Linux 小知识翻译 - 「端口限制」

上次说了端口号相关的内容,这次聊聊「端口限制」的事。

经常看到关于安全的书籍上会说「不要开放多余的端口」,那么,如何限制端口才好呢?

实际,端口限制的方法大体上分的话有2种。

其一,「通过应用程序来处理」。试着一下考虑「打开端口」本来是怎么一回事。比如,启动Apache之类的Web服务程序的时候,(如果没有特别的设置)会打开Well known ports中的80号端口,

然后通过80号端口开始等待通信。

所以,如果关闭了服务端应用程序的话,端口也会自动被关闭。「不要开放多余的端口」也就是「不要启动多余的应用程序」。

其二,「限制通信」。代表性的方法就是「过滤数据包」。通过「过滤数据包」,可以实现关闭特定端口的通信,特定IP的通信。

Linux中的「iptables」命令就可以过滤数据包。通过iptables命令,可以详细的指定拦截何种通信,所以可以实现「拦截某个主机的特定端口」。

调查「哪个端口是打开的」?可以使用「netstat」,「lsof」,「nmap」等命令。这里不再介绍这些命令的详细信息,简单来说:

通过「netstat」和「lsof」可以知道「本机上打开了哪些端口?」

通过「nmap」可以知道「其他主机上打开了哪些端口?」

过滤数据包的时候,需要注意的是通过netstat和lsof命令来看,有时候端口是空闲的。

Linux 小知识翻译 - 「端口限制」

时间: 2024-10-08 12:55:10

Linux 小知识翻译 - 「端口限制」的相关文章

Linux 小知识翻译 - 「端口和端口号」

这次说说「端口」和「端口号」. 平时经常会听人说「打开了80号端口」,为了安全「不要打开多余的端口」等等.那么,这里的端口或者端口号是什么呢? 首先,「端口」是TCP或者UDP上使用的概念,经常被比喻成「窗口」.而且,端口号也被比喻成窗口编号. 举个例子,比如去邮局汇款时,并不是每个窗口都可以汇款的,只有特定的窗口才能办理汇款业务.所以,每个窗口都会编号. 端口号和上面的情况类似,比如,Web服务器通过HTTP接受通信的时候,是通过Web服务器的80号端口来通信的. 同样,SMPT使用25号端口

Linux 小知识翻译 - 「桌面环境」

这次聊聊桌面环境. 上次聊了 X Window System 相关的内容,虽然令人意外,但X Window System 和桌面环境不是一回事.请大家稍微考虑一下. X Window System 是指提供GUI环境的软件或者协议.与之相对,「桌面环境」是指工具栏,图标,窗口管理器,桌面管理器等等各式各样软件组合起来的GUI软件包. 换句话说,就是「使用桌面所必需的软件的集合」. 有名的桌面环境有「GNOME」和「KDE」.最近,很多Linux的发行版并不关心使用的桌面环境是「GNOME」还是「

Linux 小知识翻译 - 「邮件服务器」

这次聊聊「邮件服务器」. 邮件服务器上通常会运行2个服务端软件,「SMTP服务器」和「POP服务器或者IMAP服务器」. 这2个东西,也许使用邮件客户端的人立马就明白了.因为设置邮件客户端的时候,需要指定「发信服务器」和「收信服务器」. 这2个服务器是同一个的情况虽然也不少,但是一般指定「发信服务器」或者「收信服务器」的时候,都是指「发送邮件的服务端软件」和「接收邮件的服务端软件」. 发送邮件时,发送邮件的路线简单表示如下: 即,发邮件的客户端使用SMTP(Simple Mail Transfe

Linux 小知识翻译 - 「动态DNS」(DDNS)

这次聊聊「动态DNS」. DNS上周已经介绍过了,就是提供主机名和IP地址对应关系的结构.「动态DNS」是对主机名和IP地址的对应关系提供动态管理的结构. 以前的DNS没有考虑IP地址变化的情况.但是,在使用DHCP来分配IP地址的网络中,IP地址经常发生变化.因此,相同的主机名每次都会指向不同的主机. 使用刚才提到的「动态DNS」,即使IP地址发生变化,主机名和变化了的IP地址也会自动对应起来. 动态DNS经常被用在个人的服务器中.大多数的宽带线路中,面向个人的都是从供应商处动态分配的IP地址

Linux 小知识翻译 - 「TCP/IP」

上次说了「协议」相关的话题,这次专门说说「TCP/IP」协议. 这里的主题是「TCP/IP」到底是什么?但并不是要说明「TCP/IP」是什么东西,重点是「TCP/IP」究竟有什么意义,在哪里使用「TCP/IP」.这正是之前没有提到的内容. TCP或IP,根据上次的介绍,都是协议,也就是通信时的规则.但是,「TCP/IP」很容易被误解,因为TCP/IP并不是单独的一个协议,而是一系列协议的集合,目前是作为互联网的标准被使用的. 上次也说了,单独一个协议是没法完成通信的.只有多个协议一起使用,才能完

Linux 小知识翻译 - 「DNS服务器」

这次聊聊「DNS服务器」. DNS(Domain Name System)服务器,也被称为域名服务器. 因为使用互联网的时候,必须要指定DNS服务器,所以你一定听过DNS这个名字吧. 那么,这个DNS服务器是干啥用的呢? 通过互联网连接其他主机的时候,用户一般会输入类似「www.lpi.or.jp」这样的主机域名. 这种域名对用户来说很好理解.但是计算机是通过「202.218.212.222」这样的IP地址来识别网络的主机的. DNS服务器的任务就是建立这种域名和IP地址的对应关系. 粗略来说,

Linux 小知识翻译 - 「架构 续」(arch)

上次,从「计算机的内部构造」的角度解释了架构这个术语.这次,介绍下架构中经常提到的「i386架构」及之后的「i486」,「i586」. 安装Linux的时候,很多人即使不了解但也会经常听到i386架构这个词.因此,会误认为「自己的PC的架构是i386架构的」.现在用i386的人是非常少的. i386的 i 就是「Intel」的首字母.i386是1985年发布的架构,那么如今还在用i386电脑的人... ...将近20年没有换过电脑了.(这篇文章应该是作者2005年左右写的) 实际上i386的CP

Linux 小知识翻译 - 「syslog」

这次聊聊「syslog」. 上次聊了「日志」(lgo).这次说起syslog,一看到log(日志)就明白是怎么回事了.syslog是获取系统日志的工具. 很多UINIX系的OS都采用了这个程序,它承担了「获取系统全部的日志」这个维持系统正常运行的重要任务. syslog的本体是「syslogd」这个daemon(一般翻译成守护进程),常驻内存中获取日志. syslog的特点是可以通过配置文件「/etc/syslog.conf」,对「哪种应用程序?哪种重要度的信息?记录在哪个文件中?」等进行细致的

Linux 小知识翻译 - 「日志」(log)

这次聊聊「日志」. 「日志」主要指系统或者软件留下的「记录」.出自表示「航海日志」的「logbook」. 经常听说「出现问题的时候,或者程序没有安装自己预期的来运行的时候,请看看日志!」. 确实,记录了系统和软件详细运行情况的「日志」是信息的宝库,通过日志来解决问题的事例也非常多. 但事实上,「无论如何也不会看日志」的用户也有很多.理由很简单,日志的信息量非常大,全部用眼睛来看的话是非常吃力的. 而且,英语写的日志也会让英文不好的人敬而远之. 虽说「要养成用眼睛来看日志的习惯」,但实行起来却非常