Teaker's Blog

一、软件安装卸载，分几种情况：

A：RPM包，这种软件包就像windows的EXE安装文件一样，各种文件已经编译好，并打了包，哪个文件该放到哪个文件夹，都指定好了，安装非常方便，在图形界面里你只需要双击就能自动安装。
==如何卸载:
1、打开一个SHELL终端
2、因为LINUX下的软件名都包括版本号，所以卸载前最好先确定这个软件的完整名称。
查找RPM包软件：rpm -qa ×××*
注意：×××指软件名称开头的几个字母，不要求写全，但别错，*就是通配符号“*”，即星号，如你想查找机子里安装的REALPLAYER软件，可以输入：rpm -qa realplay*
3、找到软件后，显示出来的是软件完整名称，如firefox-1.0.1-1.3.2
执行卸载命令：rpm -e firefox-1.0.1-1.3.2
===安装目录，执行命令查找：rpm -ql firefox-1.0.1-1.3.2

B：tar.gz（bz或bz2等）结尾的源代码包，这种软件包里面都是源程序，没有编译过，需要编译后才能安装，安装方法为:
1、打开一个SHELL，即终端
2、用CD 命令进入源代码压缩包所在的目录
3、根据压缩包类型解压缩文件(*代表压缩包名称)
tar -zxvf ****.tar.gz
tar -jxvf ****.tar.bz(或bz2)
4、用CD命令进入解压缩后的目录
5、输入编译文件命令：./configure（有的压缩包已经编译过，这一步可以省去）
6、然后是命令：make
7、再是安装文件命令：make install
8、安装完毕
===如何卸载：
1、打开一个SHELL，即终端
2、用CD 命令进入编译后的软件目录，即安装时的目录
3、执行反安装命令：make uninstall
====安装目录：注意make install命令过程中的安装目录，或者阅读安装目录里面的readme文件，当然最好的办法是在安装的过程中指定安装目录，即在./configure命令后面加参数–prefix=/**，
如：./configure –prefix=/usr/local/aaaa，即把软件装在/usr/local/路径的aaaa这个目录里。一般的软件的默认安装目录在/usr/local或者/opt里，可以到那里去找找

C：以bin结尾的安装包，这种包类似于RPM包，安装也比较简单
1、打开一个SHELL，即终端
2、用CD 命令进入源代码压缩包所在的目录
3、给文件加上可执行属性：chmod +x ******.bin（中间是字母x，小写）
3、执行命令：./******.bin(realplayer for linux就是这样的安装包)
===如何卸载：把安装时中选择的安装目录删除就OK
===执行安装过程中可以指定，类似于windows下安装。

二、安装完软件后如何执行。 安装完软件后可以有好多种方法执行软件：

A、有些软件安装后会自动在应用程序列表里加上快捷键，和windows一样，到那里找就行了。
B、如果在应用程序列表里找不到的话，可以直接在/开始/运行命令里输入命令：启动命令一般就是软件名，如firefox，realplay，xmms等
C、也可以打开一个shell终端，输入软件名，和在“运行命令”里一样。如果不知道命令全程的话，可以输入开头的字母，然后按tab键查找，系统会自动显示以输入字母开头的所有命令/
D、你也可以直接到安装目录下运行启动文件，linux下的可执行图标和shell终端图标很像
E、到/usr/bin目录里找安装的软件启动文件执行命令。linux系统把所有可执行的文件命令在/usr/bin目录里都作了启动连接，你可以去那个目录寻找你安装的文件的启动命令，双击启动

    rmp软件包的安装可以使用程序rpm来完成。执行下面的命令
rpm -i your-package.rpm
    其中your-package.rpm是你要安装的rpm包的文件名，一般置于当前目录下。
    安装过程中可能出现下面的警告或者提示：
… conflict with …  可能是要安装的包里有一些文件可能会覆盖现有的文件，缺省时这样的情况下是无法正确安装的可以用
                rpm –force -i 强制安装即可
… is needed by …
… is not installed … 此包需要的一些软件你没有安装可以用
                rpm –nodeps -i 来忽略此信息
    也就是说，rpm -i –force –nodeps 可以忽略所有依赖关系和文件问题，什么包都能安装上，但这种强制安装的软件包不能保证完全发挥功能

二、如何安装.src.rpm软件包

    有些软件包是以.src.rpm结尾的，这类软件包是包含了源代码的rpm包，在安装时需要进行编译。这类软件包有两种安装方法，
方法一：
1.执行rpm -i your-package.src.rpm
2.    cd /usr/src/redhat/SPECS
3.    rpmbuild -bp your-package.specs         一个和你的软件包同名的specs文件
4.    cd /usr/src/redhat/BUILD/your-package/   一个和你的软件包同名的目录
5.    ./configure  这一步和编译普通的源码软件一样，可以加上参数
6.    make
7.    make install

方法二:
1.执行rpm -i you-package.src.rpm
2.    cd /usr/src/redhat/SPECS
前两步和方法一相同
3.    rpmbuild -bb your-package.specs         一个和你的软件包同名的specs文件
这时，在/usr/src/redhat/RPM/i386/ （根据具体包的不同，也可能是i686,noarch等等)
在这个目录下，有一个新的rpm包，这个是编译好的二进制文件。
执行rpm -i new-package.rpm即可安装完成。

三、如何卸载rpm软件包

    使用命令 rpm -e 包名，包名可以包含版本号等信息，但是不可以有后缀.rpm
比如卸载软件包proftpd-1.2.8-1，可以使用下列格式：
        rpm -e proftpd-1.2.8-1
        rpm -e proftpd-1.2.8
        rpm -e proftpd-
        rpm -e proftpd
    不可以是下列格式：
        rpm -e proftpd-1.2.8-1.i386.rpm
        rpm -e proftpd-1.2.8-1.i386
        rpm -e proftpd-1.2
        rpm -e proftpd-1
    有时会出现一些错误或者警告：
… is needed by … 这说明这个软件被其他软件需要，不能随便卸载
                可以用rpm -e –nodeps强制卸载

四、如何不安装但是获取rpm包中的文件

    使用工具rpm2cpio和cpio
rpm2cpio xxx.rpm | cpio -vi
rpm2cpio xxx.rpm | cpio -idmv 
rpm2cpio xxx.rpm | cpio –extract –make-directories
参数i和extract相同，表示提取文件。v表示指示执行进程
d和make-directory相同，表示根据包中文件原来的路径建立目录
m表示保持文件的更新时间。

五、如何查看与rpm包相关的文件和其他信息

下面所有的例子都假设使用软件包mysql-3.23.54a-11
1.我的系统中安装了那些rpm软件包
        rpm -qa         讲列出所有安装过的包
  如果要查找所有安装过的包含某个字符串sql的软件包
        rpm -qa |grep sql

2.如何获得某个软件包的文件全名
        rpm -q mysql    可以获得系统中安装的mysql软件包全名，从中可以获得当前软件包的版本等信息。这个例子中可以得到信息mysql-3.23.54a-11

3.一个rpm包中的文件安装到那里去了？
         rpm -ql 包名
   注意这里的是不包括.rpm后缀的软件包的名称
   也就是说只能用mysql或者mysql-3.23.54a-11而不是mysql-3.23.54a-11.rpm。
   如果只是想知道可执行程序放到那里去了，也可以用which，比如
        which mysql

4.一个rpm包中包含那些文件
    一个没有安装过的软件包，使用rpm -qlp ****.rpm
    一个已经安装过的软件包，还可以使用rpm -ql ****.rpm

5.如何获取关于一个软件包的版本，用途等相关信息？
    一个没有安装过的软件包，使用rpm -qip ****.rpm
    一个已经安装过的软件包，还可以使用rpm -qi ****.rpm

6.某个程序是哪个软件包安装的，或者哪个软件包包含这个程序
          rpm -qf  `which 程序名`   返回软件包的全名
          rpm -qif `which 程序名`   返回软件包的有关信息
          rpm -qlf `which 程序名`   返回软件包的文件列表
   注意，这里不是引号，而是`，就是键盘左上角的那个键。
   也可以使用rpm -qilf，同时输出软件包信息和文件列表

7.某个文件是哪个软件包安装的，或者哪个软件包包含这个文件
    注意，前一个问题中的方法，只适用与可执行的程序，而下面的方法，不仅可以用于可执行程序，也可以用于普通的任何文件。前提是知道这个文件名。
    首先获得这个程序的完整路径，可以用whereis或者which，然后使用rpm -qf例如：
        # whereis ftptop
        ftptop: /usr/bin/ftptop /usr/share/man/man1/ftptop.1.gz
        # rpm -qf /usr/bin/ftptop
        proftpd-1.2.8-1
        # rpm -qf /usr/share/doc/proftpd-1.2.8/rfc/rfc0959.txt
        proftpd-1.2.8-1
                
总结：
    获得软件包相关的信息用rpm -q，q表示查询query，后面可以跟其他选项，比如
i  表示info，获得软件包的信息；
l  表示list，获得文件列表；
a  表示all，在所有包中执行查询；
f  表示file，根据文件进行相关的查询；
p  表示package，根据软件包进行查询
    需要的查询条件可以使用grep产生，或者从"` `"中的命令行产生

六、关于rpm软件包的一些相关知识

1.什么是rpm
   rpm 即RedHat Package Management，是RedHat的发明之一

2.为什么需要rpm
   在一个操作系统下，需要安装实现各种功能的软件包。这些软件包一般都有各自的程序，但是同时也有错综复杂的依赖关系。同时还需要解决软件包的版本，以及安装，配置，卸载的自动化问题。为了解决这些问题，RedHat针对自己的系统提出了一个较好的办法来管理成千上百的软件。这就是RPM管理系统。在系统中安装了rpm管理系统以后，只要是符合rpm文件标准的打包的程序都可以方便的安装，升级，卸载

3.是不是所有的linux都使用rpm
    任何系统都需要包管理系统，因此很多linux都使用rpm系统。但rpm系统是为RH专门.但是TL,Mandrake等系统也都使用rpm。由于rpm的源程序可以在别的系统上进行编译，所以有可能在别的系统上也使用rpm
    除了rpm，其他一些系统也有自己的软件包管理程序，例如debian的deb包，slakware也都有自己的包管理系统

4.rpm包的文件名为什么那么长
    rpm包的文件名中包含了这个软件包的版本信息，操作系统信息，硬件要求等等。
比如mypackage-1.1-2TL.i386.rpm，其中mypackage是在系统中登记的软件包的名字1.1是软件的版本号，2是发行号，TL表示用于TL操作系统，还可能是RH等。i386表示用于intel x86平台，还可能是sparc等。
 
5.软件包文件名中的i386,i686是什么意思
    rpm软件包的文件名中，不仅包含了软件名称，版本信息，还包括了适用的硬件架构的信息。
    i386指这个软件包适用于intel 80386以上的x86架构的计算机(AI32)
    i686指这个软件包适用于intel 80686以上(奔腾pro以上)的x86架构的计算机(IA32)
    noarch指这个软件包于硬件架构无关，可以通用。
    i686软件包的程序通常针对CPU进行了优化，所以，向后兼容比较用以，i386的包在x86机器上都可以用。向前一般不兼容。不过现在的计算机，奔腾pro以下的CPU已经很少用，通常配置的机器都可以使用i686软件包

6.不同操作系统发行的rpm包可否混用？
    对于已经编译成二进制的rpm包，由于操作系统环境不同，一般不能混用。
    对于以src.rpm发行的软件包，由于需要安装时进行本地编译，所以通常可以在不同系统下安装。

七、使用rpm时遇到的一些特殊问题

Q  我用rpm -e **.rpm无法删除rpm包
A  包名不要包括rpm，
   rpm -e 包名，可以包含版本号等信息，但是不可以有后缀.rpm

Q  在MS的系统下有没有读RPM文件的工具？
A  wincmd with rpm plugins…..

Q  是否可以通过ftp安装安装升级rpm包？
A  可以。rpm -ivh   ftp://xxxxxxxx/PATH2SomeRPM

Q  rpm安装时已有的包版本过高怎么办？
A  有时由于安装的软件包太老，而系统中相关的软件包版本比较新，所以可能需要安装的包依赖的一些文件会找不到。这时有两种解决办法，
第一是在系统文件中找到和需要的文件功能相同或相似的文件，做一个符号链接到需要的目录下。
第二是下载安装新版本的软件包。

****************************
iptables 指令

语法：
iptables [-t table] command [match] [-j target/jump]
-t 参数用来指定规则表，内建的规则表有三个，分别是：nat、mangle 和 filter，当未指定规则表时，则一律视为是 filter。各个规则表的功能如下：
nat 此规则表拥有 Prerouting 和 postrouting 两个规则炼，主要功能为进行一对一、一对多、多对多等网址转译工作（SNAT、DNAT），由于转译工作的特性，需进行目的地网址转译的封包，就不需要进行来源网址转译，反之亦然，因此为了提升改写封包的效率，在防火墙运作时，每个封包只会经过这个规则表一次。如果我们把封包过滤的规则定义在这个数据表里，将会造成无法对同一封包进行多次比对，因此这个规则表除了作网址转译外，请不要做其它用途。
mangle 此规则表拥有 Prerouting、FORWARD 和 postrouting 三个规则炼。
除了进行网址转译工作会改写封包外，在某些特殊应用可能也必须去改写封包（TTL、TOS）或者是设定 MARK（将封包作记号，以便进行后续的过滤），这时就必须将这些工作定义在 mangle 规则表中，由于使用率不高，我们不打算在这里讨论 mangle 的用法。
filter 这个规则表是预设规则表，拥有 INPUT、FORWARD 和 OUTPUT 三个规则炼，这个规则表顾名思义是用来进行封包过滤的处理动作（例如：DROP、 LOG、 ACCEPT 或 REJECT），我们会将基本规则都建立在此规则表中。

常用命令列表：

命令 -A, –append
范例 iptables -A INPUT …
说明 新增规则到某个规则lian中，该规则将会成为规则炼中的最后一条规则。

命令 -D, –delete
范例 iptables -D INPUT –dport 80 -j DROP
iptables -D INPUT 1
说明 从某个规则炼中删除一条规则，可以输入完整规则，或直接指定规则编号加以删除。

命令 -R, –replace
范例 iptables -R INPUT 1 -s 192.168.0.1 -j DROP
说明 取代现行规则，规则被取代后并不会改变顺序。

命令 -I, –insert
范例 iptables -I INPUT 1 –dport 80 -j ACCEPT
说明 插入一条规则，原本该位置上的规则将会往后移动一个顺位。

命令 -L, –list
范例 iptables -L INPUT
说明 列出某规则lian中的所有规则。

命令 -F, –flush
范例 iptables -F INPUT
说明 删除某规则lian中的所有规则。

命令 -Z, –zero
范例 iptables -Z INPUT
说明 将封包计数器归零。封包计数器是用来计算同一封包出现次数，是过滤阻断式攻击不可或缺的工具。

命令 -N, –new-chain
范例 iptables -N allowed
说明 定义新的规则lian。

命令 -X, –delete-chain
范例 iptables -X allowed
说明 删除某个规则炼。

命令 -P, –policy
范例 iptables -P INPUT DROP
说明 定义过滤政策。 也就是未符合过滤条件之封包，预设的处理方式。

命令 -E, –rename-chain
范例 iptables -E allowed disallowed
说明 修改某自订规则炼的名称。

常用封包比对参数：

参数 -p, –protocol
范例 iptables -A INPUT -p tcp
说明 比对通讯协议类型是否相符，可以使用 ! 运算子进行反向比对，例如：-p ! tcp ，意思是指除 tcp 以外的其它类型，包含 udp、icmp …等。如果要比对所有类型，则可以使用 all 关键词，例如：-p all。

参数 -s, –src, –source
范例 iptables -A INPUT -s 192.168.1.1
说明 用来比对封包的来源 IP，可以比对单机或网络，比对网络时请用数字来表示屏蔽，例如：-s 192.168.0.0/24，比对 IP 时也可以使用 ! 运算子进行反向比对，例如：-s ! 192.168.0.0/24。

参数 -d, –dst, –destination
范例 iptables -A INPUT -d 192.168.1.1
说明 用来比对封包的目的地 IP，设定方式同上。

参数 -i, –in-interface
范例 iptables -A INPUT -i eth0
说明 用来比对封包是从哪片网卡进入，可以使用通配字符 + 来做大范围比对，例如：-i eth+ 表示所有的 ethernet 网卡，也可以使用 ! 运算子进行反向比对，例如：-i ! eth0。

参数 -o, –out-interface
范例 iptables -A FORWARD -o eth0
说明 用来比对封包要从哪片网卡送出，设定方式同上。

参数 –sport, –source-port
范例 iptables -A INPUT -p tcp –sport 22
说明 用来比对封包的来源埠号，可以比对单一埠，或是一个范围，例如：–sport 22:80，表示从 22 到 80 埠之间都算是符合条件，如果要比对不连续的多个埠，则必须使用 –multiport 参数，详见后文。比对埠号时，可以使用 ! 运算子进行反向比对。

参数 –dport, –destination-port
范例 iptables -A INPUT -p tcp –dport 22
说明 用来比对封包的目的地埠号，设定方式同上。

参数 –tcp-flags
范例 iptables -p tcp –tcp-flags SYN,FIN,ACK SYN
说明 比对 TCP 封包的状态旗号，参数分为两个部分，第一个部分列举出想比对的旗号，第二部分则列举前述旗号中哪些有被设定，未被列举的旗号必须是空的。TCP 状态旗号包括：SYN（同步）、ACK（应答）、FIN（结束）、RST（重设）、URG（紧急）、PSH（强迫推送）等均可使用于参数中，除此之外还可以使用关键词 ALL 和 NONE 进行比对。比对旗号时，可以使用 ! 运算子进行反向比对。

参数 –syn
范例 iptables -p tcp –syn
说明 用来比对是否为要求联机之 TCP 封包，与 iptables -p tcp –tcp-flags SYN,FIN,ACK SYN 的作用完全相同，如果使用 ! 运算子，可用来比对非要求联机封包。

参数 -m multiport –source-port
范例 iptables -A INPUT -p tcp -m multiport –source-port 22,53,80,110
说明 用来比对不连续的多个来源埠号，一次最多可以比对 15 个埠，可以使用 ! 运算子进行反向比对。

参数 -m multiport –destination-port
范例 iptables -A INPUT -p tcp -m multiport –destination-port 22,53,80,110
说明 用来比对不连续的多个目的地埠号，设定方式同上。

参数 -m multiport –port
范例 iptables -A INPUT -p tcp -m multiport –port 22,53,80,110
说明 这个参数比较特殊，用来比对来源埠号和目的埠号相同的封包，设定方式同上。注意：在本范例中，如果来源端口号为 80 但目的地埠号为 110，这种封包并不算符合条件。

参数 –icmp-type
范例 iptables -A INPUT -p icmp –icmp-type 8
说明 用来比对 ICMP 的类型编号，可以使用代码或数字编号来进行比对。请打 iptables -p icmp –help 来查看有哪些代码可以用。

参数 -m limit –limit
范例 iptables -A INPUT -m limit –limit 3/hour
说明 用来比对某段时间内封包的平均流量，上面的例子是用来比对：每小时平均流量是否超过一次 3 个封包。除了每小时平均一次外，也可以每秒钟、每分钟或每天平均一次，默认值为每小时平均一次，参数如后： /second、 /minute、/day。除了进行封包数量的比对外，设定这个参数也会在条件达成时，暂停封包的比对动作，以避免因骇客使用洪水攻击法，导致服务被阻断。

参数 –limit-burst
范例 iptables -A INPUT -m limit –limit-burst 5
说明 用来比对瞬间大量封包的数量，上面的例子是用来比对一次同时涌入的封包是否超过 5 个（这是默认值），超过此上限的封包将被直接丢弃。使用效果同上。

参数 -m mac –mac-source
范例 iptables -A INPUT -m mac –mac-source 00:00:00:00:00:01
说明 用来比对封包来源网络接口的硬件地址，这个参数不能用在 OUTPUT 和 Postrouting 规则炼上，这是因为封包要送出到网卡后，才能由网卡驱动程序透过 ARP 通讯协议查出目的地的 MAC 地址，所以 iptables 在进行封包比对时，并不知道封包会送到哪个网络接口去。

参数 –mark
范例 iptables -t mangle -A INPUT -m mark –mark 1
说明 用来比对封包是否被表示某个号码，当封包被比对成功时，我们可以透过 MARK 处理动作，将该封包标示一个号码，号码最大不可以超过 4294967296。

参数 -m owner –uid-owner
范例 iptables -A OUTPUT -m owner –uid-owner 500
说明 用来比对来自本机的封包，是否为某特定使用者所产生的，这样可以避免服务器使用 root 或其它身分将敏感数据传送出去，可以降低系统被骇的损失。可惜这个功能无法比对出来自其它主机的封包。

参数 -m owner –gid-owner
范例 iptables -A OUTPUT -m owner –gid-owner 0
说明 用来比对来自本机的封包，是否为某特定使用者群组所产生的，使用时机同上。

参数 -m owner –pid-owner
范例 iptables -A OUTPUT -m owner –pid-owner 78
说明 用来比对来自本机的封包，是否为某特定行程所产生的，使用时机同上。

参数 -m owner –sid-owner
范例 iptables -A OUTPUT -m owner –sid-owner 100
说明 用来比对来自本机的封包，是否为某特定联机（Session ID）的响应封包，使用时机同上。

参数 -m state –state
范例 iptables -A INPUT -m state –state RELATED,ESTABLISHED
说明 用来比对联机状态，联机状态共有四种：INVALID、ESTABLISHED、NEW 和 RELATED。
INVALID 表示该封包的联机编号（Session ID）无法辨识或编号不正确。
ESTABLISHED 表示该封包属于某个已经建立的联机。
NEW 表示该封包想要起始一个联机（重设联机或将联机重导向）。
RELATED 表示该封包是属于某个已经建立的联机，所建立的新联机。例如：FTP-DATA 联机必定是源自某个 FTP 联机。

常用的处理动作：

-j 参数用来指定要进行的处理动作，
常用的处理动作包括：
ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、
LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK，
分别说明如下：
ACCEPT 将封包放行，进行完此处理动作后，将不再比对其它规则，直接跳往下一个规则lian（nat:postrouting）。

REJECT  拦阻该封包，并传送封包通知对方，可以传送的封包有几个选择：ICMP port-unreachable、ICMP echo-reply 或是 tcp-reset（这个封包会要求对方关闭联机），进行完此处理动作后，将不再比对其它规则，直接 中断过滤程序。范例如下：
   iptables -A FORWARD -p TCP –dport 22 -j REJECT –reject-with tcp-reset
     
DROP    丢弃封包不予处理，进行完此处理动作后，将不再比对其它规则，直接中断过滤程序。

REDIRECT 将封包重新导向到另一个端口（PNAT），进行完此处理动作后，将 会继续比对其它规则。 这个功能可以用来实作
        通透式 porxy 或用来保护 web 服务器。例如：
   iptables -t nat -A PREROUTING -p tcp –dport 80 -j REDIRECT –to-ports 8080
        
MASQUERADE 改写封包来源 IP 为防火墙 NIC IP，可以指定 port 对应的范围，进行完此处理动作后，直接跳往下一个
        规则lian（mangle:postrouting）。这个功能与 SNAT 略有不同，当进行 IP 伪装时，不需指定要伪装成哪个 IP，IP 会从网卡
        直接读取，当使用拨接连 线时，IP 通常是由 ISP 公司的 DHCP 服务器指派的，这个时候 MASQUERADE 特别有用。范例如下：
   iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE –to-ports 1024-31000
        
LOG 将封包相关讯息纪录在 /var/log 中，详细位置请查阅 /etc/syslog.conf 组态档，进行完此处理动作后，将会继续比对
        其它规则。例如
   iptables -A INPUT -p tcp -j LOG –log-prefix "INPUT packets"
        
SNAT 改写封包来源 IP 为某特定 IP 或 IP 范围，可以指定 port 对应的范围，进行完此处理动作后，将直接跳往
        下一个规则lian（mangle:postrouting）。范例如下：
   iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT –to-source 194.236.50.155-194.236.50.160:1024-32000
        
DNAT 改写封包目的地 IP 为某特定 IP 或 IP 范围，可以指定 port 对应的范围，进行完此处理动作后，将会直接跳往下一个
        规则lian（filter:input 或 filter:forward）。范例如下：
   iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 –dport 80 -j DNAT –to-destination 192.168.1.1-192.168.1.10:80-100
        
MIRROR 镜射封包，也就是将来源 IP 与目的地 IP 对调后，将封包送回，进行完此处理动作后，将会中断过滤程序。

QUEUE 中断过滤程序，将封包放入队列，交给其它程序处理。透过自行开发的处理程序，可以进行其它应用，例如：
        计算联机费用…….等。
        
RETURN 结束在目前规则lian中的过滤程序，返回主规则lian继续过滤，如果把自订规则炼看成是一个子程序，那么这个动作，就相当于
        提早结束子程序并返回到主程序中。
        
MARK 将封包标上某个代号，以便提供作为后续过滤的条件判断依据，进行完此处理动作后，将会继续比对其它规则。
        范例如下：
   iptables -t mangle -A PREROUTING -p tcp –dport 22 -j MARK –set-mark 2

Samba（SMB是其缩写） 是一个网络服务器，用于Linux和Windows共享文件之用；Samba 即可以用于Windows和Linux之间的共享文件，也一样用于Linux和Linux之间的共享文件；不过对于Linux和Linux之间共享文件有更好的网络文件系统NFS，NFS也是需要架设服务器的；

大家知道在Windows 网络中的每台机器即可以是文件共享的服务器，也可以同是客户机；Samba 也一样能行，比如一台Linux的机器，如果架了Samba Server 后，它能充当共享服务器，同时也能做为客户机来访问其它网络中的Windows共享文件系统，或其它Linux的Sabmba 服务器；

我们在Windows网络中，看到共享文件功能知道，我们直接就可以把共享文件夹当做本地硬盘来使用。在Linux的中，就是通过Samba的向网络中的机器提供共享文件系统，也可以把网络中其它机器的共享挂载在本地机上使用；这在一定意义上说和FTP是不一样的。

Samba 用的netbios协议，如果您用Samba 不成功，

Linux与Windows 、Linux 和 Linux

二、Samba 功能和应用范围

Samba 应该范围主要是Windows和Linux 系统共存的网络中使用；如果一个网络环境都是Linux或Unix类的系统，没有必要用Samba，应该用NFS更好一点；

那Samba 能为我们提供点什么服务呢？主要是共享文件和共享打印机；

三、Samba 两个服务器相关启动程序、客户端及服务器配置文件等

1.Samba 有两个服务器，一个是smb，另一个是nmb；

smb 是Samba 的主要启动服务器，让其它机器能知道此机器共享了什么；如果不打开nmb服务器的话，只能通过IP来访问，比如在Windows的IE浏览器上打入下面的一条来访问；

\192.168.1.5共享目录
\192.168.1.5opt

而nmb是解析用的，解析了什么呢？就是把这台Linux机器所共享的工作组及在此工作组下的netbios name解析出来；

一般的情况下，在RPM包的系统，如果是用RPM包安装的Samba ，一般可以通过如下的方式来启动Samba服务器

[root@localhost ~]# /etc/init.d/smb start
启动 SMB 服务： [ 确定 ]
启动 NMB 服务： [ 确定 ]

如果停止呢？就在smb后面加stop ；重启就是restart

[root@localhost ~]# /etc/init.d/smb stop
[root@localhost ~]# /etc/init.d/smb restart

对于所有系统来说，通用的办法就是直接运行smb 和nmb；当然您要知道smb和nmb所在的目录才行；如果是自己编译的Samba ，您应该知道您把Samba放在哪里了；

[root@localhost ~]# /usr/sbin/smbd
[root@localhost ~]# /usr/sbin/nmbd

查看服务器是否运行起来了，则用下面的命令；

[root@localhost ~]# pgrep smbd
[root@localhost ~]# pgrep nmbd

关掉Samba服务器，也可以用下面的办法，大多是通用的；要root权限来执行；

[root@localhost ~]# pkill smbd
[root@localhost ~]# pkill nmbd

2.查看Samba 服务器的端口及防火墙；

查看这个有何用呢？有时你的防火墙可能会把smbd服务器的端口封掉，所以我们应该smbd服务器所占用的端口；下面查看中，我们知道smbd所占用的端口是139和445 ；

[root@localhost ~]# netstat -tlnp |grep smb
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 10639/smbd
tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 10639/smbd

如果您有防火墙，一定要把这两个端口打开。如果不知道怎么打开。可能你和我一样是新手，还是把防火墙规则清掉也行；

[root@localhost ~]# iptables -F
或
[root@localhost ~]# /sbin/iptables -F

3.查看Samba 服务器的配置文件；

如果我们是用Linux发行版自带的Samba软件包，一般情况下Samba服务器的配置文件都位于/etc/samba目录中，服务器的主配置文件是smb.conf；也有有户配置文件 smbpasswd、smbusers和lmhosts等（最好您查看一下这些文件的内容）；还有一个文件是secrets.tdb，这个文件是Samba 服务器启动手自动生成的；我们慢慢根据教程的进度来适当地增加这些文件的说明吧；一下子都说出来，感觉内容太多；所以只能一点一点的来了

4.Samba 在Linux 中的一些工具（服务器端和客户端）；

smbcacls smbcontrol smbencrypt smbmount smbprint smbstatus smbtree
smbclient smbcquotas smbmnt smbpasswd smbspool smbtar smbumount
smbd nmbd mount

其中服务器端的是smbd、nmbd、smbpasswd ；其它的大多是客户端；这些并不是都需要一定要精通的，但至少得会用几个；比如smbmount（也就是mount 加参数的用法），还用smbclient等；

5.在Linux 中的常用工具mount（smbmount）和smbclient；Windows查看Linux共享的方法 ；

5.1 在Linux系统中查看网络中Windows共享文件及Linux中的Samba共享文件；

一般的情况下，我们要用到smbclient；常用的用法也无非是下面的；

[root@localhost ~]# smbclient -L //ip地址或计算机名

这个以后慢慢补充吧

5.2 在Windows中访问Linux Samba服务器共享文件的办法；

这个简单吧，在网上领居，查看工作组就能看得到，或者在浏览器上输入如下的

\ip地址或计算机名

这样就能看到这个机器上有什么共享的了，点鼠标操作完成；如果访问不了，不要忘记把Linux的防火墙规划清掉，或让相应的端口通过；

5.3 smbfs文件系统的挂载；

mount 的用法，加载网络中的共享文件夹到本地机；mount就是用于挂载文件系统的，SMB做为网络文件系统的一种，也能用mount挂载；smbmount说到底也是用mount的一个变种；

mount 挂载smbfs的用法；

mount -t smbfs -o username=用户名,password=密码 , -l //ip地址/共享文件夹名 挂载点
或
mount -t smbfs -o username=用户名,password=密码 , -l //计算机名/共享文件夹名 挂载点
或
mount -t smbfs //ip地址或计算机名/共享文件夹名 挂载点

smbmount的用法：

smbmount -o username=用户名,password=密码 , -l //ip地址或计算机名/共享文件夹名 挂载点
smbmount //ip地址或计算机名/共享文件夹名 挂载点

说明：

如果您的服务器是以share共享的，则无需用户名和密码就能挂载，如果出现要密码的提示，直接回车就行；您也可以用smbmount 来挂载，这样就无需用mount -t smbfs来指定文件系统的类型了；

对于挂载点，我们要自己建立一个文件夹，比如我们可以建在/opt/smbhd，这由您说的算吧

四、由最简单的一个例子说起，匿名用户可读可写的实现

第一步： 更改smb.conf

我们来实现一个最简单的功能，让所有用户可以读写一个Samba 服务器共享的一个文件夹；我们要改动一下smb.conf ；首先您要备份一下smb.conf文件；

[root@localhost ~]# cd /etc/samba
[root@localhost samba]# mv smb.conf smb.confBAK

然后我们来重新创建一个smb.conf文件；

[root@localhost samba]#touch smb.conf

然后我们把下面这段写入smb.conf中；

[global]
workgroup = LinuxSir
netbios name = LinuxSir05
server string = Linux Samba Server TestServer
security = share
[linuxsir]
        path = /opt/linuxsir
        writeable = yes
        browseable = yes
        guest ok = yes

注解：

[global]这段是全局配置，是必段写的。其中有如下的几行；

workgroup 就是Windows中显示的工作组；在这里我设置的是LinuxSir
netbios name 就是在Windows中显示出来的计算机名；
server string 就是Samba服务器说明，可以自己来定义；这个不是什么重要的；
security 这是验证和登录方式，这里我们用了share ；验证方式有好多种，这是其中一种；另外一种常用的是user的验证方式；如果用share呢，就是不用设置用户和密码了；

[linuxsir] 这个在Windows中显示出来是共享的目录；
path = 可以设置要共享的目录放在哪里；
writeable 是否可写，这里我设置为可写；
browseable 是否可以浏览，可以；
guest ok 匿名用户以guest身份是登录

第二步：建立相应目录并授权；

[root@localhost ~]# mkdir -p /opt/linuxsir
[root@localhost ~]# id nobody
uid=99(nobody) gid=99(nobody) groups=99(nobody)
[root@localhost ~]# chown -R nobody:nobody /opt/linuxsir

注释：关于授权nobody，我们先用id命令查看了nobody用户的信息，发现他的用户组也是nobody，我们要以这个为准。有些系统nobody用户组并非是nobody

第三步：启动smbd和nmbd服务器；

[root@localhost ~]# smbd
[root@localhost ~]# nmbd

第四步：查看smbd进程，确认Samba 服务器是否运行起来了；

[root@localhost ~]# pgrep smbd
13564
13568

第五步：访问Samba 服务器的共享；

在Linux 中您可以用下面的命令来访问；

[root@localhost ~]# smbclient -L //LinuxSir05
Password: 注：直接按回车

在Windows中，您可以用下面的办法来访问；

\LinuxSir05

5、复杂一点的用户共享模型（适合10人左右的小型企业）；

比如一个公司有五个部门，分别是linuxsir，sir01，sir02,sir03，sir04。我们想为这家公司设计一个比较安全的共享文件模型。每个用户都有自己的网络磁盘，sir01到sir04还有共用的网络硬盘；所有用户（包括匿名用户）有一个共享资料库，此库为了安全是只读的；所有的用户（包括匿名用户）要有一个临时文件终转的文件夹… ….

5.1 共享权限设计实现的功能；

1)linuxsir部门具有管理所有SMB空间的权限；
2)sir01到sir04拥有自己的空间，并且除了自身及linuxsir有权限以外，对其它用户具有绝对隐私性；
3)linuxsir01到linuxsir04拥有一个共同的读写权限的空间；
4) 所有用户（包括匿名用户）有一个有读权限的空间，用于资料库，所以不要求写入数据。
5)sir01到sir04还有一个共同的空间，对sir01到sir04的用户来说是隐私的，不能让其它用户来访问。
6) 还要有一个空间，让所有用户可以写入，能删除等功能，在权限上无限制 ，用于公司所有用户的临时文档终转等；

5.2 在服务器上创建相应的目录；

[root@localhost ~]# mkdir -p /opt/linuxsir
[root@localhost ~]# cd /opt/linuxsir
[root@localhost linuxsir]# mkdir sir01 sir02 sir03 sir04 sirshare sir0104rw sirallrw
[root@localhost linuxsir]# ls
sir01 sir0104rw sir02 sir03 sir04 sirallrw sirshare

注：功用如下：

/opt/linuxsir 这是管理员目录，负责管理其下所有目录；
/opt/linuxsir/sir01 是sir01的家目录，用于私用，除了用户本身和linuxsir以外其它用户都是不可读不可写；
/opt/linuxsir/sir02 是sir02的家目录，用于私用，除了用户本身和linuxsir以外其它用户都是不可读不可写；
/opt/linuxsir/sir03 是sir03的家目录，用于私用，除了用户本身和linuxsir以外其它用户都是不可读不可写；
/opt/linuxsir/sir04 是sir04的家目录，用于私用，除了用户本身和linuxsir以外其它用户都是不可读不可写；
/opt/linuxsir/sirshare 所用用户（除了linuxsir有权限写入外）只读目录
/opt/linuxsir/sir0104rw 是用于sir01到sir04用户可读可写共用目录，但匿名用户不能读写；
/opt/linuxsir/sirallrw 用于所有用户（包括匿名用户）的可读可写；

5.3 添加用户用户组，设置相应目录家目录的权限；

5.3.1 添加用户组；

[root@localhost ~]# /usr/sbin/groupadd linuxsir
[root@localhost ~]# /usr/sbin/groupadd sir01
[root@localhost ~]# /usr/sbin/groupadd sir02
[root@localhost ~]# /usr/sbin/groupadd sir03
[root@localhost ~]# /usr/sbin/groupadd sir04
[root@localhost ~]# /usr/sbin/groupadd sir0104

5.3.2 添加用户；

[root@cuc03 ~]# adduser -g sir01 -G sir0104 -d /opt/linuxsir/sir01 -s /sbin/nologin sir01
[root@cuc03 ~]# adduser -g sir02 -G sir0104 -d /opt/linuxsir/sir02 -s /sbin/nologin sir02
[root@cuc03 ~]# adduser -g sir03 -G sir0104 -d /opt/linuxsir/sir03 -s /sbin/nologin sir03
[root@cuc03 ~]# adduser -g sir04 -G sir0104 -d /opt/linuxsir/sir04 -s /sbin/nologin sir04
[root@cuc03 ~]# adduser -g linuxsir -d /opt/linuxsir -G linuxsir,sir01,sir02,sir03,sir04,sir0104 -d /opt/linuxsir -s /sbin/nologin linuxsir

当然我们还得学会查看用户信息的工具用法，比如 用finger和id来查看用户信息，主要是看用户是否添加正确；比如

[root@localhost ~]# id linuxsir
[root@localhost ~]# finger linuxsir

5.3.3 添加samba用户，并设置密码；

我们用的方法是先添加用户，但添加的这些用户都是虚拟用户，因为这些用户是不能通过SHELL登录系统的；另外值得注意的是系统用户密码和Samba用户的密码是不同的。如果您设置了系统用户能登入SHELL，可以设置用户的Samba密码和系统用户通过SHELL登录的密码不同。

我们通过smbpasswd 来添加Samba用户，并设置密码。原理是通过读取/etc/passwd文件中存在的用户名。

[root@localhost sir01]# smbpasswd -a linuxsir
New SMB password: 注：在这里添加Samba用户linuxsir的密码；
Retype new SMB password: 注：再输入一次；

用同样的方法来添加 sir01、sir02、sir03、sir04的密码；

5.3.4 配置相关目录的权限和归属；

[root@cuc03 ~]# chmod 755 /opt/linux
[root@cuc03 ~]# chown linuxsir:linuxsir /opt/linuxsir
[root@cuc03 ~]# cd /opt/linuxsir
[root@cuc03 ~]# chmod 2770 sir0＊
[root@cuc03 ~]# chown sir01.linuxsir sir01
[root@cuc03 ~]# chown sir02.linuxsir sir02
[root@cuc03 ~]# chown sir03.linuxsir sir03
[root@cuc03 ~]# chown sir04.linuxsir sir04
[root@cuc03 ~]# chown linuxsir.sir0104 sir0104rw
[root@cuc03 ~]# chown linuxsir.linuxsir sirshare
[root@cuc03 ~]# chmod 755 sirshare
[root@cuc03 ~]# chown linuxsir:linuxsir sirallrw
[root@cuc03 ~]# chmod 3777 sirallrw

5.4 修改Samba配置文件 smb.conf；

配置文件如下，修改/etc/samba/smb.conf后，不要忘记重启smbd和nmbd服务器；

[global]
workgroup = LINUXSIR
netbios name = LinuxSir
server string = Linux Samba Server TestServer
security = share
[linuxsir]
        comment = linuxsiradmin
        path = /opt/linuxsir/
        create mask = 775
        directory mask = 0775
        writeable = yes
        valid users = linuxsir
        browseable = yes
[sirshare]
        path = /opt/linuxsir/sirshare
        writeable = yes
        browseable = yes
        guest ok = yes
[sirallrw]
        path = /opt/linuxsir/sirallrw
        writeable = yes
        browseable = yes
        guest ok = yes
[sir0104rw]
        comment = sir0104rw
        path = /opt/linuxsir/sir0104rw
        create mask = 775
        directory mask = 0775
        writeable = yes
        valid users = linuxsir,@sir0104
        browseable = yes
[sir01]
        comment = sir01
        path = /opt/linuxsir/sir01
        create mask = 775
        directory mask = 0775
        writeable = yes
        valid users = sir01,@linuxsir
        browseable = yes
[sir02]
        comment = sir02
        path = /opt/linuxsir/sir02
        create mask = 775
        directory mask = 0775
        writeable = yes
        valid users = sir02,@linuxsir
        browseable = yes
[sir03]
        comment = sir03
        path = /opt/linuxsir/sir03
        create mask = 775
        directory mask = 0775
        writeable = yes
        valid users = sir03,@linuxsir
        browseable = yes
[sir04]
        comment = sir04
        path = /opt/linuxsir/sir04
        create mask = 775
        directory mask = 0775
        writeable = yes
        valid users = sir04,@linuxsir
        browseable = yes

5.5 关于客户端访问；

5.5.1 Windows 访问；

我们打开Windows的IE浏览器，用IP地址的访问方式就能访问了，格式为 \192.168.1.3 类似的。当然也可以把共享文件夹挂在本地使用。