一.Debian下iptables配置实现开机自启动
Debian提供了一个iptables-save程序快速保存配置,但还需要我们做一些工作才能让iptables配置实现开机自启动,自加载。
1、将iptables配置保存到/etc/iptables.conf,这个文件名可以自己定义,与下面的配置一致即可
执行命令:iptables-save >/etc/iptables.conf
2、创建自启动配置文件,并授于可执行权限
执行创建命令:touch /etc/network/if-pre-up.d/iptables
执行赋予权限命令:chmod +x /etc/network/if-pre-up.d/iptables
3、编辑该自启动配置文件,内容为启动网络时恢复iptables配置
运行编辑命令:vi /etc/network/if-pre-up.d/iptables
添加内容如下:
- #!/bin/sh
- /sbin/iptables-restore </etc/iptables.conf
4、保存配置文件并退出即可,以后在修改完iptables配置之后只要再次执行下面的命令保存即可
执行命令:iptables-save >/etc/iptables.conf
#限制Mail
- iptables -A INPUT -p tcp -m multiport --dports 24,25,50,57,105,106,109,110,143,158,209,218,220,465,587 -m state --state NEW,ESTABLISHED -j REJECT --reject-with tcp-reset
- iptables -A INPUT -p tcp -m multiport --dports 993,995,1109,24554,60177,60179 -m state --state NEW,ESTABLISHED -j REJECT --reject-with tcp-reset
- iptables -A INPUT -p udp -m multiport --dports 24,25,50,57,105,106,109,110,143,158,209,218,220,465,587 -m state --state NEW,ESTABLISHED -j DROP
- iptables -A INPUT -p udp -m multiport --dports 993,995,1109,24554,60177,60179 -m state --state NEW,ESTABLISHED -j DROP
- iptables -A OUTPUT -p tcp -m multiport --sports 24,25,50,57,105,106,109,110,143,158,209,218,220,465,587 -m state --state NEW,ESTABLISHED -j REJECT --reject-with tcp-reset
- iptables -A OUTPUT -p tcp -m multiport --sports 993,995,1109,24554,60177,60179 -m state --state NEW,ESTABLISHED -j REJECT --reject-with tcp-reset
- iptables -A OUTPUT -p udp -m multiport --sports 24,25,50,57,105,106,109,110,143,158,209,218,220,465,587 -m state --state NEW,ESTABLISHED -j DROP
- iptables -A OUTPUT -p udp -m multiport --sports 993,995,1109,24554,60177,60179 -m state --state NEW,ESTABLISHED -j DROP
二.修改SSH端口的方法:
登陆SSH,然后打开文件:vi /etc/ssh/sshd_config
修改其中的Port后面的数字。
Dabian重启SSH命令:service ssh restart
出现问题时,可以按下列步骤确定和诊断问题:
先确定是本地的问题,还是服务端的问题。可以通过更换服务端(比如用别人的或者公共服务器),更换本地端(比如分别用手机和电脑测试)。
查看本地端的日志来诊断本地端有没有收到浏览器的请求。如果本地端没有收到请求,检查浏览器代理设置,检查本地防火墙。如果日志中只有 IP 没有域名,确保你配置浏览器远程解析域名,否则本地需要做防 DNS 污染。
查看服务端的日志来诊断服务端有没有收到本地端发来的请求。如果服务端没有收到请求,检查服务器防火墙,在本地用 tcping 等端口扫描工具检查服务器端口有没有打开。尝试更换 IP 或端口。
如果服务端收到了请求,但浏览器没有载入内容,检查服务端的 DNS /etc/resolv.conf,改为 8.8.8.8 再重启服务端。
如果服务端速度慢,可能无良 ISP 做了 QoS,更换端口到 80 25 443 995 3389 等常用端口再测试。
如果服务端启动时提示权限问题,可能是系统限制了 <1024 端口权限,用 iptables 做转发即可 iptables -t nat -A PREROUTING -p tcp --dport 995 -j REDIRECT --to-ports 8387
如果访问特定的网站有问题,打开浏览器开发者工具网络部分,看一下哪个请求卡住了,然后在服务器上尝试用 ping curl 等工具检查这个请求的 URL 和主机的联通性。并检查这个请求的 URL 是不是被你的 PAC 规则排除了。
一个特别注意的小秘密!
有时候,SS运行久了,会出现假死状态,比如VPS没死机,但SS也没被K掉进程,就是无法SS连接。
这个属于被高墙检测攻击的异常,这个时候我们修改SS的服务端配置
这个参数是连接超时,我们改小点,即可以解决这个问题。很简单但很实用,我建议是修改到 >120内
当SS使用人数增多,而SS服务端和客户端连接时间一旦变长,就会被高墙检测流量异常。
|
