关于mysql字符集的问题我自己也遇到了很多次，每次google查了，问题解决了，就认为自己记住是如何解决了！过了几天本问起或遇到的时候才发现我还是忘记了！奶奶说：好记性，不如烂笔头！现在发现长背说的总是没有错的！正好现在有时间就写写吧！后来发现这篇文章连原理都讲了，觉得很不错！由于转的时候没有发现作者，所以这里就不贴原地址了！

基本概念
• 字符(Character)是指人类语言中最小的表义符号。例如’A’、’B’等；
• 给定一系列字符，对每个字符赋予一个数值，用数值来代表对应的字符，这一数值就是字符的编码(Encoding)。例如，我们给字符’A’赋予数值0，给 字符’B’赋予数值1，则0就是字符’A’的编码；
• 给定一系列字符并赋予对应的编码后，所有这些字符和编码对组成的集合就是字符集(Character Set)。例如，给定字符列表为{’A’,’B’}时，{’A’=>0, ‘B’=>1}就是一个字符集；
• 字符序(Collation)是指在同一字符集内字符之间的比较规则；
• 确定字符序后，才能在一个字符集上定义什么是等价的字符，以及字符之间的大小关系；
• 每个字符序唯一对应一种字符集，但一个字符集可以对应多种字符序，其中有一个是默认字符序(Default Collation)；
• MySQL中的字符序名称遵从命名惯例：以字符序对应的字符集名称开头；以_ci(表示大小写不敏感)、_cs(表示大小写敏感)或_bin(表示按编码 值比较)结尾。例如：在字符序“utf8_general_ci”下，字符“a”和“A”是等价的；

MySQL字符集设置• 系统变量：
– character_set_server：默认的内部操作字符集
– character_set_client： 客户端来源数据使用的字符集
– character_set_connection：连接层字符集
– character_set_results：查询结果字符集
– character_set_database： 当前选中数据库的默认字符集
– character_set_system：系统元数据(字段名等)字符集
– 还有以collation_开头的同上面对应的变量，用来描述字符序。
• 用introducer指定文本字符串的字符集：
– 格式为：[_charset] ’string’ [COLLATE collation]
– 例如：
• SELECT _latin1 ’string’;
• SELECT _utf8 ‘你好’ COLLATE utf8_general_ci;
– 由introducer修饰的文本字符串在请求过程中不经过多余的转码，直接转换为内部字符集处理。
MySQL 中的字符集转换过程1. MySQL Server收到请求时将请求数据从character_set_client转换为character_set_connection；
2. 进行内部操作前将请求数据从character_set_connection转换为内部操作字符集，其确定方法如下：
• 使用每个数据字段的CHARACTER SET设定值；
• 若上述值不存在，则使用对应数据表的DEFAULT CHARACTER SET设定值(MySQL扩展，非SQL标准)；
• 若上述值不存在，则使用对应数据库的DEFAULT CHARACTER SET设定值；
• 若上述值不存在，则使用character_set_server设定值。
3. 将操作结果从内部操作字符集转换为character_set_results。

常见问题解析• 向默认字符集为utf8的数据表插入utf8编码的数据前没有设置连接字符集，查询时设置连接字符集为utf8
– 插入时根据MySQL服务器的默认设置，character_set_client、character_set_connection和 character_set_results均为latin1；

– 插入操作的数据将经过latin1=>latin1=>utf8的字符集转换过程，这一过程中每个插入的汉字都会从原始的3个字节变成6个字 节保存；
– 查询时的结果将经过utf8=>utf8的字符集转换过程，将保存的6个字节原封不动返回，产生乱码……

• 向默认字符集为latin1的数据表插入utf8编码的数据前设置了连接字符集为utf8
– 插入时根据连接字符集设置，character_set_client、character_set_connection和 character_set_results均为utf8；
– 插入数据将经过utf8=>utf8=>latin1的字符集转换，若原始数据中含有\u0000~\u00ff范围以外的Unicode字 符，会因为无法在latin1字符集中表示而被转换为“?”(0×3F)符号，以后查询时不管连接字符集设置如何都无法恢复其内容了。

检测字符集问题的一些手段• SHOW CHARACTER SET;
• SHOW COLLATION;
• SHOW VARIABLES LIKE ‘character%’;
• SHOW VARIABLES LIKE ‘collation%’;
• SQL函数HEX、LENGTH、CHAR_LENGTH
• SQL函数CHARSET、COLLATION
使用MySQL字符集时的建议• 建立数据库/表和进行数据库操作时尽量显式指出使用的字符集，而不是依赖于MySQL的默认设置，否则MySQL升级时可能带来很大困扰；
• 数据库和连接字符集都使用latin1时虽然大部分情况下都可以解决乱码问题，但缺点是无法以字符为单位来进行SQL操作，一般情况下将数据库和连接字符 集都置为utf8是较好的选择；
• 使用mysql C API时，初始化数据库句柄后马上用mysql_options设定MYSQL_SET_CHARSET_NAME属性为utf8，这样就不用显式地用 SET NAMES语句指定连接字符集，且用mysql_ping重连断开的长连接时也会把连接字符集重置为utf8；
• 对于mysql PHP API，一般页面级的PHP程序总运行时间较短，在连接到数据库以后显式用SET NAMES语句设置一次连接字符集即可；但当使用长连接时，请注意保持连接通畅并在断开重连后用SET NAMES语句显式重置连接字符集。
其他 注意事项• my.cnf中的default_character_set设置只影响mysql命令连接服务器时的连接字符集，不会对使用 libmysqlclient库的应用程序产生任何作用！
• 对字段进行的SQL函数操作通常都是以内部操作字符集进行的，不受连接字符集设置的影响。
• SQL语句中的裸字符串会受到连接字符集或introducer设置的影响，对于比较之类的操作可能产生完全不同的结果，需要小心！

nginx-0.8.36的安装

flup-1.0.2的安装

Django-1.1.1的安装

python-memcached-1.45的安装

cx_Oracle的安装

在安装cx_Oracle出了很多问题，只要一执行python setup.py build就回出现一堆错误！后来我把错误重定向后发现缺少很多文件！cx_Oracle安装是需要预先安装oracle客户端，主要是需要libclntsh.so这个文件，客户端安装很大，所以下个基本库就可以，下载连接点这里，选择你要访问的数据库相对应的版本下载就可了！我下载的是这个oracle-instantclient-basic-10.2.0.4-1.i386.zip解压后放到/opt/instantclient_10_2里面，然后编辑.bashrc文件

还要注意的是你需要把oracle数据库里面的rdbms copy到/opt/instantclient_10_2目录下，不然提示缺少很多.h文件，这样的话你编译就不会报错了，但是会有一些警告，但这是正常的！

rndc: error: /usr/local/named/etc/rndc.key:5: 'key' redefined near 'key'
rndc: could not load rndc configuration
rndc: error: /usr/local/named/etc/rndc.key:5: unknown option 'options'
rndc: could not load rndc configuration

google一下，发现有很多人遇到这样问题，有发贴求助的，也有回帖的！我看了很多帖子，要么是没有结果，要么是发帖人说我搞定了，但就没有说明是怎么搞定的！在这里严重鄙视一下这样的人！后来我自己也解决了这个问题！现在把解决的方法说一下！

一般这个错误的都是用 rndc-confgen生成的rndc.key在rndc reload时候产生的。这里需要说明的 rndc-confgen生成的内容是放到named.conf里使用的，而不能把生产的内容放到rndc.key里面！rndc.key里面永远只放通过rndc重新加载配置文件的key的内容，而这个内容一般都是这样的：

key "rndckey" {
        algorithm hmac-md5;
        secret "aaaaaaaaaaaaaaaaaaaaaa";
};

只有这样才不会产生上述错误！

TSIG同步方法是这样的：在服务器上定义多个key，每个view使用一个key，ip为同一个ip，备机上就是用key来区分和同步view！直接贴出我的named.conf完整配置吧！

环境如下：
A机：master     172.16.1.1        5个view     4个zone
B机：slave          172.16.1.2

A机配置：

include "/usr/local/named/etc/area_shanghai.cfg";//这个是华东的acl
include "/usr/local/named/etc/area_chengdu.cfg";//这个是华南的acl
include "/usr/local/named/etc/area_south.cfg";//这个是电信的acl
include "/usr/local/named/etc/area_edu.cfg";//这个是教育网的acl
include "/usr/local/named/etc/area_local.cfg";//这个是本地的acl
include "/usr/local/named/etc/area_dns.cfg";//这个是dns是真实IP
include "/usr/local/named/etc/area_key.cfg";//这个是定义的key
///////////////////////////////////////////////////////////////////////
options {
        directory "/var/named";
        dump-file            "data/cache_dump.db";
        statistics-file      "data/named_stats.txt";
        memstatistics-file   "data/named_mem_stats.txt";
        also-notify { 172.16.1.2; };
        allow-transfer { area_dns; };
        notify explicit;
        allow-query { any; };
        allow-update { none; };
};

logging {
        channel warning  {
                file "/var/log/dns/named.log" versions 3 size 2048k;
                severity info;
                print-category yes;
                print-time yes;
        };

        channel queries_info {
                file "/var/log/dns/queries.log" versions 3 size 200m;
                severity info;
                print-category yes;
                print-severity yes;
                print-time yes;
        };

        category queries {
                queries_info;
                default_debug;
       };

       category default { warning; };

};
///////////////////////////////////////////////////////////////////////
view "eduward" {
        match-clients { !key shanghai;!key chengdu;!key local;!key southward;!key otherward; area_dns;area_edu; };
        server 172.16.1.2 { keys { eduward; }; };
        recursion no;//不接受非递归查询
zone "." IN {
        type hint;
        file "named.ca";
};

zone "localhost" IN {
        type master;
        file "localhost.zone";
};

zone "0.0.127.in-addr.arpa"{
        type master;
        file "named.local";
};

zone "168.192.in-addr.arpa"{
        type master;
        file "eduward/192168";
};

zone "a.com" IN {
        type master;
        file "eduward/a.com.zone";
};

zone "b.com" IN {
        type master;
        file "eduward/b.com.zone";
};

zone "c.com" IN {
        type master;
        file "eduward/c.com.zone";
};

};
///////////////////////////////////////////////////////////////////////
view "chengdu" {
        match-clients { !key shanghai;!key local;!key eduward;!key southward;!key otherward; area_dns;area_chengdu; };
        server 172.16.1.2 { keys { chengdu; }; };
        recursion no;
zone "." IN {
        type hint;
        file "named.ca";
};

zone "localhost" IN {
        type master;
        file "localhost.zone";
};

zone "0.0.127.in-addr.arpa"{
        type master;
        file "named.local";
};

zone "168.192.in-addr.arpa"{
        type master;
        file "chengdu/192168";
};

zone "a.com" IN {
        type master;
        file "chengdu/a.com.zone";
};

zone "b.com" IN {
        type master;
        file "chengdu/b.com.zone";
};

zone "c.com" IN {
        type master;
        file "chengdu/c.com.zone";
};

};
///////////////////////////////////////////////////////////////////////
view "shanghai" {
        match-clients { !key local;!key chengdu;!key eduward;!key southward;!key otherward; area_dns;area_shanghai; };
        server 172.16.1.2 { keys { shanghai; }; };
        recursion no;
zone "." IN {
        type hint;
        file "named.ca";
};

zone "localhost" IN {
        type master;
        file "localhost.zone";
};

zone "0.0.127.in-addr.arpa"{
        type master;
        file "named.local";
};

zone "168.192.in-addr.arpa"{
        type master;
        file "shanghai/192168";
};

zone "a.com" IN {
        type master;
        file "shanghai/a.com.zone";
};

zone "b.com" IN {
        type master;
        file "shanghai/b.com.zone";
};

zone "c.com" IN {
        type master;
        file "shanghai/c.com.zone";
};

};
///////////////////////////////////////////////////////////////////////
view "southward" {
        match-clients { !key shanghai;!key chengdu;!key eduward;!key local;!key otherward;area_dns; area_south; };
        server 172.16.1.2 { keys { southward; }; };
        recursion no;
zone "." IN {
        type hint;
        file "named.ca";
};

zone "localhost" IN {
        type master;
        file "localhost.zone";
};

zone "0.0.127.in-addr.arpa"{
        type master;
        file "named.local";
};

zone "168.192.in-addr.arpa"{
        type master;
        file "southward/192168";
};

zone "a.com" IN {
        type master;
        file "southward/a.com.zone";
};

zone "b.com" IN {
        type master;
        file "southward/b.com.zone";
};

zone "c.com" IN {
        type master;
        file "southward/c.com.zone";
};

};
///////////////////////////////////////////////////////////////////////
view  "local" {
        match-clients {!key shanghai;!key chengdu;!key eduward;!key southward;!key otherward;area_dns; area_local;};
        server 172.16.1.2 { keys { local; }; };
        recursion yes;//对于本地用户可以进行递归查询
        allow-recursion {area_local;};//允许递归查询范围
zone "." IN {
        type hint;
        file "named.ca";
};

zone "localhost" IN {
        type master;
        file "localhost.zone";
};

zone "0.0.127.in-addr.arpa"{
        type master;
        file "named.local";
};

zone "168.192.in-addr.arpa"{
        type master;
        file "local/192168";
};

zone "a.com" IN {
        type master;
        file "local/a.com.zone";
};

zone "b.com" IN {
        type master;
        file "local/b.com.zone";
};

zone "c.com" IN {
        type master;
        file "local/c.com.zone";
};

};
///////////////////////////////////////////////////////////////////////
view "otherward" {
        match-clients { !key shanghai;!key chengdu;!key eduward;!key southward;!key local;area_dns;any; };
        server 172.16.1.214 { keys { otherward; }; };
        recursion no;
zone "." IN {
        type hint;
        file "named.ca";
};

zone "localhost" IN {
        type master;
        file "localhost.zone";
};

zone "0.0.127.in-addr.arpa"{
        type master;
        file "named.local";
};

zone "168.192.in-addr.arpa"{
        type master;
        file "192168";
};

zone "a.com" IN {
        type master;
        file "a.com.zone";
};

zone "b.com" IN {
        type master;
        file "b.com.zone";
};

zone "c.com" IN {
        type master;
        file "c.com.zone";
};
};

B机配置：

include "/usr/local/named/etc/area_shanghai.cfg";
include "/usr/local/named/etc/area_chengdu.cfg";
include "/usr/local/named/etc/area_south.cfg";
include "/usr/local/named/etc/area_edu.cfg";
include "/usr/local/named/etc/area_local.cfg";
include "/usr/local/named/etc/area_dns.cfg";
include "/usr/local/named/etc/area_key.cfg";
options {
        directory "/var/named";
        dump-file            "data/cache_dump.db";
        statistics-file      "data/named_stats.txt";
        memstatistics-file   "data/named_mem_stats.txt";
        allow-query { any; };
};

logging {
        channel warning  {
                file "/var/log/dns/named.log" versions 3 size 2048k;
                severity info;
                print-category yes;
                print-severity yes;
                print-time yes;
        };
        channel queries_info {
                file "/var/log/dns/queries.log" versions 3 size 200m;
                severity info;
                print-category yes;
                print-severity yes;
                print-time yes;
        };

        category queries {
                queries_info;
                default_debug;
        };
        category default { warning; };
};
///////////////////////////////////////////////////////////////////////
view "eduward" {
        match-clients { !key shanghai;!key chengdu;!key local;!key southward;!key otherward;area_dns;area_edu; };
        server 172.16.1.1 { keys { eduward; }; };
        recursion no;
zone "." IN {
        type hint;
        file "named.ca";
};

zone "localhost" IN {
        type master;
        file "localhost.zone";
};

zone "0.0.127.in-addr.arpa"{
        type master;
        file "named.local";
};

zone "168.192.in-addr.arpa"{
        type slave;
        file "eduward/192168";
        masters { 172.16.1.1; };
};

zone "a.com" IN {
        type slave;
        file "eduward/a.com.zone";
        masters { 172.16.1.1; };
};

zone "b.com" IN {
        type slave;
        file "eduward/b.com.zone";
        masters { 172.16.1.1; };
};

zone "c.com" IN {
        type slave;
        file "eduward/c.com.zone";
        masters { 172.16.1.1; };
};

};
///////////////////////////////////////////////////////////////////////
view "chengdu" {
        match-clients { !key shanghai;!key local;!key eduward;!key southward;!key otherward; area_dns; area_chengdu;  };
        server 172.16.1.1 { keys { chengdu; }; };
        recursion no;
zone "." IN {
        type hint;
        file "named.ca";
};

zone "localhost" IN {
        type master;
        file "localhost.zone";
};

zone "0.0.127.in-addr.arpa"{
        type master;
        file "named.local";
};

zone "168.192.in-addr.arpa"{
        type slave;
        file "chengdu/192168";
        masters { 172.16.1.1; };
};

zone "a.com" IN {
        type slave;
        file "chengdu/a.com.zone";
        masters { 172.16.1.1; };
};

zone "b.com" IN {
        type slave;
        file "chengdu/b.com.zone";
        masters { 172.16.1.1; };
};

zone "c.com" IN {
        type slave;
        file "chengdu/c.com.zone";
        masters { 172.16.1.1; };
};
};
///////////////////////////////////////////////////////////////////////
view "shanghai" {
        match-clients { !key local;!key chengdu;!key eduward;!key southward;!key otherward; area_dns; area_shanghai; };
        server 172.16.1.1 { keys { shanghai; }; };
        recursion no;
zone "." IN {
        type hint;
        file "named.ca";
};

zone "localhost" IN {
        type master;
        file "localhost.zone";
};

zone "0.0.127.in-addr.arpa"{
        type master;
        file "named.local";
};

zone "168.192.in-addr.arpa"{
        type slave;
        file "shanghai/192168";
        masters { 172.16.1.1; };
};

zone "a.com" IN {
        type slave;
        file "shanghai/a.com.zone";
        masters { 172.16.1.1; };
};

zone "b.com" IN {
        type slave;
        file "shanghai/b.com.zone";
        masters { 172.16.1.1; };
};

zone "c.com" IN {
        type slave;
        file "shanghai/c.com.zone";
        masters { 172.16.1.1; };
};
};
///////////////////////////////////////////////////////////////////////
view "southward" {
        match-clients { !key shanghai;!key chengdu;!key eduward;!key local;!key otherward;area_dns; area_south;  };
        server 172.16.1.1 { keys { southward; }; };
        recursion no;
zone "." IN {
        type hint;
        file "named.ca";
};

zone "localhost" IN {
        type master;
        file "localhost.zone";
};

zone "0.0.127.in-addr.arpa"{
        type master;
        file "named.local";
};

zone "168.192.in-addr.arpa"{
        type slave;
        file "southward/192168";
        masters { 172.16.1.1; };
};

zone "a.com" IN {
        type slave;
        file "southward/a.com.zone";
        masters { 172.16.1.1; };
};

zone "b.com" IN {
        type slave;
        file "southward/b.com.zone";
        masters { 172.16.1.1; };
};

zone "c.com" IN {
        type slave;
        file "southward/c.com.zone";
        masters { 172.16.1.1; };
};

};
///////////////////////////////////////////////////////////////////////
view "local" {
        match-clients { !key shanghai;!key chengdu;!key eduward;!key southward;!key otherward;area_dns;area_local; };
        server 172.16.1.1 { keys { local; }; };
        allow-recursion {area_local;};
zone "." IN {
        type hint;
        file "named.ca";
};

zone "localhost" IN {
        type master;
        file "localhost.zone";
};

zone "0.0.127.in-addr.arpa"{
        type master;
        file "named.local";
};

zone "168.192.in-addr.arpa"{
        type slave;
        file "local/192168";
        masters { 172.16.1.1; };
};

zone "a.com" IN {
        type slave;
        file "local/a.com.zone";
        masters { 172.16.1.1; };
};

zone "b.com" IN {
        type slave;
        file "local/b.com.zone";
        masters { 172.16.1.1; };
};

zone "c.com" IN {
        type slave;
        file "local/c.com.zone";
        masters { 172.16.1.1; };
};

};
///////////////////////////////////////////////////////////////////////
view "otherward" {
        match-clients { !key shanghai;!key chengdu;!key eduward;!key southward;!key local;any; };
        server 172.16.1.1 { keys { otherward; }; };
        recursion no;
zone "." IN {
        type hint;
        file "named.ca";
};

zone "localhost" IN {
        type master;
        file "localhost.zone";
};

zone "0.0.127.in-addr.arpa"{
        type master;
        file "named.local";
};

zone "168.192.in-addr.arpa"{
        type slave;
        file "192168";
        masters { 172.16.1.1; };
};

zone "a.com" IN {
        type slave;
        file "a.com.zone";
        masters { 172.16.1.1; };
};

zone "b.com" IN {
        type slave;
        file "b.com.zone";
        masters { 172.16.1.1; };
};

zone "c.com" IN {
        type slave;
        file "c.com.zone";
        masters { 172.16.1.1; };
};
};

其他的cfg的内容都是网段，这里把area_key.cfg贴出来！key可以用rndc-confgen来生成。

rndc-confgen -k shanghai >area_key.cfg

area_key.cfg：

key "shanghai" {
        algorithm hmac-md5;
        secret "aaaaaaaaaaaaaaaaaaaaaaa";
};
key "chengdu" {
        algorithm hmac-md5;
        secret "bbbbbbbbbbbbbbbbbbbbbbb";
};
key "eduward" {
        algorithm hmac-md5;
        secret "ccccccccccccccccccccccc";
};
key "southward" {
        algorithm hmac-md5;
        secret "ddddddddddddddddddddddd";
};
key "local" {
        algorithm hmac-md5;
        secret "eeeeeeeeeeeeeeeeeeeeeeee";
};
key "otherward" {
        algorithm hmac-md5;
        secret "ffffffffffffffffffffffffffffffffffffff";
};
key "rndckey" {
        algorithm hmac-md5;
        secret "gggggggggggggggggggggggg";
};
controls {
        inet 127.0.0.1 port 953
        allow { 127.0.0.1; } keys { "rndckey"; };
};

经过一翻查找后解决了，原因和方法如下：

主机只找文件不走dns，将其该成hosts:      files   dns   即可！

本想通过防火墙限制一下，谁知输入出现下面的错误：

看来是我在编译内核的时候没有把IPFW编译进来，看来又要再编译一次内核了！上次内核编译是00:59:01，这次又是在半夜，看来我还真是个夜猫子！呵呵！

编译ipfw要在/root/Aaron.wang里面加入下列内容：

在/etc/rc.conf里面启用firewall。

您还可以指定firewall_type为下列配置规则之一：
open ── 允许所有流量通过。
client ── 只保护本机。
simple ── 保护整个网络。
closed ── 完全禁止除回环设备之外的全部 IP 流量。
UNKNOWN ── 禁止加载防火墙规则。
filename ── 到防火墙规则文件的绝对路径。
在/etc/syslog.conf里面记录日志。

ipfw的配置命令：ipfw [-N] 命令 [编号] 动作 [log(日志)] 协议 地址 [其它选项]
一些常用的规则：

通过FreeBSD引导光盘启动FreeBSD的Fixit控制台，而引导光盘则 被自动挂载到了/mnt2上，可以使用boot0cfg系统工 具。而正常的引导文件在/boot/boot0，大小正好是512B,使用下面的命令恢复：

boot0cfg -B -v -o noupdate -t 185 ad0

【boot0cfg说明】

-B选项：指明要在硬盘上安装引导程序

-v选项：给出详细信息

-o noupdate选项：避免某些情况不允许修改MBR

-t 185选项：启动时暂停10秒(近似值)，以允许用户选择要启动的系统

注意：恢复的系统版本和在恢复系统时用到的光盘一定要相同版本。

一般情况就是无法解析的时候要一值等到time out才能出现,所以解决方法就是有/etc/resolv.conf中加入正确的dns地址,或者是在/etc/hosts中做好映射.当然还有其他情况也会造成这个问题出现,大致需要注意的地方如下:

1、修改/etc/ssh/sshd_config文件中UseDNS=no

2、修改/etc/nsswitch.conf文件中hosts：files

3、修改/etc/ssh/sshd_config文件中GSSAPIAuthentication no

L4

L5

L6

1 年

3 年

3 年

15 天

30 天

30 天

支持

支持

支持

支持

支持

支持

支持(2.10=不支持)

支持

支持

无限制

无限制

无限制

200

500

无限制

200

无限制

无限制

200

无限制

无限制

无限制

无限制

无限制

无限制

无限制

无限制

无限制

无限制

无限制

200

500

无限制

支持

支持

支持

无限制

无限制

无限制

支持

支持

支持

支持

支持

支持

10

10

无限制

cd APC-3.0.19
/usr/local/php/bin/phpize
./configure --enable-apc --enable-apc-mmap --with-php-config=/usr/local/php/bin/php-config
make && make install

php.ini修改内容如下:

extension=apc.so
apc.enabled = 1
apc.cache_by_default = on
apc.shm_segments = 1
apc.shm_size = 64
apc.ttl = 7200
apc.user_ttl = 7200
apc.num_files_hint = 0
apc.write_lock = On

apache的工作模式为prefork
出现这种问题的原因是由于APC与zend optimizer模块的之间发生了冲突,把zend注销就行了!

1、环境

本本:Acer TravelMate 290

cpu :迅驰1.3

mem: 512M

HD:20G

系统:Freebsd 7.0

2、安装

用的FreeBSD7.0 release,将光盘放进光驱,按F12选择从光驱启动.选择安装Custom,再装上Linux Based,Ports,Kernel,再选择media是cd,OK安装完重新启动.这个就不详细介绍了,但是要注意的是安装完什么也不要配置。

3、配置

先看看网卡是不是被识别
ifconfig -a
我的网卡是RT8139的,7.0已经可以识别了,但是我的intel 2100的无线网卡无法识别。

配置网络

vi /etc/rc.conf
hostname="aaronw" #配置主机名
defaultrouter="192.168.1.1"  #配置网关
ifconfig_rl0="inet 192.168.1.10  netmask 255.255.255.0" #配置IP地址
sshd_enable="YES" #启动ssh服务

这些信息可以保证每次启动都会生效,下面的命令可以马上激活使用

#ifconfig rl0 inet 192.168.1.10 netmask 255.255.255.0
#route add default 192.168.1.1

网络配置完了。
更新ports

详细见http://www.aaronw.cn/static/114.html
加速更新ports见http://www.aaronw.cn/static/117.html

我用惯了bash,所以我就安装了bash,方法

#cd /usr/ports/shells/bash
make install clean
ln -s /usr/local/bin/bash /bin/bash
chsh -s /bin/bash root

再登陆就是bash了

3、升级

[root@aaronw /etc]#cp /usr/share/examples/cvsup/standard-supfile /etc/standard-supfile
vi /etc/standard-supfile
*default host=cvsup.cn.FreeBSD.org
*default release=cvs tag=RELENG_7_2
[root@aaronw /etc]# csup -g -L 2 /etc/standard-supfile
[root@aaronw /etc]#cd /usr/src/sys/i386/conf
[root@aaronw /etc]#cp GENERIC /root/Aaron.wang
[root@aaronw /etc]#ln -s /root/Aaron.wang .
[root@aaronw /etc]# cd /usr/src
[root@aaronw /usr/src]# make buildkernel KERNCONF=Aaron.wang
[root@aaronw /usr/src]# make installkernel KERNCONF=Aaron.wang
[root@aaronw /usr/src]# reboot

[root@aaronw /etc]#

后来发现在x86_64的系统里面同一个软件有x86_64和i386两个rpm包,rpm -e的时候只出现软件名和软件的版本号,不显示是32位还是64位的,所以在卸载的时候加上–allmatches这个参数就可以卸载了.man里面是这样解释的
–allmatches
Remove all versions of the package which match PACKAGE_NAME. Normally an error is issued if PACK-
AGE_NAME matches multiple packages.

环境介绍
客户提供两台server,要求按访客的IP来解析到不同的server上.利用BIND的ACL和VIEW选项来匹配不同访客的源地址,不同访客解析为请求则解析为不同的IP可以实现.

域名实例:www.abc.com
IP: A(master) 111.111.111.111
192.168.1.1
B (slave) 222.222.222.222
192.168.1.2

不能同步的原因
开始所有的VIEW都走内同同步.如果辅助域名服务器对主服务器来说,只看到一个特定的源地址,那么主域名服务器只会返回这个源地址所匹配的单一域的VIEW,192.168.1.2是包含在any里面的,所以只能同步CT的VIEW.BIND9中Transfer-source选项可以让指定辅助域名服务器用来做区域传送的源IP地址,这样可以在辅DNS上利用公网IP地址来解决该问题,或者copy eth1 eth1.1给内网只两个IP也行.还有就是要注意两台server的时间是否一致.

正确的配置如下:
A的配置

options
{
directory "/var/named";
dump-file 	        "data/cache_dump.db";
statistics-file 	"data/named_stats.txt";
memstatistics-file 	"data/named_mem_stats.txt";
notify yes;
};

key "rndc-key" {
algorithm hmac-md5;
secret "xxxxxxxxxxxxxxxxxxxxxxx";
};

controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { "rndc-key"; };
};

acl "CNC" {
58.144.0.0/16;
..................
222.163.64.0/18;
};
view "CNC Net" {
match-clients {!222.222.222.222;CNC;};//CNC区域客户匹配地址中排除辅DNS的公网IP地址
recursion yes;
allow-transfer {192.168.1.2;};//允许辅DNS用于传送的CNC区域的IP地址
also-notify {192.168.1.2;};
zone "." IN {
type hint;
file "etc/named.root";
};
zone "abc.com" IN {
type master;
file "conf/cnc.abc.com.zone.db";
};
};
view "CT Net" {
match-clients { !192.168.1.2;any; };//CT区域客户匹配地址中排除辅DNS的内网IP地址
recursion yes;
allow-transfer {222.222.222.222;};//允许辅DNS用于传送的CT区域的IP地址
also-notify {222.222.222.222;};
zone "." IN {
type hint;
file "etc/named.root";
};
zone "abc.com" IN {
type master;
file "conf/ct.abc.com.zone.db";
};
};

B的配置

options
{
directory "/var/named";
dump-file 		"data/cache_dump.db";
statistics-file 	"data/named_stats.txt";
memstatistics-file 	"data/named_mem_stats.txt";
};

key "rndc-key" {
algorithm hmac-md5;
secret "xxxxxxxxxxxxxxxxxxxxxxx";
};

controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { "rndc-key"; };
};

acl "CNC" {
58.144.0.0/16;
..................
222.163.64.0/18;
};
view "CNC Net" {
match-clients		{ CNC; };
recursion yes;
transfer-source 192.168.1.2;//指定同步CNC的IP地址
zone "." IN {
type hint;
file "etc/named.root";
};
zone "abc.com" IN {
type slave;
masters { 192.168.1.1; };
file "conf/cnc.abc.com.zone.db";
};
};
view "CT Net" {
match-clients		{ any; };
recursion yes;
transfer-source 222.222.222.222;//指定同步CT的IP地址
zone "." IN {
type hint;
file "etc/named.root";
};
zone "abc.com" IN {
type slave;
masters	{ 111.111.111.111; };
file "conf/ct.abc.com.zone.db";
};
};

Zabbix介绍

zabbix能监视各种网络参数，保证服务器系统的安全运营；并提供柔软的通知机制以让系统管理员快速定位/解决存在的各种问题。

zabbix由2部分构成，zabbix server与可选组件zabbix agent。

zabbix server可以通过SNMP，zabbix agent，ping，端口监视等方法提供对远程服务器/网络状态的监视，数据收集等功能，它可以运行在Linux, Solaris, HP-UX, AIX, Free BSD, Open BSD, OS X等平台之上。

zabbix agent需要安装在被监视的目标服务器上，它主要完成对硬件信息或与操作系统有关的内存，CPU等信息的收集。zabbix agent可以运行在Linux ,Solaris, HP-UX, AIX, Free BSD, Open BSD, OS X, Tru64/OSF1, Windows NT4.0, Windows 2000/2003/XP/Vista)等系统之上

zabbix server可以单独监视远程服务器的服务状态；同时也可以与zabbix agent配合，可以轮询zabbix agent主动接收监视数据（trapping方式），同时还可被动接收zabbix agent发送的数据（trapping方式）。另外zabbix server还支持SNMP (v1,v2)，可以与SNMP软件(例如：net-snmp)等配合使用。

zabbix的主要特点：

- 安装与配置简单，学习成本低 – 支持多语言（包括中文）

- 免费开源 – 自动发现服务器与网络设备

- 分布式监视以及WEB集中管理功能

- 可以无agent监视

- 用户安全认证和柔软的授权方式

- 通过WEB界面设置或查看监视结果

- email等通知功能 等等

Zabbix主要功能：

- CPU负荷

内存使用

- 磁盘使用

- 网络状况

- 端口监视

- 日志监视

下面是zabbix的安装过程

下载zabbix http://nchc.dl.sourceforge.net/sourceforge/zabbix/zabbix-1.6.4.tar.gz

useradd zabbix
tar -xzvf  zabbix-1.6.4.tar.gz
cd zabbix-1.6.4
./configure --with-mysql --with-net-snmp --enable-server --enable-agent --prefix=/usr/local/zabbix   #编译服务器端
./configure --prefix=/usr/local/zabbix --enable-agent  #编译客户端
make
make install
cd /usr/local/zabbix/sbin
for i in * ; do ln -s /usr/local/zabbix/sbin/$i /usr/bin/$i ; done

#数据库安装

mysql -uroot -p
>create database zabbix;
>grant all on zabbix.* to zabbix@localhost identified by 'passwd';
>flush privileges;
>quit;
cd create/mysql/schema
mysql -uroot -p zabbix <mysql.sql
cd create/mysql/data
mysql -uroot -p zabbix <data.sql
mysql -uroot -p zabbix <images_mysql.sql

修改配置和启动服务

vi frontends/php/include/db.inc.php

更改数据库相关内容:

$DB_TYPE ="MYSQL";
$DB_SERVER ="localhost";
$DB_DATABASE ="zabbix";
$DB_USER ="root";
$DB_PWD ="";
cp -rf frontends/php /home/vhost/html/zabbix -R
chown zabbix /home/vhost/html/zabbix/ -R

生成配置文件:

mkdir /etc/zabbix
cp misc/conf/* /etc/zabbix/

配置相关内容(主要是服务器的IP/MYSQL的账号):

zabbix_agent.conf

grep -v '^#' zabbix_agent.conf |grep -v '^$'
Server=192.168.1.1
Timeout=3
UserParameter=mysql.ping,/usr/local/mysql/bin/mysqladmin -uroot -p ping|grep alive|wc -l
UserParameter=mysql.uptime,/usr/local/mysql/bin/mysqladmin -uroot -p status|cut -f2 -d":"|cut -f1 -d"T"
UserParameter=mysql.threads,/usr/local/mysql/bin/mysqladmin -uroot -p status|cut -f3 -d":"|cut -f1 -d"Q"
UserParameter=mysql.questions,/usr/local/mysql/bin/mysqladmin -uroot -p status|cut -f4 -d":"|cut -f1 -d"S"
UserParameter=mysql.slowqueries,/usr/local/mysql/bin/mysqladmin -uroot -p status|cut -f5 -d":"|cut -f1 -d"O"
UserParameter=mysql.qps,/usr/local/mysql/bin/mysqladmin -uroot -p status|cut -f9 -d":"
UserParameter=mysql.version,/usr/local/mysql/bin/mysql -V

zabbix_agentd.conf

grep -v '^#' zabbix_agentd.conf |grep -v '^$'
Server=192.168.1.1
Hostname=localhost
ListenPort=10050
ListenIP=192.168.1.2
StartAgents=5
RefreshActiveChecks=120
DisableActive=1
DebugLevel=3
PidFile=/tmp/zabbix_agentd.pid
LogFile=/tmp/zabbix_agentd.log
Timeout=3
UserParameter=mysql.ping,/usr/local/mysql/bin/mysqladmin -uroot -p ping|grep alive|wc -l
UserParameter=mysql.uptime,/usr/local/mysql/bin/mysqladmin -uroot -p status|cut -f2 -d":"|cut -f1 -d"T"
UserParameter=mysql.threads,/usr/local/mysql/bin/mysqladmin -uroot -p status|cut -f3 -d":"|cut -f1 -d"Q"
UserParameter=mysql.questions,/usr/local/mysql/bin/mysqladmin -uroot -p status|cut -f4 -d":"|cut -f1 -d"S"
UserParameter=mysql.slowqueries,/usr/local/mysql/bin/mysqladmin -uroot -p status|cut -f5 -d":"|cut -f1 -d"O"
UserParameter=mysql.qps,/usr/local/mysql/bin/mysqladmin -uroot -p status|cut -f9 -d":"
UserParameter=mysql.version,/usr/local/mysql/bin/mysql -V

zabbix_server.conf

grep -v '^#' zabbix_server.conf |grep -v '^$'
Server=1
StartPollers=6
StartTrappers=5
ListenPort=10051
HousekeepingFrequency=1
SenderFrequency=30
DebugLevel=3
Timeout=5
UnreachablePeriod=45
UnavailableDelay=15
UnavailableDelay=60
PidFile=/tmp/zabbix_server.pid
LogFile=/tmp/zabbix_server.log
AlertScriptsPath=/home/zabbix/bin/
PingerFrequency=30
DBHost=localhost
DBName=zabbix
DBUser=root
DBPassword=
DBSocket=/tmp/mysql.sock

zabbix_trapper.conf

grep -v '^#' zabbix_trapper.conf |grep -v '^$'
DebugLevel=2
Timeout=3
LogFile=/tmp/zabbix_trapper.log
DBHost=localhost
DBName=zabbix
DBUser=root
DBPassword=
DBSocket=/tmp/mysql.sock

生成启动脚本

cp misc/init.d/redhat/zabbix_* /bin
编辑zabbix_agentd_ctl 和 zabbix_suckerd_ctl
BASEDIR=/usr/local/zabbix 为指定的zabbix安装目录.
zabbix_suckerd_ctl文件中的
ZABBIX_SUCKERD=$BASEDIR/bin/zabbix_suckerd可能因为版本关系应该改为
ZABBIX_SUCKERD=$BASEDIR/bin/zabbix_server

启动服务:

服务器端
zabbix_suckerd_ctl start

客户端
zabbix_agentd_ctl start

打开http://192.168.1.1
开始页面安装

Iperf  是一个网络性能测试工具。Iperf可以测试TCP和UDP带宽质量。Iperf可以测量最大TCP带宽，具有多种参数和UDP特性。Iperf可以报告带宽，延迟抖动和数据包丢失。

功能介绍
TCP
测量网络带宽
报告MSS/MTU值的大小和观测值
支持TCP窗口值通过套接字缓冲
当P线程或Win32线程可用时，支持多线程。客户端与服务端支持同时多重连接
UDP
客户端可以创建指定带宽的UDP流
测量丢包
测量延迟
支持多播
当P线程可用时，支持多线程。客户端与服务端支持同时多重连接（不支持Windows）
在适当的地方，选项中可以使用K（kilo-）和M（mega-）。例如131072字节可以用128K代替。
可以指定运行的总时间，甚至可以设置传输的数据总量。
在报告中，为数据选用最合适的单位。
服务器支持多重连接，而不是等待一个单线程测试。
在指定时间间隔重复显示网络带宽，波动和丢包情况。
服务器端可作为后台程序运行。
服务器端可作为Windows 服务运行。
使用典型数据流来测试链接层压缩对于可用带宽的影响。

-f, –format [bkmaBKMA]
$IPERF_FORMAT
格式化带宽数输出。支持的格式有：
‘b’ = bits/sec            ’B’ = Bytes/sec
‘k’ = Kbits/sec           ’K’ = KBytes/sec
‘m’ = Mbits/sec           ’M’ = MBytes/sec
‘g’ = Gbits/sec           ’G’ = GBytes/sec
‘a’ = adaptive bits/sec   ’A’ = adaptive Bytes/sec
自适应格式是kilo-和mega-二者之一。除了带宽之外的字段都输出为字节，除非指定输出的格式，默认的参数是a。
注意：在计算字节byte时，Kilo = 1024， Mega = 1024^2，Giga = 1024^3。通常，在网络中，Kilo = 1000， Mega = 1000^2， and Giga = 1000^3，所以，Iperf也按此来计算比特（位）。如果这些困扰了你，那么请使用-f b参数，然后亲自计算一下。
-i, –interval #
$IPERF_INTERVAL
设置每次报告之间的时间间隔，单位为秒。如果设置为非零值，就会按照此时间间隔输出测试报告。默认值为零。
-l, –len #[KM]
$IPERF_LEN
设置读写缓冲区的长度。TCP方式默认为8KB，UDP方式默认为1470字节。

-m, –print_mss
$IPERF_PRINT_MSS
输出TCP MSS值（通过TCP_MAXSEG支持）。MSS值一般比MTU值小40字节。通常情况

-p, –port #
$IPERF_PORT
设置端口，与服务器端的监听端口一致。默认是5001端口，与ttcp的一样。
-u, –udp
$IPERF_UDP
使用UDP方式而不是TCP方式。参看-b选项。
-w, –window #[KM]
$TCP_WINDOW_SIZE
设置套接字缓冲区为指定大小。对于TCP方式，此设置为TCP窗口大小。对于UDP方式，此设置为接受UDP数据包的缓冲区大小，限制可以接受数据包的最大值。
-B, –bind host
$IPERF_BIND
绑定到主机的多个地址中的一个。对于客户端来说，这个参数设置了出栈接口。对于服务器端来说，这个参数设置入栈接口。这个参数只用于具有多网络接口的主 机。在Iperf的UDP模式下，此参数用于绑定和加入一个多播组。使用范围在224.0.0.0至239.255.255.255的多播地址。参考-T 参数。
-C, –compatibility
$IPERF_COMPAT
与低版本的Iperf使用时，可以使用兼容模式。不需要两端同时使用兼容模式，但是强烈推荐两端同时使用兼容模式。某些情况下，使用某些数据流可以引起1.7版本的服务器端崩溃或引起非预期的连接尝试。
-M, –mss #[KM}
$IPERF_MSS
通过TCP_MAXSEG选项尝试设置TCP最大信息段的值。MSS值的大小通常是TCP/IP头减去40字节。在以太网中，MSS值 为1460字节（MTU1500字节）。许多操作系统不支持此选项。
-N, --nodelay
$IPERF_NODELAY
设置TCP无延迟选项，禁用Nagle's运算法则。通常情况此选项对于交互程序，例如telnet，是禁用的。
-V (from v1.6 or higher)

绑定一个IPv6地址。
服务端：$ iperf -s –V
客户端：$ iperf -c  -V
注意：在1.6.3或更高版本中，指定IPv6地址不需要使用-B参数绑定，在1.6之前的版本则需要。在大多数操作系统中，将响应IPv4客户端映射的IPv4地址。
服务器端专用选项
-s, --server
$IPERF_SERVER
Iperf服务器模式
-D (v1.2或更高版本)

Unix平台下Iperf作为后台守护进程运行。在Win32平台下，Iperf将作为服务运行。
-R(v1.2或更高版本，仅用于Windows)

卸载Iperf服务（如果它在运行）。
-o(v1.2或更高版本，仅用于Windows)

重定向输出到指定文件
-c, --client host
$IPERF_CLIENT
如果Iperf运行在服务器模式，并且用-c参数指定一个主机，那么Iperf将只接受指定主机的连接。此参数不能工作于UDP模式。
-P, --parallel #
$IPERF_PARALLEL
服务器关闭之前保持的连接数。默认是0，这意味着永远接受连接。
客户端专用选项
-b, --bandwidth #[KM]
$IPERF_BANDWIDTH
UDP模式使用的带宽，单位bits/sec。此选项与-u选项相关。默认值是1 Mbit/sec。
-c, –client host
$IPERF_CLIENT
运行Iperf的客户端模式，连接到指定的Iperf服务器端。
-d, –dualtest
$IPERF_DUALTEST
运行双测试模式。这将使服务器端反向连接到客户端，使用-L 参数中指定的端口（或默认使用客户端连接到服务器端的端口）。这些在操作的同时就立即完成了。如果你想要一个交互的测试，请尝试-r参数。
-n, –num #[KM]
$IPERF_NUM
传送的缓冲器数量。通常情况，Iperf按照10秒钟发送数据。-n参数跨越此限制，按照指定次数发送指定长度的数据，而不论该操作耗费多少时间。参考-l与-t选项。
-r, –tradeoff
$IPERF_TRADEOFF
往复测试模式。当客户端到服务器端的测试结束时，服务器端通过-l选项指定的端口（或默认为客户端连接到服务器端的端口），反向连接至客户端。当客户端连接终止时，反向连接随即开始。如果需要同时进行双向测试，请尝试-d参数。
-t, –time #
$IPERF_TIME
设置传输的总时间。Iperf在指定的时间内，重复的发送指定长度的数据包。默认是10秒钟。参考-l与-n选项。
-L, –listenport #
$IPERF_LISTENPORT
指定服务端反向连接到客户端时使用的端口。默认使用客户端连接至服务端的端口。
-P, –parallel #
$IPERF_PARALLEL
线程数。指定客户端与服务端之间使用的线程数。默认是1线程。需要客户端与服务器端同时使用此参数。
-S, –tos #
$IPERF_TOS
出栈数据包的服务类型。许多路由器忽略TOS字段。你可以指定这个值，使用以“0x”开始的16进制数，或以“0”开始的8进制数或10进制数。
例如，16进制’0×10′ = 8进制’020′ = 十进制’16′。TOS值1349就是：
IPTOS_LOWDELAY     minimize delay        0×10    IPTOS_THROUGHPUT   maximize throughput   0×08    IPTOS_RELIABILITY  maximize reliability  0×04    IPTOS_LOWCOST      minimize cost         0×02
-T, –ttl #
$IPERF_TTL
出栈多播数据包的TTL值。这本质上就是数据通过路由器的跳数。默认是1，链接本地。
-F (from v1.2 or higher)

使用特定的数据流测量带宽，例如指定的文件。
$ iperf -c  -F
-I (from v1.2 or higher)

与-F一样，由标准输入输出文件输入数据。
杂项
-h, –help

显示命令行参考并退出 。
-v, –version

显示版本信息和编译信息并退出。
举例：
1）TCP测试
服务器执行：./iperf -s -i 1 -w 1M
客户端执行：./iperf -c host -i 1 -w 1M
其中-w表示TCP window size，host需替换成服务器地址。
2）UDP测试
服务器执行：./iperf -u -s
客户端执行：./iperf -u -c 10.255.255.251 -b 900M  -i 1  -w 1M  -t 60
其中-b表示使用多少带宽，1G的线路你可以使用900M进行测试。

##如果需要提供基于DBM文件的认证,加载此模块,否则注释掉
#LoadModule authn_dbm_module modules/mod_authn_dbm.so

##如果需要提供匿名用户认证,加载此模块,否则注释掉
#LoadModule authn_anon_module modules/mod_authn_anon.so

##如果需要提供基于SQL数据库的认证,加载此模块,否则注释掉
#LoadModule authn_dbd_module modules/mod_authn_dbd.so

##如果需要在未正确配置认证模块的情况下简单拒绝一切认证信息,加载此模块,否则注释掉
#LoadModule authn_default_module modules/mod_authn_default.so

##此模块提供基于主机名、IP地址、请求特征的访问控制,Allow、Deny指令需要,推荐加载。
#LoadModule authz_host_module modules/mod_authz_host.so

##如果需要使用纯文本文件为组提供授权支持,加载此模块,否则注释掉
#LoadModule authz_groupfile_module modules/mod_authz_groupfile.so

##如果需要提供基于每个用户的授权支持,加载此模块,否则注释掉
#LoadModule authz_user_module modules/mod_authz_user.so

##如果需要使用DBM文件为组提供授权支持,加载此模块,否则注释掉
#LoadModule authz_dbm_module modules/mod_authz_dbm.so

##如果需要基于文件的所有者进行授权,加载此模块,否则注释掉
#LoadModule authz_owner_module modules/mod_authz_owner.so

##如果需要在未正确配置授权支持模块的情况下简单拒绝一切授权请求,加载此模块,否则注释掉
#LoadModule authz_default_module modules/mod_authz_default.so

##如果需要提供基本的HTTP认证,加载此模块,否则注释掉,此模块至少需要同时加载一个认证支持模块和一个授权支持模块
#LoadModule auth_basic_module modules/mod_auth_basic.so

##如果需要提供HTTP MD5摘要认证,加载此模块,否则注释掉,此模块至少需要同时加载一个认证支持模块和一个授权支持模块
#LoadModule auth_digest_module modules/mod_auth_digest.so

##此模块提供文件描述符缓存支持,从而提高Apache性能,推荐加载,但请小心使用
#LoadModule file_cache_module modules/mod_file_cache.so

##此模块提供基于URI键的内容动态缓存(内存或磁盘),从而提高Apache性能,必须与mod_disk_cache/mod_mem_cache同时使用,推荐加载
#LoadModule cache_module modules/mod_cache.so

##此模块为mod_cache提供基于磁盘的缓存管理,推荐加载
#LoadModule disk_cache_module modules/mod_disk_cache.so

##此模块为mod_cache提供基于内存的缓存管理,推荐加载
#LoadModule mem_cache_module modules/mod_mem_cache.so

##如果需要管理SQL数据库连接，为需要数据库功能的模块提供支持,加载此模块,否则注释掉(推荐)
#LoadModule dbd_module modules/mod_dbd.so

##此模块将所有I/O操作转储到错误日志中,会导致在日志中写入及其海量的数据,只建议在发现问题并进行调试的时候使用
#LoadModule dumpio_module modules/mod_dumpio.so

##如果需要使用外部程序作为过滤器,加载此模块(不推荐),否则注释掉
#LoadModule ext_filter_module modules/mod_ext_filter.so

##如果需要实现服务端包含文档(SSI)处理,加载此模块(不推荐),否则注释掉
#LoadModule include_module modules/mod_include.so

##如果需要根据上下文实际情况对输出过滤器进行动态配置,加载此模块,否则注释掉
#LoadModule filter_module modules/mod_filter.so

##如果需要服务器在将输出内容发送到客户端以前进行压缩以节约带宽,加载此模块(推荐),否则注释掉
#LoadModule deflate_module modules/mod_deflate.so

##如果需要记录日志和定制日志文件格式,加载此模块(推荐),否则注释掉
#LoadModule log_config_module modules/mod_log_config.so

##如果需要对每个请求的输入/输出字节数以及HTTP头进行日志记录,加载此模块,否则注释掉
#LoadModule logio_module modules/mod_logio.so

##如果允许Apache修改或清除传送到CGI脚本和SSI页面的环境变量,加载此模块,否则注释掉
#LoadModule env_module modules/mod_env.so

##如果允许通过配置文件控制HTTP的”Expires:”和”Cache-Control:”头内容,加载此模块(推荐),否则注释掉
#LoadModule expires_module modules/mod_expires.so

##如果允许通过配置文件控制任意的HTTP请求和应答头信息,加载此模块,否则注释掉
#LoadModule headers_module modules/mod_headers.so

##如果需要实现RFC1413规定的ident查找,加载此模块(不推荐),否则注释掉
#LoadModule ident_module modules/mod_ident.so

##如果需要根据客户端请求头字段设置环境变量,加载此模块,否则注释掉
#LoadModule setenvif_module modules/mod_setenvif.so

##此模块是mod_proxy的扩展,提供Apache JServ Protocol支持,只在必要时加载
#LoadModule proxy_ajp_module modules/mod_proxy_ajp.so

##此模块是mod_proxy的扩展,提供负载均衡支持,只在必要时加载
#LoadModule proxy_balancer_module modules/mod_proxy_balancer.so

##如果需要根据文件扩展名决定应答的行为(处理器/过滤器)和内容(MIME类型/语言/字符集/编码),加载此模块,否则注释掉
#LoadModule mime_module modules/mod_mime.so

##如果允许Apache提供DAV协议支持,加载此模块,否则注释掉
#LoadModule dav_module modules/mod_dav.so

##此模块生成描述服务器状态的Web页面,只建议在追踪服务器性能和问题时加载
#LoadModule status_module modules/mod_status.so

##如果需要自动对目录中的内容生成列表(类似于”ls”或”dir”命令),加载此模块(会带来安全问题,不推荐),否则注释掉
#LoadModule autoindex_module modules/mod_autoindex.so

##如果需要服务器发送自己包含HTTP头内容的文件,加载此模块,否则注释掉
#LoadModule asis_module modules/mod_asis.so

##如果需要生成Apache配置情况的Web页面,加载此模块(会带来安全问题,不推荐),否则注释掉
#LoadModule info_module modules/mod_info.so

##如果需要在非线程型MPM(prefork)上提供对CGI脚本执行的支持,加载此模块,否则注释掉
#LoadModule cgi_module modules/mod_cgi.so

##此模块在线程型MPM(worker)上用一个外部CGI守护进程执行CGI脚本,如果正在多线程模式下使用CGI程序,推荐替换mod_cgi加载,否则注释掉
#LoadModule cgid_module modules/mod_cgid.so

##此模块为mod_dav访问服务器上的文件系统提供支持,如果加载mod_dav,则也应加载此模块,否则注释掉
#LoadModule dav_fs_module modules/mod_dav_fs.so

##如果需要提供大批量虚拟主机的动态配置支持,加载此模块,否则注释掉
#LoadModule vhost_alias_module modules/mod_vhost_alias.so

##如果需要提供内容协商支持(从几个有效文档中选择一个最匹配客户端要求的文档),加载此模块(推荐),否则注释掉
#LoadModule negotiation_module modules/mod_negotiation.so

##如果需要指定目录索引文件以及为目录提供”尾斜杠”重定向,加载此模块(推荐),否则注释掉
#LoadModule dir_module modules/mod_dir.so

##如果需要处理服务器端图像映射,加载此模块,否则注释掉
#LoadModule imagemap_module modules/mod_imagemap.so

##如果需要针对特定的媒体类型或请求方法执行CGI脚本,加载此模块,否则注释掉
#LoadModule actions_module modules/mod_actions.so

##如果希望服务器自动纠正URL中的拼写错误,加载此模块(推荐),否则注释掉
#LoadModule speling_module modules/mod_speling.so

##如果允许在URL中通过”/~username”形式从用户自己的主目录中提供页面,加载此模块,否则注释掉
#LoadModule userdir_module modules/mod_userdir.so

##此模块提供从文件系统的不同部分到文档树的映射和URL重定向,推荐加载
#LoadModule alias_module modules/mod_alias.so

##如果需要基于一定规则实时重写URL请求,加载此模块(推荐),否则注释掉
#LoadModule rewrite_module modules/mod_rewrite.so

每个网络连接包括以下信息：源地址、目的地址、源端口和目的端口，叫作套接字对(socket pairs)；协议类型、连接状态(TCP协议)和超时时间等。防火墙把这些信息叫作状态(stateful)，能够检测每个连接状态的防火墙叫作状态包 过滤防火墙。它除了能够完成简单包过滤防火墙的包过滤工作外，还在自己的内存中维护一个跟踪连接状态的表，比简单包过滤防火墙具有更大的安全性。

iptables中的状态检测功能是由state选项来实现的。对这个选项，在iptables的手册页中有以下描述：

state

这个模块能够跟踪分组的连接状态(即状态检测)。

–state state

这里，state是一个用逗号分割的列表，表示要匹配的连接状态。有效的状态选项包括：INVAILD，表示分组对应的连接是未知的；ESTABLISHED，表示分组对应的连接已经进行了双向的分组传输，也就是说连接已经建立；NEW，表示这个分组需要发起一个连接，或者说，分组对应的连接在两个方向上都没有进行过分组传输；RELATED，表示分组要发起一个新的连接，但是这个连接和一个现有的连接有关，例如：FTP的数据传输连接和控制连接之间就是RELATED关系。

对于本地产生分组，在PREROUTING或者OUTPUT链中都可以对连接的状态进行跟踪。在进行状态检测之前，需要重组分组的分片。这就是为什么在iptables中不再使用ipchains的ip_always_defrag开关。

UDP和TCP连接的状态表由/proc/net/ip_conntrack进行维护。稍后我们再介绍它的内容。

状态表能够保存的最大连接数保存在/proc/sys/net/ipv4/ip_conntrack_max中。它取决于硬件的物理内存。

2.iptables的状态检测是如何工作的？

2.1.iptables概述

在讨论iptables状态检测之前，我们先大体看一下整个netfilter框架。如果要在两个网络接口之间转发一个分组，这个分组将以以下的顺序接收规则链的检查：

• PREROUTING链如果必要对这个分组进行目的网络地址转换(DNAT)和mangle处理。同时，iptables的状态检测机制将重组分组，并且以以下某种方式跟踪其状态：
  • 分组是否匹配状态表中的一个已经实现(ESTABLISHED)的连接。
  • 它是否是和状态表中某个UDP/TCP连接相关(RELATED)的一个ICMP分组。
  • 这个分组是否要发起一个新(NEW)的连接。
  • 如果分组和任何连接无关，就被认为是无效(INVALID)的。
• FORWARD链把分组的状态和过滤表中的规则进行匹配，如果分组与所有的规则都无法匹配，就使用默认的策略进行处理。
• POSTROUTING链如果有必要，就对分组进行源网络地址转换(SNAT)，

注意：所有的分组都必须和过滤表的规则进行比较。如果你修改了规则，要拒绝所有的网络流量，那么即使分组的状态匹配状态表中的一个ESTABLISHED条目，也将被拒绝。

下面，我们对UDP、TCP和ICMP三个协议分别进行分析。

2.2.UDP连接

UDP(用户数据包协议)是一种无状态协议，以为这个协议没有序列号。不过，这并不意味着我们不能跟踪UDP连接。虽然没有序列号，但是我们还可以使用其它的一些信息跟踪UDP连接的状态。下面是状态表中关于UDP连接的条目：

udp 17 19 src=192.168.1.2 dst=192.168.1.50 sport=1032 dport=53 [UNREPLIED] src=192.168.1.50 dst=192.168.1.2 sport=53 dport=1032 use=1

这个状态表项只有在iptables过滤规则允许建立新的连接时，才能建立。以下的规则可以产生这类状态表项，这两条规则只允许向外的UDP连接：

iptables -A INPUT -p udp -m state –state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -P udp -m state –state NEW,ESTABLISHED -j ACCEPT

上面的状态表项包含如下信息：

• 连接的协议是UDP(IP协议号17)。
• 这个状态表项还有19秒中就超时。
• 发起连接方向上的源、目的地址和源、目的端口。
• 应答方向上的源、目的地址和源、目的端口。这个连接使用UNREPLIED标记，表示还没有收到应答。

UDP连接的超时时间在/usr/src/linux/net/ipv4/netfilter/ip_conntrack_proto_udp.c文件中设置，如果改变了这个值，需要重新编译Linux内核源代码才能生效。下面是UDP连接超时时间的相关的源代码：

#define UDP_TIMEOUT (30*HZ)
#define UDP_STREAM_TIMEOUT (180*HZ)

一个UDP请求等待应答的时间是30*HZ(这个值一般是30秒)。在上面的例子中，等待的时间已经消耗了11秒，还剩余19秒，如果在这段时间之 内 没有收到应答分组，这个表项就会被删除。一旦收到了应答，这个值就被重置为30，UNREPLIED标志也被删除。这个表项编程如下形式：

udp 17 28 src=192.168.1.2 dst=192.168.1.50 sport=1032 dport=53 src=192.168.1.50 dst=192.168.1.2 sport=53 dport=1032 use=1

如果在这一对源、目的地址和源、目的端口上，发生了多个请求和应答，这个表项就作为一个数据流表项，它的超时时间是180秒。这种情况下，这个表项就变成如下形式：

udp 17 177 src=192.168.1.2 dst=192.168.1.50 sport=1032 dport=53 src=192.168.1.50 dst=192.168.1.2 sport=53 dport=1032 [ASSURED] use=1

这时我们看到这个表项使用ASSURED标志。一旦连接表项使用ASSURED标志，那么即使在网络负沉重的情况下，也不会被丢弃。如果状态表已经饱和，当新的连接到达时，使用UNREPLIED标志的表项会受被丢弃。

2.3.TCP连接

一个TCP连接是通过三次握手的方式完成的。首先，客户程序发出一个同步请求(发出一个SYN分组)；接着，服务器端回应一个SYN|ACK分组；最后返回一个ACK分组，连接完成。整个过程如下所示：

Client ServerSYN —>
<— SYN+ACK
ACK —>
<— ACK
ACK —>
………
………

SYN和ACK是由TCP分组头的标志决定的。在每个TCP分组头还有32位的序列号和应答号用于跟踪会话。

为了跟踪一个TCP连接的状态，你需要使用下面这样的规则：

iptables -A INPUT -p tcp -m state –state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m state –state NEW,ESTABLISHED -j ACCEPT

2.3.1.连接建立过程中状态表的变化

下面，我们详细讨论在连接建立的每个阶段中，状态表发生的变化：

• 一旦一个初始SYN分组进入OUTPUT链，并且输出规则允许这个分组建立一个新的连接，状态表的相关表项将如下所示：
  cp 6 119 SYN_SENT src=140.208.5.62 dst=207.46.230.218 sport=1311 dport=80 [UNREPLIED] src=207.46.230.218 dst=140.208.5.62 sport=80 dport=1311 use=1

  其中，TCP连接状态是SYN_SENT，连接被标记为UNREPLIED。

• 现在，我们等待SYN+ACK分组的响应。一旦得到响应，这个TCP连接表项就变为：
  tcp 6 57 SYN_RECV src=140.208.5.62 dst=207.46.230.218 sport=1311 dport=80 src=207.46.230.218 dst=140.208.5.62 sport=80 dport=1311 use=1

  连接的状态变为SYN_RECV，UNREPLIED标志被清除。

• 现在我们需要等待完成握手的ACK分组。ACK分组到达后，我们首先对其序列号进行一些检查，如果正确，就把这个连接的状态变为ESTABLISHED，并且使用ASSURED标记这个连接。这时，这个连接的状态如下所示：
  cp 6 431995 ESTABLISHED src=140.208.5.62 dst=207.46.230.218 sport=1311 dport=80 src=207.46.230.218 dst=140.208.5.62 sport=80 dport=1311 [ASSURED] use=1

2.3.2.透视状态表

上面，我们涉及了很多CP连接的状态。现在，我们分析一下TCP连接的状态检测。实际上，状态表只知道NEW、ESTABLISHED、RELATED和INVALID。

要注意：状态检测的状态不等于TCP状态。当一个SYN分组的响应SYN+ACK分组到达，Netfilter的状态检测模块就会认为连接已经建立。但是，这时还没有完成三次握手，因此TCP连接还没有建立。

另外，包过滤规则不能删除状态表中的表项，只有连接超时，对应的状态表项才会被删除。ACK分组能够建立一个NEW状态表项。向防火墙之后一台并不 存 在主机发送ACK分组，并不会返回RST分组，可以证明这个结论。因此，你需要使用以下的规则明确新的TCP连接应该是SYN分组建立的：

iptables -A INPUT -p tcp !–syn -m state –state NEW -j DROP

这样可以阻止空会话的继续进行。

2.3.3.超时

所谓状态表项的超时值是指每个表项存在的最大时间，这些超时值的大小在/usr/src/linux/net/ipv4/netfilter/ip_conntrack_proto_tcp.c文件中设置。以下是相关的代码：

static unsigned long tcp_timeouts[]
= { 30 MINS, /* TCP_CONNTRACK_NONE, */
5 DAYS, /* TCP_CONNTRACK_ESTABLISHED, */
2 MINS, /* TCP_CONNTRACK_SYN_SENT, */
60 SECS, /* TCP_CONNTRACK_SYN_RECV, */
2 MINS, /* TCP_CONNTRACK_FIN_WAIT, */
2 MINS, /* TCP_CONNTRACK_TIME_WAIT, */
10 SECS, /* TCP_CONNTRACK_CLOSE, */
60 SECS, /* TCP_CONNTRACK_CLOSE_WAIT, */
30 SECS, /* TCP_CONNTRACK_LAST_ACK, */
2 MINS, /* TCP_CONNTRACK_LISTEN, */
};

2.3.4.连接的中断

关闭一个TCP连接可以有两种方式。第一种类似于建立TCP连接的三次握手。一旦一个TCP会话完成，要终止会话的一方首先发出一个FIN为1的分组。接收方TCP确认这个FIN分组，并同志自己这边的应用程序不要在接收数据了。这个过程可以如下所示：

Client Server
………
………
FIN+ACK —>
<— ACK
<— FIN+ACK
ACK —>

在这个过程之中或者之后，状态表的连接状态变为TIME_WAIT。在默认情况下，2分钟之后从状态表删除。

除此之外，还有其它关闭中断的方式。TCP会话的任何一方发出一个RST标志为1的分组，可以快速断开一个TCP连接。而且，RST分组不需要应 答。 在这种情况下，状态表项的状态变为CLOSE，10秒之后被删除。和http连接经常通过这种方式中断，如果一个连接很长时间没有请求了，服务器端就会发 出一个RST分组中断连接。

2.4.ICMP

在iptables看来，只有四种ICMP分组，这些分组类型可以被归为NEW、ESTABLISHED两类：

• ECHO请求(ping,8)和ECHO应答(pong,0)。
• 时间戳请求(13)和应答(14)。
• 信息请求(15)和应答(16)。
• 地址掩码请求(17)和应答(18)。

这些ICMP分组类型中，请求分组属于NEW，应答分组属于ESTABLISHED。而其它类型的ICMP分组不基于请求/应答方式，一律被归入RELATED。

我们先看一个简单的例子：

iptables -A OUTPUT -p icmp -m state –state NEW,ESTABLISHED, RELATED -j ACCEPT
iptables -A INPUT -p icmp -m state –state ESTABLISHED,RELATED -j ACCEPT

这链条规则进行如下的过滤：

• 一个ICMP echo请求是一个NEW连接。因此，允许ICMP echo请求通过OUTPUT链。
• 当对应的应答返回，此时连接的状态是ESTABLISED，因此允许通过INPUT链。而INPUT链没有NEW状态，因此不允许echo请求通过INPUT链。也就是说，这两条规则允许内部主机ping外部主机，而不允许外部主机ping内部主机。
• 一个重定向ICMP(5)分组不是基于请求/应答方式的，因此属于RELATED。INPUT和OUTPUT链都允许RELATED状态的连接，因此重定向(5)分组可以通过INPUT和OUTPUT链。

3.FTP协议的状态检测

上面，我们比较详细地介绍了iptables的态检测机制。现在，我们以FTP状态检测为例介绍如何使用iptables进行连接状态检测。

首先，你需要加载ip_conntrack_ftp模块。使用如下规则就可以允许建立FTP控制连接(这里没有考虑IMCP问题):

iptables -A INPUT -p tcp –sport 21 -m state –state ESTABLESED -j ACCEPT
iptables -A OUTPUT -p tcp –dport 21 -m state –state NEW,ESTABLISED -j ACCEPT

除了控制连接之外，FTP协议还需要一个数据通道，不过，数据连接可以通过主动和被动两种模式建立，我们需要分别讨论。

3.1.主动模式

在主动模式下，客户程序在控制通道上，使用PORT命令告诉FTP服务器自己这边的数据传输端口，然后FTP从20端口向这个端口发起一个连接。连 接 建立后，服务器端和客户端就可以使用这个连接传输数据了，例如：传诵的文件、ls等命令的结果等。因此，在主动模式下FTP数据传输通道是反向建立的，它 从FTP服务器端向客户端发起。

在主动模式下，客户端使用的数据传输端口是不固定的，因此我们需要在规则中使用端口范围。由于客户端使用的端口都是大于1024的，这并不会降低系统的安全性。

在iptables中，有一个专门跟踪FTP状态的模块–ip_conntrack_ftp。这个模块能够识别出PORT命令，并从中提取端口号。 这样，FTP数据传输连接就被归入RELATED状态，它和向外的FTP控制连接相关，因此我们不需要在INPUT链中使用NEW状态。下面的规则可以实 现我们的意图：

iptables -A INPUT -p tcp –sport 20 -m state –state ESTABLISED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp –dport 20 -m state –state ESTABLISED -j ACCEPT

3.2.被动模式

和主动模式相反，在被动模式下，指定连接端口的PORT命令是服务器端发出的。FTP服务器通过PORT命令告诉客户端自己使用的FTP数据传 输端口，然后等待客户端建立数据传输连接。在被动模式下，建立数据传输连接的方向和建立控制连接的方向是相同的。因此，被动模式具有比主动模式更好的安全 性。

由于ip_conntrack_ftp模块能够从PORT命令提取端口，因此我们在OUTPUT链中也不必使用NEW状态，下面的规则可以实现对被动模式下的FTP状态检测：

iptables -A INPUT -p tcp –sport 1024: –dport 1024: -m state –state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp –sport 1024: –dport 1024: -m state –state ESTABLISHED,RELATED -j ACCEPT

综合以上的分析，我们可以得到FTP连接的状态检测规则，对于主动模式的FTP，需要下面的iptables规则：

iptables -A INPUT -p tcp –sport 21 -m state –state ESTABLESED -j ACCEPT
iptables -A OUTPUT -p tcp –dport 21 -m state –state NEW,ESTABLISED -j ACCEPT
iptables -A INPUT -p tcp –sport 20 -m state –state ESTABLISED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp –dport 20 -m state –state ESTABLISED -j ACCEPT

对于被动模式的FTP连接，需要使用如下iptables规则

iptables -A INPUT -p tcp –sport 21 -m state –state ESTABLESED -j ACCEPT
iptables -A OUTPUT -p tcp –dport 21 -m state –state NEW,ESTABLISED -j ACCEPT
iptables -A INPUT -p tcp –sport 1024: –dport 1024: -m state –state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp –sport 1024: –dport 1024: -m state –state ESTABLISHED,RELATED -j ACCEPT

本文中提到的状态检测，在iptables中实际叫作连接跟踪(Connection tracking)。

第二种是确定传输方向的关键字，主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明，src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字，则缺省是src or dst关键字。

第三种是协议的关键字，主要包括 fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定 的网络协议，实际上它是”ether”的别名，fddi和ether具有类似的源地址和目的地址，所以可以将fddi协议包当作ether的包进行处理和 分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议，则tcpdump将会监听所有协议的信息包。

除了这三种类型的 关键字之外，其他重要的关键字如下：gateway, broadcast,less,greater,还有三种逻辑运算，取非运算是 ‘not ‘ ‘! ‘, 与运算是’and’,'&&’;或运算 是’or’ ,’││’；这些关键字可以组合起来构成强大的组合条件来满足人们的需要，下面举几个例子来说明。
普通情况下，直接启动tcpdump将监视第一个网络界面上所有流过的数据包。
# tcpdump
tcpdump: listening on fxp0
11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50
11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/C len=43
0000 0000 0080 0000 1007 cf08 0900 0000
0e80 0000 902b 4695 0980 8701 0014 0002
000f 0000 902b 4695 0008 00
11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97
ffff 0060 0004 ffff ffff ffff ffff ffff
0452 ffff ffff 0000 e85b 6d85 4008 0002
0640 4d41 5354 4552 5f57 4542 0000 0000
0000 00
使用-i参数指定tcpdump监听的网络界面，这在计算机具有多个网络界面时非常有用，
使用-c参数指定要监听的数据包数量，
使用-w参数指定将监听到的数据包写入文件中保存

A想要截获所有210.27.48.1 的主机收到的和发出的所有的数据包：
#tcpdump host 210.27.48.1

B想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信，使用命令：（在命令行中适用　括号时，一定要
#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)

C如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包，使用命令：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

D如果想要获取主机210.27.48.1接收或发出的telnet包，使用如下命令：
#tcpdump tcp port 23 host 210.27.48.1

E 对本机的udp 123 端口进行监视 123 为ntp的服务端口
# tcpdump udp port 123

F 系统将只对名为hostname的主机的通信数据包进行监视。主机名可以是本地主机，也可以是网络上的任何一台计算机。下面的命令可以读取主机hostname发送的所有数据：
#tcpdump -i eth0 src host hostname

G 下面的命令可以监视所有送到主机hostname的数据包：
#tcpdump -i eth0 dst host hostname

H  我们还可以监视通过指定网关的数据包：
#tcpdump -i eth0 gateway Gatewayname

I 如果你还想监视编址到指定端口的TCP或UDP数据包，那么执行以下命令：
#tcpdump -i eth0 host hostname and port 80

J 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包
，使用命令：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

K 想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信，使用命令
：（在命令行中适用　括号时，一定要
#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)

L 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包，使用命令：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

M 如果想要获取主机210.27.48.1接收或发出的telnet包，使用如下命令：
#tcpdump tcp port 23 host 210.27.48.1

第三种是协议的关键字，主要包括fddi,ip ,arp,rarp,tcp,udp等类型
除了这三种类型的关键字之外，其他重要的关键字如下：gateway, broadcast,less,greater,还有三种逻辑运算，取非运算是 ‘not ‘ ‘! ‘, 与运算是’and’,'&&’;或运算 是’or’ ,’||’；
第二种是确定传输方向的关键字，主要包括src , dst ,dst or src, dst and src ,如果我们只需要列出送到80端口的数据包，用dst port；如果我们只希望看到返回80端口的数据包，用src port。
#tcpdump –i eth0 host hostname and dst port 80  目的端口是80
或者
#tcpdump –i eth0 host hostname and src port 80  源端口是80  一般是提供http的服务的主机
如果条件很多的话  要在条件之前加and 或 or 或 not
#tcpdump -i eth0 host ! 211.161.223.70 and ! 211.161.223.71 and dst port 80
如果在ethernet 使用混杂模式 系统的日志将会记录
May  7 20:03:46 localhost kernel: eth0: Promiscuous mode enabled.
May  7 20:03:46 localhost kernel: device eth0 entered promiscuous mode
May  7 20:03:57 localhost kernel: device eth0 left promiscuous mode
tcpdump 对截获的数据并没有进行彻底解码，数据包内的大部分内容是使用十六进制的形式直接打印输出的。显然这不利于分析网络故障，通常的解决办法是先使用带-w参 数的tcpdump 截获数据并保存到文件中，然后再使用其他程序进行解码分析。当然也应该定义过滤规则，以避免捕获的数据包填满整个硬盘。

# tcpdump   -i eth1 src  host 211.167.237.199
00:02:03.096713 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010208:2010352(144) ack 33377 win 8576
00:02:03.096951 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010352:2010496(144) ack 33377 win 8576
00:02:03.100928 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010496:2010640(144) ack 33377 win 8576
00:02:03.101165 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010640:2010784(144) ack 33377 win 8576
00:02:03.102554 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010784:2010928(144) ack 33425 win 8576

表明在00:02:03点的时候，211.167.237.199通过ssh源端口连接到221.216.165.189的1467端口

#tcpdump -i eth1 src host 211.167.237.199 and dst port 1467
00:09:27.603075 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 180400:180544(144) ack 2833 win 8576
00:09:27.605631 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 180544:180688(144) ack 2881 win 8576

截获所有由eth0进入、源地址(src)为192.168.0.5的主机(host)，并且(and)目标(dst)端口(port)为80的数据包

观看网卡传送、接收数据包的状态
$ netstat  -i
Kernel Interface table
Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg
eth0 1500  0  14639   0      0      0    5705    119    0     0   BMRU

Iface:  网卡
RX-OK RX-ERR RX-DRP RX-OVR : 网卡正确接收数据包的数量以及发生错误、流失、碰撞的总数
TX-OK TX-ERR TX-DRP TX-OVR : 网卡正确发送数据包的数量以及发生错误、流失、碰撞的总数

1、libz.a

错误：

/usr/local/lib/libz.a: could not read symbols: Bad value
collect2: ld returned 1 exit status

解决方法：

重新安装 zlib-1.2.3.tar.gz

tar -zxvf zlib-1.2.3.tar.gz
cd zlib-1.2.3
./configure

vi Makefile
找到 CFLAGS=-O3 -DUSE_MMAP
在后面加入-fPIC，即变成CFLAGS=-O3 -DUSE_MMAP -fPIC
接下面步骤

make
make install

2、libexpat.so

错误：

 /usr/lib/libexpat.so: could not read symbols: File in wrong format

解决方法：

编译时增加编译参数 –with-expat=builtin 。貌似在64位服务器下编译脚本在定位系统 expat 支持时有些问题。使用自带的expat来编译就不存在这个问题了。

http://cnsnap.cn.freebsd.org/doc/zh_CN.GB2312/books/handbook/one-time-passwords.html

这里介绍一下在Linux环境下的具体安装配置

下载软件包
opie-24-630src
winkey

安装

初始化
使用Winkey.exe 设置一个passphrase 计算出一次性口令 并在 Response 中输入

设置ssh使用opie认证
打开以下sshd_config 选项

设置/etc/pam.d/sshd

加入

注释掉

重启sshd

opie 是通过pam模块pam_opie 达到口令认证目的，所以任何使用pam认证模块的程序都可以用opie来实现一次性口令，并且如果能够用程序自动设置、管理和定时更新秘密口令并且提供一 个访问接口用于获取当前的一次性口令，那就可以真正做到一次性口令过期和唯一性，我觉得这个东西关键还在于秘密口令的管理上，如果你知道了这个秘密口令， 那就可以获取到任意多个一次性口令,而且这些一次性口令在未使用情况下都是有效的，并不存在过期问题,它只能保证一次性口令在网络传输过程中的安全，因为 即使被截获了，只要当前已经使用过了，那也是一个过期口令。

功能说明：查找并显示用户信息。

语　　法：whois [帐号名称]

补充说明：whois指令会去查找并显示指定帐号的用户相关信息，因为它是到Network Solutions的WHOIS数据库去查找，所以该帐号名称必须在上面注册方能寻获，且名称没有大小写的差别。

———————————————————
whoami

功能说明：先似乎用户名称。

语　　法：whoami [--help][--version]

补充说明：显示自身的用户名称，本指令相当于执行”id -un”指令。

参　　数：
–help 　在线帮助。
–version 　显示版本信息。

—————————————————

who

功能说明：显示目前登入系统的用户信息。

语　　法：who [-Himqsw][--help][--version][am i][记录文件]

补充说明：执行这项指令可得知目前有那些用户登入系统，单独执行who指令会列出登入帐号，使用的
终端机，登入时间以及从何处登入或正在使用哪个X显示器。

参　　数：
-H或–heading 　显示各栏位的标题信息列。
-i或-u或–idle 　显示闲置时间，若该用户在前一分钟之内有进行任何动作，将标示成”.”号，如果该用户已超过24小时没有任何动作，则标示出”old”字符串。
-m 　此参数的效果和指定”am i”字符串相同。
-q或–count 　只显示登入系统的帐号名称和总人数。
-s 　此参数将忽略不予处理，仅负责解决who指令其他版本的兼容性问题。
-w或-T或–mesg或–message或–writable 　显示用户的信息状态栏。
–help 　在线帮助。
–version 　显示版本信息。

—————————————————-
w

功能说明：显示目前登入系统的用户信息。

语　　法：w [-fhlsuV][用户名称]

补充说明：执行这项指令可得知目前登入系统的用户有那些人，以及他们正在执行的程序。单独执行w
指令会显示所有的用户，您也可指定用户名称，仅显示某位用户的相关信息。

参　　数：
-f 　开启或关闭显示用户从何处登入系统。
-h 　不显示各栏位的标题信息列。
-l 　使用详细格式列表，此为预设值。
-s 　使用简洁格式列表，不显示用户登入时间，终端机阶段作业和程序所耗费的CPU时间。
-u 　忽略执行程序的名称，以及该程序耗费CPU时间的信息。
-V 　显示版本信息。

—————————————————–
vlock(virtual console lock)

功能说明：锁住虚拟终端。

语　　法：vlock [-achv]

补充说明：执行vlock指令可锁住虚拟终端，避免他人使用。

参　　数：
-a或–all 　锁住所有的终端阶段作业，如果您在全屏幕的终端中使用本参数，则会将用键盘
切换终端机的功能一并关闭。
-c或–current 　锁住目前的终端阶段作业，此为预设值。
-h或–help 　在线帮助。
-v或–version 　显示版本信息。

——————————————————–
usermod

功能说明：修改用户帐号。

语　　法：usermod [-LU][-c <备注>][-d <登入目录>][-e <有效期限>][-f <缓冲天数>][-g <群组>][-G <群组>][-l <帐号名称>][-s ][-u ][用户帐号]

补充说明：usermod可用来修改用户帐号的各项设定。

参　　数：
-c<备注> 　修改用户帐号的备注文字。
-d登入目录> 　修改用户登入时的目录。
-e<有效期限> 　修改帐号的有效期限。
-f<缓冲天数> 　修改在密码过期后多少天即关闭该帐号。
-g<群组> 　修改用户所属的群组。
-G<群组> 　修改用户所属的附加群组。
-l<帐号名称> 　修改用户帐号名称。
-L 　锁定用户密码，使密码无效。
-s 　修改用户登入后所使用的shell。
-u 　修改用户ID。
-U 　解除密码锁定。

——————————————————-
userdel

功能说明：删除用户帐号。

语　　法：userdel [-r][用户帐号]

补充说明：userdel可删除用户帐号与相关的文件。若不加参数，则仅删除用户帐号，而不删除相关文件。

参　　数：
-f 　删除用户登入目录以及目录中所有文件。

———————————————————-
userconf

功能说明：用户帐号设置程序。

语　　法：userconf [--addgroup <群组>][--adduser <用户ID><群组><用户名称>][--delgroup <群组>][--deluser <用户ID>][--help]

补充说明：userconf实际上为linuxconf的符号连接，提供图形界面的操作方式，供管理员建立与管理各类帐号。若不加任何参数，即进入图形界面。

参　　数：
–addgroup<群组> 　新增群组。
–adduser<用户ID><群组><用户名称> 　新增用户帐号。
–delgroup<群组> 　删除群组。
–deluser<用户ID> 　删除用户帐号。
–help 　显示帮助。

——————————————————
useradd

功能说明：建立用户帐号。

语　　法：useradd [-mMnr][-c <备注>][-d <登入目录>][-e <有效期限>][-f <缓冲天数>][-g <群组>][-G <群组>][-s ][-u ][用户帐号] 或 useradd -D [-b][-e <有效期限>][-f <缓冲天数>][-g <群组>][-G <群组>][-s ]

补充说明：useradd可用来建立用户帐号。帐号建好之后，再用passwd设定帐号的密码．而可用userdel删除帐号。使用useradd指令所建立的帐号，实际上是保存在/etc/passwd文本文件中。

参　　数：
-c<备注> 　加上备注文字。备注文字会保存在passwd的备注栏位中。
-d<登入目录> 　指定用户登入时的启始目录。
-D 　变更预设值．
-e<有效期限> 　指定帐号的有效期限。
-f<缓冲天数> 　指定在密码过期后多少天即关闭该帐号。
-g<群组> 　指定用户所属的群组。
-G<群组> 　指定用户所属的附加群组。
-m 　自动建立用户的登入目录。
-M 　不要自动建立用户的登入目录。
-n 　取消建立以用户名称为名的群组．
-r 　建立系统帐号。
-s　 　指定用户登入后所使用的shell。
-u 　指定用户ID。

—————————————————-
uname

功能说明：显示系统信息。

语　　法：uname [-amnrsv][--help][--version]

补充说明：uname可显示电脑以及操作系统的相关信息。

参　　数：
-a或–all 　显示全部的信息。
-m或–machine 　显示电脑类型。
-n或-nodename 　显示在网络上的主机名称。
-r或–release 　显示操作系统的发行编号。
-s或–sysname 　显示操作系统名称。
-v 　显示操作系统的版本。
–help 　显示帮助。
–version 　显示版本信息。

—————————————————–
top

功能说明：显示，管理执行中的程序。

语　　法：top [bciqsS][d <间隔秒数>][n <执行次数>]

补充说明：执行top指令可显示目前正在系统中执行的程序，并通过它所提供的互动式界面，用热键加以管理。

参　　数：
b 　使用批处理模式。
c 　列出程序时，显示每个程序的完整指令，包括指令名称，路径和参数等相关信息。
d<间隔秒数> 　设置top监控程序执行状况的间隔时间，单位以秒计算。
i 　执行top指令时，忽略闲置或是已成为Zombie的程序。
n<执行次数> 　设置监控信息的更新次数。
q 　持续监控程序执行的状况。
s 　使用保密模式，消除互动模式下的潜在危机。
S 　使用累计模式，其效果类似ps指令的”-S”参数。

——————————————————
tload

功能说明：显示系统负载状况。

语　　法：tload [-V][-d <间隔秒数>][-s <刻度大小>][终端机编号]

补充说明：tload指令使用ASCII字符简单地以文字模式显示系统负载状态。假设不给予终端机编号，则会在执行tload指令的终端机显示负载情形。

参　　数：
-d<间隔秒数> 　设置tload检测系统负载的间隔时间，单位以秒计算。
-s<刻度大小> 　设置图表的垂直刻度大小，单位以列计算。
-V 　显示版本信息。

——————————————————
swatch(simple watcher)

功能说明：系统监控程序。

语　　法：swatch [-A <分隔字符>][-c <设置文件>][-f <记录文件>][-I <分隔字符>][-P <分隔字符>][-r <时间>][-t <记录文件>]

补充说明：swatch可用来监控系统记录文件，并在发现特定的事件时，执行指定的动作。swatch所监控的事件以及对应事件的动作都存放在 swatch的配置文件中。预设的配置文件为拥护根目录下的.swatchrc。然而在Red Hat Linux的预设用户根目录下并没有.swatchrc配置文件，您可将/usr/doc/swatch- 2.2/config_files/swatchrc.personal文件复制到用户根目录下的.swatchrc，然后修改.swatchrc所要监控的事件及执行的动作。

参　　数：
-A<分隔字符> 　预设配置文件中，动作的分隔字符，预设为逗号。
-c设置文件> 　指定配置文件，而不使用预设的配置文件。
-f记录文件> 　检查指定的记录文件，检查完毕后不会继续监控该记录文件。
-I分隔字符> 　指定输入记录的分隔字符，预设为换行字符。
-P分隔字符> 　指定配置文件中，事件的分隔字符，预设为逗号。
-r时间> 　在指定的时间重新启动。
-t<记录文件> 　检查指定的记录文件，并且会监控加入记录文件中的后继记录。

———————————————————-
suspend

功能说明：暂停执行shell。

语　　法：suspend [-f]

补充说明：suspend为shell内建指令，可暂停目前正在执行的shell。若要恢复，则必须使用SIGCONT信息。

参　　数：
-f 　若目前执行的shell为登入的shell，则suspend预设无法暂停此shell。若要强迫暂停登入的shell，则必须使用-f参数。

—————————————————–
sudo

功能说明：以其他身份来执行指令。

语　　法：sudo [-bhHpV][-s ][-u <用户>][指令] 或 sudo [-klv]

补充说明：sudo可让用户以其他的身份来执行指定的指令，预设的身份为root。在/etc/sudoers中设置了可执行sudo指令的用户。若其未经授权的用户企图使用sudo，则会发出警告的邮件给管理员。用户使用sudo时，必须先输入密码，之后有5分钟的有效期限，超过期限则必须重新输入密码。
参　　数：
-b 　在后台执行指令。
-h 　显示帮助。
-H 　将HOME环境变量设为新身份的HOME环境变量。
-k 　结束密码的有效期限，也就是下次再执行sudo时便需要输入密码。
-l 　列出目前用户可执行与无法执行的指令。
-p 　改变询问密码的提示符号。
-s 　执行指定的shell。
-u<用户> 　以指定的用户作为新的身份。若不加上此参数，则预设以root作为新的身份。
-v 　延长密码有效期限5分钟。
-V 　显示版本信息。

——————————————————–
su(super user)

功能说明：变更用户身份。

语　　法：su [-flmp][--help][--version][-][-c <指令>][-s ][用户帐号]

补充说明：su可让用户暂时变更登入的身份。变更时须输入所要变更的用户帐号与密码。

参　　数：
-c<指令>或–command=<指令> 　执行完指定的指令后，即恢复原来的身份。
-f或–fast 　适用于csh与tsch，使shell不用去读取启动文件。
-.-l或–login 　改变身份时，也同时变更工作目录，以及HOME,SHELL,USER,LOGNAME。此外，也会变更PATH变量。
-m,-p或–preserve-environment 　变更身份时，不要变更环境变量。
-s或–shell= 　指定要执行的shell。
–help 　显示帮助。
–version 　显示版本信息。
[用户帐号] 　指定要变更的用户。若不指定此参数，则预设变更为root。

——————————————————
sliplogin

功能说明：将SLIP接口加入标准输入。

语　　法：sliplogin [用户名称]

补充说明：sliplogin可将SLIP接口加入标准输入，把一般终端机的连线变成SLIP连线。通常可用来建立SLIP服务器，让远端电脑以 SLIP连线到服务器。sliplogin活去检查/etc/slip/slip.hosts文件中是否有相同的用户名称。通过检查后， sliplogin会调用执行shell script来设置IP地址，子网掩码等网络界面环境。此shell script通常是/etc/slip/slip.login。

—————————————————
shutdown

功能说明：系统关机指令。

语　　法：shutdown [-efFhknr][-t 秒数][时间][警告信息]

补充说明：shutdown指令可以关闭所有程序，并依用户的需要，进行重新开机或关机的动作。

参　　数：
-c 　当执行”shutdown -h 11:50″指令时，只要按+键就可以中断关机的指令。
-f 　重新启动时不执行fsck。
-F 　重新启动时执行fsck。
-h 　将系统关机。
-k 　只是送出信息给所有用户，但不会实际关机。
-n 　不调用init程序进行关机，而由shutdown自己进行。
-r 　shutdown之后重新启动。
-t<秒数> 　送出警告信息和删除信息之间要延迟多少秒。
[时间] 　设置多久时间后执行shutdown指令。
[警告信息] 　要传送给所有登入用户的信息。

———————————————————–
screen

功能说明：多重视窗管理程序。

语　　法：screen [-AmRvx -ls -wipe][-d <作业名称>][-h <行数>][-r <作业名称>][-s ][-S <作业名称>]

补充说明：screen为多重视窗管理程序。此处所谓的视窗，是指一个全屏幕的文字模式画面。通常只有在使用telnet登入主机或是使用老式的终端机时，才有可能用到screen程序。

参　　数：
-A 　将所有的视窗都调整为目前终端机的大小。
-d<作业名称> 　将指定的screen作业离线。
-h<行数> 　指定视窗的缓冲区行数。
-m 　即使目前已在作业中的screen作业，仍强制建立新的screen作业。
-r<作业名称> 　恢复离线的screen作业。
-R 　先试图恢复离线的作业。若找不到离线的作业，即建立新的screen作业。
-s 　指定建立新视窗时，所要执行的shell。
-S<作业名称> 　指定screen作业的名称。
-v 　显示版本信息。
-x 　恢复之前离线的screen作业。
-ls或–list 　显示目前所有的screen作业。
-wipe 　检查目前所有的screen作业，并删除已经无法使用的screen作业。

—————————————————-
rwho

功能说明：查看系统用户。

语　　法：rwho [-a]

补充说明：rwho指令的效果类似who指令，但它会显示局域网里所有主机的用户。主机必须提供rwhod常驻服务的功能，方可使用rwho指令。

参　　数：
-a 　列出所有的用户，包括闲置时间超过1个小时以上的用户。

—————————————————-
rsh(remote shell)

功能说明：远端登入的Shell。

语　　法：rsh [-dn][-l <用户名称>][主机名称或IP地址][执行指令]

补充说明：rsh提供用户环境，也就是Shell，以便指令能够在指定的远端主机上执行。

参　　数：
-d 　使用Socket层级的排错功能。
-l<用户名称> 　指定要登入远端主机的用户名称。
-n 　把输入的指令号向代号为/dev/null的特殊外围设备。

———————————————————
rlogin(remote login)

功能说明：远端登入。
语　　法：rlogin [-8EL][-e <脱离字符>][-l <用户名称>][主机名称或IP地址]

补充说明：执行rlogin指令开启终端机阶段操作，并登入远端主机。

参　　数：
-8 　允许输入8位字符数据。
-e脱离字符> 　设置脱离字符。
-E 　滤除脱离字符。
-l用户名称> 　指定要登入远端主机的用户名称。
-L 　使用litout模式进行远端登入阶段操作。

——————————————————-
renice

功能说明：调整优先权。

语　　法：renice [优先等级][-g <程序群组名称>...][-p <程序识别码>...][-u <用户名称>...]

补充说明：renice指令可重新调整程序执行的优先权等级。预设是以程序识别码指定程序调整其优先权，您亦可以指定程序群组或用户名称调整优先权等级，并修改所有隶属于该程序群组或用户的程序的优先权。等级范围从-20–19，只有系统管理者可以改变其他用户程序的优先权，也仅有系统管理者可以设置负数等级。
参　　数：
-g <程序群组名称> 　使用程序群组名称，修改所有隶属于该程序群组的程序的优先权。
-p <程序识别码> 　改变该程序的优先权等级，此参数为预设值。
-u <用户名称> 　指定用户名称，修改所有隶属于该用户的程序的优先权。

——————————————————-
reboot

功能说明：重新开机。

语　　法：dreboot [-dfinw]

补充说明：执行reboot指令可让系统停止运作，并重新开机。

参　　数：
-d 　重新开机时不把数据写入记录文件/var/tmp/wtmp。本参数具有”-n”参数的效果。
-f 　强制重新开机，不调用shutdown指令的功能。
-i 　在重开机之前，先关闭所有网络界面。
-n 　重开机之前不检查是否有未结束的程序。
-w 　仅做测试，并不真的将系统重新开机，只会把重开机的数据写入/var/log目录下的wtmp记录文件。

pstree(process status tree)

功能说明：以树状图显示程序。

语　　法：pstree [-acGhlnpuUV][-H <程序识别码>][<程序识别码>/<用户名称>]

补充说明：pstree指令用ASCII字符显示树状结构，清楚地表达程序间的相互关系。如果不指定程序识别码或用户名称，则会把系统启动时的第一个程序视为基层，并显示之后的所有程序。若指定用户名称，便会以隶属该用户的第一个程序当作基层，然后显示该用户的所有程序。

参　　数：
-a 　显示每个程序的完整指令，包含路径，参数或是常驻服务的标示。
-c 　不使用精简标示法。
-G 　使用VT100终端机的列绘图字符。
-h 　列出树状图时，特别标明现在执行的程序。
-H<程序识别码> 　此参数的效果和指定”-h”参数类似，但特别标明指定的程序。
-l 　采用长列格式显示树状图。
-n 　用程序识别码排序。预设是以程序名称来排序。
-p 　显示程序识别码。
-u 　显示用户名称。
-U 　使用UTF-8列绘图字符。
-V 　显示版本信息。

———————————————————
ps(process status)

功能说明：报告程序状况。

语　　法：ps [-aAcdefHjlmNVwy][acefghLnrsSTuvxX][-C <指令名称>][-g <群组名称>][-G <群组识别码>][-p <程序识别码>][p <程序识别码>][-s <阶段作业>][-t <终端机编号>][t <终端机编号>][-u <用户识别码>][-U <用户识别码>][U <用户名称>][-<程序识别码>][--cols <每列字符数>][--columns <每列字符数>][--cumulative][--deselect][--forest][--headers][--help][-- info][--lines <显示列数>][--no-headers][--group <群组名称>][-Group <群组识别码>][--pid <程序识别码>][--rows <显示列数>][--sid <阶段作业>][--tty <终端机编号>][--user <用户名称>][--User <用户识别码>][--version][--width <每列字符数>]

补充说明：ps是用来报告程序执行状况的指令，您可以搭配kill指令随时中断，删除不必要的程序。

参　　数：
-a 　显示所有终端机下执行的程序，除了阶段作业领导者之外。
a 　显示现行终端机下的所有程序，包括其他用户的程序。
-A 　显示所有程序。
-c 　显示CLS和PRI栏位。
c 　列出程序时，显示每个程序真正的指令名称，而不包含路径，参数或常驻服务的标示。
-C<指令名称> 　指定执行指令的名称，并列出该指令的程序的状况。
-d 　显示所有程序，但不包括阶段作业领导者的程序。
-e 　此参数的效果和指定”A”参数相同。
e 　列出程序时，显示每个程序所使用的环境变量。
-f 　显示UID,PPIP,C与STIME栏位。
f 　用ASCII字符显示树状结构，表达程序间的相互关系。
-g<群组名称> 　此参数的效果和指定”-G”参数相同，当亦能使用阶段作业领导者的名称来指定。
g 　显示现行终端机下的所有程序，包括群组领导者的程序。
-G<群组识别码> 　列出属于该群组的程序的状况，也可使用群组名称来指定。
h 　不显示标题列。
-H 　显示树状结构，表示程序间的相互关系。
-j或j 　采用工作控制的格式显示程序状况。
-l或l 　采用详细的格式来显示程序状况。
L 　列出栏位的相关信息。
-m或m 　显示所有的执行绪。
n 　以数字来表示USER和WCHAN栏位。
-N 　显示所有的程序，除了执行ps指令终端机下的程序之外。
-p<程序识别码> 　指定程序识别码，并列出该程序的状况。
p<程序识别码> 　此参数的效果和指定”-p”参数相同，只在列表格式方面稍有差异。
r 　只列出现行终端机正在执行中的程序。
-s<阶段作业> 　指定阶段作业的程序识别码，并列出隶属该阶段作业的程序的状况。
s 　采用程序信号的格式显示程序状况。
S 　列出程序时，包括已中断的子程序资料。
-t<终端机编号> 　指定终端机编号，并列出属于该终端机的程序的状况。
t<终端机编号> 　此参数的效果和指定”-t”参数相同，只在列表格式方面稍有差异。
-T 　显示现行终端机下的所有程序。
-u<用户识别码> 　此参数的效果和指定”-U”参数相同。
u 　以用户为主的格式来显示程序状况。
-U<用户识别码> 　列出属于该用户的程序的状况，也可使用用户名称来指定。
U<用户名称> 　列出属于该用户的程序的状况。
v 　采用虚拟内存的格式显示程序状况。
-V或V 　显示版本信息。
-w或w 　采用宽阔的格式来显示程序状况。
x 　显示所有程序，不以终端机来区分。
X 　采用旧式的Linux i386登陆格式显示程序状况。
-y 　配合参数”-l”使用时，不显示F(flag)栏位，并以RSS栏位取代ADDR栏位　。
-<程序识别码> 　此参数的效果和指定”p”参数相同。
–cols<每列字符数> 　设置每列的最大字符数。
–columns<每列字符数> 　此参数的效果和指定”–cols”参数相同。
–cumulative 　此参数的效果和指定”S”参数相同。
–deselect 　此参数的效果和指定”-N”参数相同。
–forest 　此参数的效果和指定”f”参数相同。
–headers 　重复显示标题列。
–help 　在线帮助。
–info 　显示排错信息。
–lines<显示列数> 　设置显示画面的列数。
–no-headers 　此参数的效果和指定”h”参数相同，只在列表格式方面稍有差异。
–group<群组名称> 　此参数的效果和指定”-G”参数相同。
–Group<群组识别码> 　此参数的效果和指定”-G”参数相同。
–pid<程序识别码> 　此参数的效果和指定”-p”参数相同。
–rows<显示列数> 　此参数的效果和指定”–lines”参数相同。
–sid<阶段作业> 　此参数的效果和指定”-s”参数相同。
–tty<终端机编号> 　此参数的效果和指定”-t”参数相同。
–user<用户名称> 　此参数的效果和指定”-U”参数相同。
–User<用户识别码> 　此参数的效果和指定”-U”参数相同。
–version 　此参数的效果和指定”-V”参数相同。
–widty<每列字符数> 　此参数的效果和指定”-cols”参数相同。

———————————————————-
procinfo(process information)

功能说明：显示系统状态。

语　　法：procinfo [-abdDfhimsSv][-F <输出文件>][-n <间隔秒数>]

补充说明：procinfo指令从/proc目录里读取相关数据，将数据妥善整理过后输出到标准输出设备。

参　　数：
-a 　显示所有信息。
-b 　显示磁盘设备的区块数目，而非存取数目。
-d 　显示系统信息每秒间的变化差额，而非总和的数值。本参数必须配合”-f”参数使用
-D 　此参数效果和指定”-d”参数类似，但内存和交换文件的信息为总和数值。
-f 　进入全画面的互动式操作界面。
-F<输出文件> 　把信息状态输出到文件保存起来，而非预设的标准输出设备。
-h 　在线帮助。
-i 　显示完整的IRP列表。
-m 　显示系统模块和外围设备等相关信息。
-n间隔秒数> 　设置全画面互动模式的信息更新速度，单位以秒计算。
-s 　显示系统的内存，磁盘空间，IRP和DMA等信息，此为预设值。
-S 　搭配参数”-d”或”-D”使用时，每秒都会更新信息，不论是否有使用参数”-n”。
-v 　显示版本信息。

—————————————————-
nice

功能说明：设置优先权。

语　　法：nice [-n <优先等级>][--help][--version][执行指令]

补充说明：nice指令可以改变程序执行的优先权等级。

参　　数： 　-n<优先等级>或-<优先等级>或–adjustment=<优先等级> 　设置欲执行的指令的优先权等级。等级的范围从-20－19，其中-20最高，19最低，只有系统管理者可以设置负数的等级。
–help 　在线帮助。
–version 　显示版本信息。

—————————————————-
newgrp

功能说明：登入另一个群组。

语　　法：newgrp [群组名称]

补充说明：newgrp指令类似login指令，当它是以相同的帐号，另一个群组名称，再次登入系统。欲使用newgrp指令切换群组，您必须是该群组的用户，否则将无法登入指定的群组。单一用户要同时隶属多个群组，需利用交替用户的设置。若不指定群组名称，则newgrp指令会登入该用户名称的预设群组。

—————————————————
logrotate

功能说明：管理记录文件。

语　　法：logrotate [-?dfv][-s <状态文件>][--usage][配置文件]

补充说明：使用logrotate指令，可让你轻松管理系统所产生的记录文件。它提供自动替换，压缩，删除和邮寄记录文件，每个记录文件都可被设置成每日，每周或每月处理，也能在文件太大时立即处理。您必须自行编辑，指定配置文件，预设的配置文件存放在/etc目录下，文件名称为 logrotate.conf。

参　　数：
-?或–help 　在线帮助。
-d或–debug 　详细显示指令执行过程，便于排错或了解程序执行的情况。
-f或–force 　强行启动记录文件维护操作，纵使logrotate指令认为没有需要亦然。
-s<状态文件>或–state=<状态文件> 　使用指定的状态文件。
-v或–version 　显示指令执行过程。
-usage 　显示指令基本用法。

——————————————————–
logout

功能说明：退出系统。

语　　法：logout

补充说明：logout指令让用户退出系统，其功能和login指令相互对应。

—————————————————
logname

功能说明：显示用户名称。

语　　法：logname [--help][--version]

补充说明：执行logname指令，它会显示目前用户的名称。

参　　数：
–help 　在线帮助。
–vesion 　显示版本信息。

——————————————————–
login

功能说明：登入系统。

语　　法：login

补充说明：login指令让用户登入系统，您亦可通过它的功能随时更换登入身份。在Slackware发行版中，您可在指令后面附加欲登入的用户名称，它会直接询问密码，等待用户输入。当/etc目录里含名称为nologin的文件时，系统只root帐号登入系统，其他用户一律不准登入。

——————————————————-
lastb

功能说明：列出登入系统失败的用户相关信息。

语　　法：lastb [-adRx][-f <记录文件>][-n <显示列数>][帐号名称...][终端机编号...]

补充说明：单独执行lastb指令，它会读取位于/var/log目录下，名称为btmp的文件，并把该文件内容
记录的登入失败的用户名单，全部显示出来。

参　　数：
-a 　把从何处登入系统的主机名称或IP地址显示在最后一行。
-d 　将IP地址转换成主机名称。
-f<记录文件> 　指定记录文件。
-n<显示列数>或-<显示列数> 　设置列出名单的显示列数。
-R 　不显示登入系统的主机名称或IP地址。
-x 　显示系统关机，重新开机，以及执行等级的改变等信息。
——————————————————-
last

功能说明：列出目前与过去登入系统的用户相关信息。

语　　法：last [-adRx][-f <记录文件>][-n <显示列数>][帐号名称...][终端机编号...]

补充说明：单独执行last指令，它会读取位于/var/log目录下，名称为wtmp的文件，并把该给文件的内容记录的登入系统的用户名单全部显示出来。

参　　数：
-a 　把从何处登入系统的主机名称或IP地址，显示在最后一行。
-d 　将IP地址转换成主机名称。
-f <记录文件> 　指定记录文件。
-n <显示列数>或-<显示列数> 　设置列出名单的显示列数。
-R 　不显示登入系统的主机名称或IP地址。
-x 　显示系统关机，重新开机，以及执行等级的改变等信息。

———————————————————
kill

功能说明：删除执行中的程序或工作。

语　　法：kill [-s <信息名称或编号>][程序]　或　kill [-l <信息编号>]

补充说明：kill可将指定的信息送至程序。预设的信息为SIGTERM(15)，可将指定程序终止。若仍无法终止该程序，可使用SIGKILL(9)信息尝试强制删除程序。程序或工作的编号可利用ps指令或jobs指令查看。
参　　数：
-l <信息编号> 　若不加<信息编号>选项，则-l参数会列出全部的信息名称。
-s <信息名称或编号> 　指定要送出的信息。
[程序] 　[程序]可以是程序的PID或是PGID，也可以是工作编号。

———————————————————–
id

功能说明：显示用户的ID，以及所属群组的ID。

语　　法：id [-gGnru][--help][--version][用户名称]

补充说明：id会显示用户以及所属群组的实际与有效ID。若两个ID相同，则仅显示实际ID。若仅指定用户名称，则显示目前用户的ID。

参　　数：
-g或–group 　显示用户所属群组的ID。
-G或–groups 　显示用户所属附加群组的ID。
-n或–name 　显示用户，所属群组或附加群组的名称。
-r或–real 　显示实际ID。
-u或–user 　显示用户ID。
-help 　显示帮助。
-version 　显示版本信息。

————————————————————
halt

功能说明：关闭系统。

语　　法：halt [-dfinpw]

补充说明：halt会先检测系统的runlevel。若runlevel为0或6，则关闭系统，否则即调用shutdown来关闭系统。

参　　数：
-d 　不要在wtmp中记录。
-f 　不论目前的runlevel为何，不调用shutdown即强制关闭系统。
-i 　在halt之前，关闭全部的网络界面。
-n 　halt前，不用先执行sync。
-p 　halt之后，执行poweroff。
-w 　仅在wtmp中记录，而不实际结束系统。

———————————————————-
groupmod(group modify)

功能说明：更改群组识别码或名称。

语　　法：groupmod [-g <群组识别码> <-o>][-n <新群组名称>][群组名称]

补充说明：需要更改群组的识别码或名称时，可用groupmod指令来完成这项工作。

参　　数：
-g <群组识别码> 　设置欲使用的群组识别码。
-o 　重复使用群组识别码。
-n <新群组名称> 　设置欲使用的群组名称。

——————————————————–
groupdel(group delete)

功能说明：删除群组。

语　　法：groupdel [群组名称]

补充说明：需要从系统上删除群组时，可用groupdel指令来完成这项工作。倘若该群组中仍包括某些用户，则必须先删除这些用户后，方能删除群组。

———————————————————-
gitps(gnu interactive tools process status)

功能说明：报告程序状况。

语　　法：gitps [acefgjlnrsSTuvwxX][p <程序识别码>][t <终端机编号>][U <帐号名称>]

补充说明：gitps是用来报告并管理程序执行的指令，基本上它就是通过ps指令来报告，管理程序，也能通过gitps指令随时中断，删除不必要的程序。因为gitps指令会去执行ps指令，所以其参数和ps指令相当类似。

参　　数：
a 　显示　现行终端机下的所有程序，包括其他用户的程序。
c 　列出程序时，显示每个程序真正的指令名称，而不包含路径，参数或是常驻服务的标示．
e 　列出程序时，显示每个程序所使用的环境变量。
f 　用ASCII字符显示树状结构，表达程序间的相互关系。
g 　显示现行终端机下的所有程序，包括群组领导者的程序。
j 　采用工作控制的格式来显示程序状况。
l 　采用纤细的格式来显示程序状况。
n 　以数字来表示USER和WCHAN栏位。
p<程序识别码> 　指定程序识别码，并列出该程序的状况。
r 　只列出现行终端机正在执行中的程序。
s 　采用程序信号的格式显示程序状况。
S 　列出程序时，包括已中断的子程序信息。
t<终端机机标号> 　指定终端机编号，并列出属于该终端机的程序的状况。
T 　显示现行终端机下的所有程序。
u 　以用户为主的格式来显示程序状况。
U<帐号名称> 　列出属于该用户的程序的状况。
v 　采用虚拟内存的格式显示程序状况。
w 　采用宽阔的格式来显示程序状况。
x 　显示所有程序，不以终端机来区分。
X 　采用旧试的Linux i386登陆格式显示程序状况。

———————————————————-
fwhois

功能说明：查找并显示用户信息。

语　　法：fwhios [帐号名称]

补充说明：本指令的功能有点类似finger指令，它会去查找并显示指定帐号的用户相关信息。不同之处在于fwhois指令是到Network Solutions的WHOIS数据库去查找，该帐号名称必须有在上面注册才能寻获，且名称没有大小写的差别。

——————————————————
free

功能说明：显示内存状态。

语　　法： free [-bkmotV][-s <间隔秒数>]

补充说明：free指令会显示内存的使用情况，包括实体内存，虚拟的交换文件内存，共享内存区段，以及系统核心使用的缓冲区等。

参　　数：
-b 　以Byte为单位显示内存使用情况。
-k 　以KB为单位显示内存使用情况。
-m 　以MB为单位显示内存使用情况。
-o 　不显示缓冲区调节列。
-s<间隔秒数> 　持续观察内存使用状况。
-t 　显示内存总和列。
-V 　显示版本信息。

—————————————————–
finger

功能说明：查找并显示用户信息。

语　　法：finger [-lmsp][帐号名称...]

补充说明：finger指令会去查找，并显示指定帐号的用户相关信息，包括本地与远端主机的用户皆可，帐号名称没有大小写的差别。单独执行 finger指令，它会显示本地主机现在所有的用户的登陆信息，包括帐号名称，真实姓名，登入终端机，闲置时间，登入时间以及地址和电话。

参　　数：
-l 　列出该用户的帐号名称，真实姓名，用户专属目录，登入所用的Shell，登入时间，转信地址，电子邮件状态，还有计划文件和方案文件内容。
-m 　排除查找用户的真实姓名。
-s 　列出该用户的帐号名称，真实姓名，登入终端机，闲置时间，登入时间以及地址和电话。
-p 　列出该用户的帐号名称，真实姓名，用户专属目录，登入所用的Shell，登入时间，转信地址，电子邮件状态，但不显示该用户的计划文件和方案文件内容。

本文来源于 linuxsir

<script type=”text/javascript”><!–
document.body.oncopy=function(){
event.returnValue=false;
var t=document.selection.createRange().text;
var s=”本文来源于 梦想成就未来 http://www.aaronw.cn;
clipboardData.setData(‘Text’,'\r\n’+t+’\r\n’+s+’\r\n’);
}
// –></script>

应用环境：Linux　　

工具介绍：NMap是Linux下的网络扫描和嗅探工具包。可以帮助网管人员深入探测UDP或者TCP端口，直至主机所使用的操作系统；还可以将所有探测结果记录到各种格式的日志中，为系统安全服务。NMap，也就是Network Mapper，是Linux下的网络扫描和嗅探工具包，其基本功能有三个，一是探测一组主机是否在线；其次是扫描主机端口，嗅探所提供的网络服务；还可以推断主机所用的操作系统 。Nmap可用于扫描仅有两个节点的LAN，直至500个节点以上的网络。Nmap 还允许用户定制扫描技巧。通常，一个简单的使用ICMP协议的ping操 作可以满足一般需求；也可以深入探测UDP或者TCP端口，直至主机所使用的操作系统；还可以将所有探测结果记录到各种格式的日志中， 供进一步分析操作。但了nmap被发现存在DOS攻击，针对这类攻击，可采取如下措施:安装系统卖方的最新补丁；用未受影响的系统做防火墙。　

示例：

适用于内外网的探测，以内网操作为示例(外网参数同)

简单端口扫描： nmap -vv -sT(sS、sF、sU、sA) 192.168.0.1 -D 127.0.0.1（-D伪造的地址)

OS检测： nmap -vv -sS -O 192.168.0.1

RPC 鉴别： nmap -sS -sR 192.168.0.1 Linux上的portmap就是一个简单的RPC服务，监听端口为111（默认）,测试网络扫描和嗅探工具包，其基本功能有三个，一是探测一组主机是否在线；其次是扫描主机端口，嗅探所提供的网络服务；还可以推断主机所用的操作系统。Nmap可用于扫描仅有两个节点的LAN，直至500个节点以上的网络。Nmap 还允许用户定制扫描技巧。通常，一个简单的使用ICMP协议的ping操作可以满足一般需求；也可以深入探测UDP或者TCP端口，直至主机所使用的操作系统；还可以将所有探测结果记录到各种格式的日志中，供进一步分析操作。

官方下载及文档地址：http://insecure.org/nmap/

使用

进行ping扫描，打印出对扫描做出响应的主机,不做进一步测试(如端口扫描或者操作系统探测)：

nmap -sP 192.168.1.0/24

仅列出指定网络上的每台主机，不发送任何报文到目标主机：

nmap -sL 192.168.1.0/24

探测目标主机开放的端口，可以指定一个以逗号分隔的端口列表(如-PS22，23，25，80)：

nmap -PS 192.168.1.234

使用UDP ping探测主机：

nmap -PU 192.168.1.0/24

使用频率最高的扫描选项：SYN扫描,又称为半开放扫描，它不打开一个完全的TCP连接，执行得很快：

nmap -sS 192.168.1.0/24

当SYN扫描不能用时，TCP Connect()扫描就是默认的TCP扫描：

nmap -sT 192.168.1.0/24

UDP扫描用-sU选项,UDP扫描发送空的(没有数据)UDP报头到每个目标端口:

nmap -sU 192.168.1.0/24

确定目标机支持哪些IP协议 (TCP，ICMP，IGMP等):

nmap -sO 192.168.1.19

探测目标主机的操作系统：

nmap -O 192.168.1.19

nmap -A 192.168.1.19

另外，nmap官方文档中的例子：

nmap -v scanme.nmap.org

这个选项扫描主机scanme.nmap.org中 所有的保留TCP端口。选项-v启用细节模式。

nmap -sS -O scanme.nmap.org/24

进行秘密SYN扫描，对象为主机Saznme所在的“C类”网段 的255台主机。同时尝试确定每台工作主机的操作系统类型。因为进行SYN扫描 和操作系统检测，这个扫描需要有根权限。

nmap -sV -p 22，53，110，143，4564 198.116.0-255.1-127

进行主机列举和TCP扫描，对象为B类188.116网段中255个8位子网。这 个测试用于确定系统是否运行了sshd、DNS、imapd或4564端口。如果这些端口 打开，将使用版本检测来确定哪种应用在运行。

nmap -v -iR 100000 -P0 -p 80

随机选择100000台主机扫描是否运行Web服务器(80端口)。由起始阶段 发送探测报文来确定主机是否工作非常浪费时间，而且只需探测主机的一个端口，因 此使用-P0禁止对主机列表。

nmap -P0 -p80 -oX logs/pb-port80scan.xml -oG logs/pb-port80scan.gnmap 216.163.128.20/20

扫描4096个IP地址，查找Web服务器(不ping)，将结果以Grep和XML格式保存。

host -l company.com | cut -d -f 4 | nmap -v -iL -

进行DNS区域传输，以发现company.com中的主机，然后将IP地址提供给 Nmap。上述命令用于GNU/Linux — 其它系统进行区域传输时有不同的命令。

其他选项：

-p (只扫描指定的端口)

单个端口和用连字符表示的端口范 围(如 1-1023)都可以。当既扫描TCP端口又扫描UDP端口时，可以通过在端口号前加上T: 或者U:指定协议。 协议限定符一直有效直到指定另一个。 例如，参数 -p U:53，111，137，T:21-25，80，139，8080 将扫描UDP 端口53，111，和137，同时扫描列出的TCP端口。

-F (快速 (有限的端口) 扫描)

vcl_recv

开始处理请求，通过判断请求数据来决定如何处理请求

switch mode:

pass;pipe;lookup

vcl_pipe

将请求直接传递至后端主机后,在请求和返回内容没有改变的情况下，将不变的内容返回给客户端直到这个链接关闭

switch mode:

pipe

vcl_pass

将请求直接传递至后端主机，将后端主机的内容返回给客户端，但不进行任何缓存在当前连接下每次都是返回最新的内容

switch mode:
pass

vcl_hash

追中关键字 不知道能做什么用

switch mode:

hash

vcl_hit

lookup查找缓存成功后自动调用该方法,通过规则来判断是将命中内容直接返回给客户端，还是将请求转发给后端主机

switch mode:

pass;deliver

vcl_miss

在使用lookup查找缓存失败后会自动调用该方法，通过判断请求来绝对是直接将请求发送给后端主机，还是从后端主机取得新的内容

switch mode:

pass;fetch

vcl_fetch

在vcl_miss决定从后端主机更新缓存并且取得内容后调用该方法，通过判断取得的内容来决定是否将内容放入缓存还是直接返回给客户端

switch mode:

pass;insert

vcl_deliver

在vcl_hit决定将命中内容返回给客户端后执行该方法

dswitch mode:
deliver

vcl_timeout

在缓存内容即将到期前使用该方法

switch mode:
fetch;discard

vcl_discard

在缓存内容到期后或缓存空间不总时调用该方法

switch mode:
discard;keep

vcl 公用变量

backend.host 后端主机地址
backend.port 后端主机端口
client.ip 客户端ip
server.ip 服务器ip
req.request 请求类型 GET HEAD
req.url 请求的地址
req.proto 客户端发起请求的HTTP协议
req.backend 请求用某后端主机返回
req.http.header 对应请求中的http头部信息

vcl 可用于 miss pipe pass 中的变量

bereq.request 请求类型 GET HEAD
bereq.url 请求的地址
bereq.proto 客户端发起请求的HTTP协议
bereq.http.header 对应请求中的http头部信息

vcl 在lookup找到缓存数据或从后端主机取得数据后可以使用的变量

obj.proto 返回内容的HTTP协议
obj.status 返回内容的请求状态代码(200,203,300等)
obj.response 返回内容的请求状态信息
obj.valid 如果请求结果返回的是有效的 为真
obj.cacheable 如果返回的缓存数据是有效的 为真
obj.ttl 返回还有多久生存时间 单位：秒
obj.lastuse 返回上一次请求到现在间隔时间 单位：秒

vcl 在准备将内容返回至客户端时使用

resp.proto
resp.status
resp.response
resp.http.header

当你在建立一个防火墙的时候，你会认为应该谨慎的使用代理，你可以”绷紧”你的防火墙规则来保护你的内部网。或者你认为你的NAT没有正常的工作，你可以使用重定向：
rdr xl0 0.0.0.0/0 port 21 -> 127.0.0.1 port 21
这条规则是说任何连接ftp的数据包都被重定向到了127.0.0.1
针对ftp的代理有些复杂，因为web浏览器或者其它自动登录类型的客户端不知道如何跟代理通信。有个补丁是针对TIS防火墙的sftp-gw，NAT配合这个补丁能够解决这个问题。很多代理软件是透明代理(如squid)。
当你想强迫你的用户先向代理请求验证时，关键字rdr经常是很有用的。(例如你想让你的工程师能够上网冲浪，但是不希望呼叫中心的员工上网)

4.6 应用代理

ftp 有两种工作方式，如果想让防火墙后面的ftp正常工作，应该使用应用代理。我们可以让我们的防火墙注意通过它的每一个包，当它发现它正在处理的是主动 ftp连接，它能够产生几条临时规则，就像keep state，使得ftp的数据传输能够正常工作。我们需要些这样的规则：
map tun0 192.168.1.0/24 -> 20.20.20.1/32 proxy port ftp ftp/tcp
记得把这条规则写在其它映射规则的前面，否则其它映射规则在这条规则就起作用了，记住ipnat跟ipfilter不同，ipnat是先匹配规则(只要一匹配其它规则就跳过去)。另外rcmd和raudio代理也必须写在其它规则的前面。

5. 操作过滤规则，ipf

ipf用来加载ipfilter规则。规则文件可以放在系统的任何地方，但是一般都放在/etc/ipf.rules,/usr/local/etc/ipf.rules,/etc/opt/ipf/ipf.rules
IPfilter可以有两套规则，活动规则和不活动规则。默认情况下所有的操作都是基于活动规则。你可以用ipf -I来使用不活动规则。这两套规则可以用参数-s进行转换。这是非常有用的，你在测试新规则的时候就不用清除老规则。
ipf加参数-r可以删除列表中的规则，但是比较安全的方法是用参数-F清除规则，然后再加载修改后的规则。
加载规则最简单的方法是ipf -Fa -f /etc/ipf.rules.想获得其它操作规则的方法请参考ipf的man page.

6．加载NAT规则，ipnat

ipnat 用来加载NAT规则。规则文件可以放在系统的任何地方，但是一般都放在 /etc/ipnat.rules/usr/local/etc/ipnat.rules，/etc/opt/ipf/ipnat.rules用 ipnat加载，也可以用参数-r删除规则。但一般也是清空(参数-C)然后加载，对于活动的映射-C无效，可以用-F来清除。
NAT规则和活动的映射可以用ipnat -l查看。最简单的家在NAT规则的方法是ipnat -CF -f /etc/ipnat.rules.

7. 监视和调试

你也许很想知道防火墙到底在干什么，而且如果ipfilter没有状态监视工具的话，它就不是一个完整的防火墙。

7.1 ipfstat工具

ipfstat最简的用法是显示一个关于防火墙执行情况的数据表，比如有多少个包通过或则抛弃，它们是否被记录，以及由多少状态条等等。你将看到的是这样一些数据：
# ipfstat
input packets: blocked 99286 passed 1255609 nomatch 14686 counted 0
output packets: blocked 4200 passed 1284345 nomatch 14687 counted 0

input packets logged: blocked 99286 passed 0
output packets logged: blocked 0 passed 0
packets logged: input 0 output 0
log failures: input 3898 output 0
fragment state(in): kept 0 lost 0
fragment state(out): kept 0 lost 0
packet state(in): kept 169364 lost 0
packet state(out): kept 431395 lost 0
ICMP replies: 0 TCP RSTs sent: 0
Result cache hits(in): 1215208 (out): 1098963
IN Pullups succeeded: 2 failed: 0
OUT Pullups succeeded: 0 failed: 0
Fastroute successes: 0 failures: 0
TCP cksum fails(in): 0 (out): 0
Packet log flags set: (0)
none

ipfstat当然也能够显示你目前的规则列表。参数-i或者-o显示有哪些in规则或者out规则，加上参数-h能够显示更详细的信息，包括每条规则有多少个数据包命中。例如：
# ipfstat -ho
2451423 pass out on xl0 from any to any
354727 block out on ppp0 from any to any
430918 pass out quick on ppp0 proto tcp/udp from 20.20.20.0/24 to any keep state keep frags

从这里我们可以看出哪些地方可能不正常，ipfstat不能告诉你哪些规则正确或者错误，它只是告诉你由于你的规则而发生了什么事情。为了进一步调试规则，可以使用参数-n，这个参数显示规则的顺序
# ipfstat -on
@1 pass out on xl0 from any to any
@2 block out on ppp0 from any to any
@3 pass out quick on ppp0 proto tcp/udp from 20.20.20.0/24 to any keep state keep frags

ipfstat的最后一个用处是显示一些关于状态记录的数据。这个参数是-s
# ipfstat -s
281458 TCP
319349 UDP
0 ICMP
19780145 hits
5723648 misses
0 maximum
0 no memory
1 active
319349 expired
281419 closed
100.100.100.1 -> 20.20.20.1 ttl 864000 pass 20490 pr 6 state 4/4
pkts 196 bytes 17394 987 -> 22 585538471:2213225493 16592:16500
pass in log quick keep state
pkt_flags & b = 2, pkt_options & ffffffff = 0
pkt_security & ffff = 0, pkt_auth & ffff = 0

从这我们可以看到有一条tcp连接状态。不同的版本输出的内容会略有不同，但是基本的信息是一样的。这条连接的状态是4/4，而其它的状态是不完整的，我们将在后面详细介绍。4/4状态的超时时间是240小时，相当长的一段时间，但它默认是已建立的tcp连接的超时时间。当这条状态空闲时TTL的值每秒减 1，最终超时并被删除。当一个连接状态重新启用时，它的TTL值又恢复到864000，必须确保一个活动的连接不会超时。我们还可以看到有196个17K 的数据包通过。还有两端的端口号，这个例子是987和22。这意味着这条状态表示一个从100.100.100.1端口987到20.20.20.1端口 22的连接。第二行最大的数字是TCP顺序号，保证没有人能够轻易的在这个连接中注入伪装的数据包。TCP的窗口也显示出来。

7.2 ipmon

ipfstat 对收集在系统上发生的事情很有用，但是它还不能够方便且及时的查看日志。ipmon是一个工具，它有能力查看包过滤的日志(关键字log产生的日志)，状态日志，或者是nat日志以及由它们三者共同产生的日志。这个工具可以在前台运行也可以在后台运行(将日志传给syslogd或者一个文件)。如果我们想看状态表的当前情况，可以运行ipmon -o S
# ipmon -o S
01/08/1999 15:58:57.836053 STATE:NEW 100.100.100.1,53 -> 20.20.20.15,53 PR udp
01/08/1999 15:58:58.030815 STATE:NEW 20.20.20.15,123 -> 128.167.1.69,123 PR udp
01/08/1999 15:59:18.032174 STATE:NEW 20.20.20.15,123 -> 128.173.14.71,123 PR udp
01/08/1999 15:59:24.570107 STATE:EXPIRE 100.100.100.1,53 -> 20.20.20.15,53 PR udp Pkts 4 Bytes 356
01/08/1999 16:03:51.754867 STATE:NEW 20.20.20.13,1019 -> 100.100.100.10,22 PR tcp
01/08/1999 16:04:03.070127 STATE:EXPIRE 20.20.20.13,1019 -> 100.100.100.10,22 PR tcp Pkts 63 Bytes 4604

我们可以看到有一条外部机器向我们的dnssever发送dns请求的状态条，两条xntp ping到时间服务器，一条短暂的向外的ssh连接。
ipmon也可以显示哪些数据包被日志记录了。例如
# ipmon -o I
15:57:33.803147 ppp0 @0:2 b 100.100.100.103,443 -> 20.20.20.10,4923 PR tcp len 20 1488 -A

它们的含义分别是时间戳 接口 规则 阻止 源地址，端口 -> 目的地址，端口 协议 tcp 包长度 20 1488 ACK
最后我们看一下NAT表
# ipmon -o N
01/08/1999 05:30:02.466114 @2 NAT:RDR 20.20.20.253,113 <- -> 20.20.20.253,113 [100.100.100.13,45816]
01/08/1999 05:30:31.990037 @2 NAT:EXPIRE 20.20.20.253,113 <- -> 20.20.20.253,113 [100.100.100.13,45816] Pkts 10 Bytes 455

这是一条重定向的规则，用于在我们的防火墙后面提供规则的场合。

8．ipfilter的特殊用法

8.1 基于服务器和标志的deep state

保存状态很有用，但是很容易犯错。通常，你在第一条与数据包进行交互的规则中加入keep state，一个普遍的错误是混合了状态跟踪和基于标志的过滤：
block in all
pass in quick proto tcp from any to 20.20.20.20/32 port = 23 flags S
pass out all keep state

这几条规则的本意是允许客户机与服务器20.20.20.20进行telnet连接，如果你在试验这规则你会发现它能够马上起作用，由于我们是对SYN进行匹配的，状态条是不能够做到4/4的(不完整状态)，这个状态默认的超时是60秒。
我们可以重写规则来解决这个问题：
1)

block in all
pass in quick proto tcp from any to 20.20.20.20/32 port = 23 keep state
block out all

或者
2)

block in all
pass in quick proto tcp from any to 20.20.20.20/32 port = 23 flags S keep state
pass out all keep state

这两组规则的任何一组都可以为每个连接建立完整的状态条。

8.2 解决ftp

ftp有两种不同的传输模式，防火墙管理员不得不解决ftp的这些问题。更糟的是ftp客户机和服务器的问题是不一样的。
ftp协议里面有两种数据传输模式，主动和被动。主动传输是服务器向客户机的一个开放端口进行连接然后传数据。相反地，被动传输是客户机向服务器发起连接并接受数据。

8.2.1 运行ftp服务

在运行ftp服务中，处理主动ftp的连接是比较简单的。而处理被动ftp则是一个大问题。首先我们先讨论怎样处理主动ftp，然后是被动ftp。通常主动ftp就像一个进入的http或者smtp连接：我们只要打开ftp端口并keep state就可以了：
pass in quick proto tcp from any to 20.20.20.20/32 port = 21 flags S keep state
pass out proto tcp all keep state

这两条规则允许主动ftp连接，这是最常见的类型。
下面是处理被动ftp连接。web浏览器默认是这种情况，它变得越来越流行，因此我们必须支持它。被动ftp的问题是针对每个被动连接，ftp服务器必须重开一个新端口(通常是1023以上)。这就像是在服务器上提供一个新的服务。如果我们的防火墙默认策略是禁止的，那么这个新的服务将被阻止，ftp会话就中断了。但是我们还有别的办法可以解决这个问题。
也许有人会打开所有1023以上的端口来解决这个问题。事实上，这个方法确实能够解决问题，尽管它令人不太满意：
pass in quick proto tcp from any to 20.20.20.20/32 port > 1023 flags S keep state
pass out proto tcp all keep state

打开所有1023以上的端口，我们将面临一些潜在的危险。端口1-1023是提供给服务进程使用的，众多的程序决定使用1023以上的端口，比如nfsd和X
幸运的是ftp服务进程可以自己决定哪个端口分配给被动连接。这意味着你可以仅仅打开15001-19999端口作为ftp的端口，而不是打开所有1023 以上的端口。在wu-ftpd里面，可以在ftpaccess中指定被动端口。请参考ftpaccess的手册。ipfilter所需要做的仅仅是建立相应的规则：
pass in quick proto tcp from any to 20.20.20.20/32 port 15000 >< 20000 flags S keep state
pass out proto tcp all keep state

如果这样还不能使你满意的话，你只好修改ipf来支持ftp或者修改ftp来支持ipf。

8.2.2 运行ftp客户程序

尽管ipf对ftp服务的支持不甚完美，但是从3.3.3以后的版本对ftp客户软件的支持已经比较完善。就像ftp服务一样，ftp客户应用也有两个传输模式：主动和被动。
从防火墙的观点来看，ftp最简单的传输模式是被动模式。假设你对所有外出的tcp连接keep state，被动传输就可以正常工作了。如果你还没有这样做的话可以使用下面的规则：
pass out proto tcp all keep state
主动模式有一点麻烦，主动模式使服务器打开第二个连接与客户机进行数据交换。当它们之间有防火墙时就会出现问题。为了解决这个问题，ipfilter包含了一个ipnat代理，这个代理临时在防火墙上打开一个洞，使得ftp服务器可以顺利的连接客户机。甚至是你没有使用ipnat来做地址转换，这个代理也是有效的。下面这条规则加入ipnat的配置文件当中(ep0是外网接口):
map ep0 0/0 -> 0/32 proxy port 21 ftp/tcp
关于ipfilter内部代理的细节，请看3.6

8.3 内核参数

有一些内核参数是建立ipf所必需的，还有一些让我们可以方便的了解建立防火墙的信息。其中主要的一项是打开ip转发，否则ipf几乎什么也做不了，因为ip栈不会真的路由数据包。
ip转发：
openbsd:
net.inet.ip.forwarding=1

freebsd:
net.inet.ip.forwarding=1

netbsd:
net.inet.ip.forwarding=1

solaris:
ndd -set /dev/ip ip_forwarding 1

端口调整：
openbsd:
net.inet.ip.portfirst = 25000

freebsd:
net.inet.ip.portrange.first = 25000 net.inet.ip.portrange.last = 49151

netbsd:
net.inet.ip.anonportmin = 25000 net.inet.ip.anonportmax = 49151

solaris:
ndd -set /dev/tcp tcp_smallest_anon_port 25000
ndd -set /dev/tcp tcp_largest_anon_port 65535

其它有用的参数：
openbsd:
net.inet.ip.sourceroute = 0
net.inet.ip.directed-broadcast = 0

openbsd:
net.inet.ip.sourceroute = 0
net.inet.ip.directed-broadcast = 0

freebsd:
net.inet.ip.sourceroute=0
net.ip.accept_sourceroute=0

netbsd:
net.inet.ip.allowsrcrt=0
net.inet.ip.forwsrcrt=0
net.inet.ip.directed-broadcast=0
net.inet.ip.redirect=0

solaris:
ndd -set /dev/ip ip_forward_directed_broadcasts 0
ndd -set /dev/ip ip_forward_src_routed 0
ndd -set /dev/ip ip_respond_to_echo_broadcast 0

另外，freebsd有一些sysctl变量：
net.inet.ipf.fr_flags: 0
net.inet.ipf.fr_pass: 514
net.inet.ipf.fr_active: 0
net.inet.ipf.fr_tcpidletimeout: 864000
net.inet.ipf.fr_tcpclosewait: 60
net.inet.ipf.fr_tcplastack: 20
net.inet.ipf.fr_tcptimeout: 120
net.inet.ipf.fr_tcpclosed: 1
net.inet.ipf.fr_udptimeout: 120
net.inet.ipf.fr_icmptimeout: 120
net.inet.ipf.fr_defnatage: 1200
net.inet.ipf.fr_ipfrttl: 120
net.inet.ipf.ipl_unreach: 13
net.inet.ipf.ipl_inited: 1
net.inet.ipf.fr_authsize: 32
net.inet.ipf.fr_authused: 0
net.inet.ipf.fr_defaultauthage: 600

9. 有趣的ipf

这一部分不是教你ipf的一些新东西，但是可能提到一些你没有考虑到的，或者引发你发明一些我们没有考虑过的东西。

9.1 内网过滤

很久以前，有个叫Wietse Venema创建了一个tcp-wrapper包，它被用来保护网络服务，这很好，但是tcp-wrappers也有缺点。首先，就像它名字所说的，它只能保护tcp服务。另外，你必须用inetd来运行服务，而且你还要与libwrap一起编译，并且服务进程跟tcp-wrapper联系起来才能保护你的服务进程。这样系统就留下了一些巨大的安全漏洞，我们可以在本机上使用ipf堵上这些漏洞。例如我的电脑需要经常接入不太可靠的网络，我可以使用以下规则集：
pass in quick on lo0 all
pass out quick on lo0 all

block in log all
block out all

pass in quick proto tcp from any to any port = 113 flags S keep state
pass in quick proto tcp from any to any port = 22 flags S keep state
pass in quick proto tcp from any port = 20 to any port 39999 >< 45000 flags S keep state

pass out quick proto icmp from any to any keep state
pass out quick proto tcp/udp from any to any keep state keep frags

这个规则集对你的本地网来说已经很安全了，如果你想让你的防火墙更安全，你可以使用ftp的应用代理，而且你可以加入防止欺骗的规则集。如果你的机器有很多个用户而且你不想让他们启动一个不属于他们的服务的话，这个规则集是比较合适的。这个规则集不能阻止一个拥有root权限的cracker修改你的ipf 规则或者启动一个服务进程，它可以使你在一个复杂的局域网内更安全，我觉得这一点是很重要的。在一个规则集中加入本地过滤的规则通常可以解决很多性能问题。

9.2 什么是防火墙？透明过滤器

建立一个防火墙必须保证防火墙本身的完整性。有人可以突破你的防火墙并改变防火墙规则吗？这是管理员们必须面对的一个问题。
很多网络管理员对普通的以太网桥很熟悉，它是用来将两个独立的以太网连接成一个以太网的设备。通常是用来连接两栋建筑物，转换网络速度或者扩展网络有效的连接距离。集线器和交换器是普通的网桥，有时它们只有两个接口，我们称之为中继器。现在的Linux，OpenBSD，NetBSD，FreeBSD都可以将一台pc机当成网桥使用。网桥有一个共同的特点是连接两台机器，而这两台机器并不知道网桥的存在。
以太网桥作用于ISO协议栈的第二层，ip栈作用于第三层。IP Filter主要是作用于第三层，还涉及到第二层的网络接口。OpenBSD的网桥设备配合IP filter可以建立一个不可见的防火墙。这个系统不需要IP地址，它甚至不用暴露它的以太网地址(MAC)仅仅是使数据包的延迟稍微提高。
建立这样的规则惊人的简单。在OpenBSD里面，第一个网桥设备名是bridbe0.假设我们的机器上有两块网卡，xl0和xl1.为了使这台机器成为一个网桥，我们所要做的仅仅是输入下面三条命令：
brconfig bridge0 add xl0 add xl1 up
ifconfig xl0 up
ifconfig xl1 up

所有到达xl0的数据包都被送到xl1，所有到达xl1的数据包都被送到xl0。你会注意到两个网卡都没有分配IP地址，也没有必要。最好是不分配地址。
尽管有一个bridge0接口，我们并不是基于这个接口进行过滤的，从一个简单的例子开始，假设我们的网络是这样的：
20.20.20.1 <---------------------------------> 20.20.20.0/24 network hub
在20.20.20.1上有一个路由器，所有20.20.20.0/24外出的数据包都是通过20.20.20.1。现在我们加入一个ipf网桥：
20.20.20.1 <-------/xl0 IpfBridge xl1/-------> 20.20.20.0/24 network hub
我们在ipf桥上设置了这样几条规则：
pass in quick all
pass out quick all

这个网络的功能没有改变，现在我们改变一下规则：
block in quick on xl0 proto icmp
pass in quick all
pass out quick all

20.20.20.1 和20.20.20.0/24还是认为网络没有改变，只是如果20.20.20.1 ping 20.20.20.2时，它将接受不到回复。事实上20.20.20.2根本就接受不到ping。ipfilter在中间阻止了这个数据包(ping)到达另一端。我们可以在任何地方设置一个ipf网桥。这种方法可以将一个网络缩小到一台主机，只要有足够多的网卡。
阻止来自外网的icmp看起来有点愚蠢，特别的如果你是一个系统管理员，你想ping外网，traceroute，或者改变MTU的大小。让我们建立一个更好的规则集，利用ipf的主要特点：状态检查。
pass in quick on xl1 proto tcp keep state
pass in quick on xl1 proto udp keep state
pass in quick on xl1 proto icmp keep state
block in quick on xl0

这种情况下，20.20.20.0/24(也许称为xl1网络会比较好)能够到达外部网，而外网无法进入20.20.20.0/24，甚至是路由器不安全的时候，防火墙还是能够起作用。
现在我们仅仅是基于接口和协议进行过滤。我们还可以基于ip地址进行过滤。通常我们会提供一些服务，因此我们的规则集看起来会是这样：
pass in quick on xl1 proto tcp keep state
pass in quick on xl1 proto udp keep state
pass in quick on xl1 proto icmp keep state
block in quick on xl1 # nuh-uh, we’re only passing tcp/udp/icmp sir.
pass in quick on xl0 proto udp from any to 20.20.20.2/32 port=53 keep state
pass in quick on xl0 proto tcp from any to 20.20.20.2/32 port=53 flags S keep state
pass in quick on xl0 proto tcp from any to 20.20.20.3/32 port=25 flags S keep state
pass in quick on xl0 proto tcp from any to 20.20.20.7/32 port=80 flags S keep state
block in quick on xl0

现在我们有这么一个网络，20.20.20.2是一个域名服务器，20.20.20.3是一个邮件服务器，20.20.20.7是一个web服务器。
我们必须承认，ipfilter网桥还很不完善。
首先，所有的规则都只有in方向而没有out方向。这是因为OpenBSD网桥的out还没有实现。当初这样设计的本意是不因为使用多个接口而使性能大幅降低。现在性能问题已经得到改善，但是out仍然没有实现。如果你有需要，你可以手动修改代码或者是寻求其他OpenBSD使用者的帮忙。
其次，在ipf网桥中使用NAT是很不明智的。因为这将暴露ipf网桥的存在，而且也没有ip地址可以用来映射。当然你可以给接口设置ip地址使得NAT可以正常工作，但是网桥的优点就会降低。

9.2.1 利用透明过滤修复网络设计失误

很多机构认为建立一个子网一个防火墙是一个好主意。他们拥有c类地址甚至更大地址空间的网络，这个网络包含了所有服务，包括他们的服务器，工作站，路由器。这是很糟糕的！重新调整合适的子网，信任级别，过滤器等等将要付出大量的人力和财力。昂贵的付出通常使大部分机构不想去解决这个问题，这还不包括停工期。这个问题看起来是这样的：
20.20.20.1 router 20.20.20.6 unix server
20.20.20.2 unix server 20.20.20.7 nt workstation
20.20.20.3 unix server 20.20.20.8 nt server
20.20.20.4 win98 workstation 20.20.20.9 unix workstation
20.20.20.5 intelligent switch 20.20.20.10 win95 workstation

实际情况可能复杂得多。比较合适的做法是将所有可信任的服务器归为一个子网，其他工作站归为另外一个子网，剩下的就是交换机在同一个子网。现在路由器可以过滤所有子网，限制工作站访问服务器。现在这个C类网络看起来就比较一致了。
首先我们将路由器，工作站，服务器分开。为了达到这个目的，我们需要两个集线器(或者交换机),一台三个网卡的ipf机器.我们将所有的服务器接在一个集线器上,所有的工作站接另一个集线器,通常我们将两个集线器连起来,然后再接到路由器。这里我们将路由器接到ipf的xl0接口，服务器组接到xl1，工作站接到xl2，我们的网络图看起来是这样的：

| 20.20.20.2 unix server
router (20.20.20.1) _____| 20.20.20.3 unix server
| / | 20.20.20.6 unix server
| /xl1 | 20.20.20.7 nt server
—–/xl0 IPF Bridge <
\xl2 | 20.20.20.4 win98 workstation
\______| 20.20.20.8 nt workstation
| 20.20.20.9 unix workstation
| 20.20.20.10 win95 workstation

为了充分的利用filter网桥的优点，我们添加了一些规则：

pass in quick on xl0 proto udp from any to 20.20.20.2/32 port=53 keep state
pass in quick on xl0 proto tcp from any to 20.20.20.2/32 port=53 flags S keep state
pass in quick on xl0 proto tcp from any to 20.20.20.3/32 port=25 flags S keep state
pass in quick on xl0 proto tcp from any to 20.20.20.7/32 port=80 flags S keep state
block in quick on xl0
pass in quick on xl1 proto tcp keep state
pass in quick on xl1 proto udp keep state
pass in quick on xl1 proto icmp keep state
block in quick on xl1 # nuh-uh, we’re only passing tcp/udp/icmp sir.
pass in quick on xl2 proto tcp keep state
pass in quick on xl2 p