Free Union
关于作者
|
用户名:test3 笔名:test3 地区: 黑龙江-哈尔滨 行业:其他 |
日历 年月日
| 日 | 一 | 二 | 三 | 四 | 五 | 六 |
快速登录
博客搜索
最新评论
- ·
央视水浒 在线观看
看不到啊 - ·
央视水浒 在线观看
http://www.0654....... - ·
KeyCode常数用法
eeee - ·
常用算法设计方法
这个程序很好,但是有那位能用c+...... - ·
网络捕包分析系统及其协议分析研究
在敏感信息过滤系统中,协议数据捕...... - ·
Linux 2.4有状态防火墙设计(四)zz
我是吉林人在哈尔滨工作,当然可以...... - ·
Linux 2.4有状态防火墙设计(四)zz
IN 终于又有了一个属于自己的家...... - ·
终于又有了一个属于自己的家
对不起,请包含,我很想和你交个朋...... - ·
终于又有了一个属于自己的家
对不起,请包含,我很想和你交个朋...... - ·
终于又有了一个属于自己的家
对不起,请包含,我很想和你交个朋......
My Friends
Free Union
Free...
文章
悟空的政治成熟zz
与对玉帝的前倨后恭形成鲜明对比的是,悟空对太白金星的态度,却是前恭后倨:从最开
始见面急整衣冠,口称“老星”,到最后大老远的喊起了太白金星的“字”李长庚。字,
相当于小名。
谁看见有哪个白痴当着领导的面“李狗蛋”长“李狗蛋”短地叫他小名?这种人,不
是让非典给烧坏了脑子,就是做好到会计那边结账的准备。但悟空的身体一直比用过蓝天
六必治那位胖子的牙齿更加倍儿棒,更从来没有过从官场上激流勇退的想法。
起初,悟空对太白金星恭敬有加,是有深刻道理的:悟空最初踏入仕途,就是由太白
金星提拔起来的。想当初,悟空不过是一个黑社会老大,虽说手里有人有枪,但想要脱胎
换骨混进公务员队伍中,却还是摸着北,他根本不知道玉帝的南天门朝哪儿开。
正好,太白金星想培养一批死党,便向玉帝建议给悟空在天宫安排个职位。――悟空
的老师,须菩提,是道教党党人,而太白金星正是道教党党魁,悟空日后如果发达,自然
是太白金星的人了。
所以,太白金星冒着得罪玉帝的危险,一而再再而三“举贤不避亲”地提拔悟空。对
此,悟空当然是感激不尽了。
太白金星带着玉帝的任命书第一次来到花果山时,悟空是急整衣冠,出门迎接,并恭
恭敬敬地表示感激:“多感老星降临。”还连忙要小猴们摆宴招待,如果不是太白金星廉
洁,下基层工作不吃喝不收礼,估计悟空还会找出小母猴陪太白金星老人家喝上两杯。
第二次,太白金星向玉帝提名让悟空做个“齐天大圣”。对太白金星的再次莅临,悟
空件连忙躬身施礼,高声叫道:“老星请进,恕我失迎之罪。”幸亏这猴子没读多少书,
手下也没有一个得力的秘书班子,否则,他一定得搞个隆重的欢迎仪式,还得发表一通长
达两小时的欢迎词。
总之,悟空对太白金星的感激之情,只差送一面锦旗来表达了。
作为老领导,手把手将自己引入仕途,又两次提拔自己,太白金星对悟空的意义,完
全达到了重生父母的程度(幸亏悟空没有生身父母,即使有,估计也无法像太白金星一样
给他政治生命)。所以,对“老星”,悟空无论怎样感激都不算过分。
问题就出在太白金星对悟空的栽培。
我们知道,当年,悟空还是个个性青年的时候,冲动之下便大闹天宫,也因此被如来
关进了五行山监狱。后来,幸亏遇上贵人,经观世音女士提议,由悟空将功补过,陪唐僧
西天取一份绝密文件,功成之后,再官升一级。
观世音女士的这一仁慈之举,不仅将悟空救出了监狱,而且意味着又给了他第二次政
治生命。这种恩情,自然又比太白金星高出一截;而且,如来还将取文件这件政治任务交
给观世音女士抓管,观世音女士便成了悟空的直接领导,为了向观音表白忠心,悟空赶忙
对观音自称弟子。
悟空很清楚,太白金星是道教党的领袖,他曾经是太白金星的人;现在,他却成了观
音的人。而观音女士是佛教党的忠实支持者,也是得力干将。在这种情况下,悟空绝对不
可能即效忠太白金星,又效忠观音。
也就是说,他悟空只能在太白金星与观音两个靠山之间选择一个。任何一个“追求进
步”的公务员,自从他踏入仕途的那一天起,每时每刻都面临着“站队”的重大立场问题
。站队正确,今后的飞黄腾达指日可待,而一旦“站错队”,随时都可能阴沟里翻船,咸
鱼翻身的神话,在仕途中出现的机率就与让唐僧调戏嫦娥的机率一样微乎其微。
选择太白金星还是观世音女士?这是个问题。
但面对这个复杂的问题,悟空连眼都不眨一下,就断然选择了美女上司观世音。想要
做一个成功的公务员,就应该在入行的第一天,彻底从字典中应该铲除“背叛”二字。何
况,薄情寡义这艺术,悟空早就尝试过。就在当年大战天兵天将时,悟空手下的独角鬼王
与72洞妖兵,全部被天神捉拿归案,悟空照样大乐大笑,说什么“我同类者未伤一个,何
须烦恼”。从这一点看,悟空还是具备混迹仕途的基本条件的。
既然选择了观音女士,悟空就必需与老杇太白金星划清界线,必需向新靠山明明白白
地展示自己的立场,这当然要以实际行动来证明。
机会是随时都会光顾有心人头上的。不久,在观音的委派下,悟空正式启程前去西天
拿取绝密文件了。凑巧的是,太白金星身边的工作人员,守护炼金、炼银炉的两个童子,
看不惯悟空的朝三暮四,想使点绊子教训一下这个忘恩负义的臭猴子,于是化妆成劫匪埋
伏在悟空西去的路上,想要破坏悟空拿取文件的计划。
这正好给了悟空向观音表明立场的机会:他当机立断“严格执法”,当场击毙了太白
金星两个童子。选择太白金星的两个下属下手,我们有理由怀疑悟空是有意安排的:此前
,如来灵山脚下的老鼠精、天上28星宿之一的奎木狼也都曾变做妖怪阻拦,但悟空都巧妙
地网开一面将他们放回原单位去了。现在,单单拿太白金星的两个童子开刀,难道仅仅是
巧合?
对悟空的用意,太白金星当然心知肚明:想给我一个下马威,你小子太嫩了一点儿,
你不是判他们死刑吗,以我的职权,随意吩咐阎王一句,他不敢不放他们活过来!
如果说,两个童子这次报复悟空还可能是背着太白金星私自行动,那么,太白金星的
司机、那个青牛精再次对悟空一行实施拦路抢劫,多少是受到了太白金星本人纵容的了。
青牛精对悟空取经事业的打击,可以说是前有未有的:他不但绑架了唐僧、八戒与沙
僧,还抢走了悟空的武器。悟空趁此机会将事件闹大,他借汇报工作的机会,跑到玉帝面
前告状,要求玉帝让天宫各个部门严格调查,看看本部门有没有人占那占山为王拦路抢劫
的事。
各部门于是彻底“梳”查了一遍,闹出的动静之大。按说,这么大的政治运动,一向
政治敏感性不弱的太白金星不会不知道,也不会不查,但是,他竟然就是没有发现自己的
司机不在。
没有证据,悟空当然不敢诬告上级部门的领导――他现在已不是当年的毛头小子了。
悟空于是找到自己党派的党魁如来同志帮忙。对悟空与太白金星之间的恩恩怨怨,如来自
然是了如指掌。对于这件事,他既不便插手,但也不能不管。好一个如来,轻轻一耍领导
手腕,就圆满地解决了此事。
如来首先告诉悟空:“那怪物我虽知之,但不可与你说。你这猴儿口敞,一传道是我
说化,他就不与你斗,定要嚷上灵山,反遗祸于我也。”如来岂不是怕那小妖精,他是怕
悟空说漏了嘴,说是他如来告发太白金星纵容司机犯罪,这会破坏两位领导之间的表面团
结:领导之间,即使有什么过节,也得保持表面上的一团和气,这才有领导风范。
但是,自己的人前来要求帮忙,又不能让他空手而归,这将会降低自己在党派中的号
召力。于是,他虚晃一招,想了个两全其美的对策:明知“金丹砂”收伏不了那青牛精,
却装模作样地派十八尊罗汉拿着“金丹砂”陪悟空去降妖。悟空一行拿着金丹砂与青牛精
展开火拼,自然拼它不过。
――如来的武器库中,怎么着也会有更先进的武器。直到这时候,降龙、伏虎两位罗
汉才告诉悟空:刚才出门时,我们两个之所以落在后面,是因为如来偷偷告诉我们,这金
丹砂对青牛精不管用,你还是上离恨天云找太白金星吧。这样一来,即使悟空真说漏嘴了
,也与他如来无关,同时又巧妙地将皮球轻轻地踢到了太白金星脚下!
经历过这些事情,悟空算是与太白金星彻底划清了界线。再与太白金星见面,悟空绝
不喊他“老星”了,而是“狗蛋”长“狗蛋”短地喊他的小名。但是,悟空毕竟不再是刚
出道时那么偏执、那么喜形于色了。虽然不再对太白金星恭恭敬敬,但表面上的皮笑肉不
笑还是保持得很好的。
始见面急整衣冠,口称“老星”,到最后大老远的喊起了太白金星的“字”李长庚。字,
相当于小名。
谁看见有哪个白痴当着领导的面“李狗蛋”长“李狗蛋”短地叫他小名?这种人,不
是让非典给烧坏了脑子,就是做好到会计那边结账的准备。但悟空的身体一直比用过蓝天
六必治那位胖子的牙齿更加倍儿棒,更从来没有过从官场上激流勇退的想法。
起初,悟空对太白金星恭敬有加,是有深刻道理的:悟空最初踏入仕途,就是由太白
金星提拔起来的。想当初,悟空不过是一个黑社会老大,虽说手里有人有枪,但想要脱胎
换骨混进公务员队伍中,却还是摸着北,他根本不知道玉帝的南天门朝哪儿开。
正好,太白金星想培养一批死党,便向玉帝建议给悟空在天宫安排个职位。――悟空
的老师,须菩提,是道教党党人,而太白金星正是道教党党魁,悟空日后如果发达,自然
是太白金星的人了。
所以,太白金星冒着得罪玉帝的危险,一而再再而三“举贤不避亲”地提拔悟空。对
此,悟空当然是感激不尽了。
太白金星带着玉帝的任命书第一次来到花果山时,悟空是急整衣冠,出门迎接,并恭
恭敬敬地表示感激:“多感老星降临。”还连忙要小猴们摆宴招待,如果不是太白金星廉
洁,下基层工作不吃喝不收礼,估计悟空还会找出小母猴陪太白金星老人家喝上两杯。
第二次,太白金星向玉帝提名让悟空做个“齐天大圣”。对太白金星的再次莅临,悟
空件连忙躬身施礼,高声叫道:“老星请进,恕我失迎之罪。”幸亏这猴子没读多少书,
手下也没有一个得力的秘书班子,否则,他一定得搞个隆重的欢迎仪式,还得发表一通长
达两小时的欢迎词。
总之,悟空对太白金星的感激之情,只差送一面锦旗来表达了。
作为老领导,手把手将自己引入仕途,又两次提拔自己,太白金星对悟空的意义,完
全达到了重生父母的程度(幸亏悟空没有生身父母,即使有,估计也无法像太白金星一样
给他政治生命)。所以,对“老星”,悟空无论怎样感激都不算过分。
问题就出在太白金星对悟空的栽培。
我们知道,当年,悟空还是个个性青年的时候,冲动之下便大闹天宫,也因此被如来
关进了五行山监狱。后来,幸亏遇上贵人,经观世音女士提议,由悟空将功补过,陪唐僧
西天取一份绝密文件,功成之后,再官升一级。
观世音女士的这一仁慈之举,不仅将悟空救出了监狱,而且意味着又给了他第二次政
治生命。这种恩情,自然又比太白金星高出一截;而且,如来还将取文件这件政治任务交
给观世音女士抓管,观世音女士便成了悟空的直接领导,为了向观音表白忠心,悟空赶忙
对观音自称弟子。
悟空很清楚,太白金星是道教党的领袖,他曾经是太白金星的人;现在,他却成了观
音的人。而观音女士是佛教党的忠实支持者,也是得力干将。在这种情况下,悟空绝对不
可能即效忠太白金星,又效忠观音。
也就是说,他悟空只能在太白金星与观音两个靠山之间选择一个。任何一个“追求进
步”的公务员,自从他踏入仕途的那一天起,每时每刻都面临着“站队”的重大立场问题
。站队正确,今后的飞黄腾达指日可待,而一旦“站错队”,随时都可能阴沟里翻船,咸
鱼翻身的神话,在仕途中出现的机率就与让唐僧调戏嫦娥的机率一样微乎其微。
选择太白金星还是观世音女士?这是个问题。
但面对这个复杂的问题,悟空连眼都不眨一下,就断然选择了美女上司观世音。想要
做一个成功的公务员,就应该在入行的第一天,彻底从字典中应该铲除“背叛”二字。何
况,薄情寡义这艺术,悟空早就尝试过。就在当年大战天兵天将时,悟空手下的独角鬼王
与72洞妖兵,全部被天神捉拿归案,悟空照样大乐大笑,说什么“我同类者未伤一个,何
须烦恼”。从这一点看,悟空还是具备混迹仕途的基本条件的。
既然选择了观音女士,悟空就必需与老杇太白金星划清界线,必需向新靠山明明白白
地展示自己的立场,这当然要以实际行动来证明。
机会是随时都会光顾有心人头上的。不久,在观音的委派下,悟空正式启程前去西天
拿取绝密文件了。凑巧的是,太白金星身边的工作人员,守护炼金、炼银炉的两个童子,
看不惯悟空的朝三暮四,想使点绊子教训一下这个忘恩负义的臭猴子,于是化妆成劫匪埋
伏在悟空西去的路上,想要破坏悟空拿取文件的计划。
这正好给了悟空向观音表明立场的机会:他当机立断“严格执法”,当场击毙了太白
金星两个童子。选择太白金星的两个下属下手,我们有理由怀疑悟空是有意安排的:此前
,如来灵山脚下的老鼠精、天上28星宿之一的奎木狼也都曾变做妖怪阻拦,但悟空都巧妙
地网开一面将他们放回原单位去了。现在,单单拿太白金星的两个童子开刀,难道仅仅是
巧合?
对悟空的用意,太白金星当然心知肚明:想给我一个下马威,你小子太嫩了一点儿,
你不是判他们死刑吗,以我的职权,随意吩咐阎王一句,他不敢不放他们活过来!
如果说,两个童子这次报复悟空还可能是背着太白金星私自行动,那么,太白金星的
司机、那个青牛精再次对悟空一行实施拦路抢劫,多少是受到了太白金星本人纵容的了。
青牛精对悟空取经事业的打击,可以说是前有未有的:他不但绑架了唐僧、八戒与沙
僧,还抢走了悟空的武器。悟空趁此机会将事件闹大,他借汇报工作的机会,跑到玉帝面
前告状,要求玉帝让天宫各个部门严格调查,看看本部门有没有人占那占山为王拦路抢劫
的事。
各部门于是彻底“梳”查了一遍,闹出的动静之大。按说,这么大的政治运动,一向
政治敏感性不弱的太白金星不会不知道,也不会不查,但是,他竟然就是没有发现自己的
司机不在。
没有证据,悟空当然不敢诬告上级部门的领导――他现在已不是当年的毛头小子了。
悟空于是找到自己党派的党魁如来同志帮忙。对悟空与太白金星之间的恩恩怨怨,如来自
然是了如指掌。对于这件事,他既不便插手,但也不能不管。好一个如来,轻轻一耍领导
手腕,就圆满地解决了此事。
如来首先告诉悟空:“那怪物我虽知之,但不可与你说。你这猴儿口敞,一传道是我
说化,他就不与你斗,定要嚷上灵山,反遗祸于我也。”如来岂不是怕那小妖精,他是怕
悟空说漏了嘴,说是他如来告发太白金星纵容司机犯罪,这会破坏两位领导之间的表面团
结:领导之间,即使有什么过节,也得保持表面上的一团和气,这才有领导风范。
但是,自己的人前来要求帮忙,又不能让他空手而归,这将会降低自己在党派中的号
召力。于是,他虚晃一招,想了个两全其美的对策:明知“金丹砂”收伏不了那青牛精,
却装模作样地派十八尊罗汉拿着“金丹砂”陪悟空去降妖。悟空一行拿着金丹砂与青牛精
展开火拼,自然拼它不过。
――如来的武器库中,怎么着也会有更先进的武器。直到这时候,降龙、伏虎两位罗
汉才告诉悟空:刚才出门时,我们两个之所以落在后面,是因为如来偷偷告诉我们,这金
丹砂对青牛精不管用,你还是上离恨天云找太白金星吧。这样一来,即使悟空真说漏嘴了
,也与他如来无关,同时又巧妙地将皮球轻轻地踢到了太白金星脚下!
经历过这些事情,悟空算是与太白金星彻底划清了界线。再与太白金星见面,悟空绝
不喊他“老星”了,而是“狗蛋”长“狗蛋”短地喊他的小名。但是,悟空毕竟不再是刚
出道时那么偏执、那么喜形于色了。虽然不再对太白金星恭恭敬敬,但表面上的皮笑肉不
笑还是保持得很好的。
孙悟空为什么取经时不在“神通广大”?zz
如果让我们在孙悟空同志的档案上写一个最简洁的评语,相信大多数读者脑中第一时间蹦
出来的评语是:神通广大。的确,悟空自从学得72般变化,又从东海龙王处连骗带威胁地
弄来一支最现代化的武器之后,惊了地府,闹了天空,将玉皇大帝差点儿吓出了老年痴呆
症,而天廷那些将士带着十万天兵天将,居然都对他无可奈何,最后还是西方神仙出手相
助才揖捕了悟空,并将他判处500年有期徒刑,关押到五行山监狱进行思想改造。
然而,待悟空刑满释放之后,在西去的取经路上,却一直表现平平,上级分派给他降
妖捉怪的任务,他居然没有几件自己亲手完成,反而一再被各路妖怪们打得大败,最后不
得不一次又一次地向上级各个部门求助。
从大闹天空时的神通广大,到取经时的“不堪一击”,悟空同志的巨大变化一度让人
迷惑不已。到底是悟空因蹲监之时疏于练功,从而神通不再,屡屡败北,还是别有隐情?
为彻底搞清这一变化出现的原因,我们不妨调出悟空同志的档案,仔细研究一下取经
路上他与妖怪们争战时的胜败记录:
一、悟空自己完成的降妖任务(6项):白骨精、金角银角大王(太白金星守金银炉
二童子)、车迟国的虎鹿羊三怪、驼罗庄的红鳞大蟒、蜘蛛精、隐雾山的豹子精
二、悟空请示上级各部门帮忙降伏的妖精包括(24项):
观音解决的:白龙马、沙和尚、黑熊精(观音收做门童)、万寿山镇元大仙的人生果
、红孩儿(观音收做童工)、通天河的金鱼(观音水池中之物)、朱紫国金毛犼(观音坐
骑)
请求到玉帝处,玉帝派人处理的有:黑松林的奎木狼(28星宿之一)、青牛精(太白
金星坐骑)、牛魔王(观音童工红孩儿与父)、黄眉老怪(弥勒佛司磬童子)、老鼠精(托
塔天王之义女)、青龙山三犀牛;
如来收伏:六耳弥猴(被悟空打死)、狮象鹏三妖(文殊、普贤坐骑,如来娘舅);
灵吉收伏:黄风怪(如来佛灵山脚下的老鼠);
文殊菩萨收伏:青毛狮怪(文殊菩萨坐骑);
寿星收伏:白鹿精(寿星坐骑)
救苦天尊收伏:九头狮精(救苦天尊座骑)
太阴星君收伏:玉兔精(太阴星君身边工作人员)
毗蓝婆收伏:蜈蚣精 (带回家做门童)
西海龙王太子摩昂处死:黑河妖;
昴日星官处死:蝎子精;
二郎神处死:万圣龙王。
仔细研究这一串名单,我们就会发现一个重大的秘密:凡是悟空自己降妖团成员完成
的降妖任务,都有两点明显的共性:首先,都是在政府里没有后台的民间野妖;其次,所
有这些民间妖怪,其最终结果都被他以人民的名义就地正法,嚓嚓一声,斩首了事。(其
中:金角、银角大王因是太白金星守金银、炉的二童子,虽被悟空正法,却被太白金星以
高明的医术给抢救过来。至于悟空为什么会拿太白金星身边的工作人员开刀,在另一篇<
悟空的政治成熟>中再详细分析。)而悟空请求上级各部门支援揖拿的妖怪,也有两点明
显的共性:首先,这些妖怪,基本上都是有政府背景的“官妖”,其中,绝大多数都是上
级各部门领导的“司机”,其次,这些吃尽了百姓民脂民膏的官妖,其最终结局,全是由
其主人出面请求,带回家了事。(当然,这其中个别的“民妖”,其结局也是相同:被判
处死刑!)
从这些惊人的“巧合”中,我们不得不揣测,悟空之所以“败给”这些妖怪的原因,
恐怕不是不够神通广大那么简单,其实际的原因和动机,很可能就是:这些官妖,一个个
全都是上级领导的亲属或身边的工作人员,悟空自己不敢碰,或者不想碰,所以干脆请上
级部门的领导自己出面安置,一来自己省些力气,二来,也给各部门领导卖个人情,将来
,自己在“取经团”下放锻炼结束后,再重新升迁的时候,这些领导自然也会给他一些回
报。
当然,也有人认为,悟空有可能确实不如这些妖怪神通广大。虽然当年在大闹天宫时
,整个天宫都无人能够胜他,但此一时彼一时也:当年与悟空对垒时,这些妖怪还都在机
关事业单位服务,机关工作的特点是,干多干少一个样,干与不干一个样,多一事不如少
一事,所以谁也不肯真正出力;但现在不同了,这些妖怪们都下海开办了自己的“吃人企
业”,再干活就全都是为了自己了,所以哪怕只有一份力都想出到两份半。这种观点看起
来虽然不无道理,但其实也不太成立。只看一个例子,太白金星守护金炉、银炉的二童子
偷出了他的5项秘密武器(什么捆妖索之类的),尚且被悟空就地“喀嚓”了;后来太白金
星的青牛只偷了一件武器,悟空却反输他了。为什么?悟空知道,再打下去也是徒劳,只
能得罪上级领导,所以干脆不打。
其实,悟空假装斗不过这些妖怪而四处求告,还有另一个种非常重要的作用:可以趁
机向上级领导们(特别是那些能决定自己将来前途的领导)多汇报工作,并且趁此与距离
太远的领导联系联系感情。有事没事,多向领导汇报工作,是公务员必需遵守的最基本的
准则。孙悟空在五行山监狱里改造了500年,想必是脑袋终于开窍了。此外,像悟空这种被
下放到基层锻炼的公务员,与在上面坐办公室的领导们距离何止十万八千里,而且锻炼时
间又长(达到14年),如果不随时找点机会在领导面前晃晃,多多表示自己在思想方面与
领导保持高度一致性,说不定领导很快就忘记了他这个人的存在,这样一来,既使今后有
再好的升迁机会,也都轮不上他孙猴子了。
还是那句话,狱中500年的思想改造,确实使悟空同志的觉悟有了很大提高。在勇斗
青牛精时,悟空跑去天上向玉皇大帝汇报工作。趁玉帝点派人马的间隙,悟空竟在南天门
外诗兴大发,写下了他平生第一首也是唯一一首诗作:“风清云霁乐升平,神静星明显瑞
祯。河汉安宁天地泰,五方八极偃戈旌。”在一般人看来,或许会觉得不可理解:悟空的
诗情从何而来?一秒钟之前,他还在与妖怪作殊死博斗,而且师父和师弟们目前正遭受妖
怪武装的绑,他竟然还在说“河汉安宁天地泰,五方八极偃戈旌”!事实上,此时此刻,
悟空抛出这首诗作,绝不是在闭着那对火眼金眼说瞎话,而是要证明:既使身遇逆境,他
仍然能够表现出革命主义的乐观精神,仍然能够与上级领导保持思想的高度统一。我们甚
至有理由相信,悟空此次有意输给青牛精,主要目的就是要将之首也许构思了很久的诗歌
向玉帝汇报。(研究悟空思想史的专家们大多忽略了悟空的这首重要诗作,从而片面地认
为悟空同志只有叛逆的一面,这是非常不公正的。)
其次,悟空经常“打不过”妖精,还有一个重要的原因:借向上级汇报工作的机会,
广而告之各部门领导:他已经接受思想改造,正在努力重做新猴,从而获得最广泛的支持
。悟空的这一想法不是没有道理的。在与蜈蚣精作战时,悟空去找毗蓝婆汇报工作,结果
发现毗蓝婆还在起当年大闹天宫之事,经悟空表白:“我如今皈正佛门,你就不晓得了!
”毗蓝婆才惊奇地问道:“几时皈正?恭喜恭喜!”
通过不厌其烦的向各级领导请示汇报工作,悟空为降妖任务的顺利完成,从而为自己
将来的顺利提升,打下了坚固的基础。好钢用在刀刃上。事实证明,一个像悟空这样的低
级公务员,要升迁,不再于你做了多少事情,而在于有多少领导知道你做的事情。你做了
100件事,没有领导知道,还是等于零;你做了一件事,向10个领导汇报10遍,那就变成了
100件。悟空之所以一再被妖怪打败(当然在上级的正确领导下最终还是取得了胜利),其
秘密,就在这里!
至此,我们终于明白了:事实上,悟空同志的神通不是变小了,而是变大了;他更增
加了与如何与上级相处的神通!
出来的评语是:神通广大。的确,悟空自从学得72般变化,又从东海龙王处连骗带威胁地
弄来一支最现代化的武器之后,惊了地府,闹了天空,将玉皇大帝差点儿吓出了老年痴呆
症,而天廷那些将士带着十万天兵天将,居然都对他无可奈何,最后还是西方神仙出手相
助才揖捕了悟空,并将他判处500年有期徒刑,关押到五行山监狱进行思想改造。
然而,待悟空刑满释放之后,在西去的取经路上,却一直表现平平,上级分派给他降
妖捉怪的任务,他居然没有几件自己亲手完成,反而一再被各路妖怪们打得大败,最后不
得不一次又一次地向上级各个部门求助。
从大闹天空时的神通广大,到取经时的“不堪一击”,悟空同志的巨大变化一度让人
迷惑不已。到底是悟空因蹲监之时疏于练功,从而神通不再,屡屡败北,还是别有隐情?
为彻底搞清这一变化出现的原因,我们不妨调出悟空同志的档案,仔细研究一下取经
路上他与妖怪们争战时的胜败记录:
一、悟空自己完成的降妖任务(6项):白骨精、金角银角大王(太白金星守金银炉
二童子)、车迟国的虎鹿羊三怪、驼罗庄的红鳞大蟒、蜘蛛精、隐雾山的豹子精
二、悟空请示上级各部门帮忙降伏的妖精包括(24项):
观音解决的:白龙马、沙和尚、黑熊精(观音收做门童)、万寿山镇元大仙的人生果
、红孩儿(观音收做童工)、通天河的金鱼(观音水池中之物)、朱紫国金毛犼(观音坐
骑)
请求到玉帝处,玉帝派人处理的有:黑松林的奎木狼(28星宿之一)、青牛精(太白
金星坐骑)、牛魔王(观音童工红孩儿与父)、黄眉老怪(弥勒佛司磬童子)、老鼠精(托
塔天王之义女)、青龙山三犀牛;
如来收伏:六耳弥猴(被悟空打死)、狮象鹏三妖(文殊、普贤坐骑,如来娘舅);
灵吉收伏:黄风怪(如来佛灵山脚下的老鼠);
文殊菩萨收伏:青毛狮怪(文殊菩萨坐骑);
寿星收伏:白鹿精(寿星坐骑)
救苦天尊收伏:九头狮精(救苦天尊座骑)
太阴星君收伏:玉兔精(太阴星君身边工作人员)
毗蓝婆收伏:蜈蚣精 (带回家做门童)
西海龙王太子摩昂处死:黑河妖;
昴日星官处死:蝎子精;
二郎神处死:万圣龙王。
仔细研究这一串名单,我们就会发现一个重大的秘密:凡是悟空自己降妖团成员完成
的降妖任务,都有两点明显的共性:首先,都是在政府里没有后台的民间野妖;其次,所
有这些民间妖怪,其最终结果都被他以人民的名义就地正法,嚓嚓一声,斩首了事。(其
中:金角、银角大王因是太白金星守金银、炉的二童子,虽被悟空正法,却被太白金星以
高明的医术给抢救过来。至于悟空为什么会拿太白金星身边的工作人员开刀,在另一篇<
悟空的政治成熟>中再详细分析。)而悟空请求上级各部门支援揖拿的妖怪,也有两点明
显的共性:首先,这些妖怪,基本上都是有政府背景的“官妖”,其中,绝大多数都是上
级各部门领导的“司机”,其次,这些吃尽了百姓民脂民膏的官妖,其最终结局,全是由
其主人出面请求,带回家了事。(当然,这其中个别的“民妖”,其结局也是相同:被判
处死刑!)
从这些惊人的“巧合”中,我们不得不揣测,悟空之所以“败给”这些妖怪的原因,
恐怕不是不够神通广大那么简单,其实际的原因和动机,很可能就是:这些官妖,一个个
全都是上级领导的亲属或身边的工作人员,悟空自己不敢碰,或者不想碰,所以干脆请上
级部门的领导自己出面安置,一来自己省些力气,二来,也给各部门领导卖个人情,将来
,自己在“取经团”下放锻炼结束后,再重新升迁的时候,这些领导自然也会给他一些回
报。
当然,也有人认为,悟空有可能确实不如这些妖怪神通广大。虽然当年在大闹天宫时
,整个天宫都无人能够胜他,但此一时彼一时也:当年与悟空对垒时,这些妖怪还都在机
关事业单位服务,机关工作的特点是,干多干少一个样,干与不干一个样,多一事不如少
一事,所以谁也不肯真正出力;但现在不同了,这些妖怪们都下海开办了自己的“吃人企
业”,再干活就全都是为了自己了,所以哪怕只有一份力都想出到两份半。这种观点看起
来虽然不无道理,但其实也不太成立。只看一个例子,太白金星守护金炉、银炉的二童子
偷出了他的5项秘密武器(什么捆妖索之类的),尚且被悟空就地“喀嚓”了;后来太白金
星的青牛只偷了一件武器,悟空却反输他了。为什么?悟空知道,再打下去也是徒劳,只
能得罪上级领导,所以干脆不打。
其实,悟空假装斗不过这些妖怪而四处求告,还有另一个种非常重要的作用:可以趁
机向上级领导们(特别是那些能决定自己将来前途的领导)多汇报工作,并且趁此与距离
太远的领导联系联系感情。有事没事,多向领导汇报工作,是公务员必需遵守的最基本的
准则。孙悟空在五行山监狱里改造了500年,想必是脑袋终于开窍了。此外,像悟空这种被
下放到基层锻炼的公务员,与在上面坐办公室的领导们距离何止十万八千里,而且锻炼时
间又长(达到14年),如果不随时找点机会在领导面前晃晃,多多表示自己在思想方面与
领导保持高度一致性,说不定领导很快就忘记了他这个人的存在,这样一来,既使今后有
再好的升迁机会,也都轮不上他孙猴子了。
还是那句话,狱中500年的思想改造,确实使悟空同志的觉悟有了很大提高。在勇斗
青牛精时,悟空跑去天上向玉皇大帝汇报工作。趁玉帝点派人马的间隙,悟空竟在南天门
外诗兴大发,写下了他平生第一首也是唯一一首诗作:“风清云霁乐升平,神静星明显瑞
祯。河汉安宁天地泰,五方八极偃戈旌。”在一般人看来,或许会觉得不可理解:悟空的
诗情从何而来?一秒钟之前,他还在与妖怪作殊死博斗,而且师父和师弟们目前正遭受妖
怪武装的绑,他竟然还在说“河汉安宁天地泰,五方八极偃戈旌”!事实上,此时此刻,
悟空抛出这首诗作,绝不是在闭着那对火眼金眼说瞎话,而是要证明:既使身遇逆境,他
仍然能够表现出革命主义的乐观精神,仍然能够与上级领导保持思想的高度统一。我们甚
至有理由相信,悟空此次有意输给青牛精,主要目的就是要将之首也许构思了很久的诗歌
向玉帝汇报。(研究悟空思想史的专家们大多忽略了悟空的这首重要诗作,从而片面地认
为悟空同志只有叛逆的一面,这是非常不公正的。)
其次,悟空经常“打不过”妖精,还有一个重要的原因:借向上级汇报工作的机会,
广而告之各部门领导:他已经接受思想改造,正在努力重做新猴,从而获得最广泛的支持
。悟空的这一想法不是没有道理的。在与蜈蚣精作战时,悟空去找毗蓝婆汇报工作,结果
发现毗蓝婆还在起当年大闹天宫之事,经悟空表白:“我如今皈正佛门,你就不晓得了!
”毗蓝婆才惊奇地问道:“几时皈正?恭喜恭喜!”
通过不厌其烦的向各级领导请示汇报工作,悟空为降妖任务的顺利完成,从而为自己
将来的顺利提升,打下了坚固的基础。好钢用在刀刃上。事实证明,一个像悟空这样的低
级公务员,要升迁,不再于你做了多少事情,而在于有多少领导知道你做的事情。你做了
100件事,没有领导知道,还是等于零;你做了一件事,向10个领导汇报10遍,那就变成了
100件。悟空之所以一再被妖怪打败(当然在上级的正确领导下最终还是取得了胜利),其
秘密,就在这里!
至此,我们终于明白了:事实上,悟空同志的神通不是变小了,而是变大了;他更增
加了与如何与上级相处的神通!
十大经典人生哲理故事[推荐]
1. 从前,有两个饥饿的人得到了一位长者的恩赐:一根鱼竿和一篓鲜活硕大的鱼。其中,
一个人要了一篓鱼,另一个人要了一根鱼竿,于是他们分道扬镳了。得到鱼的人原地就用
干柴搭起篝火煮起了鱼,他狼吞虎咽,还没有品出鲜鱼的肉香,转瞬间,连鱼带汤就被他
吃了个精光,不久,他便饿死在空空的鱼篓旁。另一个人则提着鱼竿继续忍饥挨饿,一步
步艰难地向海边走去,可当他已经看到不远处那片蔚蓝色的海洋时,他浑身的最后一点力
气也使完了,他也只能眼巴巴地带着无尽的遗憾撒手人间。又有两个饥饿的人,他们同样
得到了长者恩赐的一根鱼竿和一篓鱼。只是他们并没有各奔东西,而是商定共同去找寻大
海,他俩每次只煮一条鱼,他们经过遥远的跋涉,来到了海边,从此,两人开始了捕鱼为
生的日子,几年后,他们盖起了房子,有了各自的家庭、子女,有了自己建造的渔船,过
上了幸福安康的生活。
一个人只顾眼前的利益,得到的终将是短暂的欢愉;一个人目标高远,但也要面对现实的
生活。只有把理想和现实有机结合起来,才有可能成为一个成功之人。有时候,一个简单
的道理,却足以给人意味深长的生命启示。
2. 有位秀才第三次进京赶考,住在一个经常住的店里。考试前两天他做了三个梦,第一个
梦是梦到自己在墙上种白菜,第二个梦是下雨天,他戴了斗笠还打伞,第三个梦是梦到跟
心爱的表妹脱光了衣服躺在一起,但是背靠着背。这三个梦似乎有些深意,秀才第二天就
赶紧去找算命的解梦。算命的一听,连拍大腿说:“你还是回家吧。你想想,高墙上种菜
不是白费劲吗?戴斗笠打雨伞不是多此一举吗?跟表妹都脱光了躺在一张床上了,却背靠
背,不是没戏吗?”
秀才一听,心灰意冷,回店收拾包袱准备回家。店老板非常奇怪,问:“不是明天才考试
吗,今天你怎么就回乡了?”秀才如此这般说了一番,店老板乐了:“哟,我也会解梦的
。我倒觉得,你这次一定要留下来。你想想,墙上种菜不是高种吗?戴斗笠打伞不是说明
你这次有备无患吗?跟你表妹脱光了背靠靠躺在床上,不是说明你翻身的时候就要到了吗
?”秀才一听,更有道理,于是精神振奋地参加考试,居然中了个探花。
积极的人,象太阳,照到哪里哪里亮,消极的人,象月亮,初一十五不一样。想法决定我
们的生活,有什么样的想法,就有什么样的未来。
3. 在某个小村落,下了一场非常大的雨,洪水开始淹没全村,一位神父在教堂里祈祷,眼
看洪水已经淹到他跪着的膝盖了。一个救生员驾着舢板来到教堂,跟神父说:“神父,赶
快上来吧!不然洪水会把你淹死的!”神父说:“不!我深信上帝会来救我的,你先去救
别人好了。”过了不久,洪水已经淹过神父的胸口了,神父只好勉强站在祭坛上。这时,
又有一个警察开着快艇过来,跟神父说:“神父,快上来,不然你真的会被淹死的!”神
父说:“不,我要守住我的教堂,我相信上帝一定会来救我的。你还是先去救别人好了。
”
又过了一会,洪水已经把整个教堂淹没了,神父只好紧紧抓住教堂顶端的十字架。一架直
升飞机缓缓的飞过来,飞行员丢下了绳梯之后大叫:“神父,快上来,这是最后的机会了
,我们可不愿意见到你被洪水淹死!!”神父还是意志坚定的说:“不,我要守住我的教
堂!上帝一定会来救我的。你还是先去救别人好了。上帝会与我共在的!!”
洪水滚滚而来,固执的神父终于被淹死了……神父上了天堂,见到上帝后很生气的质问:
“主啊,我终生奉献自己,战战兢兢的侍奉您,为什么你不肯救我!”上帝说:“我怎么
不肯救你?第一次,我派了舢板来救你,你不要,我以为你担心舢板危险;第二次,我又
派一只快艇去,你还是不要;第二次,我以国宾的礼仪待你,再派一架直升飞机来救你,
结果你还是不愿意接受。所以,我以为你急着想要回到我的身边来,可以好好陪我。”
其实,生命中太多的障碍,皆是由于过度的固执与愚昧的无知所造成。在别人伸出援手之
际,别忘了,惟有我们自己也愿意伸出手来,人家才能帮得上忙的!!!
4. 有一对兄弟,他们的家住在80层楼上。有一天他们外出旅行回家,发现大楼停电了!虽
然他们背着大包的行李,但看来没有什么别的选择,于是哥哥对弟弟说,我们就爬楼梯上
去!于是,他们背着两大包行李开始爬楼梯。爬到20楼的时候他们开始累了,哥哥说“包
包太重了,不如这样吧,我们把包包放在这里,等来电后坐电梯来拿。”于是,他们把行
李放在了20楼,轻松多了,继续向上爬。他们有说有笑地往上爬,但是好景不长,到了40
楼,两人实在累了。想到还只爬了一半,两人开始互相埋怨,指责对方不注意大楼的停电
公告,才会落得如此下场。他们边吵边爬,就这样一路爬到了60楼。到了60楼,他们累得
连吵架的力气也没有了。弟弟对哥哥说,“我们不要吵了,爬完它吧。”于是他们默默地
继续爬楼,终于80楼到了!兴奋地来到家门口兄弟俩才发现他们的钥匙留在了20楼的包包
里了……
有人说,这个故事其实就是反映了我们的人生:20岁之前,我们活在家人、老师的期望之
下,背负着很多的压力、包袱,自己也不够成熟、能力不足,因此步履难免不稳。20岁之
后,离开了众人的压力,卸下了包袱,开始全力以赴地追求自己的梦想,就这样愉快地过
了20年。可是到了40岁,发现青春已逝,不免产生许多的遗憾和追悔,于是开始遗憾这个
、惋惜那个、抱怨这个、嫉恨那个……就这样在抱怨中度过了20年。到了60岁,发现人生
已所剩不多,于是告诉自己不要在抱怨了,就珍惜剩下的日子吧!于是默默地走完了自己
的余年。到了生命的尽头,才想起自己好象有什么事情没有完成……
原来,我们所有的梦想都留在了20岁的青春岁月,还没有来得及完成……
5. 一个人在高山之巅的鹰巢里,抓到了一只幼鹰,他把幼鹰带回家,养在鸡笼里。这只幼
鹰和鸡一起啄食、嬉闹和休息。它以为自己是一只鸡。这只鹰渐渐长大,羽翼丰满了,主
人想把它训练成猎鹰,可是由于终日和鸡混在一起,它已经变得和鸡完全一样,根本没有
飞的愿望了。主人试了各种办法,都毫无效果,最后把它带到山顶上,一把将它扔了出去
。这只鹰像块石头似的,直掉下去,慌乱之中它拼命地扑打翅膀,就这样,它终于飞了起
来!
秘诀:磨练召唤成功的力量
6. 有兄弟二人,年龄不过四、五岁,由于卧室的窗户整天都是密闭着,他们认为屋内太阴
暗,看见外面灿烂的阳光,觉得十分羡慕。兄弟俩就商量说:“我们可以一起把外面的阳
光扫一点进来。”于是,兄弟两人拿着扫帚和畚箕,到阳台上去扫阳光。等到他们把畚箕
搬到房间里的时候,里面的阳光就没有了。这样一而再再而三地扫了许多次,屋内还是一
点阳光都没有。正在厨房忙碌的妈妈看见他们奇怪的举动,问道:“你们在做什么?”他
们回答说:“房间太暗了,我们要扫点阳光进来。”妈妈笑道:“只要把窗户打开,阳光
自然会进来,何必去扫呢?”
秘诀:把封闭的心门敞开,成功的阳光就能驱散失败的阴暗。
7. 雨后,一只蜘蛛艰难地向墙上已经支离破碎的网爬去,由于墙壁潮湿,它爬到一定的高
度,就会掉下来,它一次次地向上爬,一次次地又掉下来……第一个人看到了,他叹了一
口气,自言自语:“我的一生不正如这只蜘蛛吗?忙忙碌碌而无所得。”于是,他日渐消
沉。第二个人看到了,他说:这只蜘蛛真愚蠢,为什么不从旁边干燥的地方绕一下爬上去
?我以后可不能像它那样愚蠢。于是,他变得聪明起来。第三个人看到了,他立刻被蜘蛛
屡败屡战的精神感动了。于是,他变得坚强起来。
秘诀:有成功心态者处处都能发觉成功的力量。
8. 一个老人在高速行驶的火车上,不小心把刚买的新鞋从窗口掉了一只,周围的人倍感惋
惜,不料老人立即把第二只鞋也从窗口扔了下去。这举动更让人大吃一惊。老人解释说:
“这一只鞋无论多么昂贵,对我而言已经没有用了,如果有谁能捡到一双鞋子,说不定他
还能穿呢!”
秘诀:成功者善于放弃
9. 中国古代大哲学家老子,有一天他把弟子人叫到床边,他张开口用手指一指口里面,然
后问弟子们看到了什么?在场的众第子没有一个能答得上。于是老子就对他们说:“满齿
不存,舌头犹在”意思是:牙齿须硬但它寿命不长;舌头须软,但生命力更强。
10. 老和尚携小和尚游方,途遇一条河;见一女子正想过河,却又不敢过。老和尚便主动
背该女子趟过了河,然后放下女子,与小和尚继续赶路。小和尚不禁一路嘀咕:师父怎么
了?竟敢背一女子过河?一路走,一路想,最后终于忍不住了,说:师父,你犯戒了?怎
么背了女人?老和尚叹道:我早已放下,你却还放不下!
启示:君子坦荡荡,小人常戚戚;心胸宽广,思想开朗,遇事拿得起、放得下,才能永远
保持一种健康的心态。
真羡慕日本人啊 不服的近来看看Z
真羡慕日本人啊!为什么呢?主要有以下几点原因,如果不够,还请广大朋友补充:
1、日本没有计划生育,却能很好的控制人口增长。因为它是世界上自杀率最高的国家;
2、日本是一个节能的国家,人们为了节约能源都吃生食。最著名的就是“生鱼片”;
3、日本是最幸运的国家,因为除了日本没有哪个国家知道原子弹是个什么滋味;
4、日本是最不用为性生活发愁的国家,因为它的色情行业非常丰富。除此之外,它们在没有异性的情况下也不用为此发愁,因为它们可以用“自慰”的方式解决问题:“日— —本人”;
5、日本是最不用为自己的面子担忧的国家,因为它们早就不要脸了。连“南京大屠杀”这样的事都敢否认,它们也没有什么赖不敢耍的了;
6、日本人都是最“稳健”的人。因为地震太多,为适应这种环境,它们腿都比较短,这样重心就比较稳了——“稳健”啊~;
7、日本是吃饭非常讲究的国家,因为上面“原因2”中说道它们都吃生食,所以胃都不好。它们为了好吸收,不得不吃流食。这从它们的语言就可以知道,它们称吃饭为“米西”。可能很多人都不知道其含义,那么我就来解释一下:“米西”从文字上看就是“米稀”,意思是要米稀一点。稀了怎么吃呢?这就要靠音译了,“ME 吸!ME 吸!”(我吸!我吸!)。甚至它们连赞美别人时都说“优西!优西!”,音译是“YOU 吸!”(你吸!你吸!)……
8、日本还是一个非常开放的国家。这点可以从他们的名字看出来,比如:松裤库带子、未婚先有子……
9、与中国对动物的爱憎分明不同,日本对很多动物都是一视同“人”的。比如“狼心狗肺”这类词就不会出现在日本,它们是很喜欢狼的。(也许是同类的原因吧。)
10、其实作为一名生长在地大物博的国家的公民,我最羡慕的就是日本不用为世界末日担心。因为,还没到那天日本就消失了……
曹操、孙权、刘备、诸葛亮四人同乘飞机
话说有一次诸葛亮,刘备,孙权,曹操四人同乘飞机,突然遇到紧急情况,需要跳伞逃生
。这时候才发现机上只剩下三个降落伞包。大家一阵紧张,这时只见诸葛亮摇摇羽毛扇清
清嗓子,说:“这样吧,山人出几道题,能答上来的,就跳伞,答不上来的只好自己跳下
去了”。其他人没办法只好同意。
诸葛亮再摇了摇羽毛扇问刘备:“天上有几个太阳?”刘备一想简单,回答:“一个”,
于是拿了个伞包下去了。诸葛亮再问孙权:“天上有几个月亮”。孙权回答:“一个”,
也拿了个伞包下去了。最后轮到曹操,诸葛亮问:“天上有几个星星”,曹操一怔,懵了
,回答不上来 只好自己跳下去了,没想到竟然跳在了海里捡回一条命。曹操暗自庆幸。
第二次又四个人坐飞机遇到紧急情况,四人一商量,得,还是老办法吧。诸葛亮又摇起羽
毛扇问刘备:“当年周武王战败纣王的那场战役是?”刘备一想简单,回答:“牧野之战
”。诸葛亮点点头,于是刘备拿了个伞包下去了。诸葛亮再问孙权“那场战役死了多少人
”孙权想了想说:“大概有三四万”。诸葛点点头,孙权拿了个伞包也下去了,曹操不禁
偷笑想:诸葛亮呀诸葛亮呀,本人可是贯古通今,尤其是军事,这次你可是栽了,呵呵。
只见诸葛亮问:“他们都叫什么”曹操一听差点没晕过去,只好自己跳下去了,没想到竟
然又跳在了海里 捡回一条命。曹操暗自笑“MD,老子命大,看你诸葛老头能把我怎么办?
!”
第三次同样四个人坐飞机,飞机又遇到紧急情况,曹操一想,诸葛老头又要整我,干脆我
自己跳下去算了,免受侮辱。于是一横心,跳了下去,在空中高速下降中。只听得上面诸
葛亮的笑声传来:“曹操啊曹操,妄你聪明一世,哈哈,今天飞机上有四个降落伞!”
曹操“啊――”的一声晕了过去
。这时候才发现机上只剩下三个降落伞包。大家一阵紧张,这时只见诸葛亮摇摇羽毛扇清
清嗓子,说:“这样吧,山人出几道题,能答上来的,就跳伞,答不上来的只好自己跳下
去了”。其他人没办法只好同意。
诸葛亮再摇了摇羽毛扇问刘备:“天上有几个太阳?”刘备一想简单,回答:“一个”,
于是拿了个伞包下去了。诸葛亮再问孙权:“天上有几个月亮”。孙权回答:“一个”,
也拿了个伞包下去了。最后轮到曹操,诸葛亮问:“天上有几个星星”,曹操一怔,懵了
,回答不上来 只好自己跳下去了,没想到竟然跳在了海里捡回一条命。曹操暗自庆幸。
第二次又四个人坐飞机遇到紧急情况,四人一商量,得,还是老办法吧。诸葛亮又摇起羽
毛扇问刘备:“当年周武王战败纣王的那场战役是?”刘备一想简单,回答:“牧野之战
”。诸葛亮点点头,于是刘备拿了个伞包下去了。诸葛亮再问孙权“那场战役死了多少人
”孙权想了想说:“大概有三四万”。诸葛点点头,孙权拿了个伞包也下去了,曹操不禁
偷笑想:诸葛亮呀诸葛亮呀,本人可是贯古通今,尤其是军事,这次你可是栽了,呵呵。
只见诸葛亮问:“他们都叫什么”曹操一听差点没晕过去,只好自己跳下去了,没想到竟
然又跳在了海里 捡回一条命。曹操暗自笑“MD,老子命大,看你诸葛老头能把我怎么办?
!”
第三次同样四个人坐飞机,飞机又遇到紧急情况,曹操一想,诸葛老头又要整我,干脆我
自己跳下去算了,免受侮辱。于是一横心,跳了下去,在空中高速下降中。只听得上面诸
葛亮的笑声传来:“曹操啊曹操,妄你聪明一世,哈哈,今天飞机上有四个降落伞!”
曹操“啊――”的一声晕了过去
Linux 2.4有状态防火墙设计(四)zz
第七章 构建更安全的服务器防火墙
服务器改进
通常可以使防火墙变得“更好”一点。当然,是不是“更好”要根据各人的特殊需
要而定。现有脚本可能会完全符合您的要求,但也可能需要进行附加调整。本章节
旨在充当各种想法的食谱,演示增强现有有状态防火墙的各种方法。
记录技术
目前,我们还没有讨论如何记录。有一种特殊目标 LOG 可以用于记录事物。在使
用 LOG 时,有一个特殊选项 "--log-prefix" 可以让您指定在包转储到系统日志
时出现的一些文本。以下是一个日志规则示例:
iptables -A INPUT -j LOG --log-prefix "bad input:"
不应将它作为第一个规则添加到 INPUT 链中,因为这将会为您接收的每个包都记
录一个记录项。事实上,应该将日志规则放到 INPUT 链的底层,以便记录陌生的
包和其它异常。
以下是关于 LOG 目标的重要注意事项。通常,当一条规则匹配时,会接受、拒绝
或删除某个包,不会再处理其它规则。但是,当日志规则匹配时,则会记录这个包
。但是却不会接受、拒绝或删除它。事实上,包会继续移动到下一个规则,如果日
志规则是链中的最后一个规则,那么将应用缺省链策略。
LOG 目标还可以与 "limit" 模块组合(在 iptables 帮助页面中描述),以使重
复记录项最小化。以下是一个示例:
iptables -A INPUT -m state --state INVALID -m limit --limit 5/minute
-j LOG --log-prefix "INVALID STATE:"
创建自己的链
iptables 可以让您创建自己的用户定义链,可以将这个链指定成规则中的目标。
如果想要了解如何完成此项任务,请花一些时间阅读 Rusty 的著作 http:
//netfilter.samba.org/unreliable-guides/packet-filtering-HOWTO/index.
html。
实施网络使用策略
对于那些想要对公司或高校 LAN 实施网络使用策略的人来说,火墙提供了许多强
大的功能。通过将添加添加到 FORWARD 链或设置 FORWARD 的策略,可以控制您的
机器将转发什么包。通过将规则添加到 OUTPUT 链,还可以对由 Linux 机器自身
的用户在本地生成的包采取什么操作。iptables 还有难以置信的能力,它可以根
据所有者(uid 或 gid)来过滤本地创建的包。如需有关此项功能的详细信息,请
在 iptables 帮助页面中搜索 "owner"。
其它安全性角落
在示例防火墙中,我们已经假设所有内部 LAN 通信流都是值得信任的,只有进入
因特网通信流必须受到严格监控。您的特定网络可能属于这种情况,也可以不属于
此类情况。当然没有什么事能阻止您配置防火墙,以防止进入 LAN 通信流。需要
考虑您想要保护的网络的其它“角落”。还应适当配置两个 LAN 安全性“专区”
,每个“专区”都有其自己的安全性策略。
第八章 参考资料
tcpdump
在本章节中,我将介绍许多参考资料,您会发现这些参考资料有助于创建自己的有
状态防火墙。让我们从一个重要工具开始……
tcpdump 是研究低级包交换和验证防火墙是否正常工作的必备工具。如果您还没有
,想方法弄到它。如果已经有了,则应该使用它。
netfilter.kernelnotes.org
http://netfilter.samba.org 是 netfilter 小组的主页。这个页面上有许多优秀
的参考资料,包括 iptables 源码,以及 Rusty 的著作 "unreliable guides"。
这些参考资料包括适用于开发人员的基本网络概念 HOWTO、netfilter (iptables)
HOWTO、NAT HOWTO 和 netfilter 破坏 HOWTO。 此外还有 netfilter FAQ 和其
它内容。
iptables 帮助页面
网上有许多好的再线 netfilter 参考资料;不过,不要忽略了基础知识。
iptables 帮助页面非常详尽,它是帮助页面的典范。它的确是一本有趣的读物。
高级 Linux 路由和通信流控制 HOWTO
现在有一本书叫做 Advanced Linux Routing and Traffic Control HOWTO。其中
有一段写得非常好,它演示了如何使用 iptables 来标记包,然后使用 Linux 路
由功能来根据这些标记路由包。注:此 HOWTO 包含了对 Linux 通信流控制(服务
质量)功能(通过新的 "tc" 命令访问)的参考。虽然这个新功能很棒,当有关它
的记载却很少,试图解决 Linux 通信流的所有问题在目前看来还是个非常困难的
任务。
邮件列表
现在有一个 netfilter (iptables) 邮件列表,还有一个 netfilter 开发人员邮
件列表。还可以利用再线 URL 访问邮件列表档案。
构建因特网防火墙,第 2 版
在 2000 年 6 月,OReilly 发行了一本好书 -- Building Internet Firewalls,
Second Edition。它是一本很棒的参考书,尤其是当您要配置防火墙、以接受(
或直接拒绝)您不熟悉的无名协议时,值得一看。
好,这就是我们的参考资料列表,教程结束了。我希望这个教程对您有所帮助,希
望您提出宝贵意见。
反馈意见
我们期望您对本教程提出宝贵意见。此外,欢迎通过 drobbins@gentoo.org 联系
作者 Daniel Robbins。
来源:IBM developerWorks 中国
服务器改进
通常可以使防火墙变得“更好”一点。当然,是不是“更好”要根据各人的特殊需
要而定。现有脚本可能会完全符合您的要求,但也可能需要进行附加调整。本章节
旨在充当各种想法的食谱,演示增强现有有状态防火墙的各种方法。
记录技术
目前,我们还没有讨论如何记录。有一种特殊目标 LOG 可以用于记录事物。在使
用 LOG 时,有一个特殊选项 "--log-prefix" 可以让您指定在包转储到系统日志
时出现的一些文本。以下是一个日志规则示例:
iptables -A INPUT -j LOG --log-prefix "bad input:"
不应将它作为第一个规则添加到 INPUT 链中,因为这将会为您接收的每个包都记
录一个记录项。事实上,应该将日志规则放到 INPUT 链的底层,以便记录陌生的
包和其它异常。
以下是关于 LOG 目标的重要注意事项。通常,当一条规则匹配时,会接受、拒绝
或删除某个包,不会再处理其它规则。但是,当日志规则匹配时,则会记录这个包
。但是却不会接受、拒绝或删除它。事实上,包会继续移动到下一个规则,如果日
志规则是链中的最后一个规则,那么将应用缺省链策略。
LOG 目标还可以与 "limit" 模块组合(在 iptables 帮助页面中描述),以使重
复记录项最小化。以下是一个示例:
iptables -A INPUT -m state --state INVALID -m limit --limit 5/minute
-j LOG --log-prefix "INVALID STATE:"
创建自己的链
iptables 可以让您创建自己的用户定义链,可以将这个链指定成规则中的目标。
如果想要了解如何完成此项任务,请花一些时间阅读 Rusty 的著作 http:
//netfilter.samba.org/unreliable-guides/packet-filtering-HOWTO/index.
html。
实施网络使用策略
对于那些想要对公司或高校 LAN 实施网络使用策略的人来说,火墙提供了许多强
大的功能。通过将添加添加到 FORWARD 链或设置 FORWARD 的策略,可以控制您的
机器将转发什么包。通过将规则添加到 OUTPUT 链,还可以对由 Linux 机器自身
的用户在本地生成的包采取什么操作。iptables 还有难以置信的能力,它可以根
据所有者(uid 或 gid)来过滤本地创建的包。如需有关此项功能的详细信息,请
在 iptables 帮助页面中搜索 "owner"。
其它安全性角落
在示例防火墙中,我们已经假设所有内部 LAN 通信流都是值得信任的,只有进入
因特网通信流必须受到严格监控。您的特定网络可能属于这种情况,也可以不属于
此类情况。当然没有什么事能阻止您配置防火墙,以防止进入 LAN 通信流。需要
考虑您想要保护的网络的其它“角落”。还应适当配置两个 LAN 安全性“专区”
,每个“专区”都有其自己的安全性策略。
第八章 参考资料
tcpdump
在本章节中,我将介绍许多参考资料,您会发现这些参考资料有助于创建自己的有
状态防火墙。让我们从一个重要工具开始……
tcpdump 是研究低级包交换和验证防火墙是否正常工作的必备工具。如果您还没有
,想方法弄到它。如果已经有了,则应该使用它。
netfilter.kernelnotes.org
http://netfilter.samba.org 是 netfilter 小组的主页。这个页面上有许多优秀
的参考资料,包括 iptables 源码,以及 Rusty 的著作 "unreliable guides"。
这些参考资料包括适用于开发人员的基本网络概念 HOWTO、netfilter (iptables)
HOWTO、NAT HOWTO 和 netfilter 破坏 HOWTO。 此外还有 netfilter FAQ 和其
它内容。
iptables 帮助页面
网上有许多好的再线 netfilter 参考资料;不过,不要忽略了基础知识。
iptables 帮助页面非常详尽,它是帮助页面的典范。它的确是一本有趣的读物。
高级 Linux 路由和通信流控制 HOWTO
现在有一本书叫做 Advanced Linux Routing and Traffic Control HOWTO。其中
有一段写得非常好,它演示了如何使用 iptables 来标记包,然后使用 Linux 路
由功能来根据这些标记路由包。注:此 HOWTO 包含了对 Linux 通信流控制(服务
质量)功能(通过新的 "tc" 命令访问)的参考。虽然这个新功能很棒,当有关它
的记载却很少,试图解决 Linux 通信流的所有问题在目前看来还是个非常困难的
任务。
邮件列表
现在有一个 netfilter (iptables) 邮件列表,还有一个 netfilter 开发人员邮
件列表。还可以利用再线 URL 访问邮件列表档案。
构建因特网防火墙,第 2 版
在 2000 年 6 月,OReilly 发行了一本好书 -- Building Internet Firewalls,
Second Edition。它是一本很棒的参考书,尤其是当您要配置防火墙、以接受(
或直接拒绝)您不熟悉的无名协议时,值得一看。
好,这就是我们的参考资料列表,教程结束了。我希望这个教程对您有所帮助,希
望您提出宝贵意见。
反馈意见
我们期望您对本教程提出宝贵意见。此外,欢迎通过 drobbins@gentoo.org 联系
作者 Daniel Robbins。
来源:IBM developerWorks 中国
Linux 2.4有状态防火墙设计(三)zz
第五章 有状态改进
明确关闭 ECN
我以前提到过应当关闭 ECN(明确拥塞通知),以便因特网通信可以正确工作。虽
然您可能会按我的建议禁用了 ECN,但在将来您也许会忘了这样做。或者,您可能
将防火墙脚本传送给某个人,而那个人启用了 ECN。由于这些原因,最好使用
/proc 接口来明确禁用 ECN,如下所示:
if [ -e /proc/sys/net/ipv4/tcp_ecn ]
then
echo 0 > /proc/sys/net/ipv4/tcp_ecn
fi
转发
如果使用 Linux 机器作为路由器,那么应该启用 IP 转发,它给予内核许可权,
以允许包在 eth0 和 eth1 之间传递,反之亦然。在我们的配置示例中,eth0 连
接到 LAN,eth1 连接到因特网,在允许 LAN 经由 Linux 机器连接因特网时,启
用 IP 转发是必要步骤。要启用 IP 转发,请使用以下这行命令:
echo 1 > /proc/sys/net/ipv4/ip_forward
处理拒绝,第 1 部分
目前,我们已经删除了所有来自因特网的未经请求的通信流。虽然这是一种阻止讨
厌的网络活动的有效方法,但是它有一些缺点。这种方法最大的问题是闯入者很容
易就可以检测到我们正在使用防火墙,因为我们的机器没有应答标准 TCP 复位和
ICMP 端口不可到达响应 -- 一般机器发送会的响应,用于表示对不存在服务的连
接失败。
处理拒绝,第 2 部分
与其让潜在的闯入者知道我们在运行防火墙(对于在提示他们,我们正在运行一些
他们不能得到的有价值服务),还不如假装我们根本没有运行服务。通过将以下两
个规则添加到 INPUT 链的末端,可以成功地完成此项任务:
iptables -A INPUT -p tcp -i eth1 -j REJECT --reject-with tcp-reset
iptables -A INPUT -p udp -i eth1 -j REJECT --reject-with
icmp-port-unreachable
第一个规则负责正确传递 TCP 连接,而第二个规则处理 UDP。只要这两个规则就
位,闯入者就很难检测到我们运行了防火墙;但愿,这会使闯入者离开我们的机器
,转而搜索其它更潜在的目标以供他滥用。
处理拒绝,第 3 部分
除了使防火墙变得更“隐蔽”,这些规则还消除了由于连接到某些 ftp 和 irc 服
务器带来的延迟。这个延迟是由于服务器对您的机器执行身份查找(连接到端口
113)而引起的,并最终(大约 15 秒之后)导致超时。现在,防火墙将返回
TCP 复位,身份查找将立即失败,而不是重试 15 秒(而您正在耐心地等待服务器
的响应)。
防止欺骗
在许多发行版中,当建成网络接口时,还会将旧的 ipchains 规则添加到系统。这
些特殊规则是由发行版的创建程序添加的,用于处理电子欺骗问题,即包的源地址
已经过调整,这样它们就包含了无效值(某些脚本骗子做的事)。虽然我们可以创
建类似的 iptables 规则来阻拦受到欺骗的包,但还有一种更简单的方法。目前,
内核的内置功能可以删除受到欺骗的包;我们要做的只是通过简单的 /proc 接口
来启用它。方法如下。
for x in lo eth0 eth1
do
echo 1 > /proc/sys/net/ipv4/conf/${x}/rp_filter
done
此 shell 脚本将告诉内核删除接口 lo、eth0 和 eth1 上所有受到欺骗的包。可
以将这些行添加到防火墙脚本中,也可以将它们添加到创建 lo、eth0 和 eth1 接
口的脚本中。
伪装
NAT(网络地址转换)和 IP 伪装虽然与防火墙没有直接关系,但通常与防火墙一
起使用。我们将讨论您可能需要使用的两种常用 NAT/伪装配置。第一个规则负责
处理那种用拨号链接到使用动态 IP 的因特网 (ppp0) 的情况:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
如果您属于这种情况,那么还应该转换防火墙脚本,将对 "eth1"(我们的示例
DSL 路由器)更改成 "ppp0"。如果 ppp0 还不存在,最好添加引用 "ppp0" 的防
火墙规则。只要创建了 ppp0,一切立即就会正常工作。请确保还启用了 IP 转发
。
SNAT
如果使用 DSL 来连接因特网,那么您或许有两种可能配置中的一种。一种可能性
是 DSL 路由器或调制解调器有其自己的 IP 号码,并为您执行网络地址转换。如
果是这种情况,那么就不需要 Linux 来执行 NAT,因为 DSL 路由器已经这样处理
了。
但是,如果想要更多地控制 NAT 功能,也许应该与 ISP 讨论关于 DSL 连接的配
置,以便使您的 DSL 连接处于“桥接方式”。在桥接方式中,防火墙将成为
ISP 的网络中的正式部分,DSL 路由器将会在 ISP 和您的 Linux 机器之间透明的
来回转发 IP 通信流,而不会让任何人知道它的存在。它不再拥有 IP 号码;事实
上,eth1(在我们的示例中)隐藏了 IP。如果有人从因特网上 ping 您的 IP,他
们将从您的 Linux 机器上得到应答,而不是路由器。
使用了这种设置,就应该使用 NAT(源 NAT),而不是伪装。以下就是您应该添加
到防火墙的一行代码:
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 1.2.3.4
在这个示例中,应该将 eth1 更改成直接连接到 DSL 路由器的以太网接口,1.2.
3.4 应该更改成静态 IP(以太网接口的 IP)。再次声明,请记住要启用 IP 转发
。
NAT 问题
幸好,NAT 和伪装与防火墙能够和睦相处。在编写防火墙过滤规则时,应忽略正在
使用 NAT 的事实。您的规则应该根据包的“真正”源地址和目的地址接受、删除
或拒绝它们。防火墙过滤代码能够看到包的原始源地址,以及最终目的地址。这对
我们很有用处,因为它可以让防火墙继续正常工作,即使我们暂时禁用了 NAT 或
伪装。
了解表
在以上的 NAT/伪装示例中,我们将规则附加到链,但还做了一些略有不同的事。
请注意 "-t" 选项。"-t" 选项可以让我们指定链所属的表。当省略这个选项时,
缺省表将缺省为 "filter"。因此,以前所有与非 NAT 相关的命令修改
"filter" 表中的 INPUT 链。"filter" 表包含了所有与接收或拒绝包相关的规则
,而 "nat" 表(如您假设的)包含了与网络地址转换相关的规则。还有其它内置
iptables 链,在 iptables 帮助页面以及 Rusty 的 HOWTO(请参阅本教程结尾
处的“参考资料”部分,以获取链接)中详细描述了这些链。
增强的脚本
现在已经讨论过一些可能的增强,让我们看一下第二种更灵活的防火墙启动/停止
脚本:
#!/bin/bash
# An enhanced stateful firewall for a workstation, laptop or router that
isn
# running any network services like a web server, SMTP server, ftp
server, etc.
#change this to the name of the interface that provides your "uplink"
#(connection to the Internet)
UPLINK="eth1"
#if you e a router (and thus should forward IP packets between
interfaces),
#you want ROUTER="yes"; otherwise, ROUTER="no"
ROUTER="yes"
#change this next line to the static IP of your uplink interface for
static SNAT, or
#"dynamic" if you have a dynamic IP. If you don need any NAT, set NAT to
"" to
#disable it.
NAT="1.2.3.4"
#change this next line so it lists all your network interfaces,
including lo
INTERFACES="lo eth0 eth1"
if [ "$1" = "start" ]
then
echo "Starting firewall..."
iptables -P INPUT DROP
iptables -A INPUT -i ! ${UPLINK} -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -i ${UPLINK} -j REJECT --reject-with
tcp-reset
iptables -A INPUT -p udp -i ${UPLINK} -j REJECT --reject-with
icmp-port-unreachable
#explicitly disable ECN
if [ -e /proc/sys/net/ipv4/tcp_ecn ]
then
echo 0 > /proc/sys/net/ipv4/tcp_ecn
fi
#disable spoofing on all interfaces
for x in ${INTERFACES}
do
echo 1 > /proc/sys/net/ipv4/conf/${x}/rp_filter
done
if [ "$ROUTER" = "yes" ]
then
#we e a router of some kind, enable IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
if [ "$NAT" = "dynamic" ]
then
#dynamic IP address, use masquerading
echo "Enabling masquerading (dynamic ip)..."
iptables -t nat -A POSTROUTING -o ${UPLINK} -j MASQUERADE
elif [ "$NAT" != "" ]
then
#static IP, use SNAT
echo "Enabling SNAT (static ip)..."
iptables -t nat -A POSTROUTING -o ${UPLINK} -j SNAT --to ${UPIP}
fi
fi
elif [ "$1" = "stop" ]
then
echo "Stopping firewall..."
iptables -F INPUT
iptables -P INPUT ACCEPT
#turn off NAT/masquerading, if any
iptables -t nat -F POSTROUTING
fi
第六章 有状态服务
查看规则
在开始定制防火墙以便可以在服务器上使用它之前,我需要演示如何列出当前活动
的防火墙规则。要查看过滤器表的 INPUT 链中的规则,输入:
# iptables -v -L INPUT
-v 选项给出一个冗长的输出,这样我们可以查看每个规则传送的总包数和总的字
节数。还可以使用以下命令查看 nat POSTROUTING 表:
# iptables -t nat -v -L POSTROUTING
Chain POSTROUTING (policy ACCEPT 399 packets, 48418 bytes)
pkts bytes target prot opt in out source destination
2728 170K SNAT all -- any eth1 anywhere anywhere to:215.218.215.2
准备提供服务
现在,防火墙不允许陌生人连接我们机器上的服务,因为它只接受进入
ESTABLISHED 或 RELATED 包。由于它删除了所有进入 NEW 包,因此所有连接尝试
都将被无条件拒绝。但是,只要有选择地允许一些进入通信流通过防火墙,我们就
可以让陌生人连接到我们指定的服务。
有状态 HTTP
虽然我们要接受一些进入连接,但我们可能并不想接受所有进入连接。最好从“缺
省拒绝”策略开始(就象我们现在使用的策略),逐渐开放对那些希望人们可以连
接的服务的访问。例如,如果正在运行 Web 服务器,我们允许 NEW 包进入我们的
机器,只要它们去往端口 80 (HTTP)。那就是我们需要做的。一旦允许 NEW 包进
入,那我们就允许建立连接。一旦建立了连接,就匹配了允许进入 ESTABLISHED
和 RELATED 包的现有规则,从而 HTTP 连接将变得畅通无阻。
有状态 HTTP 示例
让我们看一下防火墙的“核心”,以及允许进入 HTTP 连接的新规则:
iptables -P INPUT DROP
iptables -A INPUT -i ! ${UPLINK} -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#our new rule follows
iptables -A INPUT -p tcp --dport http -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp -i ${UPLINK} -j REJECT --reject-with
tcp-reset
iptables -A INPUT -p udp -i ${UPLINK} -j REJECT --reject-with
icmp-port-unreachable
这个新规则允许去往我们机器的端口 80 (http) 的 NEW TCP 包进入。请注意这个
规则的位置。它出现在 REJECT 规则有重要意义。由于 iptables 将应用第一个匹
配的规则,因此将它放到 REJECT 行的后面会使这个规则无法生效。
最后的防火墙脚本
现在来看一下最后的防火墙脚本,它可以用于膝上型计算机、工作站、路由器或服
务器(或者其中的某些组合!)。
#!/bin/bash
#Our complete stateful firewall script. This firewall can be
customized for
#a laptop, workstation, router or even a server. :)
#change this to the name of the interface that provides your "uplink"
#(connection to the Internet)
UPLINK="eth1"
#if you e a router (and thus should forward IP packets between
interfaces),
#you want ROUTER="yes"; otherwise, ROUTER="no"
ROUTER="yes"
#change this next line to the static IP of your uplink interface for
static SNAT, or
#"dynamic" if you have a dynamic IP. If you don need any NAT, set NAT to
"" to
#disable it.
NAT="1.2.3.4"
#change this next line so it lists all your network interfaces,
including lo
INTERFACES="lo eth0 eth1"
#change this line so that it lists the assigned numbers or symbolic
names (from
#/etc/services) of all the services that youd like to provide to the
general
#public. If you don want any services enabled, set it to ""
SERVICES="http ftp smtp ssh rsync"
if [ "$1" = "start" ]
then
echo "Starting firewall..."
iptables -P INPUT DROP
iptables -A INPUT -i ! ${UPLINK} -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#enable public access to certain services
for x in ${SERVICES}
do
iptables -A INPUT -p tcp --dport ${x} -m state --state NEW -j ACCEPT
done
iptables -A INPUT -p tcp -i ${UPLINK} -j REJECT --reject-with
tcp-reset
iptables -A INPUT -p udp -i ${UPLINK} -j REJECT --reject-with
icmp-port-unreachable
#explicitly disable ECN
if [ -e /proc/sys/net/ipv4/tcp_ecn ]
then
echo 0 > /proc/sys/net/ipv4/tcp_ecn
fi
#disable spoofing on all interfaces
for x in ${INTERFACES}
do
echo 1 > /proc/sys/net/ipv4/conf/${x}/rp_filter
done
if [ "$ROUTER" = "yes" ]
then
#we e a router of some kind, enable IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
if [ "$NAT" = "dynamic" ]
then
#dynamic IP address, use masquerading
echo "Enabling masquerading (dynamic ip)..."
iptables -t nat -A POSTROUTING -o ${UPLINK} -j MASQUERADE
elif [ "$NAT" != "" ]
then
#static IP, use SNAT
echo "Enabling SNAT (static ip)..."
iptables -t nat -A POSTROUTING -o ${UPLINK} -j SNAT --to ${UPIP}
fi
fi
elif [ "$1" = "stop" ]
then
echo "Stopping firewall..."
iptables -F INPUT
iptables -P INPUT ACCEPT
#turn off NAT/masquerading, if any
iptables -t nat -F POSTROUTING
fi
来源:IBM developerWorks 中国
明确关闭 ECN
我以前提到过应当关闭 ECN(明确拥塞通知),以便因特网通信可以正确工作。虽
然您可能会按我的建议禁用了 ECN,但在将来您也许会忘了这样做。或者,您可能
将防火墙脚本传送给某个人,而那个人启用了 ECN。由于这些原因,最好使用
/proc 接口来明确禁用 ECN,如下所示:
if [ -e /proc/sys/net/ipv4/tcp_ecn ]
then
echo 0 > /proc/sys/net/ipv4/tcp_ecn
fi
转发
如果使用 Linux 机器作为路由器,那么应该启用 IP 转发,它给予内核许可权,
以允许包在 eth0 和 eth1 之间传递,反之亦然。在我们的配置示例中,eth0 连
接到 LAN,eth1 连接到因特网,在允许 LAN 经由 Linux 机器连接因特网时,启
用 IP 转发是必要步骤。要启用 IP 转发,请使用以下这行命令:
echo 1 > /proc/sys/net/ipv4/ip_forward
处理拒绝,第 1 部分
目前,我们已经删除了所有来自因特网的未经请求的通信流。虽然这是一种阻止讨
厌的网络活动的有效方法,但是它有一些缺点。这种方法最大的问题是闯入者很容
易就可以检测到我们正在使用防火墙,因为我们的机器没有应答标准 TCP 复位和
ICMP 端口不可到达响应 -- 一般机器发送会的响应,用于表示对不存在服务的连
接失败。
处理拒绝,第 2 部分
与其让潜在的闯入者知道我们在运行防火墙(对于在提示他们,我们正在运行一些
他们不能得到的有价值服务),还不如假装我们根本没有运行服务。通过将以下两
个规则添加到 INPUT 链的末端,可以成功地完成此项任务:
iptables -A INPUT -p tcp -i eth1 -j REJECT --reject-with tcp-reset
iptables -A INPUT -p udp -i eth1 -j REJECT --reject-with
icmp-port-unreachable
第一个规则负责正确传递 TCP 连接,而第二个规则处理 UDP。只要这两个规则就
位,闯入者就很难检测到我们运行了防火墙;但愿,这会使闯入者离开我们的机器
,转而搜索其它更潜在的目标以供他滥用。
处理拒绝,第 3 部分
除了使防火墙变得更“隐蔽”,这些规则还消除了由于连接到某些 ftp 和 irc 服
务器带来的延迟。这个延迟是由于服务器对您的机器执行身份查找(连接到端口
113)而引起的,并最终(大约 15 秒之后)导致超时。现在,防火墙将返回
TCP 复位,身份查找将立即失败,而不是重试 15 秒(而您正在耐心地等待服务器
的响应)。
防止欺骗
在许多发行版中,当建成网络接口时,还会将旧的 ipchains 规则添加到系统。这
些特殊规则是由发行版的创建程序添加的,用于处理电子欺骗问题,即包的源地址
已经过调整,这样它们就包含了无效值(某些脚本骗子做的事)。虽然我们可以创
建类似的 iptables 规则来阻拦受到欺骗的包,但还有一种更简单的方法。目前,
内核的内置功能可以删除受到欺骗的包;我们要做的只是通过简单的 /proc 接口
来启用它。方法如下。
for x in lo eth0 eth1
do
echo 1 > /proc/sys/net/ipv4/conf/${x}/rp_filter
done
此 shell 脚本将告诉内核删除接口 lo、eth0 和 eth1 上所有受到欺骗的包。可
以将这些行添加到防火墙脚本中,也可以将它们添加到创建 lo、eth0 和 eth1 接
口的脚本中。
伪装
NAT(网络地址转换)和 IP 伪装虽然与防火墙没有直接关系,但通常与防火墙一
起使用。我们将讨论您可能需要使用的两种常用 NAT/伪装配置。第一个规则负责
处理那种用拨号链接到使用动态 IP 的因特网 (ppp0) 的情况:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
如果您属于这种情况,那么还应该转换防火墙脚本,将对 "eth1"(我们的示例
DSL 路由器)更改成 "ppp0"。如果 ppp0 还不存在,最好添加引用 "ppp0" 的防
火墙规则。只要创建了 ppp0,一切立即就会正常工作。请确保还启用了 IP 转发
。
SNAT
如果使用 DSL 来连接因特网,那么您或许有两种可能配置中的一种。一种可能性
是 DSL 路由器或调制解调器有其自己的 IP 号码,并为您执行网络地址转换。如
果是这种情况,那么就不需要 Linux 来执行 NAT,因为 DSL 路由器已经这样处理
了。
但是,如果想要更多地控制 NAT 功能,也许应该与 ISP 讨论关于 DSL 连接的配
置,以便使您的 DSL 连接处于“桥接方式”。在桥接方式中,防火墙将成为
ISP 的网络中的正式部分,DSL 路由器将会在 ISP 和您的 Linux 机器之间透明的
来回转发 IP 通信流,而不会让任何人知道它的存在。它不再拥有 IP 号码;事实
上,eth1(在我们的示例中)隐藏了 IP。如果有人从因特网上 ping 您的 IP,他
们将从您的 Linux 机器上得到应答,而不是路由器。
使用了这种设置,就应该使用 NAT(源 NAT),而不是伪装。以下就是您应该添加
到防火墙的一行代码:
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 1.2.3.4
在这个示例中,应该将 eth1 更改成直接连接到 DSL 路由器的以太网接口,1.2.
3.4 应该更改成静态 IP(以太网接口的 IP)。再次声明,请记住要启用 IP 转发
。
NAT 问题
幸好,NAT 和伪装与防火墙能够和睦相处。在编写防火墙过滤规则时,应忽略正在
使用 NAT 的事实。您的规则应该根据包的“真正”源地址和目的地址接受、删除
或拒绝它们。防火墙过滤代码能够看到包的原始源地址,以及最终目的地址。这对
我们很有用处,因为它可以让防火墙继续正常工作,即使我们暂时禁用了 NAT 或
伪装。
了解表
在以上的 NAT/伪装示例中,我们将规则附加到链,但还做了一些略有不同的事。
请注意 "-t" 选项。"-t" 选项可以让我们指定链所属的表。当省略这个选项时,
缺省表将缺省为 "filter"。因此,以前所有与非 NAT 相关的命令修改
"filter" 表中的 INPUT 链。"filter" 表包含了所有与接收或拒绝包相关的规则
,而 "nat" 表(如您假设的)包含了与网络地址转换相关的规则。还有其它内置
iptables 链,在 iptables 帮助页面以及 Rusty 的 HOWTO(请参阅本教程结尾
处的“参考资料”部分,以获取链接)中详细描述了这些链。
增强的脚本
现在已经讨论过一些可能的增强,让我们看一下第二种更灵活的防火墙启动/停止
脚本:
#!/bin/bash
# An enhanced stateful firewall for a workstation, laptop or router that
isn
# running any network services like a web server, SMTP server, ftp
server, etc.
#change this to the name of the interface that provides your "uplink"
#(connection to the Internet)
UPLINK="eth1"
#if you e a router (and thus should forward IP packets between
interfaces),
#you want ROUTER="yes"; otherwise, ROUTER="no"
ROUTER="yes"
#change this next line to the static IP of your uplink interface for
static SNAT, or
#"dynamic" if you have a dynamic IP. If you don need any NAT, set NAT to
"" to
#disable it.
NAT="1.2.3.4"
#change this next line so it lists all your network interfaces,
including lo
INTERFACES="lo eth0 eth1"
if [ "$1" = "start" ]
then
echo "Starting firewall..."
iptables -P INPUT DROP
iptables -A INPUT -i ! ${UPLINK} -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -i ${UPLINK} -j REJECT --reject-with
tcp-reset
iptables -A INPUT -p udp -i ${UPLINK} -j REJECT --reject-with
icmp-port-unreachable
#explicitly disable ECN
if [ -e /proc/sys/net/ipv4/tcp_ecn ]
then
echo 0 > /proc/sys/net/ipv4/tcp_ecn
fi
#disable spoofing on all interfaces
for x in ${INTERFACES}
do
echo 1 > /proc/sys/net/ipv4/conf/${x}/rp_filter
done
if [ "$ROUTER" = "yes" ]
then
#we e a router of some kind, enable IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
if [ "$NAT" = "dynamic" ]
then
#dynamic IP address, use masquerading
echo "Enabling masquerading (dynamic ip)..."
iptables -t nat -A POSTROUTING -o ${UPLINK} -j MASQUERADE
elif [ "$NAT" != "" ]
then
#static IP, use SNAT
echo "Enabling SNAT (static ip)..."
iptables -t nat -A POSTROUTING -o ${UPLINK} -j SNAT --to ${UPIP}
fi
fi
elif [ "$1" = "stop" ]
then
echo "Stopping firewall..."
iptables -F INPUT
iptables -P INPUT ACCEPT
#turn off NAT/masquerading, if any
iptables -t nat -F POSTROUTING
fi
第六章 有状态服务
查看规则
在开始定制防火墙以便可以在服务器上使用它之前,我需要演示如何列出当前活动
的防火墙规则。要查看过滤器表的 INPUT 链中的规则,输入:
# iptables -v -L INPUT
-v 选项给出一个冗长的输出,这样我们可以查看每个规则传送的总包数和总的字
节数。还可以使用以下命令查看 nat POSTROUTING 表:
# iptables -t nat -v -L POSTROUTING
Chain POSTROUTING (policy ACCEPT 399 packets, 48418 bytes)
pkts bytes target prot opt in out source destination
2728 170K SNAT all -- any eth1 anywhere anywhere to:215.218.215.2
准备提供服务
现在,防火墙不允许陌生人连接我们机器上的服务,因为它只接受进入
ESTABLISHED 或 RELATED 包。由于它删除了所有进入 NEW 包,因此所有连接尝试
都将被无条件拒绝。但是,只要有选择地允许一些进入通信流通过防火墙,我们就
可以让陌生人连接到我们指定的服务。
有状态 HTTP
虽然我们要接受一些进入连接,但我们可能并不想接受所有进入连接。最好从“缺
省拒绝”策略开始(就象我们现在使用的策略),逐渐开放对那些希望人们可以连
接的服务的访问。例如,如果正在运行 Web 服务器,我们允许 NEW 包进入我们的
机器,只要它们去往端口 80 (HTTP)。那就是我们需要做的。一旦允许 NEW 包进
入,那我们就允许建立连接。一旦建立了连接,就匹配了允许进入 ESTABLISHED
和 RELATED 包的现有规则,从而 HTTP 连接将变得畅通无阻。
有状态 HTTP 示例
让我们看一下防火墙的“核心”,以及允许进入 HTTP 连接的新规则:
iptables -P INPUT DROP
iptables -A INPUT -i ! ${UPLINK} -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#our new rule follows
iptables -A INPUT -p tcp --dport http -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp -i ${UPLINK} -j REJECT --reject-with
tcp-reset
iptables -A INPUT -p udp -i ${UPLINK} -j REJECT --reject-with
icmp-port-unreachable
这个新规则允许去往我们机器的端口 80 (http) 的 NEW TCP 包进入。请注意这个
规则的位置。它出现在 REJECT 规则有重要意义。由于 iptables 将应用第一个匹
配的规则,因此将它放到 REJECT 行的后面会使这个规则无法生效。
最后的防火墙脚本
现在来看一下最后的防火墙脚本,它可以用于膝上型计算机、工作站、路由器或服
务器(或者其中的某些组合!)。
#!/bin/bash
#Our complete stateful firewall script. This firewall can be
customized for
#a laptop, workstation, router or even a server. :)
#change this to the name of the interface that provides your "uplink"
#(connection to the Internet)
UPLINK="eth1"
#if you e a router (and thus should forward IP packets between
interfaces),
#you want ROUTER="yes"; otherwise, ROUTER="no"
ROUTER="yes"
#change this next line to the static IP of your uplink interface for
static SNAT, or
#"dynamic" if you have a dynamic IP. If you don need any NAT, set NAT to
"" to
#disable it.
NAT="1.2.3.4"
#change this next line so it lists all your network interfaces,
including lo
INTERFACES="lo eth0 eth1"
#change this line so that it lists the assigned numbers or symbolic
names (from
#/etc/services) of all the services that youd like to provide to the
general
#public. If you don want any services enabled, set it to ""
SERVICES="http ftp smtp ssh rsync"
if [ "$1" = "start" ]
then
echo "Starting firewall..."
iptables -P INPUT DROP
iptables -A INPUT -i ! ${UPLINK} -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#enable public access to certain services
for x in ${SERVICES}
do
iptables -A INPUT -p tcp --dport ${x} -m state --state NEW -j ACCEPT
done
iptables -A INPUT -p tcp -i ${UPLINK} -j REJECT --reject-with
tcp-reset
iptables -A INPUT -p udp -i ${UPLINK} -j REJECT --reject-with
icmp-port-unreachable
#explicitly disable ECN
if [ -e /proc/sys/net/ipv4/tcp_ecn ]
then
echo 0 > /proc/sys/net/ipv4/tcp_ecn
fi
#disable spoofing on all interfaces
for x in ${INTERFACES}
do
echo 1 > /proc/sys/net/ipv4/conf/${x}/rp_filter
done
if [ "$ROUTER" = "yes" ]
then
#we e a router of some kind, enable IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
if [ "$NAT" = "dynamic" ]
then
#dynamic IP address, use masquerading
echo "Enabling masquerading (dynamic ip)..."
iptables -t nat -A POSTROUTING -o ${UPLINK} -j MASQUERADE
elif [ "$NAT" != "" ]
then
#static IP, use SNAT
echo "Enabling SNAT (static ip)..."
iptables -t nat -A POSTROUTING -o ${UPLINK} -j SNAT --to ${UPIP}
fi
fi
elif [ "$1" = "stop" ]
then
echo "Stopping firewall..."
iptables -F INPUT
iptables -P INPUT ACCEPT
#turn off NAT/masquerading, if any
iptables -t nat -F POSTROUTING
fi
来源:IBM developerWorks 中国