限制Linux对外连线的埠口portnumber.PPT

網路伺服器應用 Linux Server Andres, Wen-Yuan Liao Department of Computer Science and Engineering De Lin Institute of Technology andres@.tw .tw/~andres Chapter 7 限制 Linux 對外連線的port number 三段式交握(Three-Way Handshake) 每一個 TCP 連線都必須由一端發起請求 client隨機選擇大於 1024 以上的 port 號來進行 如果另一端(Server) 接受這個請求的話，則會向請求端送回整個連線的第二個封包 特殊的服務需要以特殊的 port 來進行，例如 FTP 的 port 21 封包設定SYN, ACK 旗標，並同時時在本機端建立資源以待連線之需 請求端獲得服務端回應封包之後，必須再回應對方一個確認封包 封包只帶 ACK 旗標 只有當服務端收到請求端的ACK 封包之後﹐兩端的連線才能正式建立 port 經過三向交握之後，client 端的 port 通常是高於 1024 的隨機取得的 port 主機端則視當時的服務是開啟哪一個 port 而定: WWW : 80 FTP : 21 port : 1 ~ 65535 root 可以使用(保留給系統來使用): 1 ~ 1023 一般的使用者:大於 1024 /etc/services netstat 觀察port -a -n -p 關閉或啟動一個埠口 : daemon daemon :系統服務 /etc/rc.d/init.d/ Stand-alone daemon ***d telnet vsftpd …… Super daemon xinetd Stand-alone daemon /etc/rc.d/init.d/* 以 RPM 安裝套件時，一定會存在的目錄 記錄所有服務的啟動之 scripts syslog daemon /etc/rc.d/init.d/syslog start service syslog start /etc/rc.d/init.d/sendmail start Super daemon 掛在 xinetd 這個supper daemon服務底下的服務套件 FTP, Telnet, POP3, IMAP /etc/rc.d/init.d/xinetd daemon script /etc/rc.d/init.d/xinetd restart /etc/xinetd.conf xinet daemon configure /etc/xinetd.d/* xinet daemons 關閉或啟動一個埠口 setup 系統必備的服務項目 atd, cron, iptables, keytables, network, random, syslog, xinetd reboot * * 服務名稱　　　port 號　　　常見套件名稱　　　　　　　建議 ====================================================================== ftp　　　　　 21　　　　　 Wu-ftp, proftp　　　不要開放 telnet　　　　23　　　　　 telnet　　　　　　　不要開放 smtp　　　　　25　　　　　 sendmail, postfix　 除非必要，不然不要啟動 http　　　　　80　　　　　 apache　　　　　　　除非必要，不然不要啟動 pop3　　　　 110　　　　　 imap 　　　　除非是 mail 主機，不然不要開放 netbios-ssn　139　　　　　 SAMBA　　　　　　　 除非必要，不然不要啟動 squid　　　 3128　　　　　 squid　　　　　　　 除非必要，不然不要啟動 mysql　　　 3306　　　　　 MySQL　　　　　　　 除非必要，不然不要啟動