1.nginx集成ldap
2.Debian 12上安装 CSF (Config Server Firewall)
3.开源终端工具可查询 IP 信息 ...
4.netfilter/iptables模块编译及应用

nginx集成ldap

       安装Nginx并集成LDAP服务器，码安实现对网站进行基于LDAP认证。码安首先更新软件包列表，码安执行命令：

       sudo apt-get install software-properties-common

       接着添加Nginx的码安PPA源：

       sudo add-apt-repository ppa:nginx/stable

       更新软件包列表：

       sudo apt-get update

       安装Nginx：

       sudo apt-get install nginx

       验证Nginx安装情况：

       nginx -V

       安装额外的依赖以支持Nginx与LDAP集成：

       git clone kvspb/nginx-auth-ldap

       将nginx-auth-ldap移动至/usr/local/src目录下：

       sudo mv nginx-auth-ldap /usr/local/src

       下载Nginx源码：

       wget nginx.org/download/nginx-1..1.tar.gz

       解压Nginx源码包：

       tar -zxvf nginx-1..1.tar.gz

       安装Nginx所需的依赖：

       apt-get install libpcre3 libpcre3-dev libssl-dev zlib1g-dev libldap2-dev libxml2-dev libxslt1-dev libgd-dev libgeoip-dev build-essential -y

       配置Nginx源码以支持LDAP功能：

       cd nginx-1..1

       ./configure --prefix=/usr/share/nginx --conf-path=/etc/nginx/nginx.conf --pat --with-debug --with-pcre-jit --with-mon nginx-core

       清理已卸载软件包的依赖：

       sudo apt-get --purge autoremove

Debian 上安装 CSF (Config Server Firewall)

       在 Debian 服务器上安装和配置 CSF (Config Server Firewall) 的步骤如下：

       首先，更新系统以确保安装依赖，码安包括 Perl 和 iptables。码安php跳转源码下载然后，码安禁用可能冲突的码安其他防火墙如 UFW。使用 wget 下载 CSF 源代码，码安解压并切换到 csf 目录，码安执行安装脚本，码安确认安装成功。码安

       配置 CSF 时，码安通过 nano 编辑器打开配置文件。码安允许特定 TCP 和 UDP 端口，码安并调整 Ping 或 ICMP 访问。在需要时启用 Synflood 保护以防御 DOS 攻击。同时，使用 CONNLIMIT 限制并发连接，ATL编程源码如 ;5 限制 SSH 为 5 个并发连接。记得禁用测试模式和限制 Syslog 访问。

       完成配置后，运行 csf 命令测试并启动 csf 和 lfd 服务。接下来，可通过 IP BLOCK Lists 或 GeoIP 来阻止不良 IP 地址。编辑 blocklists，如 Spamhaus 数据库，或者设置 CC_DENY 和 CC_ALLOW 来控制国家范围内的cdb添加源码访问。

       验证 CSF 配置后，重启服务并开启 Web UI。设置 UI 选项、端口、IP、用户名和密码，确保允许的 IP 地址已添加到白名单。最后，通过浏览器访问服务器 IP 加上指定的10110110的源码 UI 端口，如 ..5.:，成功的话将看到登录页面并进行验证。

开源终端工具可查询 IP 信息 ...

       在 Linux 的网络调试工具大家族中，dig、nslookup和traceroute是不可或缺的一员。今天，我们将焦点转向一款名为 nali 的开源终端工具，它不仅能查询 IP 地理信息，还能揭示 CDN 服务提供商的820频率源码幕后秘密。

       nali，意为“哪里”，最初以 C 语言开发，但受限于功能和平台支持。后来，开发者选择 GoLang 重写，增加了对 IPv6 的兼容性和Geoip2 数据库，使其功能更加全面。

       安装 nali 可分为源码编译和预编译包方式。对于源码安装，你需要 Go 1. 及以上版本。而预编译包则可直接从项目 Release 页面下载对应系统和硬件的版本，解压后运行即可，如在 CentOS 中，就是下载并安装相应的安装包。

       使用 nali 时，你可以轻松查询单个或多个 IP 的地理位置，通过管道符进行连贯查询。配合 dig 和 nslookup，nali能帮助你识别 CDN 服务提供商，只需注意 CNAME 域名的解析。此外，nali 还支持定期更新数据库，以及自定义 IP 数据库，只需设置 NALI_DB_IP4 或 NALI_DB_IP6 环境变量。

       值得注意的是，Windows 和 Linux 用户都可以使用 nali，但在 Windows 上可能需要手动下载和配置第三方 IP 数据库。通过这些实用技巧，nali 成为了一种强大的网络查询工具，无论你是 Linux 专家还是新手，都能在终端中高效地获取所需的信息。

netfilter/iptables模块编译及应用

       by KindGeorge # yahoo.com .4.2 at ChinaUnix.net

       相信很多人都会用iptables,我也一直用,并且天天用.特别是看完platinum的如何给iptables添加新的模块;;介绍后,觉得有必要深入了解一下它的拓展功能.于是立刻下载,先查看一下它的说明, 其功能很是令人感觉很兴奋,例如:comment (备注匹配) ,string(字符串匹配,可以用做内容过滤),iprang(ip范围匹配),time(时间匹配),ipp2p(点对点匹配),connlimit(同时连接个数匹配),Nth(第n个包匹配),geoip(根据国家地区匹配). ipp2p(点对点匹配), quota(配额匹配),还有很多......之后编译,几经测试,在rh7.3 kernel2.4.-3和rh9.0 kernel2.4.-8下均成功实现添加扩展功能.以下是介绍其部分功能,及编译方法.环境rh9.0 kernel2.4.-8. root身份.

       一,准备原码.

       1. 内核原码:为了减少复杂性,不编译所有内核和模块,建议找一个跟当前版本一样的内核原码,推荐安装时光盘的

       a. [root@kindgeorge] uname -r (查看当前版本)

       2.4.-8

       可以cd /usr/src 查看是否有这个目录2.4.-8

       b. 或者[root@kindgeorge]rpm -qa|grep kernel

        kernel-source-2.4.-8 如果有这个说明已安装了.

       如果没有安装,可以在RH第二张光盘中拷贝过来或安装 rpm -ivh kernel-source-2.4.-3.i.rpm. 安装后会在/usr/src/出现linux-2.4连接和linux-2.4.-8目录.

        c.在下载一个和当前版本的内核原码.

       2. 先获取最新的信息,当然要到piled for kernel version 2.4.-8custom

        while this kernel is version 2.4.-8.

       /lib/modules/2.4.-8/kernel/net/ipv4/netfilter/ipt_iprange.o: insmod /lib/modules/2.4.-8/kernel/net/ipv4/netfilter/ipt_iprange.o failed

       /lib/modules/2.4.-8/kernel/net/ipv4/netfilter/ipt_iprange.o: insmod ipt_iprange failed

       3. [root@kindgeorge linux-2.4]# make mrproper

       4. [root@kindgeorge linux-2.4]# make oldconfig

       'make oldconfig' - 采用以前的 .config 文件 (编译时十分有用)

       技巧：在make menuconfig时，我们面对众多的选项常常不知道该如何选择，此时可以把安装时的配置文件copy到/usr/src/linux-2.4中：cp /boot/config-2.4.* /usr/src/linux-2.4/.config,再用make menuconfig编译，它会读取.config中原来的配置信息.

       (二).给netfilter打补丁

       解开tar xjvf patch-o-matic-ng-.tar.bz2 包后,进入该目录,就会发现有很多目录,其实每个目录对应一个模块.

       我们可以这样来选择,根据不同贮仓库submitted|pending|base|extra,例如:

       KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme base .

       或:KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme extra

       执行后,会测试是否已经应用和提示你是否应用该模块,但这样会遍历所有模块,有很多是用不着的,并且可能和系统版本有冲突,如果不管三七二十一全部选择的话,一般都会在编译和使用时出错.所以推荐用cat /模块目录名/info 和cat /模块目录名/help 看过后,认为适合自己,才选择.

       我是针对在上面看过后,有目的的一个一个的应用的,这样做:

       KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme string

       执行后,会测试是否已经应用和提示你是否应用该模块,按"y"应用.然后继续下一个

       KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme comment

       KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme connlimit

       KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme time

       KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme iprange

       KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme geoip

       KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme nth

       KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme ipp2p

       KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme quota

       上面全部完成后,

       cd /usr/src/linux-2.4

       make menuconfig，确认

       Prompt for development and/or incomplete code/drivers要选中

       然后进入Networking options

       再进入IP:Netfilter Configuration，会看到增加很多模块，每个新增的后面都会出现"NEW",把其想要的选中为模块"M"

       保存、退出，至此，给netfilter打补丁工作完成

       (三).编译netfilter模块

       1.这里只需要编译netfilter,不需要编译整个内核和模块.这里我只需要ipv4的,ipv6我还没用到,所以不管了

       cd /usr/src/linux-2.4

       make dep

       make modules SUBDIRS=net/ipv4/netfilter

       2.建立一个新目录备份原来模块,以防万一:

       mkdir /usr/src/netfilter

       cp /lib/modules/2.4.-8/kernel/net/ipv4/netfilter/*.o /usr/src/netfilter/

       3.应用新的模块

       cp -f /usr/src/linux-2.4/net/ipv4/netfilter/*.o /lib/modules/2.4.-8/kernel/net/ipv4/netfilter/

       4.更新你的modules.dep

       depmod -a

       当出现这个时,可以不用理会,因为ipchains, ipfwadm模块都没用,也可以把出错的删除.

       depmod: *** Unresolved symbols in /lib/modules/2.4.-8/kernel/net/ipv4/netfilter/ipchains_core.o

       depmod: *** Unresolved symbols in /lib/modules/2.4.-8/kernel/net/ipv4/netfilter/ipfwadm_core.o

       (四).编译安装新的iptables

       解压后有目录iptables-1.3.1

       cd /usr/src/iptables-1.3.1

       export KERNEL_DIR=/usr/src/linux-2.4

       export IPTABLES_DIR=/usr/src/iptables-1.3.1

       make BINDIR=/sbin LIBDIR=/lib MANDIR=/usr/share/man install

       三.安装完成,测试及应用

       1.内容过滤

       iptables -I FORWARD -m string --string "腾讯" -j DROP

       iptables -I FORWARD -s ..3. -m string --string "qq.com" -j DROP

       iptables -I FORWARD -d ..3.0/ -m string --string "宽频影院" -j DROP

       iptables -I FORWARD -s ..3.0/ -m string --string "色情" -j DROP

       iptables -I FORWARD -p tcp --sport -m string --string "广告" -j DROP

       2.备注应用

       iptables -I FORWARD -s ..3. -p tcp --dport -j DROP -m comment --comment "the bad guy can not online"

       iptables -I FORWARD -s ..3. -m string --string "qq.com" -j DROP -m comment --comment "denny go to qq.com"

       3.并发连接应用

       模块 connlimit 作用:连接限制

       --connlimit-above n 限制为多少个

       --connlimit-mask n 这组主机的掩码,默认是connlimit-mask ,即每ip.

       这个主要可以限制内网用户的网络使用,对服务器而言则可以限制每个ip发起的连接数...比较实用

       例如:只允许每个ip同时5个端口转发,超过的丢弃:

       iptables -I FORWARD -p tcp --syn --dport -m connlimit --connlimit-above 5 -j DROP

       例如:只允许每组ip同时个端口转发:

       iptables -I FORWARD -p tcp --syn --dport -m connlimit --connlimit-above --connlimit-mask -j DROP

       例如:为了防止DOS太多连接进来,那么可以允许最多个初始连接,超过的丢弃.

       /sbin/iptables -A INPUT -s ..1.0/ -p tcp --syn -m connlimit --connlimit-above -j DROP

       /sbin/iptables -A INPUT -s ..1.0/ -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

       4.ip范围应用

       iptables -A FORWARD -m iprange --src-range ..1.5-..1. -j ACCEPT

       5.每隔N个匹配

       iptables -t mangle -A PREROUTING -m nth --every -j DROP

       6.封杀BT类P2P软件

       iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP

       iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP

       iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP

       7.配额匹配

       iptables -I FORWARD -s ..3. -p tcp --dport -m quota --quota -j DROP

       iptables -I FORWARD -s ..3. -p tcp --dport -m quota --quota -j ACCEPT

       以上均测试通过,只有geoip的geoipdb.bin没下载到,所以没测试

       在此仅为抛个砖头,更多的应用,要根据自己的需要来组合各个规则和模块了.

       本来此篇文章和netfilter/iptables模块功能中文介绍;;是写在一起的,由于篇幅太长,所以份成两篇. 如果有更新请见我的blog: /article.php?articleId=blogId=

       /forum/viewtopic.php?t= netfilter/iptables模块功能中文介绍

       platinum的 /forum/viewtopic.php?t= 如何给iptables添加新的模块v2.2（含视频教程）

       hongfengyue的 /jh/4/.html iptables 添加模块 （for kernel 2.6）

       官方: filter.org/documentation/HOWTO/netfilter-extensions-HOWTO.html