IT之家學(xué)院：不懂命令行怎么玩Linux（七）局域網(wǎng)和防火墻

提要：如果你和我一樣，對(duì)命令行一竅不通、英語只有中學(xué)水平、鍵盤只會(huì)二指禪，但對(duì)Linux很感興趣，在網(wǎng)上大部分教程都是各種命令的情況下，該怎么愉快使用Linux呢？本期的重點(diǎn)是局域網(wǎng)和防火墻。在此期間，你會(huì)看見好幾個(gè)命令。系統(tǒng)是Linux mint 18.3 kde amd64。

一、勒索病毒

Windows平臺(tái)出現(xiàn)WannaCry之后，Linux又出現(xiàn)了SambaCry。但對(duì)于一般用戶來說，不管是什么Cry，原本不該產(chǎn)生什么影響，所以也不該受重視。為什么這么說呢？

Samba官網(wǎng)對(duì)漏洞的描述是這樣的：“Malicious clients can upload...from a writable share”。雖然我不太懂英文，但這個(gè)漏洞看起來太難了——憑什么你能連接別人的電腦？憑什么你能匿名登錄？憑什么你還可以寫入？

所以，能夠中毒的人至少犯了三個(gè)錯(cuò)誤：允許陌生人連接、允許陌生人登錄、允許陌生人寫入。其中后兩點(diǎn)可能利用別的漏洞，但第一點(diǎn)是病毒在網(wǎng)絡(luò)中傳播最大的難點(diǎn)，因?yàn)榇蟛糠窒到y(tǒng)都是有防火墻的。

以前我們說過，Ubuntu默認(rèn)關(guān)閉防火墻，應(yīng)當(dāng)自行打開，并配置為拒絕所有傳入連接。對(duì)于Windows來說，如果不是人為設(shè)置，默認(rèn)的防火墻也是不允許傳入的，那么WannaCry怎么會(huì)在校園網(wǎng)中傳播呢？

下面是校園網(wǎng)的兩種常見操作：

1、在網(wǎng)上搜索windows 7純凈版下載，來到了××之家（圖1）。沒想到還有這種優(yōu)化。

2、在網(wǎng)上搜索怎么打dota，來到了×度經(jīng)驗(yàn)（圖2）。沒想到還有這種經(jīng)驗(yàn)。

校園網(wǎng)中有上千用戶，從這一點(diǎn)來看，連網(wǎng)吧都比校園網(wǎng)靠譜。當(dāng)年我還上學(xué)的時(shí)候，整棟樓都是網(wǎng)上鄰居——林子大了什么鳥都有，一旦關(guān)上防火墻，你的論文可能就沒了。

二、配置防火墻

假設(shè)現(xiàn)在我的防火墻是這樣的（圖3）。

雖然這樣很安全，但為了使用某些程序，現(xiàn)在必須添加白名單。下面列舉幾個(gè)例子，來說明適用于不同情況的防火墻規(guī)則：

1、公開

Qbittorrent作為一個(gè)種子客戶端，應(yīng)當(dāng)是開放的。前面說過，qb默認(rèn)使用8999端口，假設(shè)程序有未公開的漏洞，那么或許會(huì)出現(xiàn)一種掃描8999端口的病毒，因此向太多人開放的端口應(yīng)當(dāng)不是默認(rèn)值（比如把ssh端口從22改成1926）。

在qb設(shè)置中隨機(jī)一個(gè)看著順眼的端口（圖4）。

點(diǎn)擊防火墻下面的加號(hào)，配置一個(gè)簡(jiǎn)單規(guī)則（圖5）。

切換到右邊的“Report”，可以看到qb的連接狀況（圖6），至于圖上的其它幾個(gè)端口——既然不認(rèn)識(shí)，就不要管它了。有些軟件在預(yù)設(shè)規(guī)則中找不到，軟件本身也沒有太多說明，此時(shí)可以利用“Report”來創(chuàng)建規(guī)則。

2、局域網(wǎng)

添加Samba規(guī)則非常簡(jiǎn)單，只要在預(yù)設(shè)中搜索即可（圖7）。

但這樣搞也不太好，繼續(xù)編輯預(yù)設(shè)規(guī)則,（圖8），限制對(duì)方的ip地址。圖中的192.168.0.0/24表示192.168.0.×××這樣的地址，這可能是你的路由器下面的所有設(shè)備的地址，如果你覺得它們是安全的，這樣應(yīng)該沒有問題（有時(shí)候路由器本身會(huì)有問題）?，F(xiàn)在隔壁的192.168.1.×××就會(huì)被拒絕。

3、私密連接

每個(gè)人都有一些不愿被人發(fā)現(xiàn)的秘密，比如我就不想被人發(fā)現(xiàn)自己看漫畫，畢竟這是小孩子的玩意。現(xiàn)在我們用以前提到過的Calibre開一個(gè)漫畫服務(wù)器，選擇常用端口8080。

添加規(guī)則，只寫一個(gè)ip，也就是我的手機(jī)，這會(huì)導(dǎo)致其他所有ip都不能看我的漫畫。

在手機(jī)上用chrome打開192.168.0.xxx:8080，并作為pwa應(yīng)用添加到桌面，現(xiàn)在可以藏被窩里看熱血?jiǎng)幼鲃?lì)志偶像漫了。由于pwa的特性，這些漫畫可以離線觀看。

4、其他

ip轉(zhuǎn)發(fā)：目前并不需要。

為不認(rèn)識(shí)的應(yīng)用配置防火墻：本文最后的“kde connect”或許可以作為參考。

三、使用Samba

我們都對(duì)Windows的網(wǎng)上鄰居比較熟悉，如果你想加入“workgroup”，那就用Samba。安裝Samba請(qǐng)去應(yīng)用商店，之后就可以使用Windows文件和打印機(jī)共享。

如果實(shí)在想用命令的話，你現(xiàn)在可以試著添加一個(gè)賬號(hào)（圖10）。

現(xiàn)在找到你要共享的文件夾，右鍵-屬性-共享（圖11）。此處可允許匿名登錄，但一定不能有寫入權(quán)限。如果要寫入的話，請(qǐng)使用剛才添加的“l(fā)ucy”，把這個(gè)賬號(hào)設(shè)置為“完全控制”。

現(xiàn)在可以在文件管理器中查看Windows工作組（圖12）。

由于我沒錢再買一個(gè)電腦，只能用手機(jī)來演示?？傊然▋蓧K錢買個(gè)像樣的文件管理器（圖13）。

在文件管理器中添加一個(gè)smb連接（圖14）。

進(jìn)行端口掃描（圖15），由于上面的防火墻配置，不在白名單中的設(shè)備是掃不到我的。

填寫賬號(hào)密碼，這個(gè)密碼不是系統(tǒng)密碼，而是圖9的密碼。如果不填，就會(huì)是匿名登錄（圖16）。

成功接入（圖17）。現(xiàn)在可以瀏覽文件，但能不能寫入，取決于上面的設(shè)置和你的登錄賬號(hào)。

現(xiàn)在還有一個(gè)問題。目前使用的是被微軟放棄了的smb1，也就是xp上的版本，出現(xiàn)許多問題的也是它。如果你毫不在意xp能不能訪問你的共享，那就禁用它吧。

打開/etc/samba/smb.conf。由于上次用記事本被嫌棄不專業(yè)，這次用高級(jí)記事本——雖然沒有任何區(qū)別。在第26行后面加幾句話（圖18）。

現(xiàn)在已經(jīng)無法使用舊協(xié)議了（圖19）。

四、建立局域網(wǎng)

在這之前，先要解決熊孩子的問題。眾所周知，上次我剪了他的專輯然后又刪掉了，沒想到竟然會(huì)被發(fā)現(xiàn)?，F(xiàn)在他找上門來，我只好把上面的熱血漫畫賠給他。在這期間，他嚷嚷著要連WiFi玩農(nóng)藥，于是我偷偷給他搞了個(gè)熱點(diǎn)。

在系統(tǒng)托盤上右鍵打開網(wǎng)絡(luò)連接，新建一個(gè)wifi，起一個(gè)一看就是熱點(diǎn)的名字，模式選“接入點(diǎn)”（圖19）。

設(shè)置一個(gè)人人都能猜到的簡(jiǎn)單密碼（圖20）。

選擇“與其他計(jì)算機(jī)共享”（圖21），這樣就能把你的網(wǎng)絡(luò)分享出去——本來應(yīng)該是這樣的。

但由于我一時(shí)手快選錯(cuò)了（圖22），變成了一個(gè)沒插網(wǎng)線的路由器。但我還是把密碼告訴了熊孩子——反正我這邊能上網(wǎng)，可能是你的手機(jī)有問題吧。

五、連接手機(jī)

這是我第一次使用kde connect連接電腦和手機(jī)，防火墻預(yù)設(shè)規(guī)則里面沒有這玩意。Gufw的“Report”中顯示使用了1716端口，但這個(gè)軟件功能眾多，1716或許只是其中之一，此時(shí)應(yīng)當(dāng)查閱官方文檔。文檔中稱“KDE Connect uses dynamic ports in the range 1714-1764 for UDP and TCP”。我現(xiàn)在有兩個(gè)路由器，隔壁房間是192.168.1.1，這個(gè)房間是192.168.0.1，手機(jī)在這兩個(gè)房間里應(yīng)當(dāng)都能連接?，F(xiàn)在我們來建立一個(gè)規(guī)則。

使用192.168.0.1/23來覆蓋從192.168.0.x到192.168.1.x的地址范圍（別問我這是為什么，因?yàn)榫W(wǎng)上有一種叫做“IP地址計(jì)算器”的東西），使用1714:1764來表示1714-1764間的所有端口，分別建立tcp和udp規(guī)則（圖23）。

規(guī)則生效后，程序能發(fā)現(xiàn)并連接設(shè)備（圖24）。

手機(jī)端要在谷歌商店安裝“kde connect”。連接后大致實(shí)現(xiàn)了以下功能：

1、通知雙向同步。電腦和手機(jī)會(huì)互相收發(fā)應(yīng)用或系統(tǒng)通知，電腦端可接收短信、電話。

2、剪貼板雙向同步。這頭復(fù)制，那頭粘貼。這在復(fù)制段子發(fā)評(píng)論的時(shí)候可能特別有用，畢竟人的本質(zhì)就是復(fù)讀機(jī)啊。

3、文件共享。手機(jī)端集成到分享菜單（圖25），分享文件會(huì)自動(dòng)發(fā)送，分享網(wǎng)頁(yè)會(huì)在電腦端彈出chrome。電腦端右鍵菜單可選“發(fā)送到手機(jī)”，資源管理器可遠(yuǎn)程管理手機(jī)存儲(chǔ)。

4、手機(jī)代替鍵盤打字。雖然平時(shí)沒有任何意義，但躺在床上用手柄玩電腦的時(shí)候終于不用再忍受手柄打字了。

5、運(yùn)行預(yù)設(shè)命令，可以在電腦端設(shè)置（圖26）。

躺床上關(guān)機(jī)的命令是“systemctl poweroff”，由于此時(shí)摸不到電腦且無法輸入密碼，命令只能以用戶權(quán)限運(yùn)行（圖27）。經(jīng)測(cè)試，晚上掛機(jī)下載小電影，下載完成后手機(jī)接收通知并使用此功能關(guān)機(jī)是可行的。

下期預(yù)告：如何安裝打印機(jī)？打印機(jī)的光盤只給了Windows驅(qū)動(dòng)怎么辦？如何把打印機(jī)共享給別人？如果下一期之前我不能白嫖一個(gè)真正的打印機(jī)，可能就要用虛擬打印機(jī)來演示了。

相關(guān)閱讀：

《IT之家學(xué)院：不懂命令行怎么玩Linux（一）雙系統(tǒng)安裝》

《IT之家學(xué)院：不懂命令行怎么玩Linux（二）安裝軟件篇》

《IT之家學(xué)院：不懂命令行怎么玩Linux（三）自動(dòng)化配置篇》

《IT之家學(xué)院：不懂命令行怎么玩Linux（四）玩游戲篇》

《IT之家學(xué)院：不懂命令行怎么玩Linux（五）下載篇》

《IT之家學(xué)院：不懂命令行怎么玩Linux（六）音樂播放器篇》

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。