|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们!iptables的概述
.netfilter/iptables是在linux2.4及后继版本的内核中集成的一种办事.
.netfilter/iptables事情在OSI七层模子的2,3层.
.netfilter/iptables由netfilter组件和iptables组件组成,个中netfilter组件集成在内核的一部分,由一些信息包过滤表构成,这些表包括内核用来把持信息包过滤处置的划定规矩集.
模块位于/lib/modules/$(uname-r)/kernel/net/netfilter/,iptables组件是一种工具,它运转于用户空间,它使拔出,修正和撤除信息包过滤表中的划定规矩变得简单.
2)iptables中表和链
2.1)表和链的概述:
iptables包含3个表,即:filter表,nat表,mangle表,它们分离代表对经由iptables的数据包举行选择(filter),转译(nat),改写(mangle).
iptables包含5个链,即:INPUT链,FORWARD链,OUTPUT链,PREROUTING链,POSTROUTING链.
mangle表包含全体的5个链.
nat表包含PREROUTING链,OUTPUT链,POSTROUTING链.
filter表包含FORWARE链,INPUT链,OUTPUT链.
2.2)表和链的功效
2.2.1)filter表
filter次要用于过滤数据包,对数据包举行ACCEPT,DROP,REJECT,LOG等操纵,filter表包括以下3条链:
INPUT链:过滤一切方针地点是本机的数据包.
FORWARD链:过滤一切途经本机的数据包.也就是目标地点和源地点都不是本机的数据包.
OUTPUT链:过滤一切由本机发生的数据包,也就是源地点是本机的数据包.
2.2.2)nat表
nat表用于收集地点转换,iptables能够举行以下的nat:
DNAT:次要用于改动数据包的目标地点.以使数据包能从头路由到某台主机.
SNAT:次要用于改动数据包的源地点,以匡助外部收集能毗连到internet.
MASQUERADE:和SNAT完整一样,只是MASQUERADE会查找可用的IP地点,而不像SNAT要有一个流动的IP,以是MASQUERADE一样平常用于ADSL/PPP等拔号同享上彀的体例.
nat表包括以下3条链:
PREROUTING链:能够在数据包抵达防火墙的时分改动包的方针地点.
OUTPUT链:能够改动当地发生的数据包的方针地点.
POSTROUTING链:在数据包就要分开防火墙的时分改动数据包的源地点.
2.2.3)mangle表
mangle表次要用于修正数据包,经由过程mangle能够依据必要改动包头中的内容(如TTL,TOS,MARK),mangle表次要有以下几种操纵:
TOS操纵:次要用于设置或改动数据包的办事范例域.该操纵其实不完美,没法在internet上利用.
TTL操纵:次要用于改动数据包的保存工夫域,可让一切的数据包只要一个特别的TTL,如许能够棍骗一些ISP,好比ISP不但愿看到同享上彀的情形.
MARK:次要用于给数据包设置特别的标志,经由过程这些标志能够设置带脱期制和基于哀求的分类,不外MARK并没有真正修改数据包,它只是在内核空间中为包设置了标志.防火墙经由过程其标志对包举行过滤和初级路由.
mangle表包括全体5条链.
注重:
iptables的一切链里有3条链是能够改动数据包的目标地点及源地点的,分离是nat表的PREROUTING链,nat表的POSTROUTING链和nat表的OUTPUT链.
2.3)事情流程
2.3.1)当数据包的方针地点是本机时
第一步:数据包进进收集接口
第二步:进进mangle表的PREROUTING链,在这里能够依据必要改动数据包头内容(好比数据包的TTL值)
第三步:进进nat表的PREROUTING链,在这里能够依据必要做DNAT(方针地点转换)
第四步:举行路由判别(进进当地仍是要转发)
第五步:进进mangle表的INPUT链,在路由以后抵达当地步伐之前修正数据包头内容.
第六步:进进filter表的INPUT链,一切方针地点是本机的数据包城市经由这里,能够在这里对数据包的过滤和件举行设置.
第七步:抵达当地使用步伐处置.
2.3.2)当数据包的源地点是本机是
第一步:当地使用步伐发生数据包.
第二步:路由判别.
第三步:进进mangle表的OUTPUT链,在这里能够依据必要改动包头内容.
第四步:进进nat表的OUTPUT链,在这里能够依据必要对防火墙发生的数据包做DNAT.
第五步:进进filter表的OUTPUT链,在这里能够对数据包的过滤前提举行设置.
第六步:进进mangle表的POSTROUTING链,这里次要对数据包做DNAT操纵,数据包分开本机之前修正数据包头内容.
第七步:进进nat表的POSTROUTING链,在这里对数据包做SNAT(源地点转换).
第八步:分开当地.
2.3.3)经由本机转发的数据包(源地点,方针地点都不是本机)
第一步:数据包进进收集接口.
第二步:进进mangle表的PREROUTING链,在这里能够依据必要修正数据包头内容(如TTL值).
第三步:进进nat表的PREROUTING链,在这里能够依据必要对数据包做DNAT.
第四步:进进路由判别(进进当地还要转发).
第五步:进进mangle表的FORWARD链,在这里数据包头内容被修正.此次mangle产生在最后的路由判别以后,在最初一次变动数据包的方针之前.
第六步:进进filter表的FROWARD链,只要必要转发的数据包才会抵达这里,而且针对这些数据包的一切过滤也在这里举行,即一切转发的数据都要经由这里.
第七步:进进mangle表的POSTROUTING链,这个链也是针对一些特别范例的数据包,这一步修正数据包内容是在一切包的目标地点的操纵完成以后才举行.
第八步:进进nat表的POSTROUTING链,在这里能够依据必要对数据包做SNAT,固然也包含Masquerade(假装),但不举行过滤.
第九步:分开收集接口.
2.4)iptables的形态机制
在iptables中数据包和被跟踪毗连的4种分歧形态相干联,这4种形态分离是NEW,ESTABLISHED,RELATED,INVALID.
除当地发生的包由OUTPUT链处置外,一切毗连跟踪都是在PREROUTING链里举行处置的.
假如本机发送一个流的初始化包,形态就会在OUTPUT链里被设置为NEW.
当我们收到回应的包时,形态就会在PREROUTING链里设置为ESTABLISHED.
2.4.1)NEW形态
NEW形态的数据包申明这个数据包是收到的第一个数据包.好比收到一个SYN数据包,这是毗连的第一个数据包,就会婚配NEW形态.
2.4.2)ESTABLISHED形态
只需发送并接到应对,一个数据毗连就从NEW变成ESTABLISHED,并且该形态会持续婚配这个毗连的后继数据包.
说白了ESTABLISHED暗示的就是一个已毗连乐成的形态.
2.4.3)RELATED形态
当一个毗连和某个已处于ESTABLISHED形态的毗连有干系时,就被以为是RELATED,也就是说一个毗连要想是RELATED的,起首要有一个ESTABLISHED的毗连.
实在RELATED形态是最经常使用到的,即这个数据包与我们主机发送进来的封包有关的就是RELATED形态的数据包.
2.4.4)INVALID形态
INVALID形态暗示有效的数据包.
注:
不论是TCP/UDP仍是ICMP,哀求被以为NEW,应对是ESTABLISHED,也就是说,当防火墙看到一个哀求包时,就以为毗连处于NEW形态,当有应对时,就是ESTABLISHED形态.
3)iptables的使用
3.1)iptables的下令格局以下:
iptables[-ttable]command[match][target|jump]
比方:
iptables-tfilter-AINPUT-s192.168.0.200-jDROP
[-ttable]:指明必要操纵的表,能够指定的表包含filter,nat,mangle,不指定该参数默许操纵filter表,在上例中就是:-tfilter
command:iptables所作的操纵,好比增添一条划定规矩大概删除一条已存在的划定规矩.在上例就是:-AINPUT
[match]:指定一个数据包的源地点,目标地点,所利用的协定,端口等,在上例就是:-s192.168.0.200
[Targe/jump]:假如数据包切合Match的形貌,就必要利用targe/jump界说的方针或跳转来处置数据包,好比是抛弃仍是发送给别的链,在上例就是:-jDROP
3.2)iptables可用的操纵
3.2.1)-L:显现一切链的一切战略,假如我们没有指定表,则显现filter表的一切链.以下:
iptables-L
ChainINPUT(policyACCEPT)
targetprotoptsourcedestination
ChainFORWARD(policyACCEPT)
targetprotoptsourcedestination
ChainOUTPUT(policyACCEPT)
targetprotoptsourcedestination
大概用:
iptables-L-tfilter
ChainINPUT(policyACCEPT)
targetprotoptsourcedestination
ChainFORWARD(policyACCEPT)
targetprotoptsourcedestination
ChainOUTPUT(policyACCEPT)
targetprotoptsourcedestination
3.2.2)-A<链称号>:在所选择的链最尾部增加一条新的战略.以下:
iptables-tfilter-AINPUT-s192.168.75.129-jDROP
iptables-tfilter-L
ChainINPUT(policyACCEPT)
targetprotoptsourcedestination
DROPall--192.168.75.129anywhere
ChainFORWARD(policyACCEPT)
targetprotoptsourcedestination
ChainOUTPUT(policyACCEPT)
targetprotoptsourcedestination
3.2.3)-D<链称号><战略内容|战略序号>,删除一条战略,以下:
增添一条战略:
iptables-tfilter-AINPUT-s192.168.75.129-jDROP
检察filter内外的一切战略,并输入战略号:
iptables-tfilter-L--line-numbers
ChainINPUT(policyACCEPT)
numtargetprotoptsourcedestination
1DROPall--192.168.75.129anywhere
2DROPall--192.168.75.130anywhere
ChainFORWARD(policyACCEPT)
numtargetprotoptsourcedestination
ChainOUTPUT(policyACCEPT)
numtargetprotoptsourcedestination
我们删除第二条filter表的INPUT战略,以下:
iptables-tfilter-DINPUT2
检察filter内外的一切战略,我们看到已删了第二条战略,以下:
iptables-tfilter-L--line-numbers
ChainINPUT(policyACCEPT)
numtargetprotoptsourcedestination
1DROPall--192.168.75.130anywhere
ChainFORWARD(policyACCEPT)
numtargetprotoptsourcedestination
ChainOUTPUT(policyACCEPT)
numtargetprotoptsourcedestination
注:
假如我们建了两条一样的战略,好比它们的战略号为1和3,如许我们不指定战略号删除战略时,是从前面的战略号删起.
假如我们删除战略号为1的战略,前面的战略会向后面递进减1.
3.2.4)-R<链称号><战略序号>:交换所选中链指定的战略,以下:
iptables-tfilter-RINPUT1-s192.168.75.131-jDROP
iptables-tfilter-L--line-numbers
ChainINPUT(policyACCEPT)
numtargetprotoptsourcedestination
1DROPall--192.168.75.131anywhere
ChainFORWARD(policyACCEPT)
numtargetprotoptsourcedestination
ChainOUTPUT(policyACCEPT)
numtargetprotoptsourcedestination
3.2.5)-I<链称号><战略序号>:从所选链中指定战略后面拔出一条新的战略:
iptables-tfilter-IINPUT1-s192.168.75.130-jDROP
iptables-tfilter-L--line-numbers
ChainINPUT(policyACCEPT)
numtargetprotoptsourcedestination
1DROPall--192.168.75.130anywhere
2DROPall--192.168.75.131anywhere
ChainFORWARD(policyACCEPT)
numtargetprotoptsourcedestination
ChainOUTPUT(policyACCEPT)
numtargetprotoptsourcedestination
3.2.6)-F[链称号]:清空所选链的战略,假如没有指定链,则清空指定表中的一切链的战略,以下:
清空filter表中INPUT链的一切战略:
iptables-tfilter-FINPUT
3.2.7)-Z[链称号]:将所选链的一切计数器回零,假如没有指定链,则清空指定表中的一切链的战略,以下:
将filter表的INPUT链中一切计数器回零:
iptables-tfilter-ZINPUT
3.2.8)-N<链称号>:依据用户指定的名字创建新的链,以下:
新建iptables链,链名为taomee:
iptables-tfilter-Ntaomee
检察新的链,以下:
iptables-L
ChainINPUT(policyACCEPT)
targetprotoptsourcedestination
ChainFORWARD(policyACCEPT)
targetprotoptsourcedestination
ChainOUTPUT(policyACCEPT)
targetprotoptsourcedestination
Chaintaomee(0references)
targetprotoptsourcedestination
用自界说链创建相干的战略:
iptables-tfilter-Ataomee-s192.168.75.129-jDROP
在INPUT链中援用自界说链,以下:
iptables-AINPUT-jtaomee
iptables-L
ChainINPUT(policyACCEPT)
targetprotoptsourcedestination
taomeeall--anywhereanywhere
ChainFORWARD(policyACCEPT)
targetprotoptsourcedestination
ChainOUTPUT(policyACCEPT)
targetprotoptsourcedestination
Chaintaomee(1references)
targetprotoptsourcedestination
DROPall--192.168.75.129anywhere
注:假如不援用我们自界说的链,自界说键的战略是不会失效的.
3.2.9)-X[链称号]:删除指定的用户自界说键,假如没有界说键称号,则删除一切自界说链,以下:
iptables-X
值得申明的是必需要删除自界说链的一切援用,才干删除自界说链,以下:
iptables-tfilter-Xtaomee
iptables:Toomanylinks.
删除援用自界说链的战略:
iptables-tfilter-DINPUT1
删除自界说键中的战略:
iptables-tfilter-Dtaomee1
删除自界说链:
iptables-tfilter-Xtaomee
检察filter表中如今一切的链:
iptables-tfilter-L
ChainINPUT(policyACCEPT)
targetprotoptsourcedestination
ChainFORWARD(policyACCEPT)
targetprotoptsourcedestination
ChainOUTPUT(policyACCEPT)
targetprotoptsourcedestination
3.2.10)-E<链称号><链称号>:对自界说的链举行重定名,注重仅仅是改动自界说链的名字,对全部表的布局和事情没有任何影响.以下:
新建链taomee
iptables-tfilter-Ntaomee
变动链taomee为blacktaomee
iptables-tfilter-Etaomeeblacktaomee
再次检察更名的链:
iptables-tfilter-L
ChainINPUT(policyACCEPT)
targetprotoptsourcedestination
ChainFORWARD(policyACCEPT)
targetprotoptsourcedestination
ChainOUTPUT(policyACCEPT)
targetprotoptsourcedestination
Chainblacktaomee(0references)
targetprotoptsourcedestination
3.2.11)-P<链称号>:为链设置默许的战略,即一切不切合战略的数据包都被强迫利用这个战略,以下:
iptables-tfilter-PINPUTACCEPT
3.3)iptables可用的数据形貌
3.3.1)[!]-p[<tcp|udp|icmp|...>]:婚配指定的协定
注重以下几点:
.名字不辨别巨细写,但必需在/etc/protocols中界说过
.可使用协定对应的整数值(好比ICMP的值是1,TCP是6,UDP是17)
.当不利用-p参数指定协定时,默许为ALL(数值为0),但要注重这只代表婚配TCP,UDP,ICMP,而不是/etc/protocols中界说一切协定.
.在指定协定时,能够在协定前加叹息号暗示取反,(叹息号与协定名之间必需有空格),比方:!-ptcp暗示非TCP协定.
回绝192.168.75.129的呆板经由过程icmp协定毗连当地办事器,以下:
iptables-tfilter-AINPUT-picmp-s192.168.75.129-jDROP
测试以下:
ping192.168.75.128-c10
PING192.168.75.128(192.168.75.128)56(84)bytesofdata.
---192.168.75.128pingstatistics---
10packetstransmitted,0received,100%packetloss,time19025ms
回绝除192.168.75.1的办事器毗连当地办事器,以下:
iptables-tfilter-AINPUT!-s192.168.75.1-jDROP
测试以下:
ping192.168.75.128-c5
PING192.168.75.128(192.168.75.128)56(84)bytesofdata.
---192.168.75.128pingstatistics---
5packetstransmitted,0received,100%packetloss,time14015ms
3.3.2)-s<IP地点/网段>:婚配指定源地点的IP/网段
回绝192.168.75.0/24这个网段经由过程icmp会见本机,以下:
iptables-tfilter-AINPUT-s192.168.75.0/24-picmp-jDROP
发送5个测试包,被防火墙回绝,以下:
ping192.168.75.128-c5
PING192.168.75.128(192.168.75.128)56(84)bytesofdata.
---192.168.75.128pingstatistics---
5packetstransmitted,0received,100%packetloss,time14011ms
3.3.3)-d<IP地点/网段>:婚配指定的IP方针地点婚配数据包.
回绝向192.168.75.129发送icmp数据包,以下:
iptables-tfilter-AOUTPUT-d192.168.75.129-picmp-jDROP
向192.168.75.129发送数据包,被回绝,以下:
ping192.168.75.129
PING192.168.75.129(192.168.75.129)56(84)bytesofdata.
ping:sendmsg:Operationnotpermitted
ping:sendmsg:Operationnotpermitted
ping:sendmsg:Operationnotpermitted
ping:sendmsg:Operationnotpermitted
ping:sendmsg:Operationnotpermitted
3.3.4)-i<收集接口>:以数据包进进当地所利用的收集接口来婚配数据包.这个婚配操纵只能用于INPUT,FORWARD和PREROUTING这3个链.
注重以下几点:
.指准时利用收集接口称号,好比eth0,ppp0
.我们也能够用!-ieth0的体例举行取反婚配
.可使用加号作为通配符,好比iptables-AINPUT-i+暗示婚配一切的包,与利用iptables-AINPUT-iany的感化是同等的,好比:
iptables-tfilter-AINPUT-ptcp-i+-s192.168.75.129-jDROP
检察防火墙相干信息:
iptables-L-n-v
ChainINPUT(policyACCEPT38packets,2664bytes)
pktsbytestargetprotoptinoutsourcedestination
161344DROPicmp--+*192.168.75.1290.0.0.0/0
ChainFORWARD(policyACCEPT0packets,0bytes)
pktsbytestargetprotoptinoutsourcedestination
ChainOUTPUT(policyACCEPT26packets,3044bytes)
pktsbytestargetprotoptinoutsourcedestination
注:我们看到INPUT链的in字段是+号,此时对一切的收集接口都使用.
别的我们也可用了eth+暗示一切ethernet接口,以下:
iptables-tfilter-AINPUT-picmp-ieth+-s192.168.75.129-jDROP
检察防火墙的相干信息:
iptables-L-n-v
ChainINPUT(policyACCEPT30packets,2136bytes)
pktsbytestargetprotoptinoutsourcedestination
00DROPicmp--eth+*192.168.75.1290.0.0.0/0
ChainFORWARD(policyACCEPT0packets,0bytes)
pktsbytestargetprotoptinoutsourcedestination
ChainOUTPUT(policyACCEPT22packets,2288bytes)
pktsbytestargetprotoptinoutsourcedestination
<pstyle="font-family:Verdana,Arial,Helvetica,sans-serif;font-size:14px;background-color:#FFFFFF;">3.3.5)-o<收集接口>:以数据包分开当地所利用的收集接口来婚配数据包,其设置计划与-i是一样的.以下:
设定一切收集介质(eth+)欠亨向192.168.75.129发送数据包.
iptables-tfilter-AOUTPUT-pall-oeth+-d192.168.75.129-jDROP
测试:
ping192.168.75.129
PING192.168.75.129(192.168.75.129)56(84)bytesofdata.
ping:sendmsg:Operationnotpermitted
ping:sendmsg:Operationnotpermitted
ping:sendmsg:Operationnotpermitted
3.3.6)--sport<端口>:基于数据包的源端口来婚配数据包
注:
.该参数必需与-p参数共同利用
.不指定--sport参数时,暗示一切端口
.可使用一连的端口,好比:"--sport1000:1024"暗示从1000到1024的一切端口(包含1000,1024),--sport1024:1000与--sport1000:1024的效果不异
.当省略冒号后面的端标语时,好比--sport:1000,则暗示利用0到1000的一切端口.(端标语是从0算起的)
.当省略冒号前面的端标语时,好比--sport1000:,则暗示从1000到65535的一切端口.(端标语最年夜为65535)
.当在--sport<端标语>前到场!号时,暗示扫除该端口,好比!--sport1000,则暗示除1000以外的一切端口.
示例1)回绝192.168.75.129经由过程20000到65535的端口毗连当地办事器,以下:
iptables-tfilter-AINPUT-ptcp--sport20000:65535-s192.168.75.129-jDROP
示例2)回绝192.168.75.129经由过程除0-1000端口之间的一切端口毗连本机,以下:
iptables-tfilter-AINPUT-ptcp!--sport0-1000-s192.168.75.129-jDROP
3.3.7)--dport<端口>:基于数据包的目标端口来婚配包,也就是说婚配目标主机毗连本机的哪一个端口,操纵方面与--sport参数不异.
示例1)回绝192.168.75.129毗连本机的22端口,以下:
iptables-tfilter-AINPUT-ptcp--dport22-s192.168.75.129-jDROP
示例2)回绝192.168.75.129毗连除本机的22端口外的一切端口,以下:
iptables-tfilter-AINPUT-ptcp!--dport22-s192.168.75.129-jDROP
3.3.8)-mmultiport--sport<端口>:源端口多端口婚配,感化同--sport一样.
注:
.最多能够指定15个端口,利用逗号分开.
.该参数必需与-p参数共同利用
示例)回绝192.168.75.129用40000,50000两个端口毗连本机
iptables-tfilter-AINPUT-mmultiport-ptcp--sport40000,50000-s192.168.75.129-jDROP
3.3.9)-mmultiport--dport<端口>:目标端口多端口婚配,感化同--dport一样.
注:
.最多能够指定15个端口,利用逗号分开.
.该参数必需与-p参数共同利用
3.3.10)-mmultiport--port<端口>:过滤前提包含源端口和方针端口.
示例)回绝192.168.75.129用22,56000端口会见本机的22,56000端口,以下:
iptables-tfilter-AINPUT-ptcp-mmultiport--port22,56000-s192.168.75.129-jDROP
3.3.11)--tcp-flags<反省标志列表><前提列表>:婚配指定的TCP标志,有两个参数,它们都是列表,列表内容用英文的逗号作分开符,两个列表之间用空格分隔,以下:
--tcp-flagsSYN,FIN,ACKSYN
注:
我们看到--tcp-flags选项前面的关头字分为两个列表,即SYN,FIN,ACK和SYN
第一个列表指定必要反省的TCP标志,第二个列表指定在第一个列表中呈现过的且必需被设为1(即翻开形态)的标志.
也就是说第一个列表供应反省局限,第二个列表供应被设置前提.
这个婚配操纵能够辨认SYN,ACK,FIN,RST,URG,PSH标志.
示例1)制止192.168.75.129发送SYN标志(设置为1)和制止FIN/ACK标志(没有设置,即为0)的发送.
iptables-tfilter-AINPUT-ptcp--tcp-flagsSYN,FIN,ACKSYN-s192.168.75.129-jDROP
在192.168.75.129主机上测试:
nmap-sS192.168.75.128
StartingNmap5.21(http://nmap.org)at2011-08-0215:03CST
Nmapscanreportfor192.168.75.128
Hostisup(0.00slatency).
All1000scannedportson192.168.75.128arefiltered
MACAddress:00:0C:29:EC:A0:CE(VMware)
Nmapdone:1IPaddress(1hostup)scannedin22.62seconds
注:我们用nmap/SYN包的体例扫描主机(192.168.75.128),但没有查到相干的信息(好比端口),同时我们也消费了20多秒.
上面我们封闭下面的iptables设置,以下:
iptables-tfilter-DINPUT-ptcp--tcp-flagsSYN,FIN,ACKSYN-s192.168.75.129-jDROP
再次扫描该主机,以下:
nmap-sS192.168.75.128
StartingNmap5.21(http://nmap.org)at2011-08-0215:06CST
Nmapscanreportfor192.168.75.128
Hostisup(0.00056slatency).
Notshown:996closedports
PORTSTATESERVICE
21/tcpopenftp
22/tcpopenssh
25/tcpopensmtp
111/tcpopenrpcbind
MACAddress:00:0C:29:EC:A0:CE(VMware)
Nmapdone:1IPaddress(1hostup)scannedin0.93seconds
注:
我们看到已扫描出端口,同时只花了不到1秒的工夫.
示例2)制止一切标志都未置1的通讯,以下:
iptables-tfilter-AINPUT-ptcp--tcp-flagsALLNONE-jDROP
注:
--tcp-flagsALLNONE中的ALL指选定一切标志,NONE是指未选定任何标志.
示例3)制止FIN和ACK标志被设置而SYN标志没有设置的通讯.
iptables-tfilter-AINPUT-ptcp!--tcp-flagsSY如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的好朋友们! |
|
|Archiver|手机版|仓酷云
鄂ICP备14007578号-2
发表于 2015-1-14 21:21:25
收藏
转播
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜