今天來講一下如何讓對方ping不到我們自己架的主機
不管在那一台電腦主機下'ping'指令
都會發出一個ICMP類型為8(echo-request)的封包
意思就像信號彈一樣!當對方收到會回應一個類型為0(echo-replay)封包給我們
成功就會開始跑
64 bytes from 168.95.1.1: icmp_seq=1 ttl=249 time=34.1ms
的訊息!
所以我們只要用iptables將來自ICMP類型為8的封包給擋下來丟掉
嘿嘿!
對方就無法ping成功!
就會出現REquest timed out.等字樣 但不代表對方網路不通唷!
通常我們建立防火牆規則不會一條一條建立而是建立一個sheel Script
放在/etc/rc.local讓他開機自動載入
(rc.local通常是runlevel最後一個載入的程序稿S99rc.local)
vim nat.ip
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
ipatbles -P OUTPUT ACCEPT /開頭先開放filter表格三個鍵的封包都接受~之後在限制/
iptables -t filter -F /清除filter表格裡的所有rule/
iptables -t nat -F /清除nat表格裡的所有rule/
iptables -t filter -X /移除filter表格裡的所有自訂鏈/
iptables -t nat -X /移除nat表格裡的所有自訂鏈/
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
(-p指令封包為icmp type為echo-request) 封包是類型8就丟棄
一開始要清除在設定rule是有考量的!如果不刪除每執行一次nat.ip
就會一直加上去!所以開頭都會建議要先刪除在新增 ~比較好唷!
iptables很有效率!修改完馬上./nat.ip 馬上就可以測試!
傳承科技專門處理硬碟資料遺失,硬碟壞軌及異聲
各式隨身碟資料搶救,不過電及各種記憶卡如SD、MS、XD、CF
精通各種筆電改裝作業系統、MAC APPLE、LINUX、WINXP、VISTA
精緻服務盡在傳承 專業服務快速完工
1003 07/07 希捷Barracuda 7200.11全系列機瘟硬碟,傳承可處理
0925 突破!北京台商研發新隨身碟 插上電腦就可看臺灣頻道
0918 MSN霸道!強制更新9.0版本 剝奪舊版用戶登錄權
0907 告別硬碟 GDrive個資保密引疑慮
0906 為防止Downadup疫情擴大插入隨身碟請暫停使用「自動播放」功能
0903 兩倍牧場容量「2TB」硬碟一顆要8999元
2008年3月25日 星期二
| [+/-] |
[iptables]如何修改iptables讓對方Ping不到本地主機 |
2007年11月23日 星期五
| [+/-] |
[linux]iptables設定讓NAT內主機能玩征服者入侵(AOE) |
這個問題其實存在很久! 就是世紀帝國這種點對點的遊戲
必需要是真實IP才能夠連上,當然以現行技術
已經有多方式能夠用偽裝的方式來連接
先說明世紀帝國的PORT為(6073,47624,2300-2400)這個範圍之內
常見的有:
1.NAT (DMZ)非軍事區 將虛擬ip設在DMZ中 即可對外連線
2.虛擬伺服器:打開世紀帝國所需使用的ports並將其對映到你的電腦虛擬IP位置
實作:在NAT主機上的設定要新增兩條iptables ruleIPTABLES -t nat -A PREROUTING -p tcp --dport 2300:2400 -i ppp0 -j DNAT --to 192.168.2.61
IPTABLES -t nat -A PREROUTING -p udp --dport 2300:2400-i ppp0 -j DNAT --to 192.168.2.61
基本上設定2300-2400,就能夠找的到遊戲了!
如果您是一般的IP分享器俗稱Switch/hub,設定方式也大同小異
通常設定會在nat的選單裡面,各家機型太多不在多做討論!
2.VPN
Hamachi 下載點是採用Vpn的方式把所有人都拉進同一個區網 已前用過
3.Vnn
2007年11月18日 星期日
| [+/-] |
[Ubuntu]如何架設簡易NAT 伺服器[入門篇] |
鑑於ADSL撥接人數還蠻多的如果我們想架一個NAT環境
並且能夠能區域網內的電腦能夠上網+MSN
來說一下這次的環境
單純架nat環境:Lan網內的電腦需要設定Static(固定)IP
NAT+Dhcp :則可自動取的ip (這篇往後會寫到)
配備:
中古電腦一台灌Ubuntu 7.10內建兩張網卡透過中華電信ADSL撥接上網
取的浮動IP(ppp0)
(eth0)外部網路(public ip)
(eth1)內部網路(Private IP)
(ppp0)ADSL撥接虛擬介面 <--設定的重點
首先網路環境我們設在class c level
192.168.1.0~192.168.1.255 netmask:255.255.255.0
1.首先,來設定內部網路eth1的網路組態/etc/network/interfaces
auto eth1
iface eth1 inet static (靜態)
address 192.168.1.1 (內部ip)
netmask 255.255.255.0(子網路遮罩)
network 192.168.1.0 (網域)
broadcast 192.168.1.255 (廣撥位址)
dns-nameservers 168.95.1.1 (可省略)
2.在來設定讓Linux有router的功能echo "1" > /proc/sys/net/ipv4/ip_forward
或vim /etc/sysctl.conf
看裡頭有沒有這一行net.ipv4.ip_forward=1
沒有的話在新增進去就可以
sysctl -w net.ipv4.ip_forward=1 然後將此功能打開
3.設定加入內網對外連線封包偽裝的規則
#看一下下面的設定不難發現-s後面接的是子網路遮罩
#注意-o後面接的是ADSL的介面而不是eth1唷!當初我就是設錯攪老半天
#MASQUERADE就是偽裝的參數,偽裝成ppp0介面的ip(對外招搖撞騙) =_=
#當然-j後面也可以接isp分配給你的ipiptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
NAT端設定完成了!
在來是區網部份,要上網的電腦主機請這樣做
#為何gateway 是192.168.1.1 因為nat主機的內部ip是192.168.1.1 懂了吧!vim /etc/network/interfaces
auto eth0 (啟動的意思)
iface eth0 inet static
address 192.168.1.2 (內部ip)
netmask 255.255.255.0(子網路遮罩)
network 192.168.1.0 (網域)
broadcast 192.168.1.255 (廣撥位址)
dns-nameservers 168.95.1.1 (可省略)
gateway 192.168.1.1 (超級重要一定要設不設就ping不到外網了)
建議架設nat server 之後能夠將核心功能
rp_filter功能開啟,以避免nat成為駭客跳板echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
預設是0
2007年11月4日 星期日
| [+/-] |
[Linux]如何透過Linux的主機當IP分享器? |
Fyi~常常有人會在家裡利用Linux的主機擔任IP分享器的工作,我們可以使用簡單的
iptables功能達到目標。
環境: Linux主機有兩張網路卡eth0及eth1,eth0接到外部網路,eth1交到內部網路
。 內部網路為192.168.1.0/24。
【指令】 我們可以使用以下的規則達到IP分享器的目的。
#iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
#echo "1" > /proc/sys/net/ipv4/ip_forward
參考:http://www.geego.com.tw/tech_tips/04.html
發表文章
