郁闷的乖牛牛
100 牛头人 战士
如题，以前一直用单位的笔记本玩得好好的，这周星期一上班后无法连接服务器，笔记本带回家就能连接，在单位就连接不上，郁闷死了，各种重启，重装系统，无用，现肯定是单位网络封IP了，求解决办法啊，上班太无聊了啊
建议您可以和您单位的相关人员咨询下哦
郁闷的乖牛牛
100 牛头人 战士
你回复了等于没回复
该主题由璀璨湛蓝在日 15:14 CST编辑过
因为您这个是本地网络的问题呢 我们这里无法帮您
暴力威胁。我们将严肃对待此类行为，并会上报有关部门。
发布的主题中包含其他玩家的个人信息。包括实际地址、邮箱地址、电话号码及不当的照片和/或视频。
骚扰或歧视性用语。此类言辞将不允许出现。
现实生活中的威胁
失效的链接
阐述理由(最多256字)< - 传奇开区信息发布|搜服5203
１.７６老炮精品
１.７６倚天精品
今日/8点开放
新版活人500+
免费泡级◆元宝好打◆倚天好爆◆新技能-推荐
１．８０星王合击
１小时?星王２套
今日/8点开放
新区10倍暴率
15分战神套●30分星王套◆60分打极品套-推荐
１９５金牛无内功
１?９５荣耀终极
今日/9点开放
１００％封挂
终极保值无合成 免费泡满级 散人服-推荐
◆◆１８０战神特戒
１８０复古一区◆◆
今日/9点开放
ＲＭＢ秒回收
◆◆运９免费◆小极品+4+5◆开天战神狂暴◆◆-推荐
１?９５神龙合击
新版本妫鼻
今日/9点开放
195神龙合击
}{y散人多地图多ＰＫ超爽y{}-推荐
单职业●霸刀迷失
u首区u开放
今日/10点开放
●新版一区●
全新地图→终极狂暴→散人好混→boss-推荐
>>1.85王者合击
今日/10点开放
升级双重奖励
终极好打u在线回收u装备遍地u散人F-推荐
●●●７６微首区
●道法超猛●●●●
今日/10点开放
●高清画面●
原创新微变●剧情副本●一切靠打●主打BOSS●-推荐
仙界灵猴岜
春节期间双倍充值
今日/10点开放
──０秒地丁─满级好升─终极狂爆──-推荐
⒈７６梁山小极品
新版１区刚开１秒
今日/11点开放
无坑爹全免费
７６小极品＋４.道法超猛.１个怪爆９件-推荐
神衍单职业
今日/11点开放
⊙单职业新⊙
全新第七季◆PK爽◆爆率超高◆拒绝快餐-推荐
１８５╊玉兔主宰
新版本◆刚开一秒
今日/11点开放
１００％封挂
小怪爆狐月?神龙?送RMB红包?在线回收-推荐
◆复古我本沉默◆
今日/12点开放
【神器法宝】?【特色官职】?【疯狂道士】-推荐
超变传奇65535
上线99999W级
今日/12点开放
只卖会员＼+亿万攻击＼无补丁-推荐
新‖单职业?７６
大极品‖９９９９
今日/13点开放
单职业BUFF
大极品（７６裁决＋９９９９）独家单职业●-推荐
━━━千骨迷失
主打BOSS━━
今日/13点开放
[封挂?双线]
━━━无合成?主打BOSS?全部靠打━━-推荐
１?８０战神狂雷
复古无英雄
今日/13点开放
无元素无特戒
70级封顶v元宝好打v无合成v装备靠打-推荐
鸿蒙迷失●单职业
鸿蒙首区●九f纪
今日/13点开放
元宝免费送
●鸿蒙野外●主打BOOS,一切靠打●最新-推荐
━━８０火龙复古
主打BOSS━━━━
今日/13点开放
１００％封挂
今y日y首y区跪求体验十分钟-推荐
超超超超超超超变
今日/13点开放
◆Ｎew超变◆
◆1000亿血?10000倍攻击?1秒65535级-推荐
独家神器斜
ⅡuＮewu首区Ⅱ
今日/13点开放
→2015重磅来袭╊草根消费╊１０元土药-推荐
1.76精品一区
今日/13点开放
散人好混装备好打不花钱也终极-推荐
正版授权品牌大服
今日/13点开放
独家特色地图
赤月顶级＼特戒好爆＼冲级奖特戒-推荐
韩版T雷霆②合①
雷霆②合①
今日/13点开放
１１月最新━
韩版雷霆龙影帝王◆二合一-推荐
◆８５永生微变◆
免费泡点到?满级
今日/13点开放
★激情千人火
不进你后悔无合成装备遍地爆不带-推荐
１?９５神龙合击
新版本妫鼻
今日/14点开放
195神龙合击
}{y散人多地图多ＰＫ超爽y{}-推荐
１７６天马小极品
〓冲级奖励丰富〓
今日/14点开放
极品爆率高.最高+６--小油喝幸运７.超-推荐
１╊８５主宰玉兔
◆独家新版玉兔◆
今日/14点开放
◆１００％封
uvBOSS多靠打●小怪爆狐月神龙●在线-推荐
１●８５热血合击
１８５●首战一区
今日/15点开放
１１月首区封
━━━━２０１５最新热血合击━━━━-推荐
╊１７６热血微变
╊７６散人微变╊
今日/15点开放
１００％封挂
１７６散人微变＼万人大服＼官方授权＼-推荐
秒杀神器迷失
今日/15点开放
5分钟2套终极
送隐身模式99-推荐
１◆８５传奇玉兔
uv重金首区uv
今日/15点开放
ＶＩＰ?双线
╊独家原创╊无补丁╊三职业平衡╊散人-推荐
″苍穹神器″微变
″１切全爆″Boss
今日/17点开放
中变最强版本
●无合成●全靠打●战Boss●爆神器●-推荐
１８Ｏ天佑星王
１８Ｏ合击①区
今日/17点开放
８０无合成终极狂爆①小时终极赞-推荐
１．７５盟玛复古
赤月上面只加一套
今日/13点开放
T长期T稳定
╊T非金币T非合击T非精品T全新版本-推荐
暗夜魔神┉轻微变
１区v你没玩过的
今日/17点开放
vBOSS成群v必爆终极v不花钱一样当爷-推荐
╊威震三界╊中变
激情中变╊╊╊╊
今日/17点开放
老板多美女多
１魄酥斜洹羧峦娣è◆◆-推荐
!!１丶７６新微变
傲天微变◆第一季
今日/19点开放
◆官方授权◆
◆７６特色微变◆首站开放◆独家上市◆-推荐
弑神天下◇至尊
╊激╊情╊火╊爆
今日/19点开放
一切免费到底
终极狂暴◆免费顶级◆超高回收◆PK给力-推荐
１＼９６黄金皓月
１◆９６独家皓月
今日/19点开放
免费合成＼免费转生＼免费进图＼长久稳-推荐
１●８５王者合击
━━８５首区━━
今日/19点开放
z无赞助无封
★TT８５合击★装备靠打★在线回收T-推荐
１８５雷霆②合①
◆狂爆⑦⑧极品◆
今日/19点开放
极品雷霆二合一?BOSS爆+6+7+8-推荐
１．７５绿色盟玛
绿色盟玛复古首区
今日/21点开放
ＶＩＰ◆双线
━━━━━━１．７５盟玛复古━━━━-推荐
１７６耐玩大极品
T你肯定没玩过T
今日/21点开放
uu顶级双线
狂暴屠龙+88u长期服u耐玩无特戒-推荐
新服【一区】
今日/21点开放
终极剑甲都爆
终极保值无合成元宝好打专为散人-推
１８５独家合击
今日/21点开放
８５新版合击人山人海装备全爆推荐
１、７６烽火精品
１、７６散人精品
今日/21点开放
◆全国双线◆
７６泡点精品◆＋５＋６＋７精品满地爆-推荐
１．８５金牛合击
８５金牛合击一区
今日/23点开放
●强力封挂●
全新金牛在线回收装备全爆-推荐
◆蛮荒微变◆
◆真实首区◆
今日/23点开放
◆主打BOSS◆
◆2016提前泄密◆全新玩法◆散人好混◆-推荐
!!新款梁山轻变
※真１区爽爽爽※
今日/23点开放
T仅此一家TT新感觉TT轻变长期服-推荐
火爆人气斜
真正免费虑
今日/23点开放
埃乖滦掳妯兰抑斜洙-推荐
!!不败神话U中变
今日/23点开放
告别老版中变
★无金刚石★无积分★长久稳定★免费玩★-推荐
!!蝴蝶◆擎微变
独家新版◆◆首区
今日/24点开放
新区十倍爆率
◆爆率超高◆无合成◆全靠打◆散人好混◆-推荐
180倾城倾国合击
最新版◆首区
今日/24点开放
赞助封号可打
不是一区请退服氨溉绝对首区-推荐
※凤皇″轻微变″
新玩法新首区
今日/24点开放
无跨服?双线
{免费玩终极{一切靠打全爆{散人赚钱-推荐1、第四部分第四课：分析，隔离防火
2、第四部分第五课：源码编译，安装便利
分析网络，隔离防火
俗语说得好：爱国爱家爱师妹! &防火防盗防师兄！
虽然说，本身很，至少比安全多了。你看Linux发行版哪有安装杀毒的，同样基于修改的Unix系统的的Mac OS系统也几乎不需要装杀毒软件。
如果Windows不装个杀毒软件，简直不好意思出门跟别人打招呼（日常黑Windows任务完成 :P）。开个玩笑啦，Windows是很好的系统，小编也使用Windows系统的。
不过，在网络上穿行，还是小心为妙。毕竟网上有不怀好意的黑客（或普通人），想方设法获取我们的隐私，或者控制我们的。
这一课很重要，我们来学习几个厉害的命令，能帮助我们分析网络，再来学习如何使用轻量级的。
我们一起学习经由电脑的网络通信是怎么回事。事实上，当你的电脑连接到（）时，总会有那么一些电脑里的软件会连上网，然后下载或上传信息，很多时候还是偷偷地在后台进行。
如何监控此等“大逆不道”的行径呢？如何知道哪个软件正在与网络通信，在哪个端口上进行呢？就是本课要探究的。
还有，懂得配置防火墙是很必要的，不管是在你的家用电脑上还是在你租用的上。因为这能有效保护电脑，免得一些软件未经你同意就和互联网交换信息。使用防火墙是一个重要的安全防护措施，特别是每个系统（ Administrator）更是不能逃避，总要学习。
好了，废话了这么多，开篇入正题吧。
希望你们没有嫌我啰嗦，真的不要... 如果你嫌我啰嗦，你要说出来，你不说出来，我怎么知道你嫌我啰嗦呢？如果你说出来了，但是不够大声，那也是不行的，不大声我听不清楚啊...
（好了，好了，不要再扔鸡蛋了... 你，说的就是你啦，还拿了一个番茄准备扔诶，要不要辣么夸张）要跨年（）了，就原谅小编顽皮一次吧。
大家2016加油啊！要做T型人才噢~
host和whois命令：告诉我你是谁
我们已经知道，每台连上网的电脑都会被一个所标识，这个IP地址是全球唯一的。
目前，大多数的IP地址是这样的形式：
96.172.150.23
这样的形式被称为IPv4&#26684;式（以小数点分隔）。IP就是Internet Protocol（网际协议），v是（版本）的首字母，4表示这是版本四。
不过，因为IPv4的地址不够用的关系，现在已经有不少IP地址的&#26684;式是IPv6的&#26684;式了，已有的IPv4地址也被慢慢替换成IPv6。IPv6的IP地址类&#20284;这样：
fa80::109:62fa:cb80:29d2
上面的是简写形式（两个冒号::用于合并连续的几组0），完整的形式是：
fa80:00:0109:62fa:cb80:29d2
以冒号分隔的8组4位的16进制（也就是8组16位，因为2的4次方是16），所以 8 * 16 = 128
IPv6把 IP 地址由IPv4的32 位（4个2的8次方，4 * 8 = 32）增加到 128 位。
2的32次方是42亿多一点。随着互联网的快速成长，IPv4的42亿个地址的分配最终于日用尽。而IPv6的128位可以提供的IP地址数量可达3. × 10^38个，届时每个人家居中的每件电器，每件对象，甚至地球上每一粒沙子都可以拥有好几个IP地址。根本用不完，IP多就是这么任性。
我们可以为每一个IP地址绑定一个主机名，主机名的英语是host name。
这里的主机名其实应该被称为完整主机名： Fully Qualified Domain Name (FQDN)，是由主机名（host name）和域名（domain name）一起构成。我们一般会用主机名或域名来代称FQDN，其实不是那么准确。
（domain name和host name是不同概念，有点小复杂，可以去看看《鸟哥的Linux私房菜》的对应课程，讲得非常通俗易懂：http://linux.vbird.org/linux_server/0350dns.php）
例如，员联盟的服务器的完整主机名是，这里的www是主机名，是域名。对应的IP地址是58.96.181.197
下面我们会用主机名或域名代指FQDN了。
相比于记忆一串数字（IPv4）或数字&#43;字母（IPv6）的IP地址，人脑更擅长记住主机名。如下图，IP地址和主机名对应：
IP地址和主机名的互相转换
使用host（host是英语“主机”的意思）这个命令我们可以实现IP地址和主机名的互相转换，例如：
（或 host ）会得到IP地址：
58.96.181.197
而host 58.96.181.197则会得到主机名
host命令的其他参数选项，可以用man host来查考。
自定义解析
IP地址和主机名的解析是由DNS（Domain Name System，域名解析系统）服务器完成的。我们不深入了解DNS的具体了，半天解释不完，可以看上面给出的鸟哥的链接里的内容。
因此，当你在的地址栏里输入 时，你就能收到由网络上的DNS服务器帮你解析出来的IP地址，你就可以访问联盟的官网了。
你当然不能修改DNS服务器上的主机名和IP地址的对应关系列表（因为有风险，会影响到很多人）。但是你可以自定义你电脑上主机名和IP地址的对应关系。
以root身份打开/etc/hosts 文件：
sudo&nano&/etc/hosts
可以看到一些IP地址和主机名的对应关系，例如：
127.0.0.1 对应了
127.0.1.1 对应了oscar-laptop，就是小编电脑的主机名
下面还有一些IPv6&#26684;式的IP地址。
你可以往里面添加自己的解析对。写在一行里，在IP地址和主机名之间至少要留一个空&#26684;。
那么自定义IP地址和主机名之间的解析关系，有什么用呢？
当然有用，有的时候，网络上负责解析域名的DNS服务器可能暂时出现故障（很少见），那这时你在地址栏直接输入IP地址可以访问对应，但是输入主机名（域名）则不能访问了，因为没有DNS服务器解析，域名是不能被识别的。
这时，你自定义在本地Linux系统的/etc/hosts文件中的解析规则就可以发挥作用了。你还是可以访问网站。
例如你可以加一条程序员联盟网站的解析对：
58.96.181.197 & &
但是这样的方法也有缺陷：假如你的主机的IP地址换了，那你输入域名就不能上那个网站了。所以，一般来说，我们还是靠经常更新解析对的网络上的DNS服务器更好（一般一天更新一次）。
对于，这个host文件也是很有用的。
例如在自己家里建立的局域网里面，有你的电脑，还有你老爸的电脑。那你不想记住老爸的电脑的IP地址，怎么办呢？可以添加一条解析对，例如：
192.168.0.7 & & father-laptop
这样，老爸的电脑的IP地址对应的主机名在你这里就成为father-laptop了，你就可以更方便地访问老爸的电脑。
例如，如果在老爸的电脑里你有一个账户叫oscar，那么用之前学的SSH来登录老爸电脑上的oscar账户，就是：
ssh oscar@father-laptop
就不用输入：
ssh oscar@192.168.0.7
whois：了解有关域名的信息
whois这个命令很好记，由who和is两部分组成，who是英语“谁”的意思，is是英语“是”的第三人称单数形式。所以连起来表示：是谁
每一个域名在登记注册时都须要填写：姓，名，联系地址，联系方式，等等。这是规定。
whois命令就可以帮助我们轻松获得域名背后的这些信息
可以选一个主机名来试试，例如：
你就有小编的邮寄地址啦，要送我新年&#31036;物就赶紧哦。哈哈，开玩笑的~
ifconfig和netstat命令：控制和分析网络流量
我们接着学习两个非常强大的命令：ifconfig和netstat。
ifconfig：列出网络
ifconfig是linux中用于显示或配置网络设备（网络接口卡）的命令，英文全称是（）
Configuration。if是Interface的缩写，表示“接口”；configuration是“配置”的意思。
一般来说，你的电脑拥有好几个网络接口，也就是说有多种连接网络的方式。
运行ifconfig命令，显示如下：
在小编的电脑上显示有三个网络接口，分别是：
eth0，lo，0
在你的电脑上可能网络接口多于三个，也可能少于三个，本不足为奇，取决于你电脑的设备。幸好小编的电脑的三个网络接口都是最常见的三个，详述如下：
eth0：对应有线连接（对应你的有线网卡），就是用网线来连接的上网（一般是RJ45网线，见下图），如果你的电脑目前使用网线来上网，那就是在使用这个接口。有些电脑可能同时有好几条网线连着（有好几个有线接口），例如服务器，那么除了eth0（第一块有线网卡），你还会看到例如eth1，eth2，等等。
lo：本地回环（Local Loopback，对应一个虚拟网卡）。可以看到它的IP地址是127.0.0.1，&#20284;曾相识是吗？对啊，之前我们在/etc/hosts文件中看到对应localhost的就是这个IP。每台电脑都应该有这个接口，因为它对应着连向... 自己的链接。这也是我们称之为本地回环的原因：所有经由这个接口发送的东西都会回到你自己的电脑。看起来好像并没有什么用，但是有时为了某些缘故（可以继续探究），我们需要连接自己。例如用来测试一个网络程序，但又不想让局域网或外网的用户能够查看，只能在此台主机上运行和查看所用的网络接口。比如把
HTTPD服务器指定到回坏地址，在浏览器输入 127.0.0.1 就能看到你所架设的Web网站了。但只有你自己能看得到，局域网的其它主机或用户无从知道。
wlan0：对应Wi-Fi无线连接（对应你的无线网卡）。假如你有好几块无线网卡，那么会看到wlan1，wlan2，等等。
仔细观察上面ifconfig输出的信息，你猜到小编此时用的是哪种方式连网的吗？
聪明如你应该猜到了（可不要害怕阅读一堆英语哦）。是的，小编此时用的是有线连接的方式上网。证明就在eth0的信息中：
RX packets : 4853
TX packets : 4821
分别是接收包和发送包的数目。RX是receive（表示“接收”）的缩写，TX是transmit（表示“发送”）的缩写。
而wlan0的信息中，这两行是0。
当然，本地回环的这两行也有148呢。所以说，给自己发送东西也是会发生的。
ifconfig命令还可以用来配置网络接口。但这有些超出本课程的范围了，毕竟需要懂一些网络方面的才能配置啊，不然配错了就糟了。
但是，有一个简单的配置方式我们可以学习：
接口的激活/关闭
使用&#26684;式如下：
ifconfig interface state
interface：由你想要修改的网络接口名称代替（eth0，wlan0等等）。
state：由up或down代替，分别表示激活和关闭对应接口。
ifconfig eth0 down
关闭eth0这个有线接口，之后就没有任何网络传输会在eth0上进行了。
ifconfig eth0 up
激活eth0这个有线接口。
配置IP地址
用ifconfig命令可以配置网络接口的IP地址和其他数据
ifconfig eth0 192.168.120.56 netmask 255.255.255.0 broadcast 192.168.120.255 &
上面的命令用于给eth0网卡配置IP地址：192.168.120.56，加上子网掩码：255.255.255.0，加上个广播地址： 192.168.120.255
还有更多命令选项就用man ifconfig来查看吧。
netstat : 网络统计
netstat命令很好记，它由两部分组成：net和stat。
net是network的缩写，表示“网络”；stat是statistics的缩写，表示“统计”。所以顾名思义就是对网络信息进行统计啦。（再论学英语对的重要性）
假如你没有一些网络方面的知识，那么netstat命令的输出可能难以理解，但是也没那么难。假如你要了解你的电脑正在网络上做什么，那么netstat是不二选择。
netstat可以显示很多信息，但是我们可以用参数来控制显示信息的种类和样式。下面介绍几个常用的参数吧：
netstat -i : 网络接口的统计信息
首先，试试i参数吧：
netstat -i
会显示一张统计列表，列出你电脑的所有网络接口的一些统计信息，例如小编的电脑就列出了eth0，lo，wlan0这三个接口的使用信息。
netstat -uta : 列出所有开启的连接
netstat -uta
参数uta分别表示：
-u : 显示UDP连接（u是udp的首字母）
-t : 显示TCP连接（t是tcp的首字母）
-a : 不论连接的状态如何，都显示（a是all的首字母）
TCP和UDP是两种不同的协议，用于在网络上传输数据。
UDP（User Datagram Protocol，用户数据报协议）一般用于网络，音频通讯（例如Skype）。除此之外，一般来说TCP（Transmission Control Protocol，传输控制协议）是最常用的。一般在互联网上都是用TCP/IP协议。可以去看看小编的《TCP/IP探索之旅》。
我们也可以只显示TCP连接的信息：
netstat&-ta
或者只显示UDP连接的信息（不常用）：
netstat&-ua
再来看看上面中state（状态）那一列的信息，有好几种不同状态：
ESTABLISHED：与远程电脑的连接已建立
TIME_WAIT : 连接正在等待网络上封包的处理，一旦处理完毕就开始关闭连接
CLOSE_WAIT：远程服务器中止了连接（也许你太久没什么动作，处在不活跃状态）
CLOSED：连接没有被使用
CLOSING：连接正在关闭，但有些数据还没有发送完毕
LISTEN：监听着可能进入的连接。此时连接还没有被使用。
当然，状态还不止这几种，其他的可以在netstat的命令手册中找到（用man netstat）。
我们再来看看端口的信息，就是上面图片中冒号（:）之后的数据。
事实上，我们连接其他电脑，可以透过不同的端口（port），有点类&#20284;门户。比如我去家，可能进他们的门，书房门，地下室门，等等。不同的端口用处不同。进厨房门可能看看做菜如何，进书房门可能一窥书香，进地下室门可能去品品葡萄酒。反正卧室门是不可以随便进的~
摘自百度百科：
==============
&端口&是英文port的意译，可以认为是设备与外界通讯交流的出口。端口可分为虚拟端口和物理端口，其中虚拟端口指内部或交换机内的端口，不可见。例如计算机中的80端口、21端口、23端口等。物理端口又称为接口，是可见端口，计算机背板的RJ45网口，交换机器集线器等RJ45端口。使用RJ11插口也属于物理端口的范畴。
==============
如下图所示：
你可以加上-n参数，假如你想让端口信息以数字的形式显示，而不是像上图中那样有点看不懂的状态，比如https，nfs，等等。
80端口是为HTTP（HyperText Transport Protocol）即超文本传输协议开放的，此为上网冲浪使用次数最多的协议，主要用于WWW（World Wide Web）即万维网传输信息的协议。可以通过HTTP地址（即常说的“网址”）加“:80”来访问网站，因为浏览服务默认的端口号都是80，因此只需输入网址即可，不用输入“:80”了。
110端口是为POP3（邮件协议3）服务开放的，用于收发电子邮件。
21端口用于FTP（File Transfer Protocol，文件传输协议）服务，FTP服务主要是为了在两台计算机之间实现文件的上传与下载。
netstat -lt : 列出状态是LISTEN的统计信息
netstat -s : 列出总结性的统计信息
还有更多命令选项就用man ifconfig来查看吧。
iptables：参考系防火墙
现在既然我们已经知道如何分析网络传输，我们就趁热打铁，学习如何用防火墙来过滤网络传输。
Linux下著名的防火墙是iptables。它有点年纪了，已经服役十几年。iptables命令可以制定一些规则，规定其他电脑可以使用哪些端口来连接你的电脑（入），以及你的电脑可以连接哪些端口（出）。也可以通过IP地址来过滤。类&#20284;下图所示：
例如，我想要拦截所有FTP的连接，那么我可以用iptables封锁21端口。
安装iptables防火墙
如果没有安装iptables需要先安装，
CentOS执行：
sudo&yum&install&iptables
Debian/执行：
sudo&apt-get&install&iptables
iptables的使用需要root身份
为了使用iptables，你需要切换到root身份：
iptables -L : 显示所有规则
可以看到三个区域：
Chain INPUT : 对应控制《进入》的网络传输的规则
Chain FORWARD : 对应控制《转发》的网络传输的规则
Chain OUTPUT : 对应控制《出去》的网络传输的规则
暂时我们还没有制定任何规则。我们慢慢来学习。
1、清除已有iptables规则（慎用）
iptables&-F
iptables&-X
iptables&-Z
2、开放指定的端口
#允许本地回环接口(即运行本机访问本机)
iptables&-A&INPUT&-s&127.0.0.1&-d&127.0.0.1&-j&ACCEPT
#&允许已建立的或相关连的通行
iptables&-A&INPUT&-m&state&--state&ESTABLISHED,RELATED&-j&ACCEPT
#允许所有本机向外的访问
iptables&-A&OUTPUT&-j&ACCEPT
#&允许访问22端口
iptables&-A&INPUT&-p&tcp&--dport&22&-j&ACCEPT
#允许访问80端口
iptables&-A&INPUT&-p&tcp&--dport&80&-j&ACCEPT
#允许FTP服务的21和20端口
iptables&-A&INPUT&-p&tcp&--dport&21&-j&ACCEPT
iptables&-A&INPUT&-p&tcp&--dport&20&-j&ACCEPT
#如果有其他端口的话，规则也类&#20284;，稍微修改上述语句就行。
#禁止其他未允许的规则访问（注意：如果22端口未加入允许规则，SSH链接会直接断开。）
1）.用DROP方法
iptables&-A&INPUT&-p&tcp&-j&DROP
2）.用REJECT方法
iptables&-A&INPUT&-j&REJECT
iptables&-A&FORWARD&-j&REJECT
#如果只是想屏蔽IP的话“3、开放指定的端口”可以直接跳过
#屏蔽单个IP的命令是
iptables&-I&INPUT&-s&123.45.6.7&-j&DROP
#封整个段即从123.0.0.1到123.255.255.254的命令
iptables&-I&INPUT&-s&123.0.0.0/8&-j&DROP
#封IP段即从123.45.0.1到123.45.255.254的命令
iptables&-I&INPUT&-s&124.45.0.0/16&-j&DROP
#封IP段即从123.45.6.1到123.45.6.254的命令是
iptables&-I&INPUT&-s&123.45.6.0/24&-j&DRO
4、查看已添加的iptables规则
iptables&-L&-n
v：显示详细信息，包括每条规则的匹配包数量和匹配字节数
x：在 v 的基础上，禁止自动单位换算（K、M） vps侦探
n：只显示IP地址和端口号，不将ip解析为域名
5、删除已添加的iptables规则
将所有iptables以序号标记显示，执行：
iptables&-L&-n&--line-numbers
比如要删除INPUT里序号为8的规则，执行：
iptables&-D&INPUT&8
6、iptables的开机启动及规则保存
CentOS上可能会存在安装好iptables后，iptables并不开机自启动，可以执行一下：
chkconfig&--level&345&iptables&on
将其加入开机启动。
CentOS上可以执行：service iptables save 保存规则。
Debian/Ubuntu上iptables是不会保存规则的。
需要按如下步骤进行，让网卡关闭是保存iptables规则，启动时加载iptables规则。
如果当前用户不是root，即使使用了sudo,也会提示你没有权限，无法保存，所以执行本命令,你必须使用root用户。
可以使用sudo -i 快速转到root，使用完成，请及时使用su username切换到普通帐户。
为了重启服务器后,规则自动加载,我们创建如下文件:
sudo&vim&/etc/network/if-pre-up.d/iptables#!/bin/bash
&iptables-save&&&/etc/iptables.rules
添加执行权限。
chmod&&#43;x&/etc/network/if-pre-up.d/iptables
附上基础规则：
:INPUT&ACCEPT&[106:85568]
:FORWARD&ACCEPT&[0:0]
:OUTPUT&ACCEPT&[188:168166]
:RH-Firewall-1-INPUT&-&[0:0]
#允许本地回环接口(即运行本机访问本机)
-A&INPUT&-s&127.0.0.1&-d&127.0.0.1&-j&ACCEPT
#允许已建立的或相关连的通行
-A&INPUT&-m&state&--state&ESTABLISHED,RELATED&-j&ACCEPT
#允许所有本机向外的访问
-A&OUTPUT&-j&ACCEPT
#允许PPTP拨号到外网
-A&INPUT&-p&tcp&-m&tcp&--dport&1723&-j&ACCEPT
#仅特定主机访问Rsync数据同步服务
-A&INPUT&-s&8.8.8.8/32&-p&tcp&-m&tcp&--dport&873&-j&ACCEPT
#仅特定主机访问WDCP
-A&INPUT&-s&6.6.6.6/32&-p&tcp&-m&tcp&--dport&8080&-j&ACCEPT
#允许访问SSH
-A&INPUT&-p&tcp&-m&tcp&--dport&1622&-j&ACCEPT
#允许访问FTP
-A&INPUT&-p&tcp&-m&tcp&--dport&21&-j&ACCEPT
-A&INPUT&-p&tcp&-m&tcp&--dport&20&-j&ACCEPT
#允许访问网站服务
-A&INPUT&-p&tcp&-m&tcp&--dport&80&-j&ACCEPT
#禁止所有未经允许的连接
-A&INPUT&-p&tcp&-j&DROP
#注意：如果22端口未加入允许规则，SSH链接会直接断开
#-A&INPUT&-j&REJECT
#-A&FORWARD&-j&REJECT
可以使用一下方法直接载入：
1、复制上面的规则粘贴到这里,保存本文件
sudo&vim&/etc/iptables.test.rules
2、把本规则加载,使之生效,注意,iptables不需要重启,加载一次规则就成了
sudo&iptables-restore&&&/etc/iptables.test.rules
3、查看最新的配置,应该所有的设置都生效了.
sudo&iptables&-L&-n
4、保存生效的配置,让系统重启的时候自动加载有效配置（iptables提供了保存当前运行的规则功能）
iptables-save&&&/etc/iptables.rules
看着很复杂，因为还没学习脚本语言和Vim的关系。刚好，我们第五部分就会学习Vim编辑器和脚本。
如果你想提前试试，也可以看Ubuntu官方的关于保存和配置开机加载iptables规则的：/community/IptablesHowTo#Saving_iptables
我们也见识到了，iptables的配置相当繁复，普通用户简直望而却步。幸好，有一些软件可以帮助我们减轻痛苦：
UFW - Uncomplicated Firewall
UFW是Uncomplicated Firewall的缩写，顾名思义这个软件是“不复杂的防火墙”，比iptables简单很多。但ufw并不是在每个Linux发行版中都有的，幸好，Ubuntu中有。
Ubuntu官方UFW文档：/community/UFW
中文Ubuntu官方UFW文档：http://wiki./Ufw%E4%BD%BF%E7%94%A8%E6%8C%87%E5%8D%97
当然了，还有更好的图形界面的UFW：gufw
Ubuntu官方GUFW文档：/community/Gufw
新的防火墙子系统/包过滤引擎nftables在 Linux 3.13 中替代有十多年的iptables。iptables/netfilter是在2001年加入到2.4内核中。
诞生于2008年的nftables设计替代iptables，它提供了一个更简单的Kernel ABI，减少重复代码，改进错误报告，更有效支持过滤规则。
除了iptables，nftables还将替代ip6tables、arptables和ebtables。Linux内核的第一代包过滤机制是ipfwadm（1.2.1内核，1995年），之后是ipchains（1999年），iptables。nftables是第四代。
nftables引入了一个新的命令行工具nft。nft是iptables及其衍生指令（ip6tables,arptables）的超集。
同时，nft拥有完全不同的语法。如果你习惯于iptables，这是个不好的消息。但是有一个兼容层允许你使用iptables，而过滤是由内核中的nftables完成的。
但是基本的原理是类&#20284;的，nftables比iptables更方便，使用更有效率，可以把一些命令合并。
你想用iptables记录并丢弃一个包，你必须写两条规则，一条记录，一条丢弃：
iptables&-A&FORWARD&-p&tcp&--dport&22&-j&LOG
iptables&-A&FORWARD&-p&tcp&--dport&22&-j&DROP
使用nft，你可以把两个目标合并到一起：
nft&add&rule&filter&forward&tcp&dport&22&log&drop
所以，假如你的Linux内核版本是3.13之前的，那就继续使用iptables；如果是3.13版本之后，那就用nftables吧（其实nftables要从3.15版本才开始比较成熟）。
还有更多命令选项就用man iptables和man nftables来查看吧。
在Internet（互联网）上，每台电脑都由IP地址来标识。例如：89.210.135.74
我们可以把一个主机名绑定到一个IP地址上，主机名相对IP地址更容易被记住。例如： &在很多场合，用主机名就可以代替IP地址了。
host命令可以从IP地址解析出对应主机名，或者从主机名解析出IP地址。
ifconfig命令列出你电脑上的网络接口（对应虚拟网卡或实体网卡），可以配置和操作这些接口。
netstat列出你电脑上打开的连接，说明当下哪些端口正打开着，一个端口就好比引导出入你电脑的门户。
可以用iptables来拦截进入某些端口的连接，它是一个很不错的防火墙。但是配置比较复杂。iptables配置很繁琐，可以用ufw软件来减轻压力。从Linux 3.13开始，nftables替代了iptables。
第四部分第五课预告
今天的课就到这里，一起加油吧！
下一课我们学习：源码编译，安装便利}