IT之家学院不懂命令行怎么玩Linux（七）局域网和防火墙

　　感谢IT之家网友 软媒用户1226512 的线索投递！
　　提要：如果你和我一样，对命令行一窍不通、英语只有中学水平、键盘只会二指禅，但对Linux很感兴趣，在网上大部分教程都是各种命令的情况下，该怎么愉快使用Linux呢？本期的重点是局域网和防火墙。在此期间，你会看见好几个命令。系统是Linux mint 18.3 kde amd64。
　　一、勒索病毒
　　Windows平台出现WannaCry之后，Linux又出现了SambaCry。但对于一般用户来说，不管是什么Cry，原本不该产生什么影响，所以也不该受重视。为什么这么说呢？
　　Samba官网对漏洞的描述是这样的：＂Malicious clients can upload...from a writable share＂。虽然我不太懂英文，但这个漏洞看起来太难了——凭什么你能连接别人的电脑？凭什么你能匿名登录？凭什么你还可以写入？
　　所以，能够中毒的人至少犯了三个错误：允许陌生人连接、允许陌生人登录、允许陌生人写入。其中后两点可能利用别的漏洞，但第一点是病毒在网络中传播最大的难点，因为大部分系统都是有防火墙的。
　　以前我们说过，Ubuntu默认关闭防火墙，应当自行打开，并配置为拒绝所有传入连接。对于Windows来说，如果不是人为设置，默认的防火墙也是不允许传入的，那么WannaCry怎么会在校园网中传播呢？
　　下面是校园网的两种常见操作：
　　1、在网上搜索windows 7纯净版下载，来到了××之家（图1）。没想到还有这种优化。
　　2、在网上搜索怎么打dota，来到了×度经验（图2）。没想到还有这种经验。
　　校园网中有上千用户，从这一点来看，连网吧都比校园网靠谱。当年我还上学的时候，整栋楼都是网上邻居——林子大了什么鸟都有，一旦关上防火墙，你的论文可能就没了。
　　二、配置防火墙
　　假设现在我的防火墙是这样的（图3）。
　　虽然这样很安全，但为了使用某些程序，现在必须添加白名单。下面列举几个例子，来说明适用于不同情况的防火墙规则：
　　1、公开
　　Qbittorrent作为一个种子客户端，应当是开放的。前面说过，qb默认使用8999端口，假设程序有未公开的漏洞，那么或许会出现一种扫描8999端口的病毒，因此向太多人开放的端口应当不是默认值（比如把ssh端口从22改成1926）。
　　在qb设置中随机一个看着顺眼的端口（图4）。
　　点击防火墙下面的加号，配置一个简单规则（图5）。
　　切换到右边的＂Report＂，可以看到qb的连接状况（图6），至于图上的其它几个端口——既然不认识，就不要管它了。有些软件在预设规则中找不到，软件本身也没有太多说明，此时可以利用＂Report＂来创建规则。
　　2、局域网
　　添加Samba规则非常简单，只要在预设中搜索即可（图7）。
　　但这样搞也不太好，继续编辑预设规则,（图8），限制对方的ip地址。图中的192.168.0.0/24表示192.168.0.×××这样的地址，这可能是你的路由器下面的所有设备的地址，如果你觉得它们是安全的，这样应该没有问题（有时候路由器本身会有问题）。现在隔壁的192.168.1.×××就会被拒绝。
　　3、私密连接
　　每个人都有一些不愿被人发现的秘密，比如我就不想被人发现自己看漫画，毕竟这是小孩子的玩意。现在我们用以前提到过的Calibre开一个漫画服务器，选择常用端口8080。
　　添加规则，只写一个ip，也就是我的手机，这会导致其他所有ip都不能看我的漫画。
　　在手机上用chrome打开192.168.0.xxx:8080，并作为pwa应用添加到桌面，现在可以藏被窝里看热血动作励志偶像漫了。由于pwa的特性，这些漫画可以离线观看。
　　4、其他
　　ip转发：目前并不需要。
　　为不认识的应用配置防火墙：本文最后的＂kde connect＂或许可以作为参考。
　　三、使用Samba
　　我们都对Windows的网上邻居比较熟悉，如果你想加入＂workgroup＂，那就用Samba。安装Samba请去应用商店，之后就可以使用Windows文件和打印机共享。
　　如果实在想用命令的话，你现在可以试着添加一个账号（图10）。
　　现在找到你要共享的文件夹，右键-属性-共享（图11）。此处可允许匿名登录，但一定不能有写入权限。如果要写入的话，请使用刚才添加的＂lucy＂，把这个账号设置为＂完全控制＂。
　　现在可以在文件管理器中查看Windows工作组（图12）。
　　由于我没钱再买一个电脑，只能用手机来演示。总之先花两块钱买个像样的文件管理器（图13）。
　　在文件管理器中添加一个smb连接（图14）。
　　进行端口扫描（图15），由于上面的防火墙配置，不在白名单中的设备是扫不到我的。
　　填写账号密码，这个密码不是系统密码，而是图9的密码。如果不填，就会是匿名登录（图16）。
　　成功接入（图17）。现在可以浏览文件，但能不能写入，取决于上面的设置和你的登录账号。
　　现在还有一个问题。目前使用的是被微软放弃了的smb1，也就是xp上的版本，出现许多问题的也是它。如果你毫不在意xp能不能访问你的共享，那就禁用它吧。
　　打开/etc/samba/smb.conf。由于上次用记事本被嫌弃不专业，这次用高级记事本——虽然没有任何区别。在第26行后面加几句话（图18）。
　　现在已经无法使用旧协议了（图19）。
　　四、建立局域网
　　在这之前，先要解决熊孩子的问题。众所周知，上次我剪了他的专辑然后又删掉了，没想到竟然会被发现。现在他找上门来，我只好把上面的热血漫画赔给他。在这期间，他嚷嚷着要连WiFi玩农药，于是我偷偷给他搞了个热点。
　　在系统托盘上右键打开网络连接，新建一个wifi，起一个一看就是热点的名字，模式选＂接入点＂（图19）。
　　设置一个人人都能猜到的简单密码（图20）。
　　选择＂与其他计算机共享＂（图21），这样就能把你的网络分享出去——本来应该是这样的。
　　但由于我一时手快选错了（图22），变成了一个没插网线的路由器。但我还是把密码告诉了熊孩子——反正我这边能上网，可能是你的手机有问题吧。
　　五、连接手机
　　这是我第一次使用kde connect连接电脑和手机，防火墙预设规则里面没有这玩意。Gufw的＂Report＂中显示使用了1716端口，但这个软件功能众多，1716或许只是其中之一，此时应当查阅官方文档。文档中称＂KDE Connect uses dynamic ports in the range 1714-1764 for UDP and TCP＂。我现在有两个路由器，隔壁房间是192.168.1.1，这个房间是192.168.0.1，手机在这两个房间里应当都能连接。现在我们来建立一个规则。
　　使用192.168.0.1/23来覆盖从192.168.0.x到192.168.1.x的地址范围（别问我这是为什么，因为网上有一种叫做＂IP地址计算器＂的东西），使用1714:1764来表示1714-1764间的所有端口，分别建立tcp和udp规则（图23）。
　　规则生效后，程序能发现并连接设备（图24）。
　　手机端要在谷歌商店安装＂kde connect＂。连接后大致实现了以下功能：
　　1、通知双向同步。电脑和手机会互相收发应用或系统通知，电脑端可接收短信、电话。
　　2、剪贴板双向同步。这头复制，那头粘贴。这在复制段子发评论的时候可能特别有用，毕竟人的本质就是复读机啊。
　　3、文件共享。手机端集成到分享菜单（图25），分享文件会自动发送，分享网页会在电脑端弹出chrome。电脑端右键菜单可选＂发送到手机＂，资源管理器可远程管理手机存储。
　　4、手机代替键盘打字。虽然平时没有任何意义，但躺在床上用手柄玩电脑的时候终于不用再忍受手柄打字了。
　　5、运行预设命令，可以在电脑端设置（图26）。
　　躺床上关机的命令是＂systemctl poweroff＂，由于此时摸不到电脑且无法输入密码，命令只能以用户权限运行（图27）。经测试，晚上挂机下载小电影，下载完成后手机接收通知并使用此功能关机是可行的。
　　下期预告：如何安装打印机？打印机的光盘只给了Windows驱动怎么办？如何把打印机共享给别人？如果下一期之前我不能白嫖一个真正的打印机，可能就要用虚拟打印机来演示了。
　　相关阅读：
　　《IT之家学院：不懂命令行怎么玩Linux（一）双系统安装》
　　《IT之家学院：不懂命令行怎么玩Linux（二）安装软件篇》
　　《IT之家学院：不懂命令行怎么玩Linux（三）自动化配置篇》
　　《IT之家学院：不懂命令行怎么玩Linux（四）玩游戏篇》
　　《IT之家学院：不懂命令行怎么玩Linux（五）下载篇》
　　《IT之家学院：不懂命令行怎么玩Linux（六）音乐播放器篇》