Then give us 30 seconds and we can answer that question for you! Just take the code on the right and insert it into every page on your site.
No setup or registration required.
Not only do we tell you the number of people online, but we also show you the pages people are reading and where in the world they're coming from. Need historical data too? We do that for you automatically.
http://whos.amung.us/
有效壓縮Firefox等大型軟體的記憶體佔用:SmartRAM
SmartRAM這個小工具的介面很簡單,你可以看到目前CPU與記憶體的使用量,按下﹝Go﹞可以立刻進行記憶體優化,按下﹝Minimize﹞可以縮小並常住在系統列,按下﹝Settings﹞可以進入設定畫面。
下載:
http://www.sendspace.com/file/hyhltw
下載:
http://www.sendspace.com/file/hyhltw
2008年3月30日 星期日
免費磁碟重組軟體:IObit SmartDefrag
Free Faster Computer
http://www.iobit.com/iobitsmartdefrag.html
What is the performance status of your hard disk? -- You no longer need to guess... this Freeware will give you a complete diagnosis of your current hard disk performance status, then defrag and boost performance in minutes.
Tried Windows's default defragmenter and others? -- Now use the most efficient free defrag program with automation!
http://www.iobit.com/iobitsmartdefrag.html
What is the performance status of your hard disk? -- You no longer need to guess... this Freeware will give you a complete diagnosis of your current hard disk performance status, then defrag and boost performance in minutes.
Tried Windows's default defragmenter and others? -- Now use the most efficient free defrag program with automation!
IObit Advanced WindiowsCare 一鍵優化免費的 Personal 版本
http://www.iobit.com/advancedwindowscareper.html
IObit Advanced WindiowsCare 分為免費的 Personal 版本和商業的 Pro 版本。當然本站介紹的是免費個人版。免費版中具有間諜廣告移除、瀏覽器安全預防、註冊表修復、系統設定優化、開機優化、隱私資料移除、暫存檔移除等功能。安裝完成後,你只要在主介面的下方按下「Scan」,在短時間的掃瞄過後,再按一次「Repair」,就可以立即優化上面提到的各種設定與資料。對於懶得自己調整各種細節的朋友,WindowsCare 提供的一鍵優化具備了簡單易用的特色。此外因為 WindowsCare 具有反間諜掃描的功能,所以記得不定時到「Option」裡選擇「Update」升級安全資料庫。免費版比起附費版缺少的是即時防護和自動升級的功能
測試排行第一名防火牆Online Armor Personal Firewall
Online Armor Personal Firewall Free,在保Matousec.com Windows Personal Firewall Analysis 測試排行榜中,以等級Excellent - 100取得第一!!!
http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php#firewalls-ratings
Online Armor Free edition
http://www.tallemu.com/free-firewall-protection-software.html
http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php#firewalls-ratings
Online Armor Free edition
http://www.tallemu.com/free-firewall-protection-software.html
Interpretation of results
The clear winners of our tests are Online Armor Personal Firewall 2.1.0.19 Free and Outpost Firewall Pro 2008 6.0.2162.205.402.266. Both products reached absolute scores even on their default settings. Congratulations!
Another important result of our tests is firewall scoring against FPR. FPR stands for Fake Protection Revealer. This leak-test was implemented to reveal cheating on leak-tests. FPR does nothing but unhooks user mode hooks and thus bypasses protection that relies on this kind of hooks. Our article Design of ideal personal firewall clearly says that user mode hooks can not be used for security critical features. Following firewalls uses user mode hooks improperly and sometimes only to bypass some leak-tests: FortKnox Personal Firewall 2007 2.0.205.0, Privatefirewall 5.0.8.11, Lavasoft Personal Firewall 2.0.1019.7604 (700), Sunbelt Personal Firewall 4.5.916, Kaspersky Internet Security 7.0.0.125, PC Tools Firewall Plus 3.0.0.36.
Twenty of the tested firewalls were marked with a Very poor or None anti-leak protection. This result is quite worrying because it shows that even today, when the malware programs are very sophisticated, still a lot of vendors simply do not care about the outbound connection control too much.
It should be noted that leak-tests probe only a few features of personal firewalls. If a firewall passes all leak-tests it does not mean it is perfect, bug free or secure in other aspects! However, if a personal firewall fails most of leak-testing techniques, it means that it is insecure. This does not hold for packet filters! To learn more about leak-tests, we recommend you to read our Introduction to Firewall Leak-testing.
AVK2007三引擎綠色三語言精簡版本
AntiVirusKit,英文全名是GData AntiVirusKit,德國G-Data公司的産品,簡稱AVK.
在國外擁有非常高的知 名度,運行速度穩定,具有病毒監控、EMAIL病毒攔截器、EMAIL防護、支持在線自動更新等功能,可以阻擋來自互聯網的病毒、蠕蟲、黑客後門、特洛伊 木馬、撥號程序、廣告軟件、間諜軟件 等所有威脅,支持對壓縮文件、電子郵件即時掃描,支持啓發式病毒掃描,支持密碼保護,有詳細的日志方便查詢,對計算機提供永久安全防護.
AntiVirusKit2006這是一款采用俄羅斯Kaspersky(AVP/KAV)(卡巴斯基)和羅馬尼亞殺毒軟件BitDefender(BD)的雙引擎殺毒軟件.
AntiVirusKit2007這是一款采用俄羅斯Kaspersky(卡巴斯基)和捷克殺毒軟件Avast的雙引擎殺毒軟件.
AntiVirusKit2007 Plus這是一款采用俄羅斯kaspersky(卡巴斯基),捷克殺毒軟件Avast和羅馬尼亞殺毒軟件BitDefender(BD),三引擎的怪物殺 軟-.-!!此版本非官方,為民間愛好者所DIY,名稱由hzqedison瞎編亂造,隨意命名!
圖片:
在國外擁有非常高的知 名度,運行速度穩定,具有病毒監控、EMAIL病毒攔截器、EMAIL防護、支持在線自動更新等功能,可以阻擋來自互聯網的病毒、蠕蟲、黑客後門、特洛伊 木馬、撥號程序、廣告軟件、間諜軟件 等所有威脅,支持對壓縮文件、電子郵件即時掃描,支持啓發式病毒掃描,支持密碼保護,有詳細的日志方便查詢,對計算機提供永久安全防護.
AntiVirusKit2006這是一款采用俄羅斯Kaspersky(AVP/KAV)(卡巴斯基)和羅馬尼亞殺毒軟件BitDefender(BD)的雙引擎殺毒軟件.
AntiVirusKit2007這是一款采用俄羅斯Kaspersky(卡巴斯基)和捷克殺毒軟件Avast的雙引擎殺毒軟件.
AntiVirusKit2007 Plus這是一款采用俄羅斯kaspersky(卡巴斯基),捷克殺毒軟件Avast和羅馬尼亞殺毒軟件BitDefender(BD),三引擎的怪物殺 軟-.-!!此版本非官方,為民間愛好者所DIY,名稱由hzqedison瞎編亂造,隨意命名!
圖片:
感謝廣告
Quote:
感謝教我綠化的老師 alax,感謝提供BitDefender升級腳本,和卡巴英文版升級程序,終身感謝!
感謝支持hzqedison的朋友們,你的支持是我繼續發新綠色殺軟的動力.
感謝綠色部落(http://www.greenspe.com)對本程序空間支持.
感謝xiaohuanran(abc)對本人注冊程序指導!
致謝ㄚ一 提供官方原版安裝包和升級試用號
特別感謝hwwgo大俠對本人此版本精簡程序指導,同時本人非常佩服hwwgo對此版本之前的精簡,簡直太完美了!~!
免責申明
Quote:
本程序由hzqedison綠化、漢化制作,作為學習交流使用,不可用于任何商業途徑.
本人對漢化內容保留所有權利.
歡迎轉載、傳播本人漢化作品,但請注意在轉載或傳播過程中保持漢化文件的完整性!
請在下載後24小時內刪除.hzqedison概不承擔法律及版權責任!!
綠化制作: hzqedison
漢化制作: hzqedison
繁體程式:源自http://www.avpclub.ddns.info/discuz
問題反饋:http://hi.baidu.com/hzqedison
本版說明
Quote:
↑優化了!GAV界面
↑增加卡巴升級器,內附三個升級地址
↑增加繁體中文程序
↑增加BitDefender官方升級器,集成於程序,使得複雜的命令行操作,變的簡單易懂
↑英文原版和簡體中文漢化版本可以任選一,適合各種人群喜好!
↑修正了不能記錄日志bug
*內置kasperskyBitDefenderAvast三個殺軟病毒庫
*AVP+BD引擎和AVP+AVAST引擎隨意可以切換
*精簡參考hwwgo大俠,精簡至極限!
*基于AntiVirusKit_2007_17.0.6282正式版本精簡制作
*實現任意位置注冊
*全面支持2000/xp/vista系統
*支持添加右鍵掃描/支持可選擇添加右鍵
*無服務加載 完全綠色 無監控
*默認掃描引擎為AVP+AVAST
*不能三引擎同時工作,可以AVP+BD引擎或AVP+AVAST引擎掃描
使用說明
Quote:
*第一次使用先運行!GAV-AntiVirusKit2007 Plus.exe進行注冊使用,vista用戶請以 管理員身份運行!
*如何升級病毒庫
升級AVP+AVAST病毒庫
運行!GAV-AntiVirusKit2007 Plus.exe 點擊"獲取AntiVirusKit2007試用帳號(網頁)"選項,會打開本人的一個網頁,每月定期更新.
如果程序沒反應,請手動訪問 http://www.hzqedison.cn/blog/ 看一下置頂!
特別說明升級AVP+AVAST病毒庫一定要先將引擎切換到"Kaspersky+Avast"
升級BD病毒庫
方法一:運行!GAV-AntiVirusKit2007 Plus.exe 點擊"升級Bitdefender病毒庫和引擎" 可利用官方的程序升級
如果程序無反應,請自行運行 BDF!)update.bat
方法二:FTP更新
登陸ftp(最常見的迅雷5裏面有個 "FTP探測器"即可使用(打開迅雷 按一下F7即可彈出"FTP探測器"))
地址為---> ftp.bitdefender.com 下面的/pub/updates/update_is_90/Plugins/ 將裏面所有文件一起覆蓋在你AntiVirusKit2007 PlusBDF目錄下即可
*為什麽不制作其它更新的AVK2007或者是AVK2008?
今天做了一天,也測試了一天,發現AVK2007_17.0.6282正式版本之後所有版本 升級換號,都需要服務支持,OH~~這是一個可惡的事情,加了服務,你會發現每次啓動會多個avk進程.所以我就不做了.呵呵 如果還不明白為什麽加了服務的綠色殺軟我不做的原因.
可以閱讀一下我寫的綠色殺軟的故事(一些你應該知道的事情)
http://hi.baidu.com/hzqedison/blog/item/a8eed7caad1fd844f21fe791.html
*你有什麽好的建議歡迎回帖與我交流
*請不要拿本人做的綠色殺軟做任何測試,因為綠色殺軟不代表殺軟的真實水平,本人只提倡用來輔助殺毒!
*已經裝有AVK版本的用戶,請卸載幹淨後再使用此版本!
下載地址
http://www.4shared.com/file/38691273/5aa33eeb/AntiVirusKit2007_Plus_Lite.html
http://www.adrive.com/public/4f2dff9e023e2f71a58faccf6f743db4d14cb3d28df1eb8237a2829e8cbf0fc4.html
http://www.fs2you.com/zh-cn/files/4b1b6d82-e16c-11dc-b2b0-0014221f4662/
AntiVirusKit2007 Plus Lite.zip
MD5-->D35F92727D8CFE5261E3CD90BE17A4C1
本文的引用網址 http://blog.xuite.net/skypess/s/16319100/track
連卡巴斯基都失效的病毒藏身法
首先我先測試MD
MD C:\nul
無法創造,於是我改用MD C:\nul\,竟然成功創造出NUL資料夾!
我又用同樣方式在nul中創造了con資料夾,並且在con和nul中都放置一個desktop,desktop內容:
[.ShellClassInfo]
CLSID={871C5380-42A0-1069-A2EA-08002B30309D}
LocalizedResourceName=@shdoclc.dll,-880
然後用cmd的copy將病毒複製入con資料夾中
copy C:\1.exe C:\nul\con\.exe
您沒看錯,是無檔名的EXE檔,接下來進入重頭戲
用程式語言(我用VB6)將CON與NUL都變成系統檔(system)
大功告成。
效果:
我在資料夾上按下delete,無法刪除。
RD,目錄不是空的。
DEL,看似刪掉內部的東西,但是實際上都還在。
資料夾上點兩下,變成只是開啟IE
右鍵>檔案總管>無法開啟
ATTRIB,找不到目錄
dir,根本看不到內部的con資料夾
且卡巴斯基6.0掃描這個資料夾竟然完全無警訊!!
這篇拿con與nul做範例,實際上保留字滿天飛,你又能怎麼精確知道nul內部的資料夾名稱呢??
這可是一大安全疏失疑慮呢!!
本文的引用網址 http://blog.xuite.net/skypess/s/16319104/track
MD C:\nul
無法創造,於是我改用MD C:\nul\,竟然成功創造出NUL資料夾!
我又用同樣方式在nul中創造了con資料夾,並且在con和nul中都放置一個desktop,desktop內容:
[.ShellClassInfo]
CLSID={871C5380-42A0-1069-A2EA-08002B30309D}
LocalizedResourceName=@shdoclc.dll,-880
然後用cmd的copy將病毒複製入con資料夾中
copy C:\1.exe C:\nul\con\.exe
您沒看錯,是無檔名的EXE檔,接下來進入重頭戲
用程式語言(我用VB6)將CON與NUL都變成系統檔(system)
大功告成。
效果:
我在資料夾上按下delete,無法刪除。
RD,目錄不是空的。
DEL,看似刪掉內部的東西,但是實際上都還在。
資料夾上點兩下,變成只是開啟IE
右鍵>檔案總管>無法開啟
ATTRIB,找不到目錄
dir,根本看不到內部的con資料夾
且卡巴斯基6.0掃描這個資料夾竟然完全無警訊!!
這篇拿con與nul做範例,實際上保留字滿天飛,你又能怎麼精確知道nul內部的資料夾名稱呢??
這可是一大安全疏失疑慮呢!!
本文的引用網址 http://blog.xuite.net/skypess/s/16319104/track
用Word看電視
第一步︰在Word中添加媒體播放器
首先,請確認Word版本為Word 2000或Word XP,接著建立一個新的Word文檔;在菜單命令欄中依次選擇“插入→對象”,打開“對象”對話框,在“新建”標簽卡的“對象類型”列表框中瀏覽挑選一個媒體播放器,如Windows Media Player(建議版本為9.0)或RealOne Player等。如果所需的媒體播放器不在該列表框切觠請點擊“由文件創建”標簽卡,通過“瀏覽”按鈕選擇電腦中的播放器,而後“確定”退出,就能夠在Word文檔中看到所插入的媒體播放器圖標了,雙擊該圖標即可激活此播放器。此時,“控件工具箱”將同時彈出。
第二步︰播放器屬性設置
在文檔所插入的播放器上單擊鼠標右鍵,在彈出的菜單中選擇“屬性”項,出現“屬性”對話框!該對話框有“按字母序”和“按分類序”兩大標簽卡,其中都有“URL”一項,雙擊“URL”,使其旁邊的地址取值欄變成可輸入狀態,在此輸入頻道的流媒體URL地址
(例如:mms://winmedia.cctv.com.cn/live1 這是中央電視台新聞)
如果需要播放其它電視台節目,只要將URL中的地址改為相應的電視台流媒體鏈接地址即可
本文的引用網址 http://blog.xuite.net/skypess/s/16319120/track
首先,請確認Word版本為Word 2000或Word XP,接著建立一個新的Word文檔;在菜單命令欄中依次選擇“插入→對象”,打開“對象”對話框,在“新建”標簽卡的“對象類型”列表框中瀏覽挑選一個媒體播放器,如Windows Media Player(建議版本為9.0)或RealOne Player等。如果所需的媒體播放器不在該列表框切觠請點擊“由文件創建”標簽卡,通過“瀏覽”按鈕選擇電腦中的播放器,而後“確定”退出,就能夠在Word文檔中看到所插入的媒體播放器圖標了,雙擊該圖標即可激活此播放器。此時,“控件工具箱”將同時彈出。
第二步︰播放器屬性設置
在文檔所插入的播放器上單擊鼠標右鍵,在彈出的菜單中選擇“屬性”項,出現“屬性”對話框!該對話框有“按字母序”和“按分類序”兩大標簽卡,其中都有“URL”一項,雙擊“URL”,使其旁邊的地址取值欄變成可輸入狀態,在此輸入頻道的流媒體URL地址
(例如:mms://winmedia.cctv.com.cn/live1 這是中央電視台新聞)
如果需要播放其它電視台節目,只要將URL中的地址改為相應的電視台流媒體鏈接地址即可
本文的引用網址 http://blog.xuite.net/skypess/s/16319120/track
改2位元組將Win XP Home變成Pro
改2位元組將Win XP Home變成Pro
一家德國電腦雜誌《CT》近日透露了一種將Windows XP Home版更改為Pro版的方法,只需更改安裝檔兩個位元組便可。我們並不能保證該方法的有效性,不過介紹給大家,也許明眼人能指出其原理及破綻。
首先確認,你無法修改安裝好的Windows 作業系統,而只能在安裝CD上做手腳(或者PC廠商提供的恢復CD)
具體操作步驟:
1.將WindowsXP安裝CD根目錄以及i386目錄拷貝至你的硬碟中。
2.取出WindowsXP安裝CD中的引導磁區程式(BootSector)
3.更改i386Setupreg.hiv的兩個位元組:
a.打開登錄檔編輯器
b.Highlight HKEY_LOCAL_MACHINE
c.Menu: File -> Load Structure -> i386Setupreg.hiv
d.Assign an arbitrary name to the imported structure e.g. “Homekey”
e.進入HKEY_LOCAL_MACHINE Homekey ControlSet001 Servicessetupdd
f.編輯二進位“Default”,將“01”改為“00”再將“02改為00”
g.Highlight “Homekey” and select menu: File -> unload structure
4.刻錄你的新XP Pro安裝CD
5.安裝WindowsXP Pro系統,Home的序列號依舊有效
注意:你不能在如此安裝的Windows XP Pro系統中安裝SP2,只能使用集成SP2的安裝盤。
本文的引用網址 http://blog.xuite.net/skypess/s/16319118/track
一家德國電腦雜誌《CT》近日透露了一種將Windows XP Home版更改為Pro版的方法,只需更改安裝檔兩個位元組便可。我們並不能保證該方法的有效性,不過介紹給大家,也許明眼人能指出其原理及破綻。
首先確認,你無法修改安裝好的Windows 作業系統,而只能在安裝CD上做手腳(或者PC廠商提供的恢復CD)
具體操作步驟:
1.將WindowsXP安裝CD根目錄以及i386目錄拷貝至你的硬碟中。
2.取出WindowsXP安裝CD中的引導磁區程式(BootSector)
3.更改i386Setupreg.hiv的兩個位元組:
a.打開登錄檔編輯器
b.Highlight HKEY_LOCAL_MACHINE
c.Menu: File -> Load Structure -> i386Setupreg.hiv
d.Assign an arbitrary name to the imported structure e.g. “Homekey”
e.進入HKEY_LOCAL_MACHINE Homekey ControlSet001 Servicessetupdd
f.編輯二進位“Default”,將“01”改為“00”再將“02改為00”
g.Highlight “Homekey” and select menu: File -> unload structure
4.刻錄你的新XP Pro安裝CD
5.安裝WindowsXP Pro系統,Home的序列號依舊有效
注意:你不能在如此安裝的Windows XP Pro系統中安裝SP2,只能使用集成SP2的安裝盤。
本文的引用網址 http://blog.xuite.net/skypess/s/16319118/track
Ping的基本介紹和用法
首先我們先來了解 Ping 的代表意義是什麼?目前最普遍的說法,
認為Ping是〝Packet INternet Groper〞的字首母縮寫
另一個說法認為它根本上不是一個字首縮寫,而是一種描述美國海軍的潛水艇用來尋找海底下物體的行為。
當潛艇送出聲納波之後,接著便等待接收碰到物體的反射波,藉以判斷物體的方向與距離,
原本是描述動作的名詞,到了資訊產業則賦予動詞的意義;對網路管理員而言,
Ping 指令用起來就像海軍利用聲納來探索海底下的物體一樣道理。
Ping 指令是診斷網路連線狀態與連線品質,非常簡易好用的工具;
此一指令是透過ICMP(Internet Control Message Protocol)協定的Echo功能,
來檢查網路連線狀態。
小型的封包被送到網路上特定的IP 位址,接著就等待回應的封包,
如果網路連線沒問題,目標電腦也正常開啟運作,送出端將會收到完好回應封包。
Ping 指令也被用來顯示兩端電腦之間的跳站(hop)數目和封包行程所需耗費的時間,
以便進一步作為網路故障排除的依據。圖中TTL(Time To Live)由255 開始計數,
每經過一個跳站就減一,因此可以計算出來總共經過255-245 = 10 個跳站,
至於經過哪些站就需要用到另一個指令Tracert去追蹤,這裡我們不介紹Tracert,
還是把焦點鎖在Ping 指令上。Ping 指令在各大作業系統都有支援,
以Windows 而言您可以開啟「命令提示字元」功能,直接在視窗裡下指令。
※ 在Windows 2000/XP作業系統裡,是以cmd來開啟「命令提示字元」功能。
使用 Ping 指令期間我們可能收到底下的錯誤訊息:
1. TTL Expired in Transmit
此訊息表示跳站的數目已超過 TTL預設值,可由下參數方式增加 TTL的預 設值來因應,但是不見得能解決問題,因為出現此問題的原因,絕大部分 是網路存在路由迴圈所造成,這時就需改用 Tracert 指令來追蹤判斷
2. Destination Host Unreachable
此訊息與路由表有關,因為不存在目標主機的路由路徑,以致於目標主機 無法到達,這通常是TCP/IP 設定有問題造成,您如果試著將網路卡停用 也會得到此相同訊息,路由表內容可由route print 指令來判讀
3. Request time out
此訊息表示在指定的時間內並未收到 Echo Reply 的訊息,
可能是網路連線品質不佳或目標主機來不及回應,
或者根本目標主機已關閉回應機制
4. Ping request could not find host
此訊息表示無法解析目標主機名稱,
請檢查TCP/IP 的DNS 或 WINS 伺服器設定是否正確
Ping 用起來相當方便簡單,只需鍵入Ping 再按 Enter鍵,您還可以查到Ping 指令詳細的語法,
可是Ping指令也可能造成您的誤判。因為網路上充斥著入侵行為,
以致於Ping 也是駭客用來作為攻擊的工具之一,掃瞄目標網站正是入侵的首部曲,
許多網站的管理員於是乎將Ping Reply(回應)功能關閉掉,
我們因此而收到Request time out 的錯誤訊息。
以Windows XP 的防火牆設定為例,防火牆啟動的預設即不會回應Ping 指令的封包,
如果要單獨啟動此功能可由開啟ICMP 相對應設定來達成。
步驟如下:
1. 由「控制台」開啟「Windows 防火牆」,點選「進階」頁籤。
2. 點選ICMP 欄位當中的『設定值』。
3. 核選「允許傳入的回應要求」,再按『確定』完成設定動作。
本文的引用網址 http://blog.xuite.net/skypess/s/16319147/track
認為Ping是〝Packet INternet Groper〞的字首母縮寫
另一個說法認為它根本上不是一個字首縮寫,而是一種描述美國海軍的潛水艇用來尋找海底下物體的行為。
當潛艇送出聲納波之後,接著便等待接收碰到物體的反射波,藉以判斷物體的方向與距離,
原本是描述動作的名詞,到了資訊產業則賦予動詞的意義;對網路管理員而言,
Ping 指令用起來就像海軍利用聲納來探索海底下的物體一樣道理。
Ping 指令是診斷網路連線狀態與連線品質,非常簡易好用的工具;
此一指令是透過ICMP(Internet Control Message Protocol)協定的Echo功能,
來檢查網路連線狀態。
小型的封包被送到網路上特定的IP 位址,接著就等待回應的封包,
如果網路連線沒問題,目標電腦也正常開啟運作,送出端將會收到完好回應封包。
Ping 指令也被用來顯示兩端電腦之間的跳站(hop)數目和封包行程所需耗費的時間,
以便進一步作為網路故障排除的依據。圖中TTL(Time To Live)由255 開始計數,
每經過一個跳站就減一,因此可以計算出來總共經過255-245 = 10 個跳站,
至於經過哪些站就需要用到另一個指令Tracert去追蹤,這裡我們不介紹Tracert,
還是把焦點鎖在Ping 指令上。Ping 指令在各大作業系統都有支援,
以Windows 而言您可以開啟「命令提示字元」功能,直接在視窗裡下指令。
※ 在Windows 2000/XP作業系統裡,是以cmd來開啟「命令提示字元」功能。
使用 Ping 指令期間我們可能收到底下的錯誤訊息:
1. TTL Expired in Transmit
此訊息表示跳站的數目已超過 TTL預設值,可由下參數方式增加 TTL的預 設值來因應,但是不見得能解決問題,因為出現此問題的原因,絕大部分 是網路存在路由迴圈所造成,這時就需改用 Tracert 指令來追蹤判斷
2. Destination Host Unreachable
此訊息與路由表有關,因為不存在目標主機的路由路徑,以致於目標主機 無法到達,這通常是TCP/IP 設定有問題造成,您如果試著將網路卡停用 也會得到此相同訊息,路由表內容可由route print 指令來判讀
3. Request time out
此訊息表示在指定的時間內並未收到 Echo Reply 的訊息,
可能是網路連線品質不佳或目標主機來不及回應,
或者根本目標主機已關閉回應機制
4. Ping request could not find host
此訊息表示無法解析目標主機名稱,
請檢查TCP/IP 的DNS 或 WINS 伺服器設定是否正確
Ping 用起來相當方便簡單,只需鍵入Ping 再按 Enter鍵,您還可以查到Ping 指令詳細的語法,
可是Ping指令也可能造成您的誤判。因為網路上充斥著入侵行為,
以致於Ping 也是駭客用來作為攻擊的工具之一,掃瞄目標網站正是入侵的首部曲,
許多網站的管理員於是乎將Ping Reply(回應)功能關閉掉,
我們因此而收到Request time out 的錯誤訊息。
以Windows XP 的防火牆設定為例,防火牆啟動的預設即不會回應Ping 指令的封包,
如果要單獨啟動此功能可由開啟ICMP 相對應設定來達成。
步驟如下:
1. 由「控制台」開啟「Windows 防火牆」,點選「進階」頁籤。
2. 點選ICMP 欄位當中的『設定值』。
3. 核選「允許傳入的回應要求」,再按『確定』完成設定動作。
本文的引用網址 http://blog.xuite.net/skypess/s/16319147/track
讓電腦變快的方法~~30秒清除電腦系統的所有垃圾
讓電腦變快的方法~~30秒清除電腦系統淤塞的所有垃圾
請按照下列方式製作一個請除系統,只要系統作業慢時,就可以點擊使用
是否注意到你的電腦系統磁盤的可用空間正在一天天在減少呢?是不是動作一天比一天遲緩呢?
在Windows在安裝和使用過程中都會產生相當多的垃圾文件,包括臨時文件(如:*.tmp、*._mp )日誌文件(*.log )、臨時幫助文件(*.gid)、磁盤檢查文件(*.chk)、臨時備份文件(如:*.old、*.bak )以及其他臨時文件。特別是如果一段時間不清理IE的臨時文件夾「Temporary Internet Files」,其中的緩存文件有時會佔用上百 MB的磁盤空間。這些LJ文件不僅僅浪費了寶貴的磁盤空間,嚴重時還會使系統運行慢如蝸牛。現在就讓我們一起來快速清除系統垃圾吧!!
下面是步驟很簡單就兩步!
打開「記事本」,把下面 的字複製進去,點「另存為」,把文件名定為「清除系統垃圾.bat」就完成,記住後副檔名一定要是.bat,好ok了!你的垃圾清除器就這樣製作成功了!雙擊它就能很快地清理垃圾文件,大約一分鐘不到。
複製下面的字:
===========================================================================
@echo off
echo 正在清除系統垃圾文件,請稍等 ......
del /f /s /q systemdrive*.tmp
del /f /s /q systemdrive*._mp
del /f /s /q systemdrive*.log
del /f /s /q systemdrive*.gid
del /f /s /q systemdrive*.chk
del /f /s /q systemdrive*.old
del /f /s /q systemdriverecycled*.*
del /f /s /q windir*.bak
del /f /s /q windirprefetch*.*
rd /s /q windirtemp & md windirtemp
del /f /q userprofilecookies*.*
del /f /q userprofilerecent*.*
del /f /s /q "userprofileLocal SettingsTemporary Internet Files*.*"
del /f /s /q "userprofileLocal SettingsTemp*.*"
del /f /s /q "userprofilerecent*.*"
echo 清除系統垃圾完成!
echo. & pause
===========================================================================
複製上面的字~~~
以後只要雙擊運行該文件,當屏幕提示「清除系統垃圾完成!就還你一個「苗條」的系統了!!到時候再看看你的電腦,是不是急速如飛呢?
本文的引用網址 http://blog.xuite.net/skypess/s/16319150/track
請按照下列方式製作一個請除系統,只要系統作業慢時,就可以點擊使用
是否注意到你的電腦系統磁盤的可用空間正在一天天在減少呢?是不是動作一天比一天遲緩呢?
在Windows在安裝和使用過程中都會產生相當多的垃圾文件,包括臨時文件(如:*.tmp、*._mp )日誌文件(*.log )、臨時幫助文件(*.gid)、磁盤檢查文件(*.chk)、臨時備份文件(如:*.old、*.bak )以及其他臨時文件。特別是如果一段時間不清理IE的臨時文件夾「Temporary Internet Files」,其中的緩存文件有時會佔用上百 MB的磁盤空間。這些LJ文件不僅僅浪費了寶貴的磁盤空間,嚴重時還會使系統運行慢如蝸牛。現在就讓我們一起來快速清除系統垃圾吧!!
下面是步驟很簡單就兩步!
打開「記事本」,把下面 的字複製進去,點「另存為」,把文件名定為「清除系統垃圾.bat」就完成,記住後副檔名一定要是.bat,好ok了!你的垃圾清除器就這樣製作成功了!雙擊它就能很快地清理垃圾文件,大約一分鐘不到。
複製下面的字:
===========================================================================
@echo off
echo 正在清除系統垃圾文件,請稍等 ......
del /f /s /q systemdrive*.tmp
del /f /s /q systemdrive*._mp
del /f /s /q systemdrive*.log
del /f /s /q systemdrive*.gid
del /f /s /q systemdrive*.chk
del /f /s /q systemdrive*.old
del /f /s /q systemdriverecycled*.*
del /f /s /q windir*.bak
del /f /s /q windirprefetch*.*
rd /s /q windirtemp & md windirtemp
del /f /q userprofilecookies*.*
del /f /q userprofilerecent*.*
del /f /s /q "userprofileLocal SettingsTemporary Internet Files*.*"
del /f /s /q "userprofileLocal SettingsTemp*.*"
del /f /s /q "userprofilerecent*.*"
echo 清除系統垃圾完成!
echo. & pause
===========================================================================
複製上面的字~~~
以後只要雙擊運行該文件,當屏幕提示「清除系統垃圾完成!就還你一個「苗條」的系統了!!到時候再看看你的電腦,是不是急速如飛呢?
本文的引用網址 http://blog.xuite.net/skypess/s/16319150/track
HTTP 錯物代碼索引
在IE (Internet Explorer) 當Wininet.dll 無法解析請求時 它將顯 HTML 所指定的錯
物回報訊息 (如: Navigation Canceled (瀏覽取消) 或 Unable to retrieve Webpage in Offline mode (無法在離線模式擷取網頁)。 這些錯勿訊息是一個 resource (res:) of
Shdoclc.dll (Shdoclc.dll 的資源). 一個資源就是只是一個電腦所顯示的錯物碼
用來對應DLL(Dynamic Link Library 動態連結程式庫) 在 Internet Explorer 5 或更新的版本中,這些錯誤訊息會儲存成 Shdoclc.dll 檔案的資源。收到錯誤訊息時,對應的 HTML 範本會取代這個訊息,其中可能包含下列任一種資訊類型:
• 與問題相關的資訊。
• 有關如何修正或解決問題的資訊。
• 上一個網頁的連結。
• Internet Explorer 支援網頁的連結。
• 相同網頁的連結,讓您可以再次嘗試連線。
• 快取中網頁複本的連結 (如果建立了「應用程式發展介面」(API))。
Microsoft Internet Information Services 5.0 / 6.0 錯物碼的回報
-當使用者在瀏覽時 所看的網業是從Microsoft IIS 5.0 / 6.0 的一種作業系統內建介
面的服物來通過 HTTP / FTP 通訊協定 IIS 會傳回一個數值代碼,以表示要求的狀態。 只資訊是記錄IIS.log (log 是一種純文字統來紀錄系統所執行的動做) 而這錯
可能也會顯示在網頁瀏覽器或 FTP 用戶端上。
HTTP
1xx - 參考
這些狀態碼表示臨時的回應。在接收一般的回應之前,用戶端應準備接收一個或多個 1xx 的回應。
• 100 - 繼續。
• 101 - 切換通訊協定。
2xx - 成功
這類的狀態碼表示伺服器成功接受用戶端要求。 • 200 - 確定。用戶端要求成功。
• 201 - 已建立。
• 202 - 已接受。
• 203 - 非授權資訊。
• 204 - 無內容。
• 205 - 重設內容。
• 206 - 部分內容。
3xx - 重新導向
用戶端瀏覽器必須採取更多動作才能完成要求。例如,瀏覽器可能必須要求伺服器上的不同頁面,或使用 Proxy 伺服器來重複要求。
• 302 - 物件已移動。
• 304 - 未修改。
• 307 - 暫時重新導向。
4xx - 用戶端錯誤
發生錯誤,用戶端似乎出現問題。例如,用戶端可能要求不存在的頁面,或用戶端可能未提供有效的驗證資訊。
• 400 - 錯誤的要求。
• 401 - 拒絕存取。IIS 定義數個不同的 401 錯誤,以表示更詳細的錯誤原因。 這些特定的錯誤碼會顯示在瀏覽器中,但不會顯示在 IIS 日誌中: • 40
1.1 - 登入失敗。
• 401.2 - 因為伺服器設定導致登入失敗。
• 401.3 - 因為資源上的 ACL 而沒有授權。
• 401.4 - 篩選器授權失敗。
• 401.5 - ISAPI/CGI 應用程式授權失敗。
• 401.7 – Web 伺服器上的 URL 授權原則拒絕存取。這是 IIS 6.0 專用的錯誤
碼。
• 403 - 禁止使用。IIS 定義數個不同的 403 錯誤,以表示更詳細的錯誤原因: • 403.1 - 禁止執行存取。
• 403.2 - 禁止讀取存取。
• 403.3 - 禁止寫入存取。
• 403.4 - 需要 SSL。
• 403.5 - 需要 SSL 128。
• 403.6 - IP 位址被拒絕。
• 403.7 - 需要用戶端憑證。
• 403.8 - 網站存取被拒。
• 403.9 - 使用者過多。
• 403.10 - 設定無效。
• 403.11 - 密碼變更。
• 403.12 - 對應程式拒絕存取。
• 403.13 - 用戶端憑證已撤銷。
• 403.14 - 目錄清單被拒。
• 403.15 - 超過用戶端存取授權。
• 403.16 - 用戶端憑證不受信任或無效。
• 403.17 - 用戶端憑證已經過期或尚未生效。
• 403.18 - 無法在目前的應用程式集區中執行要求的 URL。這是 IIS 6.0 專用的錯誤碼。
• 403.19 - 無法在這個應用程式集區中執行用戶端的 CGI。這是 IIS 6.0 專用的錯誤碼。
• 403.20 - Passport 登入失敗。這是 IIS 6.0 專用的錯誤碼。
• 404 - 找不到。 • 404.0 - (無) – 找不到檔案或目錄。
• 404.1 - 無法在要求的連接埠上存取網站。
• 404.2 - Web 服務擴充鎖定原則阻止這個要求。
• 404.3 - MIME 對應原則阻止這個要求。
• 405 - 不允許使用用來存取這個頁面的 HTTP 動詞 (不允許的方法)。
• 406 - 用戶端瀏覽器不接受要求頁面的 MIME 類型。
• 407 - 需要 Proxy 驗證。
• 412 - 指定條件失敗。
• 413 – 要求的實體太大。
• 414 - 要求 URI 太長。
• 415 – 不支援的媒體類型。
• 416 – 無法滿足要求的範圍。
• 417 – 執行失敗。
• 423 – 鎖定錯誤。
5xx - 伺服器錯誤
伺服器因為發生錯誤無法完成要求。 • 500 - 內部伺服器錯誤。 • 500.12 - 應用程式正忙於在 Web 伺服器上重新啟動。
• 500.13 - Web 伺服器過度忙碌中。
• 500.15 - 不允許直接要求 Global.asa。
• 500.16 – UNC 授權認證不正確。這是 IIS 6.0 專用的錯誤碼。
• 500.18 – 無法開啟 URL 授權儲存。這是 IIS 6.0 專用的錯誤碼。
• 500.100 - 內部的 ASP 錯誤。
• 501 - 標題值指定沒有實作的設定。
• 502 - Web 伺服器在作為閘道或 Proxy 時收到無效的回應。 • 502.1 - CGI 應用程式逾時。
• 502.2 - CGI 應用程式中發生錯誤。
• 503 - 服務無法使用。這是 IIS 6.0 專用的錯誤碼。
• 504 - 閘道逾時。
• 505 - 不支援的 HTTP 版本。
常見 HTTP 狀態碼及其原因
• 200 - 成功。此狀態碼表示 IIS 已成功處理要求。
• 304 - 未修改。用戶端要求的文件已在其快取中,並且文件自快取後尚未修改過。用戶端使用文件的快取複本,而不是從伺服器下載。
• 401.1 - 登入失敗。嘗試登錄失敗,可能是因為使用者名稱或密碼無效。
• 401.3 - 因為資源上的 ACL 而沒有授權。這表示 NTFS 權限有問題。即使
您對嘗試存取的檔案具有正確的權限,也可能會發生這個錯誤。例如,
如果 IUSR 帳戶無法存取 C:WinntSystem32Inetsrv 目錄,便會看到這個錯
誤。 如需有關如何解決這個問題的詳細資訊,請按一下下面的文件編
號,檢視「Microsoft 知識庫」中的文件:
187506 Required NTFS permissions and user rights for IIS 4.0
• 403.1 - 禁止執行存取。下列是導致這個錯誤訊息的兩個常見原因:
• 您沒有足夠的「執行」權限。例如,如果您嘗試存取目錄中的 ASP
頁面,而此目錄的權限設定為 [無],或您嘗試使用「僅指令碼」權限
執行目錄中的 CGI 指令碼時,便可能會收到這個錯誤訊息。如果要
修改「執行」權限,請用滑鼠右鍵按一下 Microsoft Management Console
(MMC) 中的目錄,按一下 [內容],再按一下 [目錄] 索引標籤,並確
定 [執行權限] 設定適用於您嘗試要存取的內容。
• 您嘗試執行之檔案類型的指令碼對應,並未設定成能辨識所使用
的動詞 (例如,GET 或 POST)。 如果要確認這個項目,用滑鼠右鍵按
一下 MMC 中的目錄,按一下 [內容],按一下 [目錄] 索引標籤,再按
一下 [設定],然後確認適當的檔案類型是否已設定指令碼對應,以允
許您所使用的動詞。
• 403.2 - 禁止讀取存取。 確認已設定 IIS 以允許目錄的「讀取」權限。同
時,如果您使用預設的文件,請確認該文件確實存在。 如需有關如何解決
這個問題的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」
中的文件:
247677 Error Message:403.2 Forbidden: Read Access Forbidden
• 403.3 - 禁止寫入存取。 確認已設定 IIS 權限和 NTFS 權限以授予目錄的「寫入」
權限。如需有關如何解決這個問題的詳細資訊,請按一下下面的文件編號,檢
視「Microsoft 知識庫」中的文件:
248072 Error Message:403.3 Forbidden: Write Access Forbidden
• 403.4 - 需要 SSL。 停用 [必須使用安全通道] 選項,或使用 HTTPS 代替 HTTP
來存取頁面。 如果沒有安裝憑證的網站出現這個錯誤,請按一下下面的文件
編號,檢視「Microsoft 知識庫」中的文件:
224389 Err Msg:HTTP Error 403, 403.4, 403.5 Forbidden: SSL Required
• 403.5 - 需要 SSL 128。 停用 [需要 128 位元加密] 選項,或使用支援 128 位
元加密的瀏覽器來檢視頁面。 如果沒有安裝憑證的網站出現這個錯誤,請按
一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
224389 Err Msg:HTTP Error 403, 403.4, 403.5 Forbidden: SSL Required
• 403.6 - IP 位址被拒絕。 您已將伺服器設定為拒絕存取目前的 IP 位址。 如需 有關如何解決這個問題的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」
中的文件:
248043 Error Message:403.6 - Forbidden: IP Address Rejected
• 403.7 - 需要用戶端憑證。 您已將伺服器設定為需要憑證才能進行用戶端驗
證,但您尚未安裝有效的用戶端憑證。 如需詳細資訊,請按一下下面的文件
編號,檢視「Microsoft 知識庫」中的文件:
190004 Error 403.7 or 'Connection to Server Could Not Be Established'
186812 PRB:Error Message: 403.7 Forbidden: Client Certificate Required
• 403.8 - 網站存取被拒。 您用來存取伺服器的網域已設定網域名稱限制。如
需有關如何解決這個問題的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」
中的文件:
248032 Error Message:Forbidden: Site Access Denied 403.8
• 403.9 - 使用者過多。 連線到伺服器的使用者數目超過您所設定的連線
限制。 如需有關如何變更這個限制的詳細資訊,請按一下下面的文件編號,
檢視「Microsoft 知識庫」中的文件:
248074 錯誤訊息:拒絕存取:連接的使用者過多 403.9
注意:Microsoft Windows 2000 Professional 和 Microsoft Windows XP Professional 會自動在 IIS 上設定 10 個的連線限制。您無法變更這個限制。
• 403.12 - 對應程式拒絕存取。 您要存取的頁面需要用戶端憑證,但系統已
拒絕與您用戶端憑證對應的使用者 ID 存取該檔案。 如需詳細資訊,請按一下
下面的文件編號,檢視「Microsoft 知識庫」中的文件:
248075 Error:HTTP 403.12 - Access Forbidden: Mapper Denied Access
• 404 - 找不到。 如果您嘗試存取的檔案已被移動或刪除,就會出現這個錯
誤。如果在安裝 URLScan 工具後,您嘗試存取有限制檔案副檔名的檔案,也
會發生這個錯誤。在這種情況下,該要求的記錄檔項目中會出現 Rejected by URLScan (已被 URLScan 拒絕)。
• 500 - 內部伺服器錯誤。 有許多伺服器端的錯誤都會顯示這個錯誤訊息。事
件檢視器日誌中可能含有有關此錯誤發生原因的詳細資訊。此外,您可以停用
易懂的 HTTP 錯誤訊息,以接收詳細的錯誤說明。 如需有關如何停用易懂的 HTTP
錯誤訊息的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中
的文件:
294807 HOWTO:Turn Off the Internet Explorer 5.x and 6.x "Show Friendly HTTP Error Messages" Feature on the Server Side
• 500.12 - 應用程式正在重新啟動。 這表示您在 IIS 重新啟動應用程式的過程
中,嘗試載入 ASP 頁面。重新整理頁面後,這個訊息應該會消失。 如果您重
新整理頁面後,又出現這個訊息,可能是因為防毒軟體正在掃描 Global.asa 檔
案。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中
的文件:
248013 Err Msg:HTTP Error 500-12 Application Restarting
• 500-100.ASP - ASP 錯誤。 如果您嘗試載入代碼錯誤的 ASP 頁面,就會收到
這個錯誤訊息。如果要取得更多有關錯誤的特定資訊,請停用易懂的 HTTP 錯
誤訊息。依預設,只有預設網站上啟用這個錯誤。如需有關如何在非預設網站
上查看這個錯誤的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」
中的文件:
261200 所顯示的是 HTTP 500 錯誤訊息,而非來自 500-100.asp 的 ASP 錯誤訊息
• 502 - 錯誤的閘道。 當您嘗試執行的 CGI 指令碼並未傳回一組有效的 HTTP
標題時,就會收到這個錯誤訊息。
本文的引用網址 http://blog.xuite.net/skypess/s/16319152/track
物回報訊息 (如: Navigation Canceled (瀏覽取消) 或 Unable to retrieve Webpage in Offline mode (無法在離線模式擷取網頁)。 這些錯勿訊息是一個 resource (res:) of
Shdoclc.dll (Shdoclc.dll 的資源). 一個資源就是只是一個電腦所顯示的錯物碼
用來對應DLL(Dynamic Link Library 動態連結程式庫) 在 Internet Explorer 5 或更新的版本中,這些錯誤訊息會儲存成 Shdoclc.dll 檔案的資源。收到錯誤訊息時,對應的 HTML 範本會取代這個訊息,其中可能包含下列任一種資訊類型:
• 與問題相關的資訊。
• 有關如何修正或解決問題的資訊。
• 上一個網頁的連結。
• Internet Explorer 支援網頁的連結。
• 相同網頁的連結,讓您可以再次嘗試連線。
• 快取中網頁複本的連結 (如果建立了「應用程式發展介面」(API))。
Microsoft Internet Information Services 5.0 / 6.0 錯物碼的回報
-當使用者在瀏覽時 所看的網業是從Microsoft IIS 5.0 / 6.0 的一種作業系統內建介
面的服物來通過 HTTP / FTP 通訊協定 IIS 會傳回一個數值代碼,以表示要求的狀態。 只資訊是記錄IIS.log (log 是一種純文字統來紀錄系統所執行的動做) 而這錯
可能也會顯示在網頁瀏覽器或 FTP 用戶端上。
HTTP
1xx - 參考
這些狀態碼表示臨時的回應。在接收一般的回應之前,用戶端應準備接收一個或多個 1xx 的回應。
• 100 - 繼續。
• 101 - 切換通訊協定。
2xx - 成功
這類的狀態碼表示伺服器成功接受用戶端要求。 • 200 - 確定。用戶端要求成功。
• 201 - 已建立。
• 202 - 已接受。
• 203 - 非授權資訊。
• 204 - 無內容。
• 205 - 重設內容。
• 206 - 部分內容。
3xx - 重新導向
用戶端瀏覽器必須採取更多動作才能完成要求。例如,瀏覽器可能必須要求伺服器上的不同頁面,或使用 Proxy 伺服器來重複要求。
• 302 - 物件已移動。
• 304 - 未修改。
• 307 - 暫時重新導向。
4xx - 用戶端錯誤
發生錯誤,用戶端似乎出現問題。例如,用戶端可能要求不存在的頁面,或用戶端可能未提供有效的驗證資訊。
• 400 - 錯誤的要求。
• 401 - 拒絕存取。IIS 定義數個不同的 401 錯誤,以表示更詳細的錯誤原因。 這些特定的錯誤碼會顯示在瀏覽器中,但不會顯示在 IIS 日誌中: • 40
1.1 - 登入失敗。
• 401.2 - 因為伺服器設定導致登入失敗。
• 401.3 - 因為資源上的 ACL 而沒有授權。
• 401.4 - 篩選器授權失敗。
• 401.5 - ISAPI/CGI 應用程式授權失敗。
• 401.7 – Web 伺服器上的 URL 授權原則拒絕存取。這是 IIS 6.0 專用的錯誤
碼。
• 403 - 禁止使用。IIS 定義數個不同的 403 錯誤,以表示更詳細的錯誤原因: • 403.1 - 禁止執行存取。
• 403.2 - 禁止讀取存取。
• 403.3 - 禁止寫入存取。
• 403.4 - 需要 SSL。
• 403.5 - 需要 SSL 128。
• 403.6 - IP 位址被拒絕。
• 403.7 - 需要用戶端憑證。
• 403.8 - 網站存取被拒。
• 403.9 - 使用者過多。
• 403.10 - 設定無效。
• 403.11 - 密碼變更。
• 403.12 - 對應程式拒絕存取。
• 403.13 - 用戶端憑證已撤銷。
• 403.14 - 目錄清單被拒。
• 403.15 - 超過用戶端存取授權。
• 403.16 - 用戶端憑證不受信任或無效。
• 403.17 - 用戶端憑證已經過期或尚未生效。
• 403.18 - 無法在目前的應用程式集區中執行要求的 URL。這是 IIS 6.0 專用的錯誤碼。
• 403.19 - 無法在這個應用程式集區中執行用戶端的 CGI。這是 IIS 6.0 專用的錯誤碼。
• 403.20 - Passport 登入失敗。這是 IIS 6.0 專用的錯誤碼。
• 404 - 找不到。 • 404.0 - (無) – 找不到檔案或目錄。
• 404.1 - 無法在要求的連接埠上存取網站。
• 404.2 - Web 服務擴充鎖定原則阻止這個要求。
• 404.3 - MIME 對應原則阻止這個要求。
• 405 - 不允許使用用來存取這個頁面的 HTTP 動詞 (不允許的方法)。
• 406 - 用戶端瀏覽器不接受要求頁面的 MIME 類型。
• 407 - 需要 Proxy 驗證。
• 412 - 指定條件失敗。
• 413 – 要求的實體太大。
• 414 - 要求 URI 太長。
• 415 – 不支援的媒體類型。
• 416 – 無法滿足要求的範圍。
• 417 – 執行失敗。
• 423 – 鎖定錯誤。
5xx - 伺服器錯誤
伺服器因為發生錯誤無法完成要求。 • 500 - 內部伺服器錯誤。 • 500.12 - 應用程式正忙於在 Web 伺服器上重新啟動。
• 500.13 - Web 伺服器過度忙碌中。
• 500.15 - 不允許直接要求 Global.asa。
• 500.16 – UNC 授權認證不正確。這是 IIS 6.0 專用的錯誤碼。
• 500.18 – 無法開啟 URL 授權儲存。這是 IIS 6.0 專用的錯誤碼。
• 500.100 - 內部的 ASP 錯誤。
• 501 - 標題值指定沒有實作的設定。
• 502 - Web 伺服器在作為閘道或 Proxy 時收到無效的回應。 • 502.1 - CGI 應用程式逾時。
• 502.2 - CGI 應用程式中發生錯誤。
• 503 - 服務無法使用。這是 IIS 6.0 專用的錯誤碼。
• 504 - 閘道逾時。
• 505 - 不支援的 HTTP 版本。
常見 HTTP 狀態碼及其原因
• 200 - 成功。此狀態碼表示 IIS 已成功處理要求。
• 304 - 未修改。用戶端要求的文件已在其快取中,並且文件自快取後尚未修改過。用戶端使用文件的快取複本,而不是從伺服器下載。
• 401.1 - 登入失敗。嘗試登錄失敗,可能是因為使用者名稱或密碼無效。
• 401.3 - 因為資源上的 ACL 而沒有授權。這表示 NTFS 權限有問題。即使
您對嘗試存取的檔案具有正確的權限,也可能會發生這個錯誤。例如,
如果 IUSR 帳戶無法存取 C:WinntSystem32Inetsrv 目錄,便會看到這個錯
誤。 如需有關如何解決這個問題的詳細資訊,請按一下下面的文件編
號,檢視「Microsoft 知識庫」中的文件:
187506 Required NTFS permissions and user rights for IIS 4.0
• 403.1 - 禁止執行存取。下列是導致這個錯誤訊息的兩個常見原因:
• 您沒有足夠的「執行」權限。例如,如果您嘗試存取目錄中的 ASP
頁面,而此目錄的權限設定為 [無],或您嘗試使用「僅指令碼」權限
執行目錄中的 CGI 指令碼時,便可能會收到這個錯誤訊息。如果要
修改「執行」權限,請用滑鼠右鍵按一下 Microsoft Management Console
(MMC) 中的目錄,按一下 [內容],再按一下 [目錄] 索引標籤,並確
定 [執行權限] 設定適用於您嘗試要存取的內容。
• 您嘗試執行之檔案類型的指令碼對應,並未設定成能辨識所使用
的動詞 (例如,GET 或 POST)。 如果要確認這個項目,用滑鼠右鍵按
一下 MMC 中的目錄,按一下 [內容],按一下 [目錄] 索引標籤,再按
一下 [設定],然後確認適當的檔案類型是否已設定指令碼對應,以允
許您所使用的動詞。
• 403.2 - 禁止讀取存取。 確認已設定 IIS 以允許目錄的「讀取」權限。同
時,如果您使用預設的文件,請確認該文件確實存在。 如需有關如何解決
這個問題的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」
中的文件:
247677 Error Message:403.2 Forbidden: Read Access Forbidden
• 403.3 - 禁止寫入存取。 確認已設定 IIS 權限和 NTFS 權限以授予目錄的「寫入」
權限。如需有關如何解決這個問題的詳細資訊,請按一下下面的文件編號,檢
視「Microsoft 知識庫」中的文件:
248072 Error Message:403.3 Forbidden: Write Access Forbidden
• 403.4 - 需要 SSL。 停用 [必須使用安全通道] 選項,或使用 HTTPS 代替 HTTP
來存取頁面。 如果沒有安裝憑證的網站出現這個錯誤,請按一下下面的文件
編號,檢視「Microsoft 知識庫」中的文件:
224389 Err Msg:HTTP Error 403, 403.4, 403.5 Forbidden: SSL Required
• 403.5 - 需要 SSL 128。 停用 [需要 128 位元加密] 選項,或使用支援 128 位
元加密的瀏覽器來檢視頁面。 如果沒有安裝憑證的網站出現這個錯誤,請按
一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
224389 Err Msg:HTTP Error 403, 403.4, 403.5 Forbidden: SSL Required
• 403.6 - IP 位址被拒絕。 您已將伺服器設定為拒絕存取目前的 IP 位址。 如需 有關如何解決這個問題的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」
中的文件:
248043 Error Message:403.6 - Forbidden: IP Address Rejected
• 403.7 - 需要用戶端憑證。 您已將伺服器設定為需要憑證才能進行用戶端驗
證,但您尚未安裝有效的用戶端憑證。 如需詳細資訊,請按一下下面的文件
編號,檢視「Microsoft 知識庫」中的文件:
190004 Error 403.7 or 'Connection to Server Could Not Be Established'
186812 PRB:Error Message: 403.7 Forbidden: Client Certificate Required
• 403.8 - 網站存取被拒。 您用來存取伺服器的網域已設定網域名稱限制。如
需有關如何解決這個問題的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」
中的文件:
248032 Error Message:Forbidden: Site Access Denied 403.8
• 403.9 - 使用者過多。 連線到伺服器的使用者數目超過您所設定的連線
限制。 如需有關如何變更這個限制的詳細資訊,請按一下下面的文件編號,
檢視「Microsoft 知識庫」中的文件:
248074 錯誤訊息:拒絕存取:連接的使用者過多 403.9
注意:Microsoft Windows 2000 Professional 和 Microsoft Windows XP Professional 會自動在 IIS 上設定 10 個的連線限制。您無法變更這個限制。
• 403.12 - 對應程式拒絕存取。 您要存取的頁面需要用戶端憑證,但系統已
拒絕與您用戶端憑證對應的使用者 ID 存取該檔案。 如需詳細資訊,請按一下
下面的文件編號,檢視「Microsoft 知識庫」中的文件:
248075 Error:HTTP 403.12 - Access Forbidden: Mapper Denied Access
• 404 - 找不到。 如果您嘗試存取的檔案已被移動或刪除,就會出現這個錯
誤。如果在安裝 URLScan 工具後,您嘗試存取有限制檔案副檔名的檔案,也
會發生這個錯誤。在這種情況下,該要求的記錄檔項目中會出現 Rejected by URLScan (已被 URLScan 拒絕)。
• 500 - 內部伺服器錯誤。 有許多伺服器端的錯誤都會顯示這個錯誤訊息。事
件檢視器日誌中可能含有有關此錯誤發生原因的詳細資訊。此外,您可以停用
易懂的 HTTP 錯誤訊息,以接收詳細的錯誤說明。 如需有關如何停用易懂的 HTTP
錯誤訊息的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中
的文件:
294807 HOWTO:Turn Off the Internet Explorer 5.x and 6.x "Show Friendly HTTP Error Messages" Feature on the Server Side
• 500.12 - 應用程式正在重新啟動。 這表示您在 IIS 重新啟動應用程式的過程
中,嘗試載入 ASP 頁面。重新整理頁面後,這個訊息應該會消失。 如果您重
新整理頁面後,又出現這個訊息,可能是因為防毒軟體正在掃描 Global.asa 檔
案。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中
的文件:
248013 Err Msg:HTTP Error 500-12 Application Restarting
• 500-100.ASP - ASP 錯誤。 如果您嘗試載入代碼錯誤的 ASP 頁面,就會收到
這個錯誤訊息。如果要取得更多有關錯誤的特定資訊,請停用易懂的 HTTP 錯
誤訊息。依預設,只有預設網站上啟用這個錯誤。如需有關如何在非預設網站
上查看這個錯誤的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」
中的文件:
261200 所顯示的是 HTTP 500 錯誤訊息,而非來自 500-100.asp 的 ASP 錯誤訊息
• 502 - 錯誤的閘道。 當您嘗試執行的 CGI 指令碼並未傳回一組有效的 HTTP
標題時,就會收到這個錯誤訊息。
本文的引用網址 http://blog.xuite.net/skypess/s/16319152/track
Skype多人通話
Skype提供最多5個人同時在線上開會,解決傳統電話一對一的窘境。 選擇方式有二:首先,選擇主視窗上方的「多方通話」鈕,即跳出邀請多方通話的視窗。輸入會議主題後,再選擇參與會議者即可開會。
另外,也可以利用「群組」的功能,將組裡的所有聯絡人同步拉進來開會。在某群組(例如:同事)上,按滑鼠右鍵,選擇「跟所有人員開啟多方通話」,系統則會自動呼叫群組裡的所有人一起開會。
本文的引用網址 http://blog.xuite.net/skypess/s/16344289/track
Skype外掛「SAM」替您錄製離線電話答錄鈴
SAM其實是「Skype Answering Machine」的縮寫,它是一款免費的 Skype 專用來電留言外掛軟體,主要是讓您透過加裝外掛,在不影響原本Skype功能,也不嵌入原有Skype介面的情形下,以獨立介面的方式,讓Skype進升為具備電話語音答錄機功能的網路電話。
正因為它會自動在數聲鈴響後自動接聽電話,並且播放使用者的留言,讓來電者知道你不方便接聽電話,並且進行語音留言的動作,這也表示使用者可以自行選擇要接聽的電話,等於幫你達成過濾來電的動作,再也不會懼怕任何陌生人來電的騷擾了。
當然,除了以上所介紹的一些實用功能之外,其實SAM還可以開發很多實用的功能,像是加入傳統電話具有的自動轉接手機、拒接特定人士等進階功能,相信未來在廣為宣傳之後必定會頗受歡迎。總結來說,雖然SAM只是一個Skype的小小外掛,但是卻幫助我們在使用Skype時擁有更方便的功能,不是嗎?
本文的引用網址 http://blog.xuite.net/skypess/s/16344361/track
正因為它會自動在數聲鈴響後自動接聽電話,並且播放使用者的留言,讓來電者知道你不方便接聽電話,並且進行語音留言的動作,這也表示使用者可以自行選擇要接聽的電話,等於幫你達成過濾來電的動作,再也不會懼怕任何陌生人來電的騷擾了。
當然,除了以上所介紹的一些實用功能之外,其實SAM還可以開發很多實用的功能,像是加入傳統電話具有的自動轉接手機、拒接特定人士等進階功能,相信未來在廣為宣傳之後必定會頗受歡迎。總結來說,雖然SAM只是一個Skype的小小外掛,但是卻幫助我們在使用Skype時擁有更方便的功能,不是嗎?
| SAM 下載資訊 |
| 檔案大小:414 K bytes 軟體類型:免費軟體 網址: http://SAM.msnking.com |
| SAM安裝注意事項 |
| 目前SAM只有支援Windows XP版;記得要先把Skype升級到1.1.1.79版以上。執行的時候可能會出現「Mixer capabilities are not sufficient to run SAM」的訊息,這表示它目前並未支援你的音效卡,由於SAM是非商業用途的個人自行開發,所以這時候只能夠自行更換其它音效卡,或是安裝其它軟體了。如果你使用的作業系統並不是Windows XP,可以使用另外一套Skype的電話語音答錄機「Pamela」,下載網址為 http://www.pamela-systems.de ,它能夠支援更多的作業系統。 |
本文的引用網址 http://blog.xuite.net/skypess/s/16344361/track
2008年3月29日 星期六
Linux & Windows 上面時間較時方法
yum -y install ntp
ntpdate watch.stdtime.gov.tw && clock -w
時間與頻率國家標準實驗室:http://www.stdtime.gov.tw/chinese/home.htm
NTP 校時軟體(for Windows):http://www.stdtime.gov.tw/chinese/EXE/NTPClock.exe
cp /etc/crontab /etc/crontab.bak
vi /etc/crontab
0 0-23 * * * root /usr/sbin/ntpdate watch.stdtime.gov.tw > /dev/null 2>&1
#每個小時校時一次
0 6 * * 0 root /bin/sync;/bin/sync;/bin/sync;/sbin/shutdown -r now > /dev/null 2>&1
#每星期天早上六點電腦重新開機
#以上設定僅供參考,請視自己狀況設定
Linux 系統運作顯示狀態
phpSysInfo
http://phpsysinfo.sourceforge.net/
wget http://nchc.dl.sourceforge.net/sourceforge/phpsysinfo/phpsysinfo-2.5.3.tar.gz
http://phpsysinfo.sourceforge.net/
PROJECT INFORMATION
phpSysInfo is a PHP script that displays information about the host being accessed.
It will displays things like Uptime, CPU, Memory, SCSI, IDE, PCI, Ethernet, Floppy, and Video Information.
phpsysinfo's SourceForge Project Page
DEMO
wget http://nchc.dl.sourceforge.net/sourceforge/phpsysinfo/phpsysinfo-2.5.3.tar.gz
tar zxvf phpsysinfo-2.5.3.tar.gz -C /var/www/html/
rm -rf phpsysinfo-2.5.3.tar.gz
cp /var/www/html/phpsysinfo/config.php.new /var/www/html/phpsysinfo/config.php
vi /var/www/html/phpsysinfo/config.php
36行 $default_lng='en'; 修改成--> $default_lng='tw';
37行 $default_template='classic';
測試:http://IP/phpsysinfo/
Linux 上面安裝phpmadmin
phpMyAdmin 官方網站:http://www.phpmyadmin.net/
phpMyAdmin Documentation:http://IP/phpMyAdmin/Documentation.html
phpMyAdmin 官方文件:http://www.phpmyadmin.net/home_page/docs.php
phpMyAdmin Documentation:http://IP/phpMyAdmin/Documentation.html
phpMyAdmin 官方文件:http://www.phpmyadmin.net/home_page/docs.php
wgethttp://jaist.dl.sourceforge.net/sourceforge/phpmyadmin/phpMyAdmin-2.11.5-all-languages.tar.gz
tar zxvf phpMyAdmin-2.10.0.2-all-languages.tar.gz
rm -rf phpMyAdmin-2.10.0.2-all-languages.tar.gz
mv phpMyAdmin-2.10.0.2-all-languages /var/www/html/phpMyAdmin
cp /var/www/html/phpMyAdmin/libraries/config.default.php /var/www/html/phpMyAdmin/config.inc.php
vi /var/www/html/phpMyAdmin/config.inc.php
30 行 $cfg['PmaAbsoluteUri'] = ''; 修改成--> $cfg['PmaAbsoluteUri'] = 'http://IP/phpMyAdmin/';
71 行 $cfg['Servers'][$i]['auth_type'] = 'config'; 修改成--> $cfg['Servers'][$i]['auth_type'] = 'http';
測試:http://IP/phpMyAdmin/,帳號 root,密碼空白
點選「權限」,然後點選「root」這兩行後面的「編輯權限」圖示,更改密碼
Linux上面安裝PHP + MySQL
PHP & MySQL
PHP官方網站:http://www.php.net/
MySQL 官方網站:http://www.mysql.com/
PHP 官方文件:http://www.php.net/docs.php
MySQL 官方文件:http://dev.mysql.com/doc/
啟動 MySQL
/etc/rc.d/init.d/mysqld start
chkconfig mysqld on
如何重新安裝 MySQL?
-------------------------------------------------------------------------/etc/rc.d/init.d/mysqld stop
yum -y remove mysql
rm -rf /var/lib/mysql
yum -y install php mysql mysql-server php-mysql php-gd
/etc/rc.d/init.d/mysqld start設定密碼:mysqladmin -u root password '密碼'
cp /etc/php.ini /etc/php.ini.bak
vi /etc/php.ini
312行 max_execution_time = 300
313行 max_input_time = 600
314行 memory_limit = 160M
477行 post_max_size = 80M
582行 upload_max_filesize = 20M
#上面設定值,請視自己需求修改
vi /etc/httpd/conf.d/php.conf
18行 DirectoryIndex index.php 修改成--> #DirectoryIndex index.php
/etc/rc.d/init.d/httpd restart
vi /var/www/html/phpinfo.php
phpinfo();
?>
測試:http://IP/phpinfo.php
----------------------------------------------------
在WINDOWS下面安裝PHP+MYSQL+APACHE
AppServ 2.5.9
- Apache 2.2.4
- PHP 5.2.3
- MySQL 5.0.45
- phpMyAdmin-2.10.2
Sourceforge.net : http://prdownloads.sourceforge.net/appserv/appserv-win32-2.5.9.exe?download
The Apache HTTP Server Project
http://httpd.apache.org/
下載連結http://httpd.apache.org/download.cgi
相關的設定檔案路徑如下
c:\Program Files\Apache Software Foundato\Apache2.2\conf\httpd
http://www.php.net/
下載連結http://www.php.net/downloads.php
http://www.mysql.com/
下載連結http://dev.mysql.com/downloads/mysql/5.0.html
vi 基本指令介紹
vi (or vim)是 Unix-like 作業系統下最通用、強悍的文字編輯器
輸入:a、i、o
到第一行:gg
到最後一行:G
到某一行:xxG
到行首:0
到行末:$複製:yy
貼上:p
復原:u刪一個字:x
刪整行:dd顯示行數::set nu
不顯示行數::set nonuvi 的搜尋:/、再次搜尋:n
到 shell::sh(在 shell 中回到 vi:exit)儲存::w
離開::q
儲存兼離開::wq 或 shift+zz
強制離開(不儲存)::q!
Vim 官方文件:http://www.vim.org/docs.php
Microsoft Windows 下好用的 ssh 連線工具
PuTTY 是個小巧方便的 Telnet/SSH 安全遠端連線程式
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
PieTTY 則是源自於 PuTTY ,修正與完整支援亞洲等多國語系字元、 並在使用界面上大幅改進、易學易用的版本。
http://ntu.csie.org/~piaip/pietty/
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
PieTTY 則是源自於 PuTTY ,修正與完整支援亞洲等多國語系字元、 並在使用界面上大幅改進、易學易用的版本。
http://ntu.csie.org/~piaip/pietty/
2008年3月28日 星期五
網友的下載好站
http://www.dk101.com/index.php/125965/spacelist-blog.html
真情告白:96.07.08無意間進入了這個空間,東搞搞.西弄弄,竟然發覺真的非常好玩.因此,隨即動手開始收集網路上好用的電腦資訊,轉PO在小弟的 空間內,以備不時之需,既能激勵自己,又可分享大眾,可謂一舉兩得..........另做以下幾點聲明:聲明..1.文章內容純為下載測試之用,嚴禁任 何商業用途。2.請尊重智慧財產權,下載試用24小時內立刻刪除檔案。3.如需長期使用,請支持並選購正版軟體。4.不承擔任何技術及版權問題,且不得用 於商業用途以免觸法。5.若不同意以上之聲明者請勿下載,否則應自負一切責任,與作者及本論壇無關。......
KTZone繼續改革,等你繼續俾意見!
http://www.ktzhk.com/forum.php
突破防火牆遠端遙控軟體Show My PC
當你遇到妳的朋友、你的客戶、電腦操作上面有問題的時候,有時候講電話,MSN即時通訊,可能都不是很方便,這是後可以連到對方的電腦操作給他看的話,是最快速方便的方式。
但是常常遇到對方寬頻網路,有使用防火牆閘道或是寬頻分享器的環境,使用遠端連線軟體常常需要再另外開PORT,設定虛擬伺服器去對應,反而又是另外一個問題。
ShowMyPC 就是一個方便的工具他可以免除在防火牆閘道器開PORT的動作,直接執行程式就可以連線到遠端的電腦操作。
下面是被控端相關的操作步驟:
一、先去官方網站下載主程式
The Current (27th Jan 2008) Latest Version is 2930 Get it Now
二、執行後會出現如下列畫面
被控端按下ShowMyPC Now 此時程式會去產生一個亂數密碼
產生之後再把此密碼跟你的主控端說
三、主控端一樣去下載此程式
再按下View a Remote PC 輸入被控端的密碼
就可以邀控遠端的電腦了
這樣 主控端就可以藉由此密碼連接到你的電腦了
但是常常遇到對方寬頻網路,有使用防火牆閘道或是寬頻分享器的環境,使用遠端連線軟體常常需要再另外開PORT,設定虛擬伺服器去對應,反而又是另外一個問題。
ShowMyPC 就是一個方便的工具他可以免除在防火牆閘道器開PORT的動作,直接執行程式就可以連線到遠端的電腦操作。
下面是被控端相關的操作步驟:
一、先去官方網站下載主程式
The Current (27th Jan 2008) Latest Version is 2930 Get it Now
二、執行後會出現如下列畫面
被控端按下ShowMyPC Now 此時程式會去產生一個亂數密碼
產生之後再把此密碼跟你的主控端說
三、主控端一樣去下載此程式
再按下View a Remote PC 輸入被控端的密碼
就可以邀控遠端的電腦了
這樣 主控端就可以藉由此密碼連接到你的電腦了
2008年3月23日 星期日
轉載文章 技術文章: 以 iptables 架設 SME 防火牆
轉載文章 技術文章: 以 iptables 架設 SME 防火牆
此文章由 pango 發表於1月 7日 (星期三) 上午12:00
由於 Internet 的普及和連接的成本下降, 很多企業都已經把辦公室網絡接上 Internet 去了。 而當各企業正享受著 Internet 所帶來的商機和方便的同時, 亦為企業本身帶來各種的危機。 從一些貪玩小孩的入侵, 到大規模的網蟲 (NetWorm) 爆發。 企業的系統無時無刻面對著各種挑戰。 一但系統被入侵, 所損失的往往多於能從 Internet 中所得到的。 所以我們必需要有一個防禦的機制來保護企業內的資料和財產, 免受外來的種種攻擊。 而當中最為普及的技術便是『防火牆』(Firewall)。
什麼是防火牆
『防火牆』只是一個統稱, 或者可以說是一個概念。 其實, 任何一種能成功防止外來入侵的網絡裝置或軟件, 都可以稱為『防火牆』。
從網絡保安而言, 防火牆通常會用作內部網絡對外連接的唯一通道。 如此一來, 防火牆便成為了一個網絡關卡, 所有進出內部網絡的交通都必先經過防火牆的檢查和過濾, 防止入侵者接近內部的資源。
而防火牆是根據網絡管理員預先定下的規則 (Rules) 來過濾網絡交通。 而這些規則便是整個防火牆的靈魂、內部網絡的守衛。 在制定這些規則時, 大都是圍繞著以下幾個範籌而定:
誰〔不〕能進出網絡
什麼〔不〕可以進出網絡
資料〔不〕可以傳到那裡去
用什麼方法才〔不〕可進出網絡
防火牆的種類
現時所流行的防火牆大致可分為以下兩類:
1 封包過濾 (Packet Filters)
封包過濾是透過檢測網絡封包的標頭 (Header) 資料是否符合管理員所定下的規則, 而決定是否讓其通過。 這些標頭資料包括了:
來源/目的地的位址 (Address)
來源/目的地的通訊埠 (Port)
通訊協定 (Protocol)
使用封包過濾的好處是其系統和應用程式中立性 (Operating Sytem & Application-neutral), 對於在內部網絡的客端程式不須作任可更改便可提供保謢。 而本文將會介紹的 防火牆亦是封包過濾式的。
2 應用層閘道 (Application Gateway)
應用層閘道式的防火牆, 主要是在客端和伺服器之間加上『代理伺服器』(Proxy Server) 而達成。 如此一來, 網絡間的連線得變成兩個部驟: 首先是客端和代理伺服器連線, 然後經過過濾後才由代理伺服器和真實的伺服器連線。
但是使用應用層閘道式的防火牆, 往往須要更改客端程式的設定來佩合。 這對於一般的用家 (End-user) 來說, 並不如封包過濾般方便。
Linux 與 封包過濾
Linux 核心自版本 1.1 開始已提供了封包過濾的功能。 到了現時的 2.4 版本內建的 Netfilter 模組, 功能更臻完善。 這個模組利用了一致被資訊保安界好評的 『狀態性』(Stateful) 機制, 記下各網絡連線的狀態並檢查往後的封包是否屬於同一連線。 狀態性機制能使防火牆能過濾一些以往不能偵測的連線狀態, 加強了內部網絡安全。
iptables
Netfilter 是在 Linux 核心 (Kernel) 的模組, 我們不能和它直接溝通。 它只會依著管理員定下的規則, 對封包進行檢測。 至於把怎樣才能把規則告知 Netfilter, 就得靠一個名為 iptables 的用戶端的程式。
要把 iptables 運用得當, 就先要理解 Netfilter 處理封包的機制。
之前提及過防火牆是透過一系列的規則而建成, 而每個規則都包含了一個對封包的描述 (Match) 和 一個處置動作 (Target)。 每當封包符合規則中的描述時, 核心便會對封包進行相應的處置動作。 而在 Netfilter 的角度中, 這些規則是記錄在不同的鏈 (Chain) 中, 而鏈又會被歸納到不同的規則表 (Table) 中。
封包會根據它在核心中不同的層次和狀態, 被送到一個或多個規則表和鏈中, 並和當中的每個規則作對比並執行相應的動作。 iptables 的功用就是讓管理員管理各個規則表和鏈中的規則。
核心中的規則表
在核心中有三個規則表:
filter
這個規則表是最常用的規則表, 也是 iptables 的預設的規則表。 所有對封包進行過濾的規則都是加進這個規則表的鏈中。 這個規則表中有三個預設的鏈, 分別是: INPUT (給目的地是本機的封包), FORWORD (給途經本機的封包), OUTPUT (給由本機所發出的封包)
nat
這個規則表主要是給予系統 網路位址轉換 (Network Address Translation) 的功能。顧名思義, 網路位址轉換就是把封包標頭的位址和通訊埠的資料更改。 這個功能主要的用處是:
Internet 連線分享。 即使只得一個可用的 Internet 位址, 也可把整個內部網絡的電腦接上 Internet。
隱蔽內部網絡的存在。 縱然有足夠的 Internet 位址可用, 但基於保安的理由我們有時會不希望其他人知到企業內部網絡的存在。 運用網路位址轉換就可把所有內部網絡對外的通訊轉換成看似是同一位址所發出的封包一樣。
服務轉向 (Forwording )。 當有伺服器置於防火牆後, 但又須要對外提供時, 便可以把目的地位址是防火牆的封包轉向到真實的伺服器。這個規則表中有三個預設的鏈, 分別是: PREROUTING (給所有進入本機而未經路由處理 (Routing Decision)的封包), POSTROUTING (給所有經過路由處理而目的地不是本機的封包), OUTPUT (給由本機所發出的封包)
mangle
這個規則表用來更改封包的一些屬性 (Properties), 這個規則表中有四個預設的鏈, 分別是: PREROUTEING, INPUT, FORWARD , OUTPUT 和 POSTROUTING。
Iptables 的基本語法
iptables -t Table -Operation Chain Match -j Target
Table 是所用的是個規則表
Chain 指明是用規則表中的哪一個鏈
Operation 是對鏈中的規則所進行的動作, 例如:增加,移除,清空 等
Match 是一個對封包的描述, 例如:來源地址及通訊埠
Target 是處置動作, 例如:ACCEPT, DROP, LOG等
常用的描述語法
語法 用途
-p [!] protocol 指定所針對的通訊協定, 例如:tcp, udp, icmp
-s [!] address[/mask] 指定所針對的來源位址。 這可以是一個IP位址, 主機名稱, 或加上網絡遮罩以表示一群 IP 位址。
-d [!] address[/mask] 指定所針對的目的地位址。 這可以是一個IP位址, 主機名稱, 或加上網絡遮罩以表示一群IP位址。
-i [!] name 指定從那個網絡介面進入的封包。 例如:eth0, ppp0
-o [!] name 指定從那個網絡介面送出的封包。 例如:eth0, ppp0
--sport [!] port[:port] 指定來源通訊埠。 這可以指明是那一個或那一組埠
--dport [!] port[:port] 指定目的地通訊埠。 這可以指明是那一個或那一組埠
[!] --syn 只限 TCP 協定所用, 這指定封包須為 TCP 連線要求封包
防火牆架設範例
有了基本的認識後, 我們便開始架設防火牆。 我們假設企業A 有一個 Internet 連線和足夠的合法 Internet 位址給所有電腦使用。 而企業A 只希望員工使用 WWW 和 FTP。
我們可以跟著以下的步驟制作一個 Shell Script, 來架設防火牆。
設定網絡參數和載入相關的核心模組
$INTERNAL_NET=X.X.X.X/24 # Local LAN Subnet
$INTERNAL_NIC=eth0 # Local LAN interface
$EXTERNAL_NET=Y.Y.Y.Y/8 # Internet Subnet
$EXTERNAL_NIC=eth1 # Internet interface
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ipt_state
清除現有的規則
-F 動作會清除所指定的鏈中的所有規則, 如果沒有指明鏈則規則表中所有的鏈都會被清空。
/sbin/iptables -t filter -F
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
-X 動作會移除指定規則表中所有由用者增加的鏈
/sbin/iptables -t filter -X
/sbin/iptables -t nat -X
/sbin/iptables -t mangle -X
設定預設政策
-P 動作會設定所指定的鏈的預設政策。 當一個封包進入鏈後, 但沒有規則能符合這個封包的資料和狀態時, 核心會以鏈的預設政策去處理該個封包。
每一個良好的防火牆的預設政策都應設為 DROP。 正所謂寧枉無縱, 預設拒絕所有封包, 然後才讓真正有用封包通過。 能使防火牆更為堅固。
/sbin/iptables -t filter -P INPUT DROP
/sbin/iptables -t filter -P OUTPUT DROP
/sbin/iptables -t filter -P FORWARD DROP
不回應 ICMP 封包
如要查看一部主機是否在線, 最簡單的方法是使用 ping 指令。 如果不想被 ping, 可以設定 Netfilter 不回應 ICMP 封包
/sbin/iptables -t filter -A INPUT -p icmp --icmp-type echo-requested -j DROP
/sbin/iptables -t filter -A OUTPUT -p icmp --icmp-type echo-reply -j DROP
/sbin/iptables -t filter -A FORWARD -p icmp --icmp-type echo-requested -j DROP
/sbin/iptables -t filter -A FORWARD -p icmp --icmp-type echo-reply -j DROP
防止 IP Spoofing
IP Spoofing 是把外來的封包假裝成是內部網絡所發出的, 試途讓防火牆誤認而允許其進入內部網絡。 而要防止 IP Spoofing, 我們只須要過濾那些從 Internet 進入而聲稱來源地址是內部網絡的封包便可。
/sbin/iptables -t filter -A INPUT -i $EXTERNAL_NIC -s $INTERNAL_NET -j DROP
/sbin/iptables -t filter -A FORWARD -i $EXTERNAL_NIC -s $INTERNAL_NET -j DROP
防止網絡掃描
網絡掃描是利用一些不正常而又合法的封包去檢測伺服器所提供的服務和取得一些系統資訊。 亦有入侵者用這些封包企途繞過防火牆去入侵內部網絡, 所以必需過濾。
/sbin/iptables -t filter -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
/sbin/iptables -t filter -A FORWARD -p tcp --tcp-flags ALL ALL -j DROP
/sbin/iptables -t filter -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
/sbin/iptables -t filter -A FORWARD -p tcp --tcp-flags ALL NONE -j DROP
/sbin/iptables -t filter -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
/sbin/iptables -t filter -A FORWARD -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
/sbin/iptables -t filter -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
/sbin/iptables -t filter -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
允許內部網絡使用者瀏覽 Internet 網頁
要允許瀏覽 Internet 網頁, 我們須要允許封包從內部網絡傳送到 Web Server 去, 並同時要允許封包從 Web Server返回內部網絡。
/sbin/iptables -t filter -A FORWARD -p tcp -s $INTERNAL_NET -d 0/0 --dport 80 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -p tcp -s $INTERNAL_NET -d 0/0 --dport 443 -j ACCEPT
要允許封包從 Web Server返回內部網絡, 有兩個方法設定。 其一是利用狀態性機制去自動判斷相關的封包:
/sbin/iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
其次是加上相應的規則:
/sbin/iptables -t filter -A FORWARD -p tcp -d $INTERNAL_NET -s 0/0 --sport 80 ! --syn -j ACCEPT
/sbin/iptables -t filter -A FORWARD -p tcp -d $INTERNAL_NET -s 0/0 --sport 443 ! --syn -j ACCEPT
利用狀態性機制去自動判斷的好處是, 只須設定一次就能和其他規則分享使用 (象以下的 DNS 和 FTP), 能減少規則的數量,方便管理。
允許內部網絡查詢 DNS
DNS 是主機名稱和 IP 位址互換的服務, 如果過濾了 DNS 查詢, 用戶便不能用主機名稱 (如:http://www.linuxpilot.net ) 來瀏覽網頁, 而是要直接用 IP 位址 (如: http://203.194.196.187)。
/sbin/iptables -t filter -A FORWARD -p udp -s $INTERNAL_NET -d 0/0 --dport 53 -j ACCEPT
如果已有固定的 DNS 伺服器, 可以以下規則去限制只可以查詢指定的 DNS 伺服器:
$DNSSRV=202.181.230.106 # IP Address of the DNS Server
/sbin/iptables -t filter -A FORWARD -p udp -s $INTERNAL_NET -d $DNSSRV --dport 53 -j ACCEPT
允許內部網絡使用者使用 FTP
大部份的 Internet 服務的設定基本上和之前的大同小異, 讀者可以嚐試自行設定。 但可惜的是 FTP 不只用一個通訊埠來進行資料傳送, 而是要用兩個。 更甚的是其中一個通訊埠是次次不同的, 根本不可能預先在防火牆中設定。
有幸的是 Netfilter 所提供的狀態性機制能解決這個問題。 由於 FTP 的第二個通訊埠的連線, 是透過在埠21已建立的連線來建立, 所以可以利用狀態性機制去允許所有由已建立的連線所衍生出來的連線。
/sbin/iptables -t filter -A FORWARD -p tcp -s $INTERNAL_NET -d 0/0 --dport 21 -j ACCEPT
允許管理員以 SSH 連線到防火牆修改設定
最後, 開設一個通道給管理員以 SSH 連線到防火牆修改設定。 不然的話, 每當有設定要修改時, 管理員便要親身登入防火牆修改了。
/sbin/iptables -t filter -A INPUT -i $INTERNAL_NIC -s $INTERNAL_NET --dport 22 -j ACCEPT
最後的步驟
當設計好所有的規則和相應的 Script 後, 把所有的 Script 集合起來製成一個 Shell Script, 然後於 /etc/rc.d/rc.local 中加入執行該 Script 的命令。 這樣每次系統啟動時便會自動啟動防火牆。
Internet 連線分享
雖然以上的防火牆是基於有足夠的合法位址而設計, 但只須多加一規則便可以讓內部網絡以一個合法位址分享Internet 連線。
如果獲得一個固定的合法位址, 可以用:
$FIREWALL_IP=y.y.y.z # IP Address that can connect to Internet
/sbin/iptables -t nat -A POSTROUTING -o $EXTERNAL_NIC -s $INTERNAL_NET -j SNAT –to $FIREWALL_IP
如果位址是動態分佩的話, 則用:
/sbin/iptables -t nat -A POSTROUTING -o $EXTERNAL_NIC -s $INTERNAL_NET -j MASQUERADE
其實以上兩個規則,都是叫核心把由內部網絡所發出的封包內的來源位址, 先轉成防火牆的合法位址再送出 Internet。 只不過用 MASQUERADE 方法時, 因為要顧及動態位址分佩, 所以會比 SNAT 多用一點 CPU 資源。
總結
Linux 加上 Netfilter 的強大功能, 給予中小企一個低成本的防火牆的解決方案。 以保障企業的資源。 以上的範例雖已包含了一般防火牆的功能, 但單靠 Netfilter 是未能杜絕所有的入侵 (例如: 電郵病毒)的。 所以系統管理員仍是要綜合各種網絡保安的工具一起, 發揮最大的效能。
作者Isaac Chau
原文在 LinuxPilot 第 15 期刊登
此文章由 pango 發表於1月 7日 (星期三) 上午12:00
由於 Internet 的普及和連接的成本下降, 很多企業都已經把辦公室網絡接上 Internet 去了。 而當各企業正享受著 Internet 所帶來的商機和方便的同時, 亦為企業本身帶來各種的危機。 從一些貪玩小孩的入侵, 到大規模的網蟲 (NetWorm) 爆發。 企業的系統無時無刻面對著各種挑戰。 一但系統被入侵, 所損失的往往多於能從 Internet 中所得到的。 所以我們必需要有一個防禦的機制來保護企業內的資料和財產, 免受外來的種種攻擊。 而當中最為普及的技術便是『防火牆』(Firewall)。
什麼是防火牆
『防火牆』只是一個統稱, 或者可以說是一個概念。 其實, 任何一種能成功防止外來入侵的網絡裝置或軟件, 都可以稱為『防火牆』。
從網絡保安而言, 防火牆通常會用作內部網絡對外連接的唯一通道。 如此一來, 防火牆便成為了一個網絡關卡, 所有進出內部網絡的交通都必先經過防火牆的檢查和過濾, 防止入侵者接近內部的資源。
而防火牆是根據網絡管理員預先定下的規則 (Rules) 來過濾網絡交通。 而這些規則便是整個防火牆的靈魂、內部網絡的守衛。 在制定這些規則時, 大都是圍繞著以下幾個範籌而定:
誰〔不〕能進出網絡
什麼〔不〕可以進出網絡
資料〔不〕可以傳到那裡去
用什麼方法才〔不〕可進出網絡
防火牆的種類
現時所流行的防火牆大致可分為以下兩類:
1 封包過濾 (Packet Filters)
封包過濾是透過檢測網絡封包的標頭 (Header) 資料是否符合管理員所定下的規則, 而決定是否讓其通過。 這些標頭資料包括了:
來源/目的地的位址 (Address)
來源/目的地的通訊埠 (Port)
通訊協定 (Protocol)
使用封包過濾的好處是其系統和應用程式中立性 (Operating Sytem & Application-neutral), 對於在內部網絡的客端程式不須作任可更改便可提供保謢。 而本文將會介紹的 防火牆亦是封包過濾式的。
2 應用層閘道 (Application Gateway)
應用層閘道式的防火牆, 主要是在客端和伺服器之間加上『代理伺服器』(Proxy Server) 而達成。 如此一來, 網絡間的連線得變成兩個部驟: 首先是客端和代理伺服器連線, 然後經過過濾後才由代理伺服器和真實的伺服器連線。
但是使用應用層閘道式的防火牆, 往往須要更改客端程式的設定來佩合。 這對於一般的用家 (End-user) 來說, 並不如封包過濾般方便。
Linux 與 封包過濾
Linux 核心自版本 1.1 開始已提供了封包過濾的功能。 到了現時的 2.4 版本內建的 Netfilter 模組, 功能更臻完善。 這個模組利用了一致被資訊保安界好評的 『狀態性』(Stateful) 機制, 記下各網絡連線的狀態並檢查往後的封包是否屬於同一連線。 狀態性機制能使防火牆能過濾一些以往不能偵測的連線狀態, 加強了內部網絡安全。
iptables
Netfilter 是在 Linux 核心 (Kernel) 的模組, 我們不能和它直接溝通。 它只會依著管理員定下的規則, 對封包進行檢測。 至於把怎樣才能把規則告知 Netfilter, 就得靠一個名為 iptables 的用戶端的程式。
要把 iptables 運用得當, 就先要理解 Netfilter 處理封包的機制。
之前提及過防火牆是透過一系列的規則而建成, 而每個規則都包含了一個對封包的描述 (Match) 和 一個處置動作 (Target)。 每當封包符合規則中的描述時, 核心便會對封包進行相應的處置動作。 而在 Netfilter 的角度中, 這些規則是記錄在不同的鏈 (Chain) 中, 而鏈又會被歸納到不同的規則表 (Table) 中。
封包會根據它在核心中不同的層次和狀態, 被送到一個或多個規則表和鏈中, 並和當中的每個規則作對比並執行相應的動作。 iptables 的功用就是讓管理員管理各個規則表和鏈中的規則。
核心中的規則表
在核心中有三個規則表:
filter
這個規則表是最常用的規則表, 也是 iptables 的預設的規則表。 所有對封包進行過濾的規則都是加進這個規則表的鏈中。 這個規則表中有三個預設的鏈, 分別是: INPUT (給目的地是本機的封包), FORWORD (給途經本機的封包), OUTPUT (給由本機所發出的封包)
nat
這個規則表主要是給予系統 網路位址轉換 (Network Address Translation) 的功能。顧名思義, 網路位址轉換就是把封包標頭的位址和通訊埠的資料更改。 這個功能主要的用處是:
Internet 連線分享。 即使只得一個可用的 Internet 位址, 也可把整個內部網絡的電腦接上 Internet。
隱蔽內部網絡的存在。 縱然有足夠的 Internet 位址可用, 但基於保安的理由我們有時會不希望其他人知到企業內部網絡的存在。 運用網路位址轉換就可把所有內部網絡對外的通訊轉換成看似是同一位址所發出的封包一樣。
服務轉向 (Forwording )。 當有伺服器置於防火牆後, 但又須要對外提供時, 便可以把目的地位址是防火牆的封包轉向到真實的伺服器。這個規則表中有三個預設的鏈, 分別是: PREROUTING (給所有進入本機而未經路由處理 (Routing Decision)的封包), POSTROUTING (給所有經過路由處理而目的地不是本機的封包), OUTPUT (給由本機所發出的封包)
mangle
這個規則表用來更改封包的一些屬性 (Properties), 這個規則表中有四個預設的鏈, 分別是: PREROUTEING, INPUT, FORWARD , OUTPUT 和 POSTROUTING。
Iptables 的基本語法
iptables -t Table -Operation Chain Match -j Target
Table 是所用的是個規則表
Chain 指明是用規則表中的哪一個鏈
Operation 是對鏈中的規則所進行的動作, 例如:增加,移除,清空 等
Match 是一個對封包的描述, 例如:來源地址及通訊埠
Target 是處置動作, 例如:ACCEPT, DROP, LOG等
常用的描述語法
語法 用途
-p [!] protocol 指定所針對的通訊協定, 例如:tcp, udp, icmp
-s [!] address[/mask] 指定所針對的來源位址。 這可以是一個IP位址, 主機名稱, 或加上網絡遮罩以表示一群 IP 位址。
-d [!] address[/mask] 指定所針對的目的地位址。 這可以是一個IP位址, 主機名稱, 或加上網絡遮罩以表示一群IP位址。
-i [!] name 指定從那個網絡介面進入的封包。 例如:eth0, ppp0
-o [!] name 指定從那個網絡介面送出的封包。 例如:eth0, ppp0
--sport [!] port[:port] 指定來源通訊埠。 這可以指明是那一個或那一組埠
--dport [!] port[:port] 指定目的地通訊埠。 這可以指明是那一個或那一組埠
[!] --syn 只限 TCP 協定所用, 這指定封包須為 TCP 連線要求封包
防火牆架設範例
有了基本的認識後, 我們便開始架設防火牆。 我們假設企業A 有一個 Internet 連線和足夠的合法 Internet 位址給所有電腦使用。 而企業A 只希望員工使用 WWW 和 FTP。
我們可以跟著以下的步驟制作一個 Shell Script, 來架設防火牆。
設定網絡參數和載入相關的核心模組
$INTERNAL_NET=X.X.X.X/24 # Local LAN Subnet
$INTERNAL_NIC=eth0 # Local LAN interface
$EXTERNAL_NET=Y.Y.Y.Y/8 # Internet Subnet
$EXTERNAL_NIC=eth1 # Internet interface
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ipt_state
清除現有的規則
-F 動作會清除所指定的鏈中的所有規則, 如果沒有指明鏈則規則表中所有的鏈都會被清空。
/sbin/iptables -t filter -F
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
-X 動作會移除指定規則表中所有由用者增加的鏈
/sbin/iptables -t filter -X
/sbin/iptables -t nat -X
/sbin/iptables -t mangle -X
設定預設政策
-P 動作會設定所指定的鏈的預設政策。 當一個封包進入鏈後, 但沒有規則能符合這個封包的資料和狀態時, 核心會以鏈的預設政策去處理該個封包。
每一個良好的防火牆的預設政策都應設為 DROP。 正所謂寧枉無縱, 預設拒絕所有封包, 然後才讓真正有用封包通過。 能使防火牆更為堅固。
/sbin/iptables -t filter -P INPUT DROP
/sbin/iptables -t filter -P OUTPUT DROP
/sbin/iptables -t filter -P FORWARD DROP
不回應 ICMP 封包
如要查看一部主機是否在線, 最簡單的方法是使用 ping 指令。 如果不想被 ping, 可以設定 Netfilter 不回應 ICMP 封包
/sbin/iptables -t filter -A INPUT -p icmp --icmp-type echo-requested -j DROP
/sbin/iptables -t filter -A OUTPUT -p icmp --icmp-type echo-reply -j DROP
/sbin/iptables -t filter -A FORWARD -p icmp --icmp-type echo-requested -j DROP
/sbin/iptables -t filter -A FORWARD -p icmp --icmp-type echo-reply -j DROP
防止 IP Spoofing
IP Spoofing 是把外來的封包假裝成是內部網絡所發出的, 試途讓防火牆誤認而允許其進入內部網絡。 而要防止 IP Spoofing, 我們只須要過濾那些從 Internet 進入而聲稱來源地址是內部網絡的封包便可。
/sbin/iptables -t filter -A INPUT -i $EXTERNAL_NIC -s $INTERNAL_NET -j DROP
/sbin/iptables -t filter -A FORWARD -i $EXTERNAL_NIC -s $INTERNAL_NET -j DROP
防止網絡掃描
網絡掃描是利用一些不正常而又合法的封包去檢測伺服器所提供的服務和取得一些系統資訊。 亦有入侵者用這些封包企途繞過防火牆去入侵內部網絡, 所以必需過濾。
/sbin/iptables -t filter -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
/sbin/iptables -t filter -A FORWARD -p tcp --tcp-flags ALL ALL -j DROP
/sbin/iptables -t filter -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
/sbin/iptables -t filter -A FORWARD -p tcp --tcp-flags ALL NONE -j DROP
/sbin/iptables -t filter -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
/sbin/iptables -t filter -A FORWARD -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
/sbin/iptables -t filter -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
/sbin/iptables -t filter -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
允許內部網絡使用者瀏覽 Internet 網頁
要允許瀏覽 Internet 網頁, 我們須要允許封包從內部網絡傳送到 Web Server 去, 並同時要允許封包從 Web Server返回內部網絡。
/sbin/iptables -t filter -A FORWARD -p tcp -s $INTERNAL_NET -d 0/0 --dport 80 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -p tcp -s $INTERNAL_NET -d 0/0 --dport 443 -j ACCEPT
要允許封包從 Web Server返回內部網絡, 有兩個方法設定。 其一是利用狀態性機制去自動判斷相關的封包:
/sbin/iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
其次是加上相應的規則:
/sbin/iptables -t filter -A FORWARD -p tcp -d $INTERNAL_NET -s 0/0 --sport 80 ! --syn -j ACCEPT
/sbin/iptables -t filter -A FORWARD -p tcp -d $INTERNAL_NET -s 0/0 --sport 443 ! --syn -j ACCEPT
利用狀態性機制去自動判斷的好處是, 只須設定一次就能和其他規則分享使用 (象以下的 DNS 和 FTP), 能減少規則的數量,方便管理。
允許內部網絡查詢 DNS
DNS 是主機名稱和 IP 位址互換的服務, 如果過濾了 DNS 查詢, 用戶便不能用主機名稱 (如:http://www.linuxpilot.net ) 來瀏覽網頁, 而是要直接用 IP 位址 (如: http://203.194.196.187)。
/sbin/iptables -t filter -A FORWARD -p udp -s $INTERNAL_NET -d 0/0 --dport 53 -j ACCEPT
如果已有固定的 DNS 伺服器, 可以以下規則去限制只可以查詢指定的 DNS 伺服器:
$DNSSRV=202.181.230.106 # IP Address of the DNS Server
/sbin/iptables -t filter -A FORWARD -p udp -s $INTERNAL_NET -d $DNSSRV --dport 53 -j ACCEPT
允許內部網絡使用者使用 FTP
大部份的 Internet 服務的設定基本上和之前的大同小異, 讀者可以嚐試自行設定。 但可惜的是 FTP 不只用一個通訊埠來進行資料傳送, 而是要用兩個。 更甚的是其中一個通訊埠是次次不同的, 根本不可能預先在防火牆中設定。
有幸的是 Netfilter 所提供的狀態性機制能解決這個問題。 由於 FTP 的第二個通訊埠的連線, 是透過在埠21已建立的連線來建立, 所以可以利用狀態性機制去允許所有由已建立的連線所衍生出來的連線。
/sbin/iptables -t filter -A FORWARD -p tcp -s $INTERNAL_NET -d 0/0 --dport 21 -j ACCEPT
允許管理員以 SSH 連線到防火牆修改設定
最後, 開設一個通道給管理員以 SSH 連線到防火牆修改設定。 不然的話, 每當有設定要修改時, 管理員便要親身登入防火牆修改了。
/sbin/iptables -t filter -A INPUT -i $INTERNAL_NIC -s $INTERNAL_NET --dport 22 -j ACCEPT
最後的步驟
當設計好所有的規則和相應的 Script 後, 把所有的 Script 集合起來製成一個 Shell Script, 然後於 /etc/rc.d/rc.local 中加入執行該 Script 的命令。 這樣每次系統啟動時便會自動啟動防火牆。
Internet 連線分享
雖然以上的防火牆是基於有足夠的合法位址而設計, 但只須多加一規則便可以讓內部網絡以一個合法位址分享Internet 連線。
如果獲得一個固定的合法位址, 可以用:
$FIREWALL_IP=y.y.y.z # IP Address that can connect to Internet
/sbin/iptables -t nat -A POSTROUTING -o $EXTERNAL_NIC -s $INTERNAL_NET -j SNAT –to $FIREWALL_IP
如果位址是動態分佩的話, 則用:
/sbin/iptables -t nat -A POSTROUTING -o $EXTERNAL_NIC -s $INTERNAL_NET -j MASQUERADE
其實以上兩個規則,都是叫核心把由內部網絡所發出的封包內的來源位址, 先轉成防火牆的合法位址再送出 Internet。 只不過用 MASQUERADE 方法時, 因為要顧及動態位址分佩, 所以會比 SNAT 多用一點 CPU 資源。
總結
Linux 加上 Netfilter 的強大功能, 給予中小企一個低成本的防火牆的解決方案。 以保障企業的資源。 以上的範例雖已包含了一般防火牆的功能, 但單靠 Netfilter 是未能杜絕所有的入侵 (例如: 電郵病毒)的。 所以系統管理員仍是要綜合各種網絡保安的工具一起, 發揮最大的效能。
作者Isaac Chau
原文在 LinuxPilot 第 15 期刊登
postfix相關設定值
postfix相關設定值
suse.com Zone
suse.com IN MX 10 mail
mail.suse.com IN A 192.135.229.2
另一個
mail.geeko.idv.tw IN MX 10 mail
mail.geeko.idv.tw IN A 10 61.219.23.88
Postfix 的設定相關套件及設定檔
Daemon : postfix
Daemon 所需套件
>postfix-*rpm
Script:/etc/init.d/postfix
Post:25(smtp)
設定檔: /etc/sysconfig/mail
/etc/aliases
/etc/postfix/main.cf
/etc/postfix/*
Log檔:/var/log/mail*
post預設值設定檔
啟動時有兩種特性
一、只在127.0.0.1的port 25上面listen
inet_interfaces=127.0.0.1
此設定不接收其他工作端及另一部電腦的連結寄信
除非他自己連接到主機上面使用指令寄信。
建議改成all
或用指令 postconf -e 'inet_interfaces=all'
二、允許同一網段的主機可Relay信件
mynetwork_style=subnet
實務上面通常利用Postfix的mynetworks來限制允許relay的主機範圍
共有三總型態 mynetworks_style= class, subnet, host 預設是subnet
建議修改成 mynetworks=127.0.0.0/8 192.168.142.0/24
或用指令 postconf -e 'mynetworks=127.0.0.0/8 192.168.142.0/24'
可利用postconf指令看所有設定值內容
*************************************************************
*************************************************************
修改main.cf下列設定值
myhostname
就是這部mail server 主機名稱,注意要用FQDN表示方式
例如:myhostname=mail.geeko.idv.tw
mydomain
就是網域名稱
例如:geeko.idv.tw
可以用下面指令檢查設定值
mail:~#postconf mydomain
mydomain=geeko.idv.tw
建議可以直接在main.cf上面加上mydomain的設定值
以免預設值跟你的環境不符合
或用指令 postconf -e 'inet_interfaces=all'
建議修改成 mynetworks=127.0.0.0/8 192.168.142.0/24
或用指令 postconf -e 'mynetworks=127.0.0.0/8 192.168.142.0/24'
注意:同時設定mynetwork_style 跟 mynetworks 則 mynetworks會覆蓋mynetwork_style
myorigin
其預設值作為寄件者email@後面的字串 就是寄件者所在的主機,其預設值應為$myhostname
mydestination
是非常重要的參數 ,postfix利用它來判斷所收到的信件是否要視為本機信件
其預設值應包含$myhostname
///////////////////////////////////////////////////////////
可以直接執行下列指令 便可完成需求
postconf -e 'myhostname=mail.geeko.odv.tw'
postconf -e 'mydomain=geeko.idv.tw'
postconf -e 'inet_interfaces=all'
postconf -e 'mynetworks=127.0.0.0/8 192.168.142.0/24'
postconf -e 'myorigin=$myhostname'
postconf -e 'mydestination=$myhostname'
////////////////////////////////////////////////////////////
最後重新啟動postfix
rcpostfix start
並查看有無listen
netstat -tupln | grep:25
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 5932/master
tcp 0 0 :::25 :::* LISTEN 5932/master
另外記得啟動pop3 服務
qpopper
docvert
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
根據email原理
為了將geeko.idv.tw信件被送到mail.geeko.idv.tw
必須新增對應的MX RECOED
格式如下
geeko.idv.tw IN MX 10 mail
mail.geeko.idv.tw IN A 61.219.23.88
為了讓end user也可以使用 記得要 設定 geeko.idv.tw 加入A 紀錄
suse.com Zone
suse.com IN MX 10 mail
mail.suse.com IN A 192.135.229.2
另一個
mail.geeko.idv.tw IN MX 10 mail
mail.geeko.idv.tw IN A 10 61.219.23.88
Postfix 的設定相關套件及設定檔
Daemon : postfix
Daemon 所需套件
>postfix-*rpm
Script:/etc/init.d/postfix
Post:25(smtp)
設定檔: /etc/sysconfig/mail
/etc/aliases
/etc/postfix/main.cf
/etc/postfix/*
Log檔:/var/log/mail*
post預設值設定檔
啟動時有兩種特性
一、只在127.0.0.1的port 25上面listen
inet_interfaces=127.0.0.1
此設定不接收其他工作端及另一部電腦的連結寄信
除非他自己連接到主機上面使用指令寄信。
建議改成all
或用指令 postconf -e 'inet_interfaces=all'
二、允許同一網段的主機可Relay信件
mynetwork_style=subnet
實務上面通常利用Postfix的mynetworks來限制允許relay的主機範圍
共有三總型態 mynetworks_style= class, subnet, host 預設是subnet
建議修改成 mynetworks=127.0.0.0/8 192.168.142.0/24
或用指令 postconf -e 'mynetworks=127.0.0.0/8 192.168.142.0/24'
可利用postconf指令看所有設定值內容
*************************************************************
*************************************************************
修改main.cf下列設定值
myhostname
就是這部mail server 主機名稱,注意要用FQDN表示方式
例如:myhostname=mail.geeko.idv.tw
mydomain
就是網域名稱
例如:geeko.idv.tw
可以用下面指令檢查設定值
mail:~#postconf mydomain
mydomain=geeko.idv.tw
建議可以直接在main.cf上面加上mydomain的設定值
以免預設值跟你的環境不符合
或用指令 postconf -e 'inet_interfaces=all'
建議修改成 mynetworks=127.0.0.0/8 192.168.142.0/24
或用指令 postconf -e 'mynetworks=127.0.0.0/8 192.168.142.0/24'
注意:同時設定mynetwork_style 跟 mynetworks 則 mynetworks會覆蓋mynetwork_style
myorigin
其預設值作為寄件者email@後面的字串 就是寄件者所在的主機,其預設值應為$myhostname
mydestination
是非常重要的參數 ,postfix利用它來判斷所收到的信件是否要視為本機信件
其預設值應包含$myhostname
///////////////////////////////////////////////////////////
可以直接執行下列指令 便可完成需求
postconf -e 'myhostname=mail.geeko.odv.tw'
postconf -e 'mydomain=geeko.idv.tw'
postconf -e 'inet_interfaces=all'
postconf -e 'mynetworks=127.0.0.0/8 192.168.142.0/24'
postconf -e 'myorigin=$myhostname'
postconf -e 'mydestination=$myhostname'
////////////////////////////////////////////////////////////
最後重新啟動postfix
rcpostfix start
並查看有無listen
netstat -tupln | grep:25
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 5932/master
tcp 0 0 :::25 :::* LISTEN 5932/master
另外記得啟動pop3 服務
qpopper
docvert
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
根據email原理
為了將geeko.idv.tw信件被送到mail.geeko.idv.tw
必須新增對應的MX RECOED
格式如下
geeko.idv.tw IN MX 10 mail
mail.geeko.idv.tw IN A 61.219.23.88
為了讓end user也可以使用 記得要 設定 geeko.idv.tw 加入A 紀錄