Ini ialah arahan sc_filterpolicy yang boleh dijalankan dalam penyedia pengehosan percuma OnWorks menggunakan salah satu daripada berbilang stesen kerja dalam talian percuma kami seperti Ubuntu Online, Fedora Online, emulator dalam talian Windows atau emulator dalam talian MAC OS.
JADUAL:
NAMA
sc_filterpolicy — pemandu pecut untuk menguji sistem untuk dasar penapisan yang kongruen
SINOPSIS
sc_filterpolicy [-D] [-a fail input] [-l fail log] [-o fail keluaran] [-O pilihan]
[-p pelabuhan-pelancong] [-t jenis tuan rumah] [-T ujian] [-U scamper-unix]
sc_filterpolicy [-r fail data]
DESCRIPTION
. sc_filterpolicy utiliti menyediakan keupayaan untuk menyambung ke larian pecut(1) contoh
dan gunakan contoh itu untuk menguji sistem bagi dasar penapisan yang kongruen. Ujian utiliti
setiap sistem yang dinyatakan dalam fail input dengan meneliti kebolehcapaian aplikasi dengan ICMP,
UDP dan probe TCP, menggunakan kedua-dua IPv4 dan IPv6 jika berkenaan. Setiap sistem dalam input
fail harus mempunyai beberapa alamat IP yang ditentukan; pemandu menyiasat setiap alamat IP pada setiap
sistem satu demi satu untuk mengelak menyebabkan sistem jauh menghadkan respons.
sc_filterpolicy memperoleh kelajuan dengan menyelidik sistem secara selari, walaupun nampaknya
beroperasi dengan perlahan kerana tiada kemajuan dilaporkan sehingga semua alamat kepunyaan peranti
telah diuji satu persatu.
Aplikasi yang disokong oleh sc_filterpolicy untuk menguji dasar penapisan ialah:
- ICMP: menguji responsif kepada paket permintaan gema ICMP. Kami mengklasifikasikan alamat IP sebagai
responsif kepada permintaan gema ICMP jika ia menghantar balasan gema ICMP.
- NetBIOS: menguji responsif kepada paket TCP SYN yang dihantar ke port 139 (port NetBIOS).
Kami mengklasifikasikan alamat IP sebagai responsif jika ia menghantar SYN/ACK.
- MSSQL: menguji responsif kepada paket TCP SYN yang dihantar ke port 1433 (Microsoft SQL
port lalai pelayan). Kami mengklasifikasikan alamat IP sebagai responsif jika ia menghantar SYN/ACK.
- ftp: menguji responsif kepada paket TCP SYN yang dihantar ke port 21 (port lalai untuk FTP
sambungan kawalan). Kami mengklasifikasikan alamat IP sebagai responsif jika ia menghantar SYN/ACK.
- SSH: menguji responsif kepada paket TCP SYN dihantar ke port 22 (port lalai untuk SSH).
Kami mengklasifikasikan alamat IP sebagai responsif jika ia menghantar SYN/ACK.
- Telnet: menguji responsif kepada paket TCP SYN dihantar ke port 23 (port lalai untuk
telnet). Kami mengklasifikasikan alamat IP sebagai responsif jika ia menghantar SYN/ACK.
- MySQL: menguji responsif kepada paket TCP SYN dihantar ke port 3306 (port lalai untuk
MySQL). Kami mengklasifikasikan alamat IP sebagai responsif jika ia menghantar SYN/ACK.
- RDP: menguji responsif kepada paket TCP SYN dihantar ke port 3389 (port lalai untuk
RDP). Kami mengklasifikasikan alamat IP sebagai responsif jika ia menghantar SYN/ACK.
- HTTPS: menguji responsif kepada paket TCP SYN dihantar ke port 443 (port lalai untuk
HTTPS). Kami mengklasifikasikan alamat IP sebagai responsif jika ia menghantar SYN/ACK.
- SMB: menguji responsif kepada paket TCP SYN dihantar ke port 445 (port lalai untuk
SMB). Kami mengklasifikasikan alamat IP sebagai responsif jika ia menghantar SYN/ACK.
- HTTP: menguji responsif kepada paket TCP SYN dihantar ke port 80 (port lalai untuk
HTTP). Kami mengklasifikasikan alamat IP sebagai responsif jika ia menghantar SYN/ACK.
- BGP: menguji responsif kepada paket TCP SYN dihantar ke port 179 (port lalai untuk
BGP). Kami mengklasifikasikan alamat IP sebagai responsif jika ia menghantar SYN/ACK.
- NTP: menguji responsif kepada paket UDP dihantar ke port 123 (port lalai untuk NTP)
dengan muatan permintaan versi NTP. Kami mengklasifikasikan alamat IP sebagai responsif jika ia
menghantar respons UDP.
- DNS: menguji responsif kepada paket UDP dihantar ke port 53 (port lalai untuk DNS) dengan
pertanyaan untuk www.google.com. Kami mengklasifikasikan alamat IP sebagai responsif jika ia menghantar a
respons UDP.
- SNMP: menguji responsif kepada paket UDP yang dihantar ke port 161 (port lalai untuk SNMP)
dengan mendapatkan untuk sysDescr melalui komuniti awam menggunakan protokol SNMPv2c. Kami
kelaskan alamat IP sebagai responsif jika ia menghantar respons UDP.
- VNC: menguji responsif kepada paket TCP SYN dihantar ke port 5900 (port lalai untuk
VNC). Kami mengklasifikasikan alamat IP sebagai responsif jika ia menghantar SYN/ACK.
Pilihan yang disokong oleh sc_filterpolicy adalah seperti berikut:
-? mencetak senarai pilihan baris arahan dan sinopsis setiap satu.
-a fail input
menentukan nama fail input yang terdiri daripada urutan sistem untuk
ujian. Lihat bahagian contoh untuk contoh pemformatan fail input.
-D dengan set pilihan ini, sc_filterpolicy akan berpisah dan menjadi daemon.
-l fail log
menentukan nama fail untuk log keluaran kemajuan sc_filterpolicy dijana
pada masa berjalan.
-o fail keluaran
menentukan nama fail yang akan ditulis. Fail output akan menggunakan ketuat(5)
format.
-O pilihan
membenarkan tingkah laku sc_filterpolicy untuk disesuaikan lagi. Pilihan semasa
untuk pilihan ini ialah:
- tidak sabar: perintah sistem yang terdapat dalam fail input supaya mereka yang mempunyai
kebanyakan alamat disiasat terlebih dahulu, supaya siasatan akan selesai secepat
mungkin.
- tidak selaras: hanya sistem laporan yang disimpulkan mempunyai ketakselarasan
dasar penapisan.
- jejak: siasat alamat yang terdapat dalam fail input menggunakan traceroute, sebaliknya
daripada ping.
- tupel: memberi isyarat bahawa fail input diformatkan sebagai tupel, bukannya baris.
Lihat bahagian contoh untuk maklumat lanjut.
-p pelabuhan-pelancong
menentukan port pada hos tempatan di mana pecut(1) sedang menerima soket kawalan
sambungan.
-r fail data
menentukan nama fail data dasar penapis yang dikumpul sebelum ini, dalam ketuat(5)
format, untuk membaca dan menganalisis.
-t kelas siasatan
menentukan kelas probe untuk dihantar bagi setiap alamat IP dalam fail input. The
pilihan semasa untuk pilihan ini ialah:
- penghala: uji ICMP, SSH, Telnet, HTTPS, HTTP, BGP, NTP, DNS dan SNMP.
- pelayan: uji ICMP, FTP, SSH, Telnet, MySQL, RDP, HTTPS, SMB, HTTP, NTP, DNS,
dan SNMP.
- semua: uji ICMP, NetBIOS, MSSQL, FTP, SSH, Telnet, MySQL, RDP, HTTPS, SMB, VNC,
HTTP, BGP, NTP, DNS dan SNMP.
-T ujian
menentukan pelarasan kepada jadual ujian daripada jenis aplikasi yang disokong.
Mengawal aplikasi dengan + menyebabkan jenis aplikasi ditambahkan pada ujian
jadual, dan pendahuluan aplikasi dengan - menyebabkan jenis aplikasi menjadi
dikeluarkan daripada jadual ujian.
-U scamper-unix
menentukan soket domain unix pada hos tempatan di mana pecut(1) menerima
sambungan soket kawalan.
CONTOH
sc_filterpolicy memerlukan a pecut(1) contohnya mendengar pada port atau soket domain unix untuk
arahan untuk mengumpul data:
pecut -P 31337
akan bermula a pecut(1) contoh mendengar pada port 31337 pada antara muka gelung balik. Untuk menggunakan
sc_filterpolicy untuk menguji dasar penapisan set penghala yang dinyatakan dalam fail bernama
routers.txt dan diformatkan sebagai baris seperti berikut:
foo.example.com 192.0.2.1 2001:DB8::1
bar.example.com 192.0.2.2 2001:DB8::2
arahan berikut akan menguji penghala ini untuk responsif kepada ICMP, SSH, Telnet,
Probe HTTPS, HTTP, BGP, NTP, DNS dan SNMP, merekodkan data mentah ke dalam example-router.warts:
sc_filterpolicy -p 31337 -a routers.txt -t router -o example-routers.warts
Memasukkan nama setiap peranti dalam fail input adalah pilihan.
Perintah berikut hanya akan menguji penghala untuk responsif kepada SSH:
sc_filterpolicy -p 31337 -a routers.txt -T +ssh -o example-ssh.warts
Untuk menggunakan sc_filterpolicy untuk menguji dasar penapisan set pelayan yang dinyatakan dalam fail
bernama servers.txt dan diformatkan sebagai tupel seperti berikut:
db.example.com 192.0.2.3
db.example.com 2001::DB8::3
corp.example.com 192.0.2.4
corp.example.com 2001::DB8::4
arahan berikut akan menguji pelayan ini untuk responsif kepada ICMP, FTP, SSH, Telnet,
MySQL, RDP, HTTPS, SMB, HTTP, NTP, DNS, dan probe SNMP, merekodkan data mentah menjadi contoh-
servers.warts:
sc_filterpolicy -p 31337 -a servers.txt -t server -o example-servers.warts -O tupel
Dalam fail input yang diformatkan sebagai tupel, nama (atau pengecam) untuk setiap peranti ialah
mandatori, dan digunakan untuk memastikan hanya satu probe dihantar ke mana-mana satu peranti pada satu masa, dan ke
kumpulkan respons daripada alamat yang berbeza ke peranti yang sama untuk pelaporan.
Setelah data mentah telah dikumpul, sc_filterpolicy boleh digunakan untuk menganalisis data yang dikumpul.
Untuk fail example-routers.warts, arahan berikut membuang ringkasan data
dikumpul untuk setiap penghala:
sc_filterpolicy -r contoh-penghala.warts
: T
: e H
: I l THS
: CS n TTBNDN
: MS e PTGTNM
: PH t SPPPSP
========================================
192.0.2.1 : OOOOO
2001:DB8::1 : OOOOO
192.0.2.2 : OX
2001:DB8::2 : OO
Penghala pertama adalah responsif (O) untuk probe ICMP, SSH, HTTP, DNS dan SNMP pada semua
alamat. Penghala kedua adalah responsif (O) kepada probe ICMP pada kedua-dua alamat adalah
tidak responsif (X) kepada SSH pada alamat IPv4, tetapi responsif (O) kepada SSH pada IPv6
alamat dan mungkin mewakili dasar penapisan yang tidak selaras dan memerlukan
perhatian. Ambil perhatian bahawa sel kosong dalam jadual mewakili penghala yang tidak bertindak balas
(X) kepada protokol itu untuk semua alamat yang diuji; sel dibiarkan kosong untuk membolehkan pengguna
fokus pada perkhidmatan aplikasi terbuka dan tidak selaras.
Arahan:
sc_filterpolicy -O tidak selaras -r contoh-penghala. ketuat
hanya akan menunjukkan penghala dengan dasar penapisan yang tidak selaras.
Gunakan sc_filterpolicy dalam talian menggunakan perkhidmatan onworks.net
