E12.1 听从（也就是服从）ICMP重定向包的指挥，如何会让一个未经授权的用户威胁网络的安全？
A：主要是会获得一个窃听网络数据的可能，更详细的内容，可以参考这篇文档，说的比较详细。

E12.2 网络链路的MTU是什么？如果给定的MTU设得太高，会发生什么问题？太低呢？
A：MTU（Maximum Transfer Unit)，最大传输单元，用来定义网络上传输包的最大值。以太网一般是1500bytes。太高会导致丢包，太低则导致分片，都会产生网络传输问题。

★ E12.3 说明划分子网的概念，解释它有用的原因。什么是网络掩码？网络掩码和IP地址的网络部分和主机部分的划分有什么关系？
A：这些都是属于计算机网络的基本概念，我这里都不抄书了，看看维基百科的解释吧。

★ E12.4 网络134.122.0.0/16已经细分成了几个/19网络。

1. 有多少个/19的网络？列出他们。他们的网络掩码是多少？
2. 每一个子网上有多少台主机？
3. IP地址134.122.67.124属于哪个子网？
4. 每个网络的广播地址是什么？

A：网络数=2^(19-16)=8个。分别是

134.122.0.0/19

134.122.32.0/19

134.122.64.0/19

134.122.96.0/19

134.122.128.0/19

134.122.160.0/19

134.122.192.0/19

134.122.224.0/19

网络掩码就是把/19转成是十进制点分表示，也就是255.255.224.0。

主机比特位=32-19=13位。那么每一个子网的主机台数=2^13 - 2 = 8190台。

134.122.67.124属于 134.122.64.0/19子网。

每个网络的广播地址分别是

134.122.31.255，134.122.63.255，134.122.95.255，134.122.127.255，134.122.159.255，134.122.191.255，134.122.223.255，134.122.255.255。实际上就是每一个子网的广播地址是该子网最大主机地址+1.

★ E12.5 网络 128.138.2.0/24 上的主机 128.138.2.4 向网络 128.138.129.0/24 上的主机 128.138.129.12 发送一个包。假定：

• 主机 128.138.2.4 有一条通过 128.138.2.1 的默认路由;
• 主机 128.138.2.4 刚启动，还没有发送或者接受任何包;
• 网络上其他所有机器已经运行很长一段时间了;
• 路由器 128.138.2.1 直接有一条到 128.138.129.1 的路由，后者是 128.138.129.0/24的网关。

1. 列出发出这个包所需要的所有步骤。给出所有传输包的源目的以太网和IP地址。
2. 如果网络是 128.138.0.0/16，您的答案会变吗？怎么变？
3. 如果网络 128.138.2.0 是一个/26网络，而不是/24网络，您的答案会变吗？怎么变？

A：网络知识贫瘠，这个问题我只是知道一个大概，但是却描述不出来。

★★ E12.6 在安装了一个新的Linux系统后，您会如何解决本章里提到的若干安全问题？查查看，在您实验室的Linux系统上是否有什么要解决的安全问题？

A：在12.11节里，提到了IP转发，ICMP重定向，源路由，广播ping，IP欺骗等安全问题。以我家里的网络环境来一一检查这些问题。

首先介绍我家里的网络环境，可能和一般的家里通过一个ADSL MODEM +ROUTE的方式有点不同，因为房间距离的问题，我采取了两极路由的方式。带路由功能的ADSL MODEM 连接一个HUB，HUB上连接了几根网线给台式机。ADSL MODEM上启用了DHCP，网络是192.168.1.0/24，网关是192.168.1.1。然后从HUB上连接一个网线到另外一个无线路由上WLAN口，然后再从无线路由LAN口接出几根网线给PC和台式机。无线AP给手机和无线设备。其中无线路由启用DHCP服务，网络是192.168.0.1/24，网关是192.168.0.1。WLAN口从ADSL MODEM处获得一个固定的192.168.1.200的IP地址。所以我家里的PC，有些属于192.168.1.0/24网络，有的属于192.168.0.0/24网络。手机等具有wifi连接功能的设备获得是192.168.0.0/24的IP地址。一起大约有3台PC，2台notebook，几个手机wifi。

对于IP转发，因为不涉及到路由的功能，所以默认电脑上都关闭了此功能，因为没有IP转发的风险。echo 0 >/proc/sys/net/ipv4/ip_forward

忽略ICMP重定向功能 echo 0 >/proc/sys/net/ipv4/conf/all/accept_redirects

既不接受源路由包，也不接受发送源路由包 echo 0 >/proc/sys/net/ipv4/conf/all/accept_source_route

在路由器上关闭ping广播，我已经在ADSL MODEM 和 无线路由上均关闭了此项。

因为我每一个特定的机器，一般情况下，只有一条到internet的连接，因此我把/proc/sys/net/ipv4/conf/all/rp_filter 设置为1.

★★ E12.7 在您实验室环境里，加入一台新机器需要什么步骤？回答的时候，要用适合您的网络和本地情况的参数。假定新机器已经在运行Linux了。

A：因为启用了DHCP服务，因此加入新机器，我只要设定好了主机名，基本上接入网线即可。DNS也会自动设置好。如果是无线接入，则需要设定SSID和对应的密码。

★★ E12.8 给出设置一台可以分配 128.138.192.[1-55]范围内IP地址的DHCP服务器所需要的配置文件。用到的租期为2个小时，要确保以太网地址为 00:10:5A:C7:4B:89 的主机始终会分配到 128.138.192.55.

A：示例配置文件如下：

subnet 128.138.192.0 netmask 255.255.255.0 {
 
# --- default gateway
	option routers			128.138.192.254;
	option subnet-mask		255.255.255.0;
 
	option domain-name-servers	67.208.220.220;
 
	range  128.138.192.1 128.138.192.55;
	default-lease-time7200;
	max-lease-time 43200;
 
	#  fixed address
	host ns {
		hardware ethernet 00:10:5A:C7:4B:89;
		fixed-address 128.138.192.55;
	}
}

建议继续学习：

1. Linux系统管理手册习题实践    (阅读：2755)
2. Linux系统管理技术手册第10章系统实践    (阅读：2207)
3. Linux系统管理技术手册第三章习题实践    (阅读：2153)
4. Linux系统管理技术手册第四章习题实践    (阅读：2113)
5. Linux系统管理技术手册第五章习题实践    (阅读：2106)
6. Linux系统管理技术手册第十三章系统实践    (阅读：2003)
7. Linux系统管理技术手册第8章习题实践    (阅读：1897)
8. Linux系统管理技术手册第七章习题实践    (阅读：1804)
9. Linux系统管理手册第二章习题实践    (阅读：1727)
10. Linux系统管理技术手册第六章习题实践    (阅读：1742)