【正文】 ACCEPT 將封包放行 REJECT 攔阻該封包 DROP 丟棄封包不予處理 A 在所選擇的鏈(INPUT等)末添加一條或更多規(guī)則 D 刪除一條 E 修改 p tcp、udp、icmp 0相當(dāng)于所有all !取反 P 設(shè)置缺省策略(與所有鏈都不匹配強(qiáng)制使用此策略) s IP/掩碼 (IP/24) 主機(jī)名、網(wǎng)絡(luò)名和清楚的IP地址 !取反 j 目標(biāo)跳轉(zhuǎn)，立即決定包的命運(yùn)的專用內(nèi)建目標(biāo) i 進(jìn)入的（網(wǎng)絡(luò)）接口 [名稱] eth0 o 輸出接口[名稱] m 模塊 sport 源端口 dport 目標(biāo)端口 iptables F 將防火墻中的規(guī)則條目清除掉 注意: iptables P INPUT ACCEPT iptablesrestore 規(guī)則文件 導(dǎo)入防火墻規(guī)則 /etc/ /etc/ iptables L n 查看規(guī)則 iptables t nat nL 查看轉(zhuǎn)發(fā) iptables實(shí)例{ iptables L INPUT 列出某規(guī)則鏈中的所有規(guī)則 iptables X allowed 刪除某個(gè)規(guī)則鏈 ,不加規(guī)則鏈，清除所有非內(nèi)建的 iptables Z INPUT 將封包計(jì)數(shù)器歸零 iptables N allowed 定義新的規(guī)則鏈 iptables P INPUT DROP 定義過濾政策 iptables A INPUT s 比對(duì)封包的來源IP ! ! 反向?qū)Ρ? iptables A INPUT d 比對(duì)封包的目的地IP iptables A INPUT i eth0 比對(duì)封包是從哪片網(wǎng)卡進(jìn)入 iptables A FORWARD o eth0 比對(duì)封包要從哪片網(wǎng)卡送出 eth+表示所有的網(wǎng)卡 iptables A INPUT p tcp p ! tcp 排除tcp以外的udp、icmp。p all所有類型 iptables D INPUT 8 從某個(gè)規(guī)則鏈中刪除一條規(guī)則 iptables D INPUT dport 80 j DROP 從某個(gè)規(guī)則鏈中刪除一條規(guī)則 iptables R INPUT 8 s j DROP 取代現(xiàn)行規(guī)則 iptables I INPUT 8 dport 80 j ACCEPT 插入一條規(guī)則 iptables A INPUT i eth0 j DROP 其它情況不允許 iptables A INPUT p tcp s IP j DROP 禁止指定IP訪問 iptables A INPUT p tcp s IP dport port j DROP 禁止指定IP訪問端口 iptables A INPUT s IP p tcp dport port j ACCEPT 允許在IP訪問指定端口 iptables A INPUT p tcp dport 22 j DROP 禁止使用某端口 iptables A INPUT i eth0 p icmp m icmp icmptype 8 j DROP 禁止icmp端口 iptables A INPUT i eth0 p icmp j DROP 禁止icmp端口 iptables t filter A INPUT i eth0 p tcp syn j DROP 阻止所有沒有經(jīng)過你系統(tǒng)授權(quán)的TCP連接 iptables A INPUT f m limit limit 100/s limitburst 100 j ACCEPT IP包流量限制 iptables A INPUT i eth0 s ，禁止其它人ping我的主機(jī) iptables A INPUT p tcp m tcp dport 80 m state state NEW m recent update seconds 5 hitcount 20 rttl name WEB rsource j DROP 可防御cc攻擊(未測(cè)試) } iptables配置實(shí)例文件{ Generated by iptablessave on Fri Feb 9 12:10:37 2007 *filter :INPUT ACCEPT [637:58967] :FORWARD DROP [0:0] :OUTPUT ACCEPT [5091:1301533] 允許的IP或IP段訪問 建議多個(gè) A INPUT s p tcp j ACCEPT A INPUT s 開放對(duì)外開放端口 A INPUT p tcp dport 80 j ACCEPT 指定某端口針對(duì)IP開放 A INPUT s p tcp dport 22 j ACCEPT 拒絕所有協(xié)議(INPUT允許) A INPUT p tcp m tcp tcpflags FIN,SYN,RST,PSH,URG RST j DROP 允許已建立的或相關(guān)連的通行 iptables A INPUT m state state ESTABLISHED,RELATED j ACCEPT 拒絕ping A INPUT p tcp m tcp j REJECT rejectwith icmpportunreachable COMMIT Completed on Fri Feb 9 12:10:37 2007 } iptables配置實(shí)例{ 允許某段IP訪問任何端口 iptables A INPUT s 設(shè)定預(yù)設(shè)規(guī)則 (拒絕所有的數(shù)據(jù)包，再允許需要的,) iptables P INPUT DROP iptables P FORWARD DROP iptables P OUTPUT ACCEPT 注意: 直接設(shè)置這三條會(huì)掉線 開啟22端口 iptables A INPUT p tcp dport 22 j ACCEPT 如果OUTPUT 設(shè)置成DROP的，要寫上下面一條 iptables A OUTPUT p tcp sport 22 j ACCEPT 注:,OUTPUT設(shè)置成DROP的話,也要添加一條鏈 如果開啟了web服務(wù)器,OUTPUT設(shè)置成DROP的話,同樣也要添加一條鏈 iptables A OUTPUT p tcp sport 80 j ACCEPT 做WEB服務(wù)器,開啟80端口 ,其他同理 iptables A INPUT p tcp dport 80 j ACCEPT 做郵件服務(wù)器,開啟25,110端口 iptables A INPUT p tcp dport 110 j ACCEPT iptables A INPUT p tcp dport 25 j ACCEPT 允許icmp包通過,允許ping iptables A OUTPUT p icmp j ACCEPT (OUTPUT設(shè)置成DROP的話) iptables A INPUT p icmp j ACCEPT (INPUT設(shè)置成DROP的話) 允許loopback!(不然會(huì)導(dǎo)致DNS無法正常關(guān)閉等問題) IPTABLES A INPUT i lo p all j ACCEPT (如果是INPUT DROP) IPTABLES A OUTPUT o lo p all j ACCEPT(如果是OUTPUT DROP) } 添加網(wǎng)段轉(zhuǎn)發(fā){ 例如通過vpn上網(wǎng) echo 1 /proc/sys/net/ipv4/ip_forward 在內(nèi)核里打開ip轉(zhuǎn)發(fā)功能 iptables t nat A POSTROUTING s iptables t nat A POSTROUTING s iptables t nat nL 查看轉(zhuǎn)發(fā) } 端口映射{ 內(nèi)網(wǎng)通過有外網(wǎng)IP的機(jī)器映射端口 內(nèi)網(wǎng)主機(jī)添加路由 route add net netmask gw 內(nèi)網(wǎng)需要添加默認(rèn)網(wǎng)關(guān)，并且網(wǎng)關(guān)開啟轉(zhuǎn)發(fā) 網(wǎng)關(guān)主機(jī) echo 1 /proc/sys/net/ipv4/ip_forward 在內(nèi)核里打開ip轉(zhuǎn)發(fā)功能 iptables t nat A PREROUTING d 外網(wǎng)IP p tcp dport 9999 j DNAT to :22 進(jìn)入 iptables t nat A POSTROUTING s iptables t nat nL 查看轉(zhuǎn)發(fā) } }}4服務(wù){(diào) /etc/ /etc/ /etc/ /date/mysql/bin/mysqld_safe user=mysql amp。 啟動(dòng)mysql后臺(tái)運(yùn)行 vi /etc/ /etc/ ln s f /date/d/bin/apachectl /etc/ ipvsadm ln lvs查看后端負(fù)載機(jī)并發(fā) ipvsadm C lvs清除規(guī)則 xm list 查看xen虛擬主機(jī)列表 virsh 虛擬化(xen\kvm)管理工具 yum groupinstall Virtual* ./bin/d M 查看d加載模塊 d t D DUMP_MODULES rpm包d查看加載模塊 echo 內(nèi)容| /bin/mail s 標(biāo)題 收件箱 f 發(fā)件人 發(fā)送郵件 `echo 內(nèi)容|iconv f utf8 t gbk` | /bin/mail s `echo 標(biāo)題|iconv f utf8 t gbk` 收件箱 解決郵件亂碼 /usr/local/nagios/bin/nagios v /usr/local/nagios/etc/ 檢測(cè)nagios配置文件 chkconfig{ chkconfig 服務(wù)名 on|off|set 設(shè)置非獨(dú)立服務(wù)啟狀態(tài) chkconfig level 35 d off 讓服務(wù)不自動(dòng)啟動(dòng) chkconfig level 35 d on 讓服務(wù)自動(dòng)啟動(dòng) 35指的是運(yùn)行級(jí)別 chkconfig list 查看所有服務(wù)的啟動(dòng)狀態(tài) chkconfig list |grep d 查看某個(gè)服務(wù)的啟動(dòng)狀態(tài) chkconfig –list [服務(wù)名稱] 查看服務(wù)的狀態(tài) } d{ 編譯參數(shù){ so模塊用來提供DSO支持的apache核心模塊 如果編譯中包含任何DSO模塊，則mod_so會(huì)被自動(dòng)包含進(jìn)核心。 如果希望核心能夠裝載DSO，但不實(shí)際編譯任何DSO模塊，則需明確指定enableso=static ./configure pre