最好的Linux系統(tǒng)安全教程

1、LinuxLinux系統(tǒng)安全BIOS安全LILO安全口令和帳號安全取消不必要的服務 限制網絡訪問防止攻擊替換常見網絡服務應用程序 防火墻常見安全工具一、BIOSBIOS安全 一定要給Bios設置密碼，以防通過在Bios中改變啟動順序，而可以從軟盤啟動。 這樣可以阻止別人試圖用特殊的啟動盤啟動你的系統(tǒng)，還可以阻止別人進入Bios改動其中的設置（比如允許通過軟盤啟動等）。二、 LILO安全 LILO是LInux LOader的縮寫，它是LINUX的啟動模塊?？梢酝ㄟ^修改“/etc/lilo.conf”文件中的內容來進行配置。 在“/etc/lilo.conf”文件中加入下面三個參數：time-ou

2、t,restricted,password。這三個參數可以使你的系統(tǒng)在啟動lilo時就要求密碼驗證。 q配置步驟：編輯lilo.conf文件（vi /etc/f）,假如或改變這三個參數 。boot=/dev/hdamap=/boot/mapinstall=/boot/boot.btime-out=00 #把這行改為00promptDefault=linux 二、 LILO安全restricted #加入這行password= #加入這行并設置自己的密碼image=/boot/vmlinuz-2.2.14-12label=linuxinitrd=/boot/initrd-2.2.14-12.im

3、groot=/dev/hda6read-only因為“/etc/lilo.conf”文件中包含明文密碼，所以要把它設置為root權限讀取。rootkapil /# chmod 600 /etc/lilo.conf更新系統(tǒng)，以便對“/etc/lilo.conf”文件做的修改起作用。Rootkapil /# /sbin/lilo v使用“chattr”命令使“/etc/lilo.conf”文件變?yōu)椴豢筛淖?。rootkapil /# chattr +i /etc/lilo.conf 這樣可以防止對“/etc/lilo.conf”任何改變（以外或其他原因） 三、 口令和帳號安全1.1.刪除所有的特殊賬

4、戶刪除所有的特殊賬戶 應該刪除所有不用的缺省用戶和組賬戶（比如lp, sync, shutdown, halt，mail；不用sendmail服務器可刪除帳號 news, uucp, operator, games；不用X windows 服務器可刪掉帳號 gopher刪除語法：刪除用戶：rootkapil /# userdel LP刪除組：rootkapil /# groupdel LP 三、 口令和帳號安全2.取消普通用戶的控制臺訪問權限取消普通用戶的控制臺訪問權限 應該取消普通用戶的控制臺訪問權限，比如shutdown、reboot、halt等命令。rootkapil /# rm -f

5、/etc/security/console.apps/xx（xx是你要注銷的程序名）3.3.口令安全口令安全杜絕不設口令的帳號存在 杜絕不設口令的帳號存在可以通過查看/etc/passwd文件發(fā)現(xiàn)。 例如： test:100:9:/home/test:/bin/bash 第二項為空，說明test這個帳號沒有設置口令，這是非常危險的！應將該類帳號刪除或者設置口令。 三、 口令和帳號安全修改一些系統(tǒng)帳號的Shell變量 系統(tǒng)帳號如uucp,ftp和news等，還有一些僅僅需要FTP功能的帳號，一定不要給他們設置/bin/bash或者/bin/sh等Shell變量。方法：可以在/etc/passwd

6、中將它們的Shell變量置空，例如設為/bin/false或者/dev/null等，也可以使用usermod -s /dev/null username命令來更改username的Shell為/dev/null。 這樣使用這些帳號將無法Telnet遠程登錄到系統(tǒng)中來！ 三、 口令和帳號安全修改密碼長度 在你安裝linux時默認的密碼長度是5個字節(jié)。但這并不夠，要把它設為8。修改最短密碼長度需要編輯login.defs文件（vi /etc/login.defs），把下面這行PASS_MIN_LEN 5改為PASS_MIN_LEN 8login.defs文件是login程序的配置文件。三、 口令和

7、帳號安全打開密碼的shadow支持功能 打開密碼的shadow功能，來對password加密。 使用“/usr/sbin/authconfig” 工具打開shadow功能。如果你想把已有的密碼和組轉變?yōu)閟hadow格式，可以分別使用 “/usr/sbin/pwconv，/usr/sbin/grpconv ”命令。三、 口令和帳號安全4.4.自動注銷帳號的登錄自動注銷帳號的登錄 root賬戶是具有最高特權的。如果系統(tǒng)管理員在離開系統(tǒng)之前忘記注銷root賬戶，那將會帶來很大的安全隱患，應該讓系統(tǒng)會自動注銷。通過修改賬戶中“TMOUT”參數，可以實現(xiàn)此功能。TMOUT按秒計算。 編輯你的profil

8、e文件（vi /etc/profile）,在HISTFILESIZE=后面加入下面這行： TMOUT=300 如果系統(tǒng)中登陸的用戶在5分鐘內都沒有動作，那么系統(tǒng)會自動注銷這個賬戶。你可以在個別用戶的“.bashrc”文件中添加該值，以便系統(tǒng)對該用戶實行特殊的自動注銷時間。 改變這項設置后，必須先注銷用戶，再用該用戶登陸才能激活這個功能。 三、 口令和帳號安全5.禁止任何人通過禁止任何人通過susu命令改變?yōu)槊罡淖優(yōu)閞ootroot用戶用戶 su(Substitute User替代用戶)命令允許你成為系統(tǒng)中其他已存在的用戶。如果你不希望任何人通過su命令改變?yōu)閞oot用戶或對某些用戶限制使用s

9、u命令，你可以在su 配置文件（在“/etc/pam.d/”目錄下）的開頭添加下面兩行：編輯su文件（vi /etc/pam.d/su）在文件的頭部加入下面兩行：auth sufficient /lib/security/pam_rootok.so debugauth required /lib/security/pam_wheel.so group=wheel 然后把您想要執(zhí)行su成為root的用戶放入wheel組rootsound# usermod -G10 admin四、取消不必要的服務 察看“/etc/inetd.conf”文件，通過注釋取消所有你不需要的服務（在該服務項目之前加一個“

10、#”）。然后用“sighup”命令升級“inetd.conf”文件。 更改“/etc/inetd.conf”權限為600，只允許root來讀寫該文件。 # chmod 600 /etc/inetd.conf 確定“/etc/inetd.conf”文件所有者為root。 編輯 /etc/inetd.conf文件（vi /etc/inetd.conf），取消不需要的服務：shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth等等。 # grep -v # /etc/inetd.conf 用chattr命令把/ec/inet

11、d.conf文件設為不可修改，這樣就沒人可以修改它： # chattr +i /etc/inetd.conf 察看哪些服務在運行： # netstat -na -ip五、限制網絡訪問NFS訪問 使用NFS網絡文件系統(tǒng)服務，應該確保你的/etc/exports具有最嚴格的訪問權限設置，也就是意味著不要使用任何通配符、不允許root寫權限并且只能安裝為只讀文件系統(tǒng)。編輯文件/etc/exports并加入如下兩行： /dir/to/export (ro，root_squash) /dir/to/export (ro，root_squash) /dir/to/export 是你想輸出的目錄，是登錄這個

12、目錄的機器名，ro意味著mount成只讀系統(tǒng)，root_squash禁止root寫入該目錄。 為了使改動生效，運行如下命令： # /usr/sbin/exportfs -a 五、限制網絡訪問Inetd設置 首先要確認/etc/inetd.conf的所有者是root，且文件權限設置為600，命令是：# chmod 600 /etc/inetd.conf 然后，編輯/etc/inetd.conf禁止以下服務，命令是： ftp telnet shell login exec talk ntalk imap pop-2 pop-3 finger auth 為了使改變生效，運行如下命令： #killal

13、l -HUP inetd 五、限制網絡訪問TCP_WRAPPERS 默認的，Redhat Linux允許所有的請求，這是很危險的。如果用TCP_WRAPPERS來增強我們站點的安全性簡直是舉手之勞，你可以將禁止所有的請求放入“ALL: ALL”到/etc/hosts.deny中，然后放那些明確允許的請求到/etc/hosts.allow中，如: sshd: 0/ 表示允許IP地址0和主機名允許通過SSH連接 。 配置完成后，可以用tcpdchk檢查: # tcpdchk tcpchk是TCP_Wrapper配置檢查工具，它檢

14、查你的tcp wrapper配置并報告所有發(fā)現(xiàn)的潛在/存在的問題。 五、限制網絡訪問登錄終端設置 /etc/securetty文件指定了允許root登錄的tty設備，由/bin/login程序讀取，其格式是一個被允許的名字列表，你可以編輯/etc/securetty且注釋掉如下的行：tty1 # tty2 # tty3 # tty4 # tty5 # tty6 這時，root僅可在tty1終端登錄。 五、限制網絡訪問避免顯示系統(tǒng)和版本信息如果你希望遠程登錄用戶看不到系統(tǒng)和版本信息，可以通過以下操作改變/etc/inetd.conf文件： telnet stream tcp nowait roo

15、t /usr/sbin/tcpd in.telnetd -h 加-h表示telnet不顯示系統(tǒng)信息，而僅僅顯示login:。六、防止攻擊阻止ping 如果沒人能ping通你的系統(tǒng)，安全性自然增加了。為此，可以在/etc/rc.d/rc.local文件中增加如下一行： echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all防止IP欺騙 編輯host.conf文件并增加如下幾行來防止IP欺騙攻擊。 order bind，hosts multi off nospoof on六、防止攻擊防止DoS攻擊 對系統(tǒng)所有的用戶設置資源限制可以防止DoS類型攻擊。如最大進程

16、數和內存使用數量等。例如，可以在/etc/security/limits.conf中添加如下幾行： * hard core 0 * hard rss 5000 * hard nproc 20 然后必須編輯/etc/pam.d/login文件檢查下面一行是否存在。 session required /lib/security/pam_limits.so 命令禁止core files“core 0”，限制進程數為“nproc 50“，且限制內存使用為5M“rss 5000”。 七、替換常見網絡服務應用程序 1.WuFTPD/WuFTPD WuFTD從1994年就開始就不斷地出現(xiàn)安全漏洞，黑客很容易

17、就可以獲得遠程root訪問（Remote Root Access）的權限，而且很多安全漏洞甚至不需要在FTP服務器上有一個有效的帳號。最近，WuFTP也是頻頻出現(xiàn)安全漏洞。 它的最好的替代程序是ProFTPD。ProFTPD的優(yōu)點：ProFTPD很容易配置，在多數情況下速度也比較快，而且它的源代碼也比較干凈（緩沖溢出的錯誤比較少）。 ProFTPD的另一個優(yōu)點就是既可以從inetd運行又可以作為單獨的daemon運行。這樣就可以很容易解決inetd帶來的一些問題，如：拒絕服務的攻擊（denial of service attack），等 七、替換常見網絡服務應用程序 Telnet Telnet

18、用明文來傳送密碼。 它的安全的替代程序是OpenSSH。 Linux的發(fā)行商應該采用OpenBSD的策略：安裝OpenSSH并把它設置為默認的，安裝Telnet但是不把它設置成默認的。Sendmail Sendmail是以root權限運行而且代碼很龐大容易出問題。 它的兩個替代程序Qmail和Postfix都比它安全、速度快，而且特別是Postfix比它容易配置和維護。 七、替換常見網絡服務應用程序 su su是用來改變當前用戶的ID，轉換成別的用戶。 su本身是沒有問題的，但是它會讓人養(yǎng)成不好的習慣。如果一個系統(tǒng)有多個管理員，必須都給他們root的口令。 su的一個替代程序是sudo 。na

19、med named以前是以root運行的 ； 只要用命令行“named -u -g ”讓named以非root的用戶運行 ； 現(xiàn)在絕大多數Linux的發(fā)行商都讓 named以普通用戶的權限運行。 八、防火墻防火墻是一套能夠在兩個或兩個以上的網絡之間，明顯區(qū)隔出實體線路聯(lián)機的軟硬件設備組合。被區(qū)隔開來的網絡，可以透過封包轉送技術來相互通訊，透過防火墻的安全管理機制，可以決定哪些數據可以流通，哪些資料無法流通，藉此達到網絡安全保護的目的。iptables 指令語法：iptables -t table command match -j target/jump說明： * * t 參數用來指定規(guī)則表，內

20、建的規(guī)則表有三個，分別是：nat、mangle 和 filter，當未指定規(guī)則表時，則一律視為是 filter。各個規(guī)則表的功能如下： nat 此規(guī)則表擁有 Prerouting 和 postrouting 兩個規(guī)則煉，主要功能為進行一對一、一對多、多對多等網址轉譯工作（SNAT、DNAT），由于轉譯工作的特性，需進行目的地網址轉譯的封包，就不需要進行來源網址轉譯，反之亦然，因此為了提升改寫封包的效率，在防火墻運作時，每個封包只會經過這個規(guī)則表一次。如果我們把封包過濾的規(guī)則定義在這個數據表里，將會造成無法對同一封包進行多次比對，因此這個規(guī)則表除了作網址轉譯外，請不要做其它用途。 mangle

21、此規(guī)則表擁有 Prerouting、FORWARD 和 postrouting 三個規(guī)則煉。 filter 這個規(guī)則表是預設規(guī)則表，擁有 INPUT、FORWARD 和 OUTPUT 三個規(guī)則煉，這個規(guī)則表顧名思義是用來進行封包過濾的處理動作（例如：DROP、 LOG、 ACCEPT 或 REJECT），我們會將基本規(guī)則都建立在此規(guī)則表中。八、防火墻常用命令列表：常用命令列表：* *命令 -A, -append范例 iptables -A INPUT .說明 新增規(guī)則到某個規(guī)則煉中，該規(guī)則將會成為規(guī)則煉中的最后一條規(guī)則。* *命令 -D, -delete范例 iptables -D INPUT

22、 -dport 80 -j DROPiptables -D INPUT 1 說明 從某個規(guī)則煉中刪除一條規(guī)則，可以輸入完整規(guī)則，或直接指定規(guī)則編號加以刪除。* *命令 -R, -replace范例 iptables -R INPUT 1 -s -j DROP說明 取代現(xiàn)行規(guī)則，規(guī)則被取代后并不會改變順序。八、防火墻 * *命令 -I, -insert范例 iptables -I INPUT 1 -dport 80 -j ACCEPT說明 插入一條規(guī)則，原本該位置上的規(guī)則將會往后移動一 個順位。* *命令 -L, -list范例 iptables -L INPUT說明 列

23、出某規(guī)則煉中的所有規(guī)則。* *命令 -F, -flush范例 iptables -F INPUT說明 刪除某規(guī)則煉中的所有規(guī)則。 * *命令 -Z, -zero范例 iptables -Z INPUT說明 將封包計數器歸零。封包計數器是用來計算同一封包 出現(xiàn)次數，是過濾阻斷式攻擊不可或缺的工具。八、防火墻 * *命令 -N, -new-chain范例 iptables -N allowed說明 定義新的規(guī)則煉。* *命令 -X, -delete-chain范例 iptables -X allowed說明 刪除某個規(guī)則煉。* *命令 -P, -policy范例 iptables -P INPUT

24、 DROP說明 定義過濾政策。 也就是未符合過濾條件之封包，預設的處理方式。* *命令 -E, -rename-chain范例 iptables -E allowed disallowed說明 修改某自訂規(guī)則煉的名稱。八、防火墻常用封包比對參數：常用封包比對參數：* *參數 -p, -protocol范例 iptables -A INPUT -p tcp說明 比對通訊協(xié)議類型是否相符，可以使用 ! 運算子進行反向比對，例如：-p ! tcp ，意思是指除 tcp 以外的其它類型，包含 udp、icmp .等。如果要比對所有類型，則可以使用 all 關鍵詞，例如：-p all。* *參數 -s,

25、 -src, -source范例 iptables -A INPUT -s 說明 用來比對封包的來源 IP，可以比對單機或網絡，比對網絡時請用數字來表示屏蔽，例如：-s /24，比對 IP 時也可以使用 ! 運算子進行反向比對，例如：-s ! /24。* *參數 -d, -dst, -destination范例 iptables -A INPUT -d 說明 用來比對封包的目的地 IP，設定方式同上。八、防火墻 * *參數 -i, -in-interface范例 iptables -A INPUT -i e

26、th0說明 用來比對封包是從哪片網卡進入，可以使用通配字符 + 來做大范圍比對，例如：-i eth+ 表示所有的 ethernet 網卡，也可以使用 ! 運算子進行反向比對，例如：-i ! eth0。 * *參數 -o, -out-interface范例 iptables -A FORWARD -o eth0說明 用來比對封包要從哪片網卡送出，設定方式同上。* *參數 -sport, -source-port范例 iptables -A INPUT -p tcp -sport 22說明 用來比對封包的來源埠號，可以比對單一埠，或是一個范圍，例如：-sport 22:80，表示從 22 到 80

27、 埠之間都算是符合條件，如果要比對不連續(xù)的多個埠，則必須使用 -multiport 參數，詳見后文。比對埠號時，可以使用 ! 運算子進行反向比對。八、防火墻 * *參數 -dport, -destination-port范例 iptables -A INPUT -p tcp -dport 22說明 用來比對封包的目的地埠號，設定方式同上。* *參數 -tcp-flags范例 iptables -p tcp -tcp-flags SYN,FIN,ACK SYN說明 比對 TCP 封包的狀態(tài)旗號，參數分為兩個部分，第一個部分列舉出想比對的旗號，第二部分則列舉前述旗號中哪些有被設定，未被列舉的旗號必

28、須是空的。TCP 狀態(tài)旗號包括：SYN（同步）、ACK（應答）、FIN（結束）、RST（重設）、URG（緊急）、PSH（強迫推送）等均可使用于參數中，除此之外還可以使用關鍵詞 ALL 和 NONE 進行比對。比對旗號時，可以使用 ! 運算子進行反向比對。八、防火墻 * *參數 -syn范例 iptables -p tcp -syn說明 用來比對是否為要求聯(lián)機之 TCP 封包，與 iptables -p tcp -tcp-flags SYN,FIN,ACK SYN 的作用完全相同，如果使用 ! 運算子，可用來比對非要求聯(lián)機封包。* *參數 -m multiport -source-port范例

29、iptables -A INPUT -p tcp -m multiport -source-port 22,53,80,110說明 用來比對不連續(xù)的多個來源埠號，一次最多可以比對 15 個埠，可以使用 ! 運算子進行反向比對。* *參數 -m multiport -destination-port范例 iptables -A INPUT -p tcp -m multiport -destination-port 22,53,80,110說明 用來比對不連續(xù)的多個目的地埠號，設定方式同上。八、防火墻 * *參數 -m multiport -port范例 iptables -A INPUT -p

30、tcp -m multiport -port 22,53,80,110說明 這個參數比較特殊，用來比對來源埠號和目的埠號相同的封包，設定方式同上。注意：在本范例中，如果來源端口號為 80 但目的地埠號為 110，這種封包并不算符合條件。* *參數 -icmp-type范例 iptables -A INPUT -p icmp -icmp-type 8說明 用來比對 ICMP 的類型編號，可以使用代碼或數字編號來進行比對。請打 iptables -p icmp -help 來查看有哪些代碼可以用。* *參數 -m limit -limit范例 iptables -A INPUT -m limit

31、-limit 3/hour說明 用來比對某段時間內封包的平均流量，上面的例子是用來比對：每小時平均流量是否超過一次 3 個封包。除了每小時平均一次外，也可以每秒鐘、每分鐘或每天平均一次，默認值為每小時平均一次，參數如后： /second、 /minute、/day。除了進行封包數量的比對外，設定這個參數也會在條件達成時，暫停封包的比對動作，以避免因駭客使用洪水攻擊法，導致服務被阻斷。八、防火墻 * *參數 -limit-burst范例 iptables -A INPUT -m limit -limit-burst 5說明 用來比對瞬間大量封包的數量，上面的例子是用來比對一次同時涌入的封包是否超

32、過 5 個（這是默認值），超過此上限的封包將被直接丟棄。使用效果同上。* *參數 -m mac -mac-source范例 iptables -A INPUT -m mac -mac-source 00:00:00:00:00:01說明 用來比對封包來源網絡接口的硬件地址，這個參數不能用在 OUTPUT 和 Postrouting 規(guī)則煉上，這是因為封包要送出到網卡后，才能由網卡驅動程序透過 ARP 通訊協(xié)議查出目的地的 MAC 地址，所以 iptables 在進行封包比對時，并不知道封包會送到哪個網絡接口去。* *參數 -mark范例 iptables -t mangle -A INPUT

33、-m mark -mark 1說明 用來比對封包是否被表示某個號碼，當封包被比對成功時，我們可以透過 MARK 處理動作，將該封包標示一個號碼，號碼最大不可以超過 4294967296。八、防火墻 * *參數 -m owner -uid-owner范例 iptables -A OUTPUT -m owner -uid-owner 500說明 用來比對來自本機的封包，是否為某特定使用者所產生的，這樣可以避免服務器使用 root 或其它身分將敏感數據傳送出去，可以降低系統(tǒng)被駭的損失。可惜這個功能無法比對出來自其它主機的封包。* *參數 -m owner -gid-owner范例 iptables

34、-A OUTPUT -m owner -gid-owner 0說明 用來比對來自本機的封包，是否為某特定使用者群組所產生的，使用時機同上。* *參數 -m owner -pid-owner范例 iptables -A OUTPUT -m owner -pid-owner 78說明 用來比對來自本機的封包，是否為某特定行程所產生的，使用時機同上。八、防火墻 * *參數 -m owner -sid-owner范例 iptables -A OUTPUT -m owner -sid-owner 100說明 用來比對來自本機的封包，是否為某特定聯(lián)機（Session ID）的響應封包，使用時機同上。* *

35、參數 -m state -state范例 iptables -A INPUT -m state -state RELATED,ESTABLISHED 說明 用來比對聯(lián)機狀態(tài)，聯(lián)機狀態(tài)共有四種：INVALID、ESTABLISHED、NEW 和 RELATED。INVALID 表示該封包的聯(lián)機編號（Session ID）無法辨識或編號不正確。ESTABLISHED 表示該封包屬于某個已經建立的聯(lián)機。NEW 表示該封包想要起始一個聯(lián)機（重設聯(lián)機或將聯(lián)機重導向）。 RELATED 表示該封包是屬于某個已經建立的聯(lián)機，所建立的新聯(lián)機。例如：FTP-DATA 聯(lián)機必定是源自某個 FTP 聯(lián)機。八、防火墻

36、常用的處理動作：常用的處理動作：-j 參數用來指定要進行的處理動作，常用的處理動作包括：ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK，分別說明如下：ACCEPT 將封包放行，進行完此處理動作后，將不再比對其它規(guī)則，直接跳往下一個規(guī)則煉（nat:postrouting）。REJECT 攔阻該封包，并傳送封包通知對方，可以傳送的封包有幾個選擇：ICMP port-unreachable、ICMP echo-reply 或是 tcp-reset（這個封包會要求對方關閉聯(lián)機），進行完此處理動作

37、后，將不再比對其它規(guī)則，直接 中斷過濾程序。范例如下：iptables -A FORWARD -p TCP -dport 22 -j REJECT -reject-with tcp-resetDROP 丟棄封包不予處理，進行完此處理動作后，將不再比對其它規(guī)則，直接中斷過濾程序。八、防火墻 REDIRECT 將封包重新導向到另一個端口（PNAT），進行完此處理動作后，將 會繼續(xù)比對其它規(guī)則。 這個功能可以用來實作通透式 porxy 或用來保護 web 服務器。例如： iptables -t nat -A PREROUTING -p tcp -dport 80 -j REDIRECT -to-po

38、rts 8080MASQUERADE 改寫封包來源 IP 為防火墻 NIC IP，可以指定 port 對應的范圍，進行完此處理動作后，直接跳往下一個規(guī)則煉（mangle:postrouting）。這個功能與 SNAT 略有不同，當進行 IP 偽裝時，不需指定要偽裝成哪個 IP，IP 會從網卡直接讀取，當使用撥接連線時，IP 通常是由 ISP 公司的 DHCP 服務器指派的，這個時候 MASQUERADE 特別有用。范例如下：iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE -to-ports 1024-31000八、防火墻 LOG 將封包相關訊息紀錄在 /var/log 中，詳細位置請查閱 /etc/syslog.conf 組態(tài)檔，進行完此處理動作后，將會繼續(xù)比對其它規(guī)則。例如：iptables -A INPUT -p tcp -j LOG -log-prefix INPUT packetsSNAT 改寫封包來源 IP 為某特定 IP 或 IP 范圍，可以指定 port 對應的范圍，進行完此處理動作