提要：如果你和我一樣,，對(duì)命令行一竅不通、英語(yǔ)只有中學(xué)水平,、鍵盤(pán)只會(huì)二指禪,，但對(duì)Linux很感興趣，在網(wǎng)上大部分教程都是各種命令的情況下,，該怎么愉快使用Linux呢,？本期的重點(diǎn)是局域網(wǎng)和防火墻。在此期間,，你會(huì)看見(jiàn)好幾個(gè)命令。系統(tǒng)是Linux mint 18.3 kde amd64,。

一,、勒索病毒

Windows平臺(tái)出現(xiàn)WannaCry之后，Linux又出現(xiàn)了SambaCry,。但對(duì)于一般用戶來(lái)說(shuō),，不管是什么Cry，原本不該產(chǎn)生什么影響,，所以也不該受重視,。為什么這么說(shuō)呢？

Samba官網(wǎng)對(duì)漏洞的描述是這樣的：“Malicious clients can upload...from a writable share”,。雖然我不太懂英文,，但這個(gè)漏洞看起來(lái)太難了——憑什么你能連接別人的電腦？憑什么你能匿名登錄,？憑什么你還可以寫(xiě)入,？

所以，能夠中毒的人至少犯了三個(gè)錯(cuò)誤：允許陌生人連接,、允許陌生人登錄,、允許陌生人寫(xiě)入。其中后兩點(diǎn)可能利用別的漏洞,，但第一點(diǎn)是病毒在網(wǎng)絡(luò)中傳播最大的難點(diǎn),，因?yàn)榇蟛糠窒到y(tǒng)都是有防火墻的,。

以前我們說(shuō)過(guò)，Ubuntu默認(rèn)關(guān)閉防火墻,，應(yīng)當(dāng)自行打開(kāi),，并配置為拒絕所有傳入連接。對(duì)于Windows來(lái)說(shuō),，如果不是人為設(shè)置,，默認(rèn)的防火墻也是不允許傳入的，那么WannaCry怎么會(huì)在校園網(wǎng)中傳播呢,？

下面是校園網(wǎng)的兩種常見(jiàn)操作：

1,、在網(wǎng)上搜索windows 7純凈版下載，來(lái)到了××之家（圖1）,。沒(méi)想到還有這種優(yōu)化,。

2、在網(wǎng)上搜索怎么打dota,，來(lái)到了×度經(jīng)驗(yàn)（圖2）,。沒(méi)想到還有這種經(jīng)驗(yàn)。

校園網(wǎng)中有上千用戶,，從這一點(diǎn)來(lái)看,，連網(wǎng)吧都比校園網(wǎng)靠譜。當(dāng)年我還上學(xué)的時(shí)候,，整棟樓都是網(wǎng)上鄰居——林子大了什么鳥(niǎo)都有,，一旦關(guān)上防火墻，你的論文可能就沒(méi)了,。

二,、配置防火墻

假設(shè)現(xiàn)在我的防火墻是這樣的（圖3）。

雖然這樣很安全,，但為了使用某些程序,，現(xiàn)在必須添加白名單。下面列舉幾個(gè)例子,，來(lái)說(shuō)明適用于不同情況的防火墻規(guī)則：

1,、公開(kāi)

Qbittorrent作為一個(gè)種子客戶端，應(yīng)當(dāng)是開(kāi)放的,。前面說(shuō)過(guò),，qb默認(rèn)使用8999端口，假設(shè)程序有未公開(kāi)的漏洞,，那么或許會(huì)出現(xiàn)一種掃描8999端口的病毒,，因此向太多人開(kāi)放的端口應(yīng)當(dāng)不是默認(rèn)值（比如把ssh端口從22改成1926）。

在qb設(shè)置中隨機(jī)一個(gè)看著順眼的端口（圖4）。

點(diǎn)擊防火墻下面的加號(hào),，配置一個(gè)簡(jiǎn)單規(guī)則（圖5）,。

切換到右邊的“Report”，可以看到qb的連接狀況（圖6）,，至于圖上的其它幾個(gè)端口——既然不認(rèn)識(shí),，就不要管它了。有些軟件在預(yù)設(shè)規(guī)則中找不到,，軟件本身也沒(méi)有太多說(shuō)明,，此時(shí)可以利用“Report”來(lái)創(chuàng)建規(guī)則。

2,、局域網(wǎng)

添加Samba規(guī)則非常簡(jiǎn)單,，只要在預(yù)設(shè)中搜索即可（圖7）。

但這樣搞也不太好,，繼續(xù)編輯預(yù)設(shè)規(guī)則,（圖8）,，限制對(duì)方的ip地址。圖中的192.168.0.0/24表示192.168.0.×××這樣的地址,，這可能是你的路由器下面的所有設(shè)備的地址,，如果你覺(jué)得它們是安全的，這樣應(yīng)該沒(méi)有問(wèn)題（有時(shí)候路由器本身會(huì)有問(wèn)題）?，F(xiàn)在隔壁的192.168.1.×××就會(huì)被拒絕,。

3、私密連接

每個(gè)人都有一些不愿被人發(fā)現(xiàn)的秘密,，比如我就不想被人發(fā)現(xiàn)自己看漫畫(huà),，畢竟這是小孩子的玩意。現(xiàn)在我們用以前提到過(guò)的Calibre開(kāi)一個(gè)漫畫(huà)服務(wù)器,，選擇常用端口8080。

添加規(guī)則,，只寫(xiě)一個(gè)ip,，也就是我的手機(jī)，這會(huì)導(dǎo)致其他所有ip都不能看我的漫畫(huà),。

在手機(jī)上用chrome打開(kāi)192.168.0.xxx:8080,，并作為pwa應(yīng)用添加到桌面，現(xiàn)在可以藏被窩里看熱血?jiǎng)幼鲃?lì)志偶像漫了,。由于pwa的特性,，這些漫畫(huà)可以離線觀看。

4,、其他

ip轉(zhuǎn)發(fā)：目前并不需要,。

為不認(rèn)識(shí)的應(yīng)用配置防火墻：本文最后的“kde connect”或許可以作為參考。

三、使用Samba

我們都對(duì)Windows的網(wǎng)上鄰居比較熟悉,，如果你想加入“workgroup”,，那就用Samba。安裝Samba請(qǐng)去應(yīng)用商店,，之后就可以使用Windows文件和打印機(jī)共享,。

如果實(shí)在想用命令的話，你現(xiàn)在可以試著添加一個(gè)賬號(hào)（圖10）,。

現(xiàn)在找到你要共享的文件夾,，右鍵-屬性-共享（圖11）。此處可允許匿名登錄,，但一定不能有寫(xiě)入權(quán)限,。如果要寫(xiě)入的話，請(qǐng)使用剛才添加的“l(fā)ucy”,，把這個(gè)賬號(hào)設(shè)置為“完全控制”,。

現(xiàn)在可以在文件管理器中查看Windows工作組（圖12）。

由于我沒(méi)錢再買一個(gè)電腦,，只能用手機(jī)來(lái)演示,。總之先花兩塊錢買個(gè)像樣的文件管理器（圖13）,。

在文件管理器中添加一個(gè)smb連接（圖14）,。

進(jìn)行端口掃描（圖15），由于上面的防火墻配置,，不在白名單中的設(shè)備是掃不到我的,。

填寫(xiě)賬號(hào)密碼，這個(gè)密碼不是系統(tǒng)密碼,，而是圖9的密碼,。如果不填，就會(huì)是匿名登錄（圖16）,。

成功接入（圖17）?，F(xiàn)在可以瀏覽文件，但能不能寫(xiě)入,，取決于上面的設(shè)置和你的登錄賬號(hào),。

現(xiàn)在還有一個(gè)問(wèn)題。目前使用的是被微軟放棄了的smb1,，也就是xp上的版本,，出現(xiàn)許多問(wèn)題的也是它。如果你毫不在意xp能不能訪問(wèn)你的共享,，那就禁用它吧,。

打開(kāi)/etc/samba/smb.conf。由于上次用記事本被嫌棄不專業(yè)，這次用高級(jí)記事本——雖然沒(méi)有任何區(qū)別,。在第26行后面加幾句話（圖18）,。

現(xiàn)在已經(jīng)無(wú)法使用舊協(xié)議了（圖19）。

四,、建立局域網(wǎng)

在這之前,，先要解決熊孩子的問(wèn)題。眾所周知,，上次我剪了他的專輯然后又刪掉了,，沒(méi)想到竟然會(huì)被發(fā)現(xiàn)。現(xiàn)在他找上門來(lái),，我只好把上面的熱血漫畫(huà)賠給他,。在這期間，他嚷嚷著要連WiFi玩農(nóng)藥,，于是我偷偷給他搞了個(gè)熱點(diǎn),。

在系統(tǒng)托盤(pán)上右鍵打開(kāi)網(wǎng)絡(luò)連接，新建一個(gè)wifi,，起一個(gè)一看就是熱點(diǎn)的名字,，模式選“接入點(diǎn)”（圖19）。

設(shè)置一個(gè)人人都能猜到的簡(jiǎn)單密碼（圖20）,。

選擇“與其他計(jì)算機(jī)共享”（圖21）,，這樣就能把你的網(wǎng)絡(luò)分享出去——本來(lái)應(yīng)該是這樣的。

但由于我一時(shí)手快選錯(cuò)了（圖22）,，變成了一個(gè)沒(méi)插網(wǎng)線的路由器,。但我還是把密碼告訴了熊孩子——反正我這邊能上網(wǎng)，可能是你的手機(jī)有問(wèn)題吧,。

五,、連接手機(jī)

這是我第一次使用kde connect連接電腦和手機(jī)，防火墻預(yù)設(shè)規(guī)則里面沒(méi)有這玩意,。Gufw的“Report”中顯示使用了1716端口,，但這個(gè)軟件功能眾多，1716或許只是其中之一,，此時(shí)應(yīng)當(dāng)查閱官方文檔。文檔中稱“KDE Connect uses dynamic ports in the range 1714-1764 for UDP and TCP”,。我現(xiàn)在有兩個(gè)路由器,，隔壁房間是192.168.1.1，這個(gè)房間是192.168.0.1,，手機(jī)在這兩個(gè)房間里應(yīng)當(dāng)都能連接?，F(xiàn)在我們來(lái)建立一個(gè)規(guī)則。

使用192.168.0.1/23來(lái)覆蓋從192.168.0.x到192.168.1.x的地址范圍（別問(wèn)我這是為什么，因?yàn)榫W(wǎng)上有一種叫做“IP地址計(jì)算器”的東西）,，使用1714:1764來(lái)表示1714-1764間的所有端口,，分別建立tcp和udp規(guī)則（圖23）。

規(guī)則生效后,，程序能發(fā)現(xiàn)并連接設(shè)備（圖24）,。

手機(jī)端要在谷歌商店安裝“kde connect”。連接后大致實(shí)現(xiàn)了以下功能：

1,、通知雙向同步,。電腦和手機(jī)會(huì)互相收發(fā)應(yīng)用或系統(tǒng)通知，電腦端可接收短信,、電話,。

2、剪貼板雙向同步,。這頭復(fù)制,，那頭粘貼。這在復(fù)制段子發(fā)評(píng)論的時(shí)候可能特別有用,，畢竟人的本質(zhì)就是復(fù)讀機(jī)啊,。

3、文件共享,。手機(jī)端集成到分享菜單（圖25）,，分享文件會(huì)自動(dòng)發(fā)送，分享網(wǎng)頁(yè)會(huì)在電腦端彈出chrome,。電腦端右鍵菜單可選“發(fā)送到手機(jī)”,，資源管理器可遠(yuǎn)程管理手機(jī)存儲(chǔ)。

4,、手機(jī)代替鍵盤(pán)打字,。雖然平時(shí)沒(méi)有任何意義，但躺在床上用手柄玩電腦的時(shí)候終于不用再忍受手柄打字了,。

5,、運(yùn)行預(yù)設(shè)命令，可以在電腦端設(shè)置（圖26）,。

躺床上關(guān)機(jī)的命令是“systemctl poweroff”,，由于此時(shí)摸不到電腦且無(wú)法輸入密碼，命令只能以用戶權(quán)限運(yùn)行（圖27）,。經(jīng)測(cè)試,，晚上掛機(jī)下載小電影，下載完成后手機(jī)接收通知并使用此功能關(guān)機(jī)是可行的,。