lokkit命令

A. centos7 ftp怎么检查

centos7中防火墙是一个非常的强大的功能了，但对于centos7中在防火墙中进行了升级了，下面我们一起来详细的看看关于centos7中防火墙使用方法。FirewallD提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持IPv4,IPv6防火墙设置以及以太网桥接，并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口。以前的system-config-firewall/lokkit防火墙模型是静态的，每次修改都要求防火墙完全重启。这个过程包括内核netfilter防火墙模块的卸载和新配置所需模块的装载等。而模块的卸载将会破坏状态防火墙和确立的连接。相反，firewalldaemon动态管理防火墙，不需要重启整个防火墙便可应用更改。因而也就没有必要重载所有内核防火墙模块了。不过，要使用firewalldaemon就要求防火墙的所有变更都要通过该守护进程来实现，以确保守护进程中的状态和内核里的防火墙是一致的。另外，firewalldaemon无法解析由ip*tables和ebtables命令行工具添加的防火墙规则。守护进程通过D-BUS提供当前激活的防火墙设置信息，也通过D-BUS接受使用PolicyKit认证方式做的更改。“守护进程”应用程序、守护进程和用户可以通过D-BUS请求启用一个防火墙特性。特性可以是预定义的防火墙功能，如：服务、端口和协议的组合、端口/数据报转发、伪装、ICMP拦截或自定义规则等。该功能可以启用确定的一段时间也可以再次停用。通过所谓的直接接口，其他的服务(例如libvirt)能够通过iptables变元(arguments)和参数(parameters)增加自己的规则。amanda、ftp、samba和tftp服务的netfilter防火墙助手也被“守护进程”解决了,只要它们还作为预定义服务的一部分。附加助手的装载不作为当前接口的一部分。由于一些助手只有在由模块控制的所有连接都关闭后才可装载。因而，跟踪连接信息很重要，需要列入考虑范围。静态防火墙(system-config-firewall/lokkit)使用system-config-firewall和lokkit的静态防火墙模型实际上仍然可用并将继续提供，但却不能与“守护进程”同时使用。用户或者管理员可以决定使用哪一种方案。在软件安装，初次启动或者是首次联网时，将会出现一个选择器。通过它你可以选择要使用的防火墙方案。其他的解决方案将保持完整，可以通过更换模式启用。firewalldaemon独立于system-config-firewall，但二者不能同时使用。使用iptables和ip6tables的静态防火墙规则如果你想使用自己的iptables和ip6tables静态防火墙规则,那么请安装iptables-services并且禁用firewalld，启用iptables和ip6tables:yuminstalliptables-...service静态防火墙规则配置文件是/etc/sysconfig/iptables以及/etc/sysconfig/ip6tables.注：iptables与iptables-services软件包不提供与服务配套使用的防火墙规则.这些服务是用来保障兼容性以及供想使用自己防火墙规则的人使用的.你可以安装并使用system-config-firewall来创建上述服务需要的规则.为了能使用system-config-firewall,你必须停止firewalld.为服务创建规则并停用firewalld后，就可以启用iptables与ip6tables服务了:systemctlstopfirewalld.servicesystemctlstartiptables..service什么是区域？网络区域定义了网络连接的可信等级。这是一个一对多的关系，这意味着一次连接可以仅仅是一个区域的一部分，而一个区域可以用于很多连接。预定义的服务服务是端口和/或协议入口的组合。备选内容包括netfilter助手模块以及IPv4、IPv6地址。端口和协议定义了tcp或udp端口，端口可以是一个端口或者端口范围。ICMP阻塞可以选择Internet控制报文协议的报文。这些报文可以是信息请求亦可是对信息请求或错误条件创建的响应。伪装私有网络地址可以被映射到公开的IP地址。这是一次正规的地址转换。端口转发端口可以映射到另一个端口以及/或者其他主机。哪个区域可用?由firewalld提供的区域按照从不信任到信任的顺序排序。丢弃任何流入网络的包都被丢弃，不作出任何响应。只允许流出的网络连接。阻塞任何进入的网络连接都被拒绝，并返回IPv4的icmp-host-prohibited报文或者IPv6的icmp6-adm-prohibited报文。只允许由该系统初始化的网络连接。公开用以可以公开的部分。你认为网络中其他的计算机不可信并且可能伤害你的计算机。只允许选中的连接接入。（..）外部用在路由器等启用伪装的外部网络。你认为网络中其他的计算机不可信并且可能伤害你的计算机。只允许选中的连接接入。隔离区（dmz）用以允许隔离区（dmz）中的电脑有限地被外界网络访问。只接受被选中的连接。工作用在工作网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。家庭用在家庭网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。内部用在内部网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。受信任的允许所有网络连接。我应该选用哪个区域?例如，公共的WIFI连接应该主要为不受信任的，家庭的有线网络应该是相当可信任的。根据与你使用的网络最符合的区域进行选择。如何配置或者增加区域?你可以使用任何一种firewalld配置工具来配置或者增加区域，以及修改配置。工具有例如firewall-config这样的图形界面工具，firewall-cmd这样的命令行工具，以及D-BUS接口。或者你也可以在配置文件目录中创建或者拷贝区域文件。@PREFIX@/lib/firewalld/zones被用于默认和备用配置，/etc/firewalld/zones被用于用户创建和自定义配置文件。如何为网络连接设置或者修改区域区域设置以ZONE=选项存储在网络连接的ifcfg文件中。如果这个选项缺失或者为空，firewalld将使用配置的默认区域。如果这个连接受到NetworkManager控制，你也可以使用nm-connection-editor来修改区域。由NetworkManager控制的网络连接防火墙不能够通过NetworkManager显示的名称来配置网络连接，只能配置网络接口。因此在网络连接之前NetworkManager将配置文件所述连接对应的网络接口告诉firewalld。如果在配置文件中没有配置区域，接口将配置到firewalld的默认区域。如果网络连接使用了不止一个接口，所有的接口都会应用到fiwewalld。接口名称的改变也将由NetworkManager控制并应用到firewalld。为了简化，自此，网络连接将被用作与区域的关系。如果一个接口断开了，NetworkManager也将告诉firewalld从区域中删除该接口。当firewalld由systemd或者init脚本启动或者重启后，firewalld将通知NetworkManager把网络连接增加到区域。由脚本控制的网络对于由网络脚本控制的连接有一条限制：没有守护进程通知firewalld将连接增加到区域。这项工作仅在ifcfg-post脚本进行。因此，此后对网络连接的重命名将不能被应用到firewalld。同样，在连接活动时重启firewalld将导致与其失去关联。现在有意修复此情况。最简单的是将全部未配置连接加入默认区域。区域定义了本区域中防火墙的特性：使用firewalld你可以通过图形界面工具firewall-config或者命令行客户端firewall-cmd启用或者关闭防火墙特性。使用firewall-cmd命令行工具firewall-cmd支持全部防火墙特性。对于状态和查询模式，命令只返回状态，没有其他输出。一般应用获取firewalld状态firewall-cmd--state此举返回firewalld的状态，没有任何输出。可以使用以下方式获得状态输出：firewall-cmd--state&&echo"Running"||echo"Notrunning"在Fedora19中,状态输出比此前直观:#rpm-qf$(whichfirewall-cmd)firewalld-0.3.3-2.fc19.noarch#firewall-cmd--statenotrunning在不改变状态的条件下重新加载防火墙：firewall-cmd--reload如果你使用–complete-reload，状态信息将会丢失。这个选项应当仅用于处理防火墙问题时，例如，状态信息和防火墙规则都正常，但是不能建立任何连接的情况。获取支持的区域列表firewall-cmd--get-zones这条命令输出用空格分隔的列表。获取所有支持的服务firewall-cmd--get-services这条命令输出用空格分隔的列表。获取所有支持的ICMP类型firewall-cmd--get-icmptypes这条命令输出用空格分隔的列表。列出全部启用的区域的特性firewall-cmd--list-all-zones输出格式是：interfaces:..services:..ports:..forward-ports:..icmp-blocks:.输出区域全部启用的特性。如果生略区域，将显示默认区域的信息。firewall-cmd[--zone=]--list-all获取默认区域的网络设置firewall-cmd--get-default-zone设置默认区域firewall-cmd--set-default-zone=流入默认区域中配置的接口的新访问请求将被置入新的默认区域。当前活动的连接将不受影响。获取活动的区域firewall-cmd--get-active-zones这条命令将用以下格式输出每个区域所含接口：:..:..根据接口获取区域firewall-cmd--get-zone-of-interface=这条命令将输出接口所属的区域名称。将接口增加到区域firewall-cmd[--zone=]--add-interface=如果接口不属于区域，接口将被增加到区域。如果区域被省略了，将使用默认区域。接口在重新加载后将重新应用。修改接口所属区域firewall-cmd[--zone=]--change-interface=这个选项与–add-interface选项相似，但是当接口已经存在于另一个区域的时候，该接口将被添加到新的区域。从区域中删除一个接口firewall-cmd[--zone=]--remove-interface=查询区域中是否包含某接口firewall-cmd[--zone=]--query-interface=返回接口是否存在于该区域。没有输出。列举区域中启用的服务firewall-cmd[--zone=]--list-services启用应急模式阻断所有网络连接，以防出现紧急状况firewall-cmd--panic-on禁用应急模式firewall-cmd--panic-off代码如下复制代码应急模式在0.3.0版本中发生了变化在0.3.0之前的FirewallD版本中,panic选项是–enable-panic与–disable-panic.查询应急模式firewall-cmd--query-panic此命令返回应急模式的状态，没有输出。可以使用以下方式获得状态输出：firewall-cmd--query-panic&&echo"On"||echo"Off"处理运行时区域运行时模式下对区域进行的修改不是永久有效的。重新加载或者重启后修改将失效。启用区域中的一种服务firewall-cmd[--zone=]--add-service=[--timeout=]此举启用区域中的一种服务。如果未指定区域，将使用默认区域。如果设定了超时时间，服务将只启用特定秒数。如果服务已经活跃，将不会有任何警告信息。例:使区域中的ipp-client服务生效60秒:firewall-cmd--zone=home--add-service=ipp-client--timeout=60例:启用默认区域中的http服务:firewall-cmd--add-service=http禁用区域中的某种服务firewall-cmd[--zone=]--remove-service=此举禁用区域中的某种服务。如果未指定区域，将使用默认区域。例:禁止home区域中的http服务:firewall-cmd--zone=home--remove-service=http区域种的服务将被禁用。如果服务没有启用，将不会有任何警告信息。查询区域中是否启用了特定服务firewall-cmd[--zone=]--query-service=如果服务启用，将返回1,否则返回0。没有输出信息。启用区域端口和协议组合firewall-cmd[--zone=]--add-port=[-]/[--timeout=]此举将启用端口和协议的组合。端口可以是一个单独的端口或者是一个端口范围-。协议可以是tcp或udp。禁用端口和协议组合firewall-cmd[--zone=]--remove-port=[-]/查询区域中是否启用了端口和协议组合firewall-cmd[--zone=]--query-port=[-]/如果启用，此命令将有返回值。没有输出信息。启用区域中的IP伪装功能firewall-cmd[--zone=]--add-masquerade此举启用区域的伪装功能。私有网络的地址将被隐藏并映射到一个公有IP。这是地址转换的一种形式，常用于路由。由于内核的限制，伪装功能仅可用于IPv4。禁用区域中的IP伪装firewall-cmd[--zone=]--remove-masquerade查询区域的伪装状态firewall-cmd[--zone=]--query-masquerade如果启用，此命令将有返回值。没有输出信息。启用区域的ICMP阻塞功能firewall-cmd[--zone=]--add-icmp-block=此举将启用选中的Internet控制报文协议（ICMP）报文进行阻塞。ICMP报文可以是请求信息或者创建的应答报文，以及错误应答。禁止区域的ICMP阻塞功能firewall-cmd[--zone=]--remove-icmp-block=查询区域的ICMP阻塞功能firewall-cmd[--zone=]--query-icmp-block=如果启用，此命令将有返回值。没有输出信息。例:阻塞区域的响应应答报文:firewall-cmd--zone=public--add-icmp-block=echo-reply在区域中启用端口转发或映射firewall-cmd[--zone=]--add-forward-port=port=[-]:proto={:toport=[-]|:toaddr=|:toport=[-]:toaddr=}端口可以映射到另一台主机的同一端口，也可以是同一主机或另一主机的不同端口。端口号可以是一个单独的端口或者是端口范围-。协议可以为tcp或udp。目标端口可以是端口号或者是端口范围-。目标地址可以是IPv4地址。受内核限制，端口转发功能仅可用于IPv4。禁止区域的端口转发或者端口映射firewall-cmd[--zone=]--remove-forward-port=port=[-]:proto={:toport=[-]|:toaddr=|:toport=[-]:toaddr=}查询区域的端口转发或者端口映射firewall-cmd[--zone=]--query-forward-port=port=[-]:proto={:toport=[-]|:toaddr=|:toport=[-]:toaddr=}

B. ssh远程登录linux后如何打开远端桌面

1、打开虚拟机（Ubuntu 14.04），按住ctrl+alt+T，打开终端窗口，输入"sudo apt-get install openssh-server"-->回车。

C. 在linux下登录ssh怎么指定端口

命令是：

ssh -p 22 用户名@hostname/ip： -p 22 这个就是端口的指定

ssh常用用法：

1. 无选项参数运行 SSH

通常使用 SSH 的方式就是不加任何选项参数,仅仅输入"ssh"。下面是示例：

$ ssh 192.168.0.103

第一次连接目标主机时，ssh 会请求确认目标主机的真实性。如果回答的是NO，SSH 将不会继续连接，只有回答Yes才会继续。

下一次再登陆此主机时，SSH 就不会提示确认消息了。对此主机的真实验证信息已经默认保存在每个用户的 /home/user/.ssh 文件里。

2. 指定登陆用户

默认的，ssh 会尝试用当前用户作为用户名来连接。在上面的示例命令中，ssh 会尝试用用户名叫 pungki 的用户身份来登入服务器，这是因为用户 pungki 正在客户机上使用 ssh 客户端软件。

假如目标主机上没有叫 pungki 的用户呢？这时你就必须提供一个目标主机上存在的用户名。从一开始就要指定用户名的，可以使用 -l 选项参数。

$ ssh -l leni192.168.0.103

我们也可以这样输入：

$ [email protected]

3. 指定端口

SSH 默认使用的端口号是 22。大多现代的 Linux 系统 22 端口都是开放的。如果运行 ssh 程序而没有指定端口号，它直接就是通过 22 端口发送请求的。

一些系统管理员会改变 SSH 的默认端口号。现在端口号是 1234.要连上那主机，就要使用**-p*选项，后面在加上 SSH 端口号。

$ ssh 192.168.0.103-p 1234

要改变端口号，我需要修改/etc/ssh/ssh_config文件，找到此行：

Port 22

把它换成其他的端口号，比如上面示例的 1234 端口，然后重启 SSH 服务。

4.对所有数据请求压缩

有了这个选项，所有通过 SSH 发送或接收的数据将会被压缩，并且任然是加密的。要使用 SSH 的压缩功能，使用-C选项。

$ ssh -C192.168.0.103

如果连网速度很慢的话，比如用 modem 上网，这个选项非常有用。但如果使用的是像 LAN 或其它更高级网络的话，压缩反而会降低你的传输速度。可以使用-o选项加上压缩级别参数来控制压缩的级别，但这个选项仅仅只在 SSH-1 下起作用。

5. 指定一个加密算法

SSH 提供了一些可用的加密算法。可以在 */etc/ssh/ssh_config or ~/.ssh/config *文件中看到（如果存在的话）。

如果想使用blowfish算法来加密 SSH 会话，那么只要把这一行加入/etc/ssh/ssh_configor ~/.ssh/config文件就可以：

Cipher blowfish

默认的，SSH 会使用 3des 算法。

6. 打开调试模式

因为某些原因如果想要追踪调试建立的 SSH 连接情况。SSH 提供的-v选项参数正是为此而设的。

$ ssh -v192.168.0.103

7. 绑定源地址

如果客户端有多于两个以上的 IP 地址，就不可能分得清楚在使用哪一个 IP 连接到 SSH 服务器。

为了解决这种情况，可以使用-b选项来指定一个IP 地址。这个 IP 将会被使用做建立连接的源地址。

$ ssh -b192.168.0.200 -l leni 192.168.0.103

服务端，可以使用 netstat 命令来检查到服务的连接是否建立。可以看到 IP 为192.168.0.200 的连接已经建立。

8. 使用其他配置文件

默认情况下，ssh 会使用位于/etc/ssh/ssh_config的配置文件。这个配置文件作用于系统的所有用户。但想要为特定的用户指定特殊的设置的话，可以把配置放入~/.ssh/config文件中。如果此文件不存在，可以手工创建一个。

下面是一个通用ssh_config文件配置的例子。这配置文件位于/home/pungki目录下。

Host 192.168.0.*
ForwardX11 yes
PasswordAuthentication yes
ConnectTimeout 10
Ciphersaes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
Protocol 2
HashKnownHosts yes

要使用指定的配置文件，可以使用-F选项。

$ ssh -F/home/pungki/my_ssh_config 192.168.0.101

9. 使用 SSH X11 Forwarding

某些时候可能想把服务端的 X11 应用程序显示到客户端计算机上，SSH 提供了-X选项。但要启用这功能需要做些准备，下面是它的设置：

在服务器端，需要使/etc/ssh/ssh_config文件中的行设置成ForwardX11 yes 或者 X11Forwadyes，以启用 X11 Forwarding，重启 SSH 服务程序。

然后在客户端，输入ssh-X user@host:

$ ssh [email protected]

一旦登陆，可以输入：

$ echo $DISPLAY

来检查，应该可以看到向如下所示的

localhost:10:0

随后就可以运行应用了，仅仅只能输入应用程序的命令。如果想运行 xclock 程序，输入：

$ xclock

它就运行起来了，xclock 确实是运行在远端系统的，但它在本地系统里显示了。

D. Linux centos7下ftp默认端口修改后firewalld如何设置

如下21端口改成你的端口号 注意设置SELinux 或者关闭SELinux
firewall-cmd --permanent --zone=public --add-port=21/tcp
然后执行重新载入firewalld设置
firewall-cmd --reload
删除之前的服务
firewall-cmd --permanent --remove-server=tcp
列出firewall开放端口
firewall-cmd --list-all

E. linux防火墙如何防御DDOS攻击

抵御DDOS
DDOS，分布式拒绝访问攻击，是指黑客组织来自不同来源的许多主机，向常见的端口，如80，25等发送大量连接，但这些客户端只建立连接，不是正常访问。由于一般Apache配置的接受连接数有限（通常为256），这些“假” 访问会把Apache占满，正常访问无法进行。

Linux提供了叫ipchains的防火墙工具，可以屏蔽来自特定IP或IP地址段的对特定端口的连接。使用ipchains抵御DDOS，就是首先通过netstat命令发现攻击来源地址，然后用ipchains命令阻断攻击。发现一个阻断一个。

*** 打开ipchains功能
首先查看ipchains服务是否设为自动启动：
chkconfig --list ipchains
输出一般为：
ipchains 0:off 1:off 2:on 3:on 4:on 5:on 6:off
如果345列为on，说明ipchains服务已经设为自动启动
如果没有，可以用命令：
chkconfig --add ipchains
将ipchains服务设为自动启动
其次，察看ipchains配置文件/etc/sysconfig/ipchains是否存在。如果这一文件不存在，ipchains
即使设为自动启动，也不会生效。缺省的ipchains配置文件内容如下：

# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
# firewall; such entries will *not* be listed here.
:input ACCEPT
:forward ACCEPT
:output ACCEPT
-A input -s 0/0 -d 0/0 -i lo -j ACCEPT
# allow http,ftp,smtp,ssh,domain via tcp; domain via udp
-A input -p tcp -s 0/0 -d 0/0 pop3 -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 http -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 https -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 ftp -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 smtp -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 ssh -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 domain -y -j ACCEPT
-A input -p udp -s 0/0 -d 0/0 domain -j ACCEPT
# deny icmp packet
#-A input -p icmp -s 0/0 -d 0/0 -j DENY
# default rules
-A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j REJECT
-A input -p tcp -s 0/0 -d 0/0 2049 -y -j REJECT
-A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT
-A input -p udp -s 0/0 -d 0/0 2049 -j REJECT
-A input -p tcp -s 0/0 -d 0/0 6000:6009 -y -j REJECT
-A input -p tcp -s 0/0 -d 0/0 7100 -y -j REJECT

如果/etc/sysconfig/ipchains文件不存在，可以用上述内容创建之。创建之后，启动ipchains服：
/etc/init.d/ipchains start

*** 用netstat命令发现攻击来源
假如说黑客攻击的是Web 80端口，察看连接80端口的客户端IP和端口，命令如下：
netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort
输出：
161.2.8.9:123 FIN_WAIT2
161.2.8.9:124 FIN_WAIT2
61.233.85.253:23656 FIN_WAIT2
...
第一栏是客户机IP和端口，第二栏是连接状态
如果来自同一IP的连接很多（超过50个），而且都是连续端口，就很可能是攻击。
如果只希望察看建立的连接，用命令：
netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort

*** 用ipchains阻断攻击来源
用ipchains阻断攻击来源，有两种方法。一种是加入到/etc/sysconfig/ipchains里，然后重启动ipchains服务。另一种是直接用ipchains命令加。屏蔽之后，可能还需要重新启动被攻击的服务，是已经建立的攻击连接失效

* 加入/etc/sysconfig/ipchains
假定要阻止的是218.202.8.151到80的连接，编辑/etc/sysconfig/ipchains文件，在:output ACCEPT
行下面加入：
-A input -s 218.202.8.151 -d 0/0 http -y -j REJECT
保存修改，重新启动ipchains：
/etc/init.d/ipchains restart
如果要阻止的是218.202.8的整个网段，加入：
-A input -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT

* 直接用命令行
加入/etc/sysconfig/ipchains文件并重起ipchains的方法，比较慢，而且在ipchains重起的瞬间，可能会有部分连接钻进来。最方便的方法是直接用ipchains命令。
假定要阻止的是218.202.8.151到80的连接，命令：
ipchains -I input 1 -p tcp -s 218.202.8.151 -d 0/0 http -y -j REJECT
如果要阻止的是218.202.8的整个网段，命令：
ipchains -I input 1 -p tcp -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT
其中，-I的意思是插入，input是规则连，1是指加入到第一个。

您可以编辑一个shell脚本，更方便地做这件事，命令：
vi blockit
内容：
#!/bin/sh
if [ ! -z "$1" ] ; then
echo "Blocking: $1"
ipchains -I input 1 -p tcp -s "$1" -d 0/0 http -y -j REJECT
else
echo "which ip to block?"
fi
保存，然后：
chmod 700 blockit
使用方法：
./blockit 218.202.8.151
./blockit 218.202.8.0/255.255.255.0

上述命令行方法所建立的规则，在重起之后会失效，您可以用ipchains-save命令打印规则:
ipchains-save
输出：
:input ACCEPT
:forward ACCEPT
:output ACCEPT
Saving `input'.
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 88:88 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 89:89 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 90:90 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 91:91 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8180:8180 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 443:443 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 9095:9095 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8007:8007 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 17 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 17 -j REJECT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 17 -j REJECT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 6000:6009 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 7100:7100 -p 6 -j REJECT -y
您需要把其中的"Saving `input'."去掉，然后把其他内容保存到/etc/sysconfig/ipchains文件，这样，下次重起之后，建立的规则能够重新生效。

F. centos的firewall能用在ubuntu上吗

FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4, IPv6 防火墙设置以及以太网桥接，并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口。 以前的 system-config-firewall/lokkit 防火墙模型是静态的，每次修改都要求防火墙完全重启。这个过程包括内核 netfilter 防火墙模块的卸载和新配置所需模块的装载等。而模块的卸载将会破坏状态防火墙和确立的连接。

相反，firewall daemon 动态管理防火墙，不需要重启整个防火墙便可应用更改。因而也就没有必要重载所有内核防火墙模块了。不过，要使用 firewall daemon 就要求防火墙的所有变更都要通过该守护进程来实现，以确保守护进程中的状态和内核里的防火墙是一致的。另外，firewall daemon 无法解析由 ip*tables 和 ebtables 命令行工具添加的防火墙规则。

守护进程通过 D-BUS 提供当前激活的防火墙设置信息，也通过 D-BUS 接受使用 PolicyKit 认证方式做的更改。

"守护进程"
应用程序、守护进程和用户可以通过 D-BUS 请求启用一个防火墙特性。特性可以是预定义的防火墙功能，如：服务、端口和协议的组合、端口/数据报转发、伪装、ICMP 拦截或自定义规则等。该功能可以启用确定的一段时间也可以再次停用。

通过所谓的直接接口，其他的服务(例如 libvirt )能够通过 iptables 变元(arguments)和参数(parameters)增加自己的规则。

amanda 、ftp 、samba 和 tftp 服务的 netfilter 防火墙助手也被“守护进程”解决了,只要它们还作为预定义服务的一部分。附加助手的装载不作为当前接口的一部分。由于一些助手只有在由模块控制的所有连接 都关闭后才可装载。因而，跟踪连接信息很重要，需要列入考虑范围。

静态防火墙(system-config-firewall/lokkit)
使用 system-config-firewall 和 lokkit 的静态防火墙模型实际上仍然可用并将继续提供，但却不能与“守护进程”同时使用。用户或者管理员可以决定使用哪一种方案。

在软件安装，初次启动或者是首次联网时，将会出现一个选择器。通过它你可以选择要使用的防火墙方案。其他的解决方案将保持完整，可以通过更换模式启用。

firewall daemon 独立于 system-config-firewall，但二者不能同时使用。

使用iptables和ip6tables的静态防火墙规则
如果你想使用自己的 iptables 和 ip6tables 静态防火墙规则, 那么请安装 iptables-services 并且禁用 firewalld ，启用 iptables 和ip6tables:yum install iptables-services
systemctl mask firewalld.service
systemctl enable iptables.service
systemctl enable ip6tables.service
静态防火墙规则配置文件是 /etc/sysconfig/iptables 以及 /etc/sysconfig/ip6tables .

注： iptables 与 iptables-services 软件包不提供与服务配套使用的防火墙规则. 这些服务是用来保障兼容性以及供想使用自己防火墙规则的人使用的. 你可以安装并使用 system-config-firewall 来创建上述服务需要的规则. 为了能使用 system-config-firewall, 你必须停止 firewalld.

为服务创建规则并停用 firewalld 后，就可以启用 iptables 与 ip6tables 服务了:
systemctl stop firewalld.service
systemctl start iptables.service
systemctl start ip6tables.service

G. linux远程登录（ssh）后，有的程序不能直接运行需要在命令前加什么参数

使用Xmanager控制linux远程桌面

首先，需要在linux下做相应的设置以启动服务。主要分为六步来进行设置。NSritug
NSritug
一、配置linux

1、打开 /etc/inittab文件，将 runlevel 变为5, 即id:5:initdefault: 如果原来就是5,则不用修改。

2、打开 /etc/X11/gdm/gdm.conf 文件,找到 [xdmcp] 部分，将 Enabled 选项设为true或1。NSritug
NSritug
3、打开 /etc/X11/xdm/xdm-config 文件， 找到DisplayManager.requestPort: 0, 然后在前面加!。NSritug
NSritug
4、打开/etc/X11/xdm/Xaccess文件 找到#*#any host can get a login window，将第一个#去掉。NSritug
NSritug
5、打开 /etc/X11/xdm/kdmrc /usr/share/config/kdm/kdmrc 或 /etc/opt/kde2/share/config/kdm/kdmrc文件（根据你的操作系统不同而打开不同的文件）。找到[xdmcp]部分， 修改 Enable为true。NSritug
NSritug
6、如果你的机器上配置了防火墙，打开/etc/sysconfig/ipchains文件，加入以下几行。

-A input -p udp -s 0/0 -d 0/0 177 -j ACCEPT NSritug
-A input -p tcp -s 0/0 -d 0/0 telnet -j ACCEPT NSritug
-A input -p tcp -s 0/0 -d 0/0 ssh -j ACCEPT NSritug
-A input -p tcp -s 0/0 -d 0/0 login -j ACCEPT NSritug
-A input -p tcp -s 0/0 -d 0/0 exec -j ACCEPT NSritug
-A input -p tcp -s 0/0 -d 0/0 shell -j ACCEPT NSritug
-A input -p tcp -s 0/0 -d 0/0 7100 -j ACCEPT NSritug
NSritug
重新启动操作系统，以使系统生效。

注：一群里的朋友说他曾经遇到过此文件下有这样的一条语句的：

-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT

说明你的7100的端口被拒绝了．所以你可以用＃放在这条语句的前面把他给注释掉．NSritug
NSritug
二、配置xmananger

xmanager可从下载。可以下载最新的版本2.0或2.1,本文采用xmanager2.0来进行设置,S/n: 050801-156011-000158,这个是他企业版的序列号！如果你下载其他的版本可以到网上搜去吧！ NSritug
NSritug
按提示安装完后xmanager2.0后有五个图标。NSritug
NSritug
启动其中的Xbrowser后，将Host设为linux机器的IP, Port Number为177。

后面几步一直按下一步。完成后在xbrowser中出现一个图标，双击它出现类似于linux的登录界面。输入linux的用户名和密码。

H. 虚拟机linux系统为什么ping不通

1.配置虚拟机Linux的IP地址

vi/etc/sysconfig/network-scripts/ifcfg-eth0