因为android是基于linux系统, 所以必定有一个linux内核在运行. 这个linux on android项目就是让ubuntu运行到android的linux内核上(貌似是这样), 然后双系统同时运行.
官网: https://linuxonandroid.org/
安装非常方便, 不需要刷机.
先装一个apk的应用, 点击这个下载, 或者能上去sourceforge的去这里下载
然后下载ubuntu镜像, 我是下载的一个core版, 因为不需要桌面功能, 能用ssh登陆就满足我要求了, 正好笨猪要学php, 在她的手机上装上apache和php当迷你网站服务器用.
或者去sourceforge下载, 有很多发行版可选.
然后安装上app, 把镜像解压到sd卡里. 打开应用, 全是中文的, 可以读一下安装指南, 或者直接点击启动系统. 第一次配置一下镜像路径. 然后直接点启动就ok啦
前几天把pptp服务器搭上了, xen的vps就这点好处, 想怎么搞就怎么搞, 虽说贵了点. 在国内的话用pptp连外国网站快多了, 本身校园网烂得掉渣自己电脑更新系统基本上得一晚上(特别是国外源), psv更新更是…呵呵..呵呵..呵呵呵. 搭起来pptp之后反而会比之前快很多, 今天把psv系统更新到了3.0, 只需要15分钟. 真是让我这个更新狂魔泪流满面.
好吧, 进正题
基本上是综合了网上的做法, 不过网上的教程总有些漏, 有的没法加密, 有的登陆不上.
首先, 安装pptpd
1 | sudo apt-get install pptpd |
安装pptpd的同时会安装上ppp, 因为pptp在握手时使用ppp协议, 通讯时使用ppp协议(通过GRE协议在ip层上使用ppp).
之后分别对pptp和ppp进行配置.
这个文件为Sample Poptop configuration file(简单Poptop配置文件), 可以看见里面有6个TAG不过需要我们改动的只有最后的那一组
1 |
用来设置连接之后的本机地址和对端地址(指pptp服务器在pptp子网中的ip地址, 不要填写真正分配的因特网地址), 可以看见注释里有个(Recommended)的localip和remoteip, 是192.168的那个, 这两个地址没被用过的话, 直接取消注释用它就好了.
这个文件为PPP options文件, 其实这个文件在刚刚的pptpd.conf中的option tag指定了, 可以去看看, 还可以指定其他的文件当做PPP options. 首先看一下参数name(就是name xxx那一行), 看一下他后面的名字是什么, 一会儿要用, 我这里是name pptpd. 然后是一系列ppp协议的加密选项, pap和chap是明文传送密码的, mschap对内容不加密, mschap-v2配合上mppe可以进行对密码和内容的同时加密. 所以加密部分配置文件基本不用动:
1 |
|
但对于不想加密的同学, 想直接用chap登陆可以这样写:
1 | require-chap |
下面还有一行ms-dns设置成你喜欢的dns服务器吧我设置的是:
1 | ms-dns 114.114.114.114 |
还有最后, 至关重要的, 在文件最末尾加两行不明觉利的
1 | novj |
我还不懂这个是干嘛的, google没google到, 谁知道的可以告诉我.
打开文件/etc/ppp/chap-secrets这里存放chap加密方式的密码, 打开之后分四列, 第一列为用户名, 第二列填写刚刚第一步里, 那个name参数就行了, 我的是pptpd, 第三列是密码, 第四列是允许接入的ip, 允许所有ip填写*, 没列用Tab隔开就好了.
基本上ok了, 直接sudo /etc/init.d/pptpd restart吧
更新:
刚刚查了man pppd, 终于弄懂了那三行不明觉利的代码什么意思了
1 | novj Disable Van Jacobson style TCP/IP header compression in both the |
先看说明, 貌似就是有个叫Van Jacobson的, 他的压缩协议让我总上不了网, 只好把它关啦. 总之就是禁用TCP/IP头压缩和connection-ID压缩, 否则我的win7一直在登陆的最后一步断开连接.
linux下IPTABLES配置详解
如果你的IPTABLES基础知识还不了解,建议先去看看.
我们来配置一个filter表的防火墙.
1 | [root@tp ~]# iptables -L -n |
可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口.
如果你在安装linux时没有选择启动防火墙,是这样的
1 | [root@tp ~]# iptables -L -n |
什么规则都没有.
不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.
1 | [root@tp ~]# iptables -F # 清除预设表filter中的所有规则链的规则 |
我们在来看一下
1 | [root@tp ~]# iptables -L -n |
什么都没有了吧,和我们在安装linux时没有启动防火墙是一样的.(提前说一句,这些配置就像用命令配置IP一样,重起就会失去作用),怎么保存.
1 | [root@tp ~] |
这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.
1 | [root@tp ~]# service iptables restart |
现在IPTABLES配置表里什么配置都没有了,那我们开始我们的配置吧
1 | [root@tp ~] |
上面的意思是,当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃).应该说这样配置是很安全的.我们要控制流入数据包
而对于OUTPUT链,也就是流出的包我们不用做太多限制,而是采取ACCEPT,也就是说,不在着个规则里的包怎么办呢,那就是通过.
可以看出INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过.
这样设置还是挺合理的,当然你也可以三个链都DROP,但这样做我认为是没有必要的,而且要写的规则就会增加.但如果你只想要有限的几个规则是,如只做WEB服务器.还是推荐三个链都是DROP.
注:如果你是远程SSH登陆的话,当你输入第一个命令回车的时候就应该掉了.因为你没有设置任何规则.
怎么办,去本机操作呗!
首先添加INPUT链,INPUT链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链
为了能采用远程SSH登陆,我们要开启22端口.
1 | [root@tp ~]# iptables -A INPUT -p tcp –dport 22 -j ACCEPT |
(注:这个规则,如果你把OUTPUT 设置成DROP的就要写上这一部,好多人都是望了写这一部规则导致,始终无法SSH.在远程一下,是不是好了.
其他的端口也一样,如果开启了web服务器,OUTPUT设置成DROP的话,同样也要添加一条链:
1 | [root@tp ~]# iptables -A OUTPUT -p tcp –sport 80 -j ACCEPT ,其他同理.) |
如果做了WEB服务器,开启80端口.
1 | [root@tp ~]# iptables -A INPUT -p tcp –dport 80 -j ACCEPT |
如果做了邮件服务器,开启25,110端口.
1 | [root@tp ~]# iptables -A INPUT -p tcp –dport 110 -j ACCEPT |
如果做了FTP服务器,开启21端口
1 | [root@tp ~]# iptables -A INPUT -p tcp –dport 21 -j ACCEPT |
如果做了DNS服务器,开启53端口
1 | [root@tp ~]# iptables -A INPUT -p tcp –dport 53 -j ACCEPT |
如果你还做了其他的服务器,需要开启哪个端口,照写就行了.
上面主要写的都是INPUT链,凡是不在上面的规则里的,都DROP
允许icmp包通过,也就是允许ping,
1 | [root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP的话) |
允许loopback!(不然会导致DNS无法正常关闭等问题)
1 | IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP) |
下面写OUTPUT链,OUTPUT链默认规则是ACCEPT,所以我们就写需要DROP(放弃)的链.
减少不安全的端口连接
1 | [root@tp ~]# iptables -A OUTPUT -p tcp –sport 31337 -j DROP |
有些些特洛伊木马会扫描端口31337到31340(即黑客语言中的 elite 端口)上的服务。既然合法服务都不使用这些非标准端口来通信,阻塞这些端口能够有效地减少你的网络上可能被感染的机器和它们的远程主服务器进行独立通信的机会
还有其他端口也一样,像:31335、27444、27665、20034 NetBus、9704、137-139(smb),2049(NFS)端口也应被禁止,我在这写的也不全,有兴趣的朋友应该去查一下相关资料.
当然出入更安全的考虑你也可以包OUTPUT链设置成DROP,那你添加的规则就多一些,就像上边添加
允许SSH登陆一样.照着写就行了.
下面写一下更加细致的规则,就是限制到某台机器
如:我们只允许192.168.0.3的机器进行SSH连接
1 | [root@tp ~]# iptables -A INPUT -s 192.168.0.3 -p tcp –dport 22 -j ACCEPT |
如果要允许,或限制一段IP地址可用 192.168.0.0/24 表示192.168.0.1-255端的所有IP.
24表示子网掩码数.但要记得把 /etc/sysconfig/iptables 里的这一行删了.
-A INPUT -p tcp -m tcp –dport 22 -j ACCEPT 因为它表示所有地址都可以登陆.
或采用命令方式:
1 | [root@tp ~]# iptables -D INPUT -p tcp –dport 22 -j ACCEPT |
然后保存,我再说一边,反是采用命令的方式,只在当时生效,如果想要重起后也起作用,那就要保存.写入到/etc/sysconfig/iptables文件里.
1 | [root@tp ~] |
这样写 !192.168.0.3 表示除了192.168.0.3的ip地址
其他的规则连接也一样这么设置.
在下面就是FORWARD链,FORWARD链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链,对正在转发链的监控.
开启转发功能,(在做NAT时,FORWARD默认规则是DROP时,必须做)
1 | [root@tp ~]# iptables -A FORWARD -i eth0 -o eth1 -m state –state RELATED,ESTABLISHED -j ACCEPT |
我在前面只所以允许ICMP包通过,就是因为我在这里有限制.
1 | [root@tp rc.d]# iptables -t nat -L |
我的NAT已经配置好了的(只是提供最简单的代理上网功能,还没有添加防火墙规则).关于怎么配置NAT,参考我的另一篇文章
当然你如果还没有配置NAT的话,你也不用清除规则,因为NAT在默认情况下是什么都没有的
如果你想清除,命令是
1 | [root@tp ~]# iptables -F -t nat |
添加基本的NAT地址转换,(关于如何配置NAT可以看我的另一篇文章),
添加规则,我们只添加DROP链.因为默认链全是ACCEPT.
防止外网用内网IP欺骗
1 | [root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -j DROP |
如果我们想,比如阻止MSN,QQ,BT等的话,需要找到它们所用的端口或者IP,(个人认为没有太大必要)
例:
禁止与211.101.46.253的所有连接
1 | [root@tp ~]# iptables -t nat -A PREROUTING -d 211.101.46.253 -j DROP |
禁用FTP(21)端口
1 | [root@tp ~]# iptables -t nat -A PREROUTING -p tcp –dport 21 -j DROP |
这样只禁用211.101.46.253地址的FTP连接,其他连接还可以.如web(80端口)连接.
按照我写的,你只要找到QQ,MSN等其他软件的IP地址,和端口,以及基于什么协议,只要照着写就行了.
最后:
drop非法连接
1 | [root@tp ~]# iptables -A INPUT -m state –state INVALID -j DROP |
允许所有已经建立的和相关的连接
1 | [root@tp ~]# iptables-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT |
这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.
1 | [root@tp ~]# service iptables restart |
别忘了保存,不行就写一部保存一次.你可以一边保存,一边做实验,看看是否达到你的要求,
上面的所有规则我都试过,没有问题.
写这篇文章,用了我将近1个月的时间.查找资料,自己做实验,希望对大家有所帮助.如有不全及不完善的地方还请提出.
因为本篇文章以配置为主.关于IPTABLES的基础知识及指令命令说明等我会尽快传上,当然你可以去网上搜索一下,还是很多的.
转自:https://www.cnblogs.com/JemBai/archive/2009/03/19/1416364.html
netstat 命令解释
对于一条给定路由, 有五种不同的Flag:
U 该路由可以使用
G 该路由是到一个网关(路由器). 若没有此标志, 说明目的地址为直接连接的.
H 该路由是到一个主机, 既目标地址是完整的主机地址而不是网络地址. 如果没有该标志, 说明该路由是到一个网络,
所以目的地址是一个网络地址(网络号 + 子网号 + 0)D 该路由是有重定向报文创建的.
M 该路由已被重定向报文修改
其中G和H比较重要:
G区分了直接路由和间接路由, 对于直接路由, 发往直接路由的分组不仅有目的端的IP, 还有目的端的链路层地址. 但对于间接路由, 当分组被发送到间接路由时, IP地址指明的是最终目的地, 但链路层地址指明的是网关(下一站路由).
H说明了目的地址是一个完整的主机地址, 没有设置H则说明目的地址是一个网络地址(主机号为0), 当搜索路由表时, 主机地址必须与目的地址完全匹配, 而网络地址只需要匹配网络号和子网号.
关于 netstat 和 iptables 的用法
1 | sudo netstat -tnlpu | grep pptpd |
显示程序名和端口号
-t :显示tcp
-u :显示udp
-n :不反向解析ip
-l :显示监听套接字
-p :显示程序名(需root)
完整用法:
usage: netstat [-vWeenNcCF] [
] -r netstat {-V|–version|-h|–help}
netstat [-vWnNcaeol] […] netstat { [-vWeenNac] -i | [-cWnNe]
-M | -s }-r, –route display routing table
-i, –interfaces display interface table
-g, –groups display multicast group memberships
-s, –statistics display networking statistics (like SNMP)
-M, –masquerade display masqueraded connections-v, –verbose be verbose
-W, –wide don’t truncate IP addresses
-n, –numeric don’t resolve names –numeric-hosts don’t resolve host names –numeric-ports don’t resolve port names –numeric-users don’t
resolve user names
-N, –symbolic resolve hardware names
-e, –extend display other/more information
-p, –programs display PID/Program name for sockets
-c, –continuous continuous listing-l, –listening display listening server sockets
-a, –all, –listening display all sockets (default: connected)
-o, –timers display timers
-F, –fib display Forwarding Information Base (default)
-C, –cache display routing cache instead of FIB
={-t|–tcp} {-u|–udp} {-w|–raw} {-x|–unix} –ax25 –ipx –netrom =Use ‘-6|-4’ or ‘-A ’ or ‘– ’; default: inet List of
possible address families (which support routing): inet (DARPA
Internet) inet6 (IPv6) ax25 (AMPR AX.25) netrom (AMPR NET/ROM) ipx
(Novell IPX) ddp (Appletalk DDP) x25 (CCITT X.25)
1 | sudo iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -o eth0 -j MASQUERADE |
开启nat
具体见这里
上次用虚拟机建立NAT 曲线共享上网的经历忘了记录了
首先主机连上学校的2B校园网
然后ubuntu server虚拟机装两个网卡, 一个是正常nat上网, 另一个为桥接网卡
/etc/network/interfaces 大概这样写
一个为上网的出口, 一个桥接到校园网的局域网内, 做NAT服务器
之后修改/etc/sysctl.conf文件
将net.ipv4.ip_forward= 1的注释删掉
否则内核如果读取的目的地址不是本机ip但目的mac地址为本机的数据包(路由数据包)将会直接丢弃
然后加载iptables和nat模块
1 | sudo modprobe ip_tables |
如果没安装iptables先执行
1 | sudo apt-get install iptables |
之后执行
1 | sudo iptables -F -t nat #清空所有规则 |
然后调用
1 | sudo iptables-save -c /home/zzz/iptables.save |
把刚刚配置的写入一个文件中, 下次开机只需调用
1 | sudo iptables-restore -c /home/zzz/iptables.save |
就ok了, 可以把modprobe那两句 和restore放到rc.local里 每次开机自动执行
https://www.cnblogs.com/JemBai/archive/2009/03/19/1416364.html
https://oa.jmu.edu.cn/netoa/libq/pubdisc.nsf/66175841be38919248256e35005f4497/7762e8e1056be98f48256e88001ef71d?OpenDocument
参考两篇文章
今年寒假前买的MK808 感觉用来做迷你服务器简直神器, 性能比树莓派要高, 价格却是二分之一. 上次装系统时还不怎么懂linux服务器配置, 基本是照着wiki step by step的来. 这次有了自己租服务器的几个月经验, 养成了一些好习惯, 自然感觉原来装的系统各种不爽. 于是今天下午有时间从头来过一边.
几个重要点先记录一下 以免遗忘:
1 | depmod -a #仅第一次使用即可 |
很麻烦, 所以在网上找了个办法, 编辑/etc/rc.local文件, 在后面加上上面那几句话即可. 每次开机前会自动执行.
1 | wpa-ssid 你的wifi名字 |
每次更改这个文件之后需要
1 | service networking restart |
来重启网络, 不过发现改个ip什么的可以直接在ssh下进行, 网不会断掉
1 | echo 0 > /proc/sys/kernel/hung_task_timeout_secs |
所以说也把他放在/etc/rc.local里吧
1 | sudo cp shareAsia/ShangHai localtime |
大致就这样 洗澡去
详细可参考这两篇文章:
https://www.cnblogs.com/Jedimaster/archive/2013/04/12/3016312.html
https://www.miniand.com/wiki/Optional-Upgrading+your+PicUntu+installation+to+RC3
