DanBernstein 开发的可以自由下载的 MTA ,其第一个 beta 版本 0.7 发布于 1996 1 24 日, 1997 2 月发布了 1.0 版,当前版本是 1.03

    1.Qmail





的特点

    





安全性 : 为了验证 Qmail 的安全性, Qmail 的支持者甚至出资 $1000 悬赏寻找 Qmail 的安全漏洞,一年以后,该奖金没有被领取,而被捐献给自由软件基金会。目前, Qmail 的作者也出资 $500 来寻求 Qmail 的安全漏洞。

    





速度: Qmail 在一个中等规模的系统可以投递大约百万封邮件,甚至在一台 486 一天上能处理超过 10 万封邮件,起支持并行投递。 Qmail 支持邮件的并行投递,同时可以投递大约 20 封邮件。目前邮件投递的瓶颈在于 SMTP 协议,通过 STMP 向另外一台互联网主机投递一封电子邮件大约需要花费 10 多秒钟。 Qmail 的作者 提出了 QMTP(Quick Mail Transfer Protocol) 来加速邮件的投递,并且在 Qmail 中得到支持。 Qmail 的设计目标是在一台 16M 的机器上最终达到每天可以投递大约百万级数目的邮件。

    





可靠性:为了保证可靠性, Qmail 只有在邮件被正确地写入到磁盘才返回处理成功的结果,这样即使在磁盘写入中发生系统崩溃或断电等情况,也可以保证邮件不被丢失,而是重新投递。

    





特别简单的虚拟域管理 : 甚至有一个第三方开发的称为 vchkpw add-on 来支持虚拟 POP 域。使用这个软件包, POP3 用户不需要具有系统的正式帐户。

    





使用 ezmlm 支持用户自控制的邮件列表功能。

    





邮件用户和系统帐户隔离,为用户提供邮件帐户不需要为其设置系统帐户,从而增加了安全性。

    2.Sendmail vs Qmail

    











首先: sendmail 是发展历史悠久的 MTA ,当前的版本是 8.10.2 。当然, Sendmail 在可移植性、稳定性及确保没有 bug 方面有一定的保证。但是 Internet 上有很多帖子都是关于如果攻击 Sendmail ,这对于管理员来说是一个噩梦。 Sendmail 在发展过程中产生了一批经验丰富的 Sendmail 管理员,并且 Sendmail 有大量完整的文档资料,除了 Sendmail 的宝典 : OReillys sendmail book written by Bryan Costales with Eric Allman 以外,网络上有大量的 tutorial FAQ 和其他的资源。这些大量的文档对于很好的利用 Sendmail 的各种特色功能是非常重要的。但是 Sendmai 当前来说是一个成熟的 MTA

    





当然, Sendmail 具有一些缺点,其特色功能过多而导致配置文件的复杂性。当然,通过使用 m4 宏使配置文件的生成变的容易很多。但是,要掌握所有的配置选项是一个很不容易的事情。 Sendmail 在过去的版本中出现过很多安全漏洞,所以使管理员不得不赶快升级版本。而且 Sendmail 的流行性也使其成为攻击的目标,这有好处也有坏处:这意味着安全漏洞可以很快地被发现,但是同样使 Sendmail 更加稳定和安全。另外一个问题是 Sendmail 一般缺省配置都是具有最小的安全特性,从而使 Sendmail 往往容易被攻 击。如果使用 Sendmail ,应该确保明白每个打开的选项的含义和影响。一旦你理解了 Sendmail 的工作原理,就 Sendmail 的安装和维护就变的非常容易了。通过 Sendmail 的配置文件,用户实现完成一切可以想象得到的需求。

    Qmail





是一个选择,其在设计实现中特别考虑了安全问题。如果你需要一个快速的解决方案如,一个安全的邮件网关,则 Qmail 是一个很好的选择。 Qmail Sendmail 的配置文件完全不同。而对于 Qmail ,其有自己的配置文件,配置目录中包含了 5-30 个不同的文件,各个文件实现对不同部分的配置 ( 如虚拟域或虚拟主机等 ) 。这些配置说明都 在 man 中有很好的文档,但是 Qmail 的代码结构不是很好。

    Qmail





要比 Sendmail 小很多,其缺乏一些现今邮件服务器所具有的特色功能。如不象 Sendmail qmail 不对邮件信封的发送者的域名进行验证,以确保域名的正确性。自身不提供对 RBL 的支持,而需要 add-on 来实现。,而 Sendmail 支持 RBL 。同样 Qmail 不能拒绝接收目的接收人不存在信件,而是先将邮件接收下来,然后返回查无此用户的的邮件。 Qmail 最大的问题就出在发送邮件给多个接收者的处理上。若发送一个很大的邮件给同 一个域中的多个用户, Sendmail 将只向目的邮件服务器发送一个邮件拷贝。而 Qmail 将并行地连接多次,每次都发送一个拷贝给一个用户。若用户日常要发送大邮件给多个用户,使用 Qmail 将浪费很多带宽。可以这么认为: Sendmail 优化节省带宽资源, Qmail 优化节省时间。若用户系统有很好的带宽, Qmail 将具有更好的性能,而如果用户系统的带宽资源有限,并且要发送很多邮件列表信息,则 Sendmail 效率更高一些。 Qmail 不支持 .forward(.forward 在很多情况下对用户很有用处 ) ;不使用 /var/spool/mail ,而是将邮件存放在用户 home 目录。下面是一些使用 Qmail 不容易完成的工作,要使用 Qmail 完成这些工作,可能需要用户自己动手实现或者使用第三方提供的不够可靠的模块。

    Qmail





的源代码相对于 Sendmail 来说要更加容易理解,这对于希望深入到内部了解 MTA 机制的人员来说是一个优点。 Qmail 在安全性方面也要稳定一些。 Qmail 有很好的技术支持,但是没有象 Sendmail 那样被广泛地应用和大量的管理员用户群。 Qmail 的安装不象 Sendmail 那样自动化,需要手工步骤。而且 Qmail 的文档不如 Sendmail 那样完整和丰富。

    Qmail





add-ons Sendmail 要少一些。一般来说对于经验稍微少一些的管理员,选择 Qmail 相对要好一些。 Qmail 要简单一些,而且其特色功能能满足一般用户的需求。 Sendmail 类似于 office 套件, 80% 的功能往往都不被使用。这就使 Qmail 在一些场合可能被更受欢迎一些,其具有一些 Sendmail 所没有的更流行和实用的特色功能,如: Qmail 具有内置的 pop3 支持。 Qmail 同样支持如主机或用户的伪装、虚拟域等等。 Qmail 的简单性也 使配置相对容易一些。

    Qmail





被认为相对于 Sendmail 更加安全和高效,运行 Qmail 的一台 pentium 机器一天可以处理大约 200,0000 条消息。

Qmail 相对于其他的 MTA 要简单很多,主要体现在:

    (1)





其他的 MTA 的邮件转发、邮件别名和邮件列表都是采用相互独立的机制,而 Qmail 采用一种简单的转发 (forwarding) 机制来允许用户处理自己的邮件列表。

    (2)





其他的 MTA 都提供快速而不安全的方式及慢的队列方式的邮件投递机制;而 Qmail 发送是由新邮件的出现而触发的,所以其投递只有一种模式:快速的队列方式。

    (3)





其他的 MTA 实际上包括一个特定版本的 inetd 来监控 MTA 的平均负载,而 qmail 设计了内部机制来限制系统负载,所以 qmail-smtpd 能安全地从系统的 inet 来 运行 sendmail 有很多 的商业支持,而且由于大量的用户群,在互联网上有大量的潜在技术支持。而 Qmail 只有很有限的技术支持。有家公司 inter7.com 提供对 Qmail 的支持,该公司同样提供了免费的 add-ons ,包括一个基于 web 的管理工具 -QmailAdmin 及一个通过 vpopmail 的对虚拟域的支持,甚至具有一个基于 web 的客户借接口 — SqWebMail

    Qmail





还具有一些其他的缺憾。如它不是完全遵从标准,它不支持 DSN ,作者认为 DSN 是一个即将消亡的技术,而 Qmail VERP 可以完成同样的工作,而又不象 DSN 依赖于其他主机的支持。 Qmail 另外一个问题是其不遵从支持 7bit 系统标准,而每次都发送 8bit 。若邮件接收一方不能处理这种情况,就会出现邮件乱码的情况。

    





从安全性来讲, Sendmail 要比 Qmail 差一些, Sendmail 在发展中出现过很多很著名的安全漏洞;而 Qmail 相对要短小精悍,但是仍然提供了基本的 STMP 功能。而 Qmail 的代码注释要少一些。 Qmail 的一个很好的特色是其支持一种可选的基于目录的邮件存储格式,而不是使用一个很大的文件来存储用户所有的邮件。若用户的邮件服务器进行很多的 POP3 服务,则这种邮件存储格式可以提高效率。但是遗憾的是 Pine 自身并不支持这种存储格式,如果需要可以使用一些补丁来达到这个目的。

    Qmail





的优点是:每个用户都可以创建邮件列表而无须具有根用户的权限,如用户 "foo" 可以创建名为 foo-slashdot,foo-linux,foo-chickens 的邮件列表,为了提供更好的功能,有一个叫 ezmlm(EZ Mailing List Maker) 的工具可以支持自动注册和注销、索引等 Majordomo 所具有 的各种功能,但是都是 CLI 驱动的,只需要编辑很少的文件。 Qmail 非常适合在小型系统下工作,一般只支持较少的用户或用来管理邮件列表。 Qmail 速度快并且简单: Qmail 是当你希望安全切容易配置的最佳的选择; Qmail 可以在 2 个小时内搞定配置,而 Sendmail 可能在两天内都搞不定。

    rocketmail internic





等都使用 Qmail 来构建。

iptables 入门     选择自 linuxnote 的 Blog
这一节开始说明 iptables 的观念及用法
iptables 中的指令,均需区分大小写。
ipchains 和 iptables 在语法上的主要的差异,注意如下:
1. 在 ipchains 中,诸如 input 链,是使用小写的 chains 名,在 iptables 中,要改用大写 INPUT。
2. 在 iptables 中,要指定规则是欲作用在那一个规则表上(使用 -t 来指定,如 -t nat),若不指定,则预设是作用在 filter 这个表。
3. 在 ipchains 中, -i 是指介面(interface),但在 iptables 中,-i 则是指进入的方向,且多了 -o,代表出去的方向。
4. 在 iptables 中,来源 port 要使用关键字 --sport 或 --source-port
5. 在 iptables 中,目的 port 要使用关键字 --dport 或 --destination-port
6. 在 iptables 中,"丢弃" 的处置动作,不再使用 DENY 这个 target,改用 DROP。
7. 在 ipchains 的记录档功能 -l,已改为目标 -j LOG,并可指定记录档的标题。
8. 在 ipchains 中的-y,在 iptables 中可用 --syn 或 --tcp-flag SYN,ACK,FIN SYN
9. 在 iptables 中,imcp messages 型态,要加上关键字 --icmp-type,如:


























iptables -A OUTPUT -o eth0 -p icmp -s $FW_IP --icmp-type 8 -d any/0 -j ACCEPT
iptables 使用时的例子
在设定 iptables 的封包过滤规则时,有几个例子,若先熟悉它们,往后就可自行套用,依此类推,很快地,您就可以进入这个天地之中。


--------
准备工作
--------





首先查看一下机器上的有关于iptables的设定情况
作法如下:


iptables -L -n
iptablse -t nat -L -n


定义以下例子中引用的变数IP
$FW_IP="163.26.197.8"



打开核心 forward 功能,作法如下:


-----------------------------------------------------
# 打开 forward 功能
-----------------------------------------------------





echo "1" > /proc/sys/net/ipv4/ip_forward
或在/etc/sysconfig/network 中添加
FORWARD_IPV4=yes
打开转发功能









清除所有的规则,作法如下::


一开始要先清除所有的规则,重新开始,以免旧有的规则影响新的设定。作法如下:
-----------------------------------------------------
# 清除先前的设定
-----------------------------------------------------





# 清除预设表 filter 中,所有规则链中的规则
iptables -F


# 清除预设表 filter 中,使用者自订链中的规则
iptables -X


# 清除mangle表中,所有规则链中的规则
iptables -F -t mangle


# 清除mangle表中,使用者自订链中的规则
iptables -t mangle -X


# 清除nat表中,所有规则链中的规则
iptables -F -t nat


# 清除nat表中,使用者自订链中的规则
iptables -t nat -X



选定预设的策略
接着,要选定各个不同的规则链,预设的策略为何。作法如下:





预设全部丢弃:
-----------------------------------------------------
# 设定 filter table 的预设策略
-----------------------------------------------------
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP














或者预设全部接受:
-----------------------------------------------------
# 设定 filter table 的预设策略
-----------------------------------------------------
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT














各个规则链的预设策略可独立自主的设定,不必受其它链的影响。
以下练习,若目标为 DROP(丢弃),则 policy 请设为 ACCEPT(接受);若目标为 ACCEPT,则 policy 请设为 DROP,
如此方可看出效果。开放某一个介面作法如下:
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT


注:IPFW 或 Netfilter 的封包流向,local process 不会经过 FORWARD Chain,
因此 lo 只在 INPUT 及 OUTPUT 二个 chain 作用。


iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -o eth1 -j ACCEPT








IP 伪装(SNAT应用)
使内网的封包经过伪装之后,使用对外的 eth0 网卡当作代理号,对外连线。作法如下:


-----------------------------------------------------
# 启动内部对外转址
-----------------------------------------------------





iptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source $FW_IP
上述指令意指:把 172.16.0.0/16 这个网段,伪装成 $FW_IP 出去。
虚拟主机(DNAT应用)
利用转址、转 port 的方式,使外网的封包,可以到达内网中的服务器主机,俗称虚拟主机。这种方式可保护服务器


主机大部份的 port 不被外界存取,只开放公开服务的通道(如 Web Server port 80),因此安全性较高。
作法如下:
-----------------------------------------------------
# 启动外部对内部转址
-----------------------------------------------------
# 凡对 $FW_IP:80 连线者, 则转址至 172.16.255.2:80
iptables -t nat -A PREROUTING -i eth0 -p tcp -d $FW_IP --dport 80 -j DNAT --to-destination 172.16.255.2:80











开放内部主机可以 telnet 至外部的主机
开放内网,可以 telnet 至外部主机。


作法如下:(预设 policy 为 DROP)
-----------------------------------------------------
# open 外部主机 telnet port 23
-----------------------------------------------------





iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 23 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 23 -d $FW_IP --dport 1024:65535 -j ACCEPT


开放邮包转递通道
开放任意的邮件主机送信包给你的 Mail Server,而你的 Mail Server 也可以送信包过去。


作法如下:(预设 policy 为 DROP)
-----------------------------------------------------
# open SMTP port 25
-----------------------------------------------------





# 以下是:别人可以送信给你
iptables -A INPUT -i eth0 -p tcp -s any/0 --sport 1024:65535 -d $FW_IP --dport 25 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp ! --syn -s $FW_IP --sport 25 -d any/0 --dport 1024:65535 -j ACCEPT





# 以下是:你可以送信给别人
iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 25 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 25 -d $FW_IP --dport 1024:65525 -j ACCEPT





开放对外离线下载信件的通道
开放内网可以对外网的 POP3 server 取信件。


作法如下:(预设 policy 为 DROP)
-----------------------------------------------------
# open 对外部主机的 POP3 port 110
-----------------------------------------------------





iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 110 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 110 -d $FW_IP --dport 1024:65535 -j ACCEPT


开放观看网页的通道
开放内网可以观看外网的网站。


作法如下:(预设 policy 为 DROP)
-----------------------------------------------------
# open 对外部主机的 HTTP port 80
-----------------------------------------------------





iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 80 -d $FW_IP --dport 1024:65535 -j ACCEPT


开放查询外网的 DNS 主机
开放内网,可以查询外网任何一台 DNS 主机。


作法如下:(预设 policy 为 DROP)
-----------------------------------------------------
# open DNS port 53
-----------------------------------------------------





# 第一次会用 udp 封包来查询
iptables -A OUTPUT -o eth0 -p udp -s $FW_IP --sport 1024:65535 -d any/0 --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -s any/0 --sport 53 -d $FW_IP --dport 1024:65535 -j ACCEPT





# 若有错误,会改用 tcp 封包来查询
iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 53 -d $FW_IP --dport 1024:65535 -j ACCEPT





# 开放这台主机上的 DNS 和外部的 DNS 主机互动查询:使用 udp
iptables -A OUTPUT -o eth0 -p udp -s $FW_IP --sport 53 -d any/0 --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -s any/0 --sport 53 -d $FW_IP --dport 53 -j ACCEPT
# 开放这台主机上的 DNS 和外部的 DNS 主机互动查询:使用 tcp
iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 53 -d any/0 --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! -y -s any/0 --sport 53 -d $FW_IP --dport 53 -j ACCEPT














开放内部主机可以 ssh 至外部的主机
开放内网,可以 ssh 至外部主机。


作法如下:(预设 policy 为 DROP)
-----------------------------------------------------
# open 外部主机 ssh port 22
-----------------------------------------------------





iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 22 -d $FW_IP --dport 1024:65535 -j ACCEPT


# 以下是 ssh protocol 比较不同的地方
iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1020:1023 -d any/0 --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 22 -d $FW_IP --dport 1020:1023 -j ACCEPT





开放内部主机可以 ftp 至外部的主机
开放内网,可以 ftp 至外部主机。


作法如下:(预设 policy 为 DROP)
-----------------------------------------------------
# open 对外部主机 ftp port 21
-----------------------------------------------------





# 以下是打开命令 channel 21
iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 21 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 21 -d $FW_IP --dport 1024:65535 -j ACCEPT





# 以下是打开资料 channel 20
iptables -A INPUT -i eth0 -p tcp -s any/0 --sport 20 -d $FW_IP --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp ! --syn -s $FW_IP --sport 1024:65535 -d any/0 --dport 20 -j ACCEPT





# 以下是打开 passive mode FTP 资料通道
iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 1024:65535 -d $FW_IP --dport 1024:65535 -j ACCEPT





开放 ping
可以对外 ping 任何一台主机。


作法如下:(预设 policy 为 DROP)
iptables -A OUTPUT -o eth0 -p icmp -s $FW_IP --icmp-type 8 -d any/0 -j ACCEPT
iptables -A INPUT -i eth0 -p icm -s any/0 --icmp-type 0 -d $FW_IP -j ACCEPT



追加:


问题1:为什么每个功能都用了两条链INPUT和OUTPUT,他们的作用是不是先允许网关机器output,然后再允许局域网到网关机器?
            _____
             /         .
  Incoming-->[Routing ]--->|FORWARD|------->Outgoing
        [Decision]  _____/     ^
          |              |
          v           _____
         ____         /   
        /           |OUTPUT|
         |INPUT|          ______/
          ____/            ^
          |             |
           ----> Local Process ----
  还是分析一下包的在链中的处理流程吧!
其中三个圈代表前述的三个链,当一个包抵达上图其中的一个链时,相应的链就会被检验(examined)以决定如何处理这个包。









































如果链认为应该丢弃(DROP)这个包,则将该包丢弃;如果链认为应该接受(ACCEPT)该包,那么它将继续在图中穿越。
(1)当一个包进入时,内核首先看包的目的地,如果目的地址为本机,这个包就下行至INPUT链,如果能够通过检测,


则进入后面的包处理程序。
(2)如果目的地址不是本机,但内核没有启动转发功能,或者内核不知道如何转发这个包,那么该包就会被丢弃。
(3)如果目的地址不是本机,转发功能也已经启动,那么这个包将右行至FORWARD链。如果该包被接受,





那么它将会被发送出去。
(4)一个在本机运行的程序发送网络包,这时包会直接经过OUTPUT链,如果被接受,


该包会继续被发送到它所指定的网络接口。
注:Incoming & Outgoing 可以是内网也可以是外网, Local Process是指提供代理 或 IP过滤的服务器.
现在知道各链的功能,也就能知道同时出现INPUT,OUTPUT规则语句的含义.

作者Blog:http://blog.csdn.net/linuxnote/


Linux下IpTables的配置
1、 指定表
filter为包过滤防火墙默认表,nat表,mangle表
2、 指定操作命令
添加、删除、更新
3、 指定链
操作包过滤防火墙的input,output,forward。也可能操作自己定义的。
4、 指定规则匹配器
各种规则匹配。如IP、端口、包类型
5、 指定目标动作
ACCEPT表示通过 DROP表示被丢弃 REJECT表示拒绝包
LOG表示包的有关信息被记录日志 TOS改写包的TOS值



用法: <严格区分大小写>


iptables [-t table] cmd [chain][rule-matcher][-j target]
cmd:
-A 在所选链的尾添加一条或多条规则
-D 删除
-R 替换
-I 插入
-L 列出所有规则
-F 清除
-N 创建
-X 删除指定的用户定义链
-P 为永久链指定默认规则
-C 检查给定的包是否与指定链的规则相匹配
-Z 将指定链中所有规则的包字节记数器清零
-h 显示帮助信息















//例子
# touch /etc/rc.d/filter-firewall
//
IPT=/sbin/iptables
WWWSERVER=192.168.168.119
FTPSERVER=192.168.168.119
IPRANGE=192.168.168.0/24
$IPT -F
$IPT -P FORWARD DROP
$IPT -A FORWARD -p tcp -d $WWWSERVER --dport www -i eth0 -j ACCEPT
$IPT -A FORWARD -p tcp -d $FTPSERVER --dport ftp -i eth0 -j ACCEPT
$IPT -A INPUT -s 192.168.168.81 -i eth0 -j DROP



以下是另一个例子:(转载:)

的是source-port 4000,destination-port 8000
只需要在FORWARD里加入一条规则就可以
iptables -A FORWARD -i eth0 -p udp --dport 8000 -j DROP





这里的eth0是内网网卡.

要删了这条规则只需要输入:
iptables -D FORWARD 1
这里的1是指它的序号





附:
封杀MSN的方法:
/sbin/iptables -I FORWARD -d gateway.messenger.hotmail.com -j DROP
/sbin/iptables -I FORWARD -p tcp --dport 1863 -j DROP










































































































































Iptables 中文 man 文档 总览 用iptables -ADC 来指定链的规则,-A添加 -D删除 -C 修改 iptables - [RI] chain rule num rule-specification[option] 用iptables - RI 通过规则的顺序指定 iptables -D chain rule num[option] 删除指定规则 iptables -[LFZ] [chain][option] 用iptables -LFZ 链名 [选项] iptables -[NX] chain 用 -NX 指定链 iptables -P chain target[options] 指定链的默认目标 iptables -E old-chain-name new-chain-name -E 旧的链名 新的链名 用新的链名取代旧的链名 说明 Iptalbes 是用来设置、维护和检查Linux内核的IP包过滤规则的。 可以定义不同的表,每个表都包含几个内部的链,也能包含用户定义的链。每个链都是一个规则列表,对对应的包进行匹配:每条规则指定应当如何处理与之相匹配的包。这被称作'target'(目标),也可以跳向同一个表内的用户定义的链。 TARGETS 防火墙的规则指定所检查包的特征,和目标。如果包不匹配,将送往该链中下一条规则检查;如果匹配,那么下一条规则由目标值确定.该目标值可以是用户定义的链名,或是某个专用值,如ACCEPT[通过], DROP[删除], QUEUE[排队], 或者 RETURN[返回]。 ACCEPT 表示让这个包通过。DROP表示将这个包丢弃。QUEUE表示把这个包传递到用户空间。RETURN表示停止这条链的匹配,到前一个链的规则重新开始。如果到达了一个内建的链(的末端),或者遇到内建链的规则是RETURN,包的命运将由链准则指定的目标决定。 TABLES 当前有三个表(哪个表是当前表取决于内核配置选项和当前模块)。 -t table 这个选项指定命令要操作的匹配包的表。如果内核被配置为自动加载模块,这时若模块没有加载,(系统)将尝试(为该表)加载适合的模块。这些表如下:filter,这是默认的表,包含了内建的链INPUT(处理进入的包)、FORWORD(处理通过的包)和OUTPUT(处理本地生成的包)。 nat,这个表被查询时表示遇到了产生新的连接的包,由三个内建的链构成:PREROUTING (修改到来的包)、OUTPUT(修改路由之前本地的包)、POSTROUTING(修改准备出去的包)。mangle 这个表用来对指定的包进行修改。它有两个内建规则:PREROUTING(修改路由之前进入的包)和OUTPUT(修改路由之前本地的包)。 OPTIONS 这些可被iptables识别的选项可以区分不同的种类。 COMMANDS 这些选项指定执行明确的动作:若指令行下没有其他规定,该行只能指定一个选项.对于长格式的命令和选项名,所用字母长度只要保证iptables能从其他选项中区分出该指令就行了。 -A -append 在所选择的链末添加一条或更多规则。当源(地址)或者/与 目的(地址)转换为多个地址时,这条规则会加到所有可能的地址(组合)后面。 -D -delete 从所选链中删除一条或更多规则。这条命令可以有两种方法:可以把被删除规则指定为链中的序号(第一条序号为1),或者指定为要匹配的规则。 -R -replace 从选中的链中取代一条规则。如果源(地址)或者/与 目的(地址)被转换为多地址,该命令会失败。规则序号从1开始。 -I -insert 根据给出的规则序号向所选链中插入一条或更多规则。所以,如果规则序号为1,规则会被插入链的头部。这也是不指定规则序号时的默认方式。 -L -list 显示所选链的所有规则。如果没有选择链,所有链将被显示。也可以和z选项一起使用,这时链会被自动列出和归零。精确输出受其它所给参数影响。 -F -flush 清空所选链。这等于把所有规则一个个的删除。 --Z -zero 把所有链的包及字节的计数器清空。它可以和 -L配合使用,在清空前察看计数器,请参见前文。 -N -new-chain 根据给出的名称建立一个新的用户定义链。这必须保证没有同名的链存在。 -X -delete-chain 删除指定的用户自定义链。这个链必须没有被引用,如果被引用,在删除之前你必须删除或者替换与之有关的规则。如果没有给出参数,这条命令将试着删除每个非内建的链。
-P -policy
设置链的目标规则。

-E -rename-chain
根据用户给出的名字对指定链进行重命名,这仅仅是修饰,对整个表的结构没有影响。TARGETS参数给出一个合法的目标。只有非用户自定义链可以使用规则,而且内建链和用户自定义链都不能是规则的目标。

-h Help.
帮助。给出当前命令语法非常简短的说明。

PARAMETERS
参数
以下参数构成规则详述,如用于add、delete、replace、append 和 check命令。

-p -protocal [!]protocol
规则或者包检查(待检查包)的协议。指定协议可以是tcp、udp、icmp中的一个或者全部,也可以是数值,代表这些协议中的某一个。当然也可以使用在/etc/protocols中定义的协议名。在协议名前加上"!"表示相反的规则。数字0相当于所有all。Protocol all会匹配所有协议,而且这是缺省时的选项。在和check命令结合时,all可以不被使用。
-s -source [!] address[/mask]
指定源地址,可以是主机名、网络名和清楚的IP地址。mask说明可以是网络掩码或清楚的数字,在网络掩码的左边指定网络掩码左边"1"的个数,因此,mask值为24等于255.255.255.0。在指定地址前加上"!"说明指定了相反的地址段。标志 --src 是这个选项的简写。

-d --destination [!] address[/mask]
指定目标地址,要获取详细说明请参见 -s标志的说明。标志 --dst 是这个选项的简写。

-j --jump target
-j 目标跳转
指定规则的目标;也就是说,如果包匹配应当做什么。目标可以是用户自定义链(不是这条规则所在的),某个会立即决定包的命运的专用内建目标,或者一个扩展(参见下面的EXTENSIONS)。如果规则的这个选项被忽略,那么匹配的过程不会对包产生影响,不过规则的计数器会增加。

-i -in-interface [!] [name]
i -进入的(网络)接口 [!][名称]
这是包经由该接口接收的可选的入口名称,包通过该接口接收(在链INPUT、FORWORD和PREROUTING中进入的包)。当在接口名前使用"!"说明后,指的是相反的名称。如果接口名后面加上"+",则所有以此接口名开头的接口都会被匹配。如果这个选项被忽略,会假设为"+ ",那么将匹配任意接口。

-o --out-interface [!][name]
-o --输出接口[名称]
这是包经由该接口送出的可选的出口名称,包通过该口输出(在链FORWARD、OUTPUT和POSTROUTING中送出的包)。当在接口名前使用"!"说明后,指的是相反的名称。如果接口名后面加上"+",则所有以此接口名开头的接口都会被匹配。如果这个选项被忽略,会假设为"+ ",那么将匹配所有任意接口。

[!] -f, --fragment
[!] -f --分片
这意味着在分片的包中,规则只询问第二及以后的片。自那以后由于无法判断这种把包的源端口或目标端口(或者是ICMP类型的),这类包将不能匹配任何指定对他们进行匹配的规则。如果"!"说明用在了"-f"标志之前,表示相反的意思。

OTHER OPTIONS
其他选项
还可以指定下列附加选项:

-v --verbose
-v --详细
详细输出。这个选项让list命令显示接口地址、规则选项(如果有)和TOS(Type of Service)掩码。包和字节计数器也将被显示,分别用K、M、G(前缀)表示1000、1,000,000和1,000,000,000倍(不过请参看-x标志改变它),对于添加,插入,删除和替换命令,这会使一个或多个规则的相关详细信息被打印。

-n --numeric
-n --数字
数字输出。IP地址和端口会以数字的形式打印。默认情况下,程序试显示主机名、网络名或者服务(只要可用)。

-x -exact
-x -精确
扩展数字。显示包和字节计数器的精确值,代替用K,M,G表示的约数。这个选项仅能用于 -L 命令。




















































--line-numbers
当列表显示规则时,在每个规则的前面加上行号,与该规则在链中的位置相对应。




今天的文章 2025年ip域名解析网(ip地址域名解析)分享到此就结束了,感谢您的阅读。















































































































































































































































编程小号
上一篇 2025-10-02 14:17
下一篇 2025-11-17 07:30

相关推荐

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/bian-cheng-ri-ji/19600.html