sysctl 是一个用来在系统运作中查看及调整系统参数的工具。有的 sysctl 参数只是用来回报目前的系统状况，例如回报目前已开机时间、所使用的操作系统版本、核心名称等等；而有的可以让我们修改参数以调整系统运作的行为，例如网络暂存内存的大小、最大的上线人数等等。而这些可以调整的参数中必须在一开机系统执行其它程序前就设定好，有的可以在开机完后任意调整。
首先我们可以使用下列指令来查看目前所有的 sysctl 参数及其状况：
# sysctl -a | more
kern.ostype: FreeBSD
kern.osrelease: 5.2.1-RELEASE
kern.osrevision: 199506
kern.version: FreeBSD 5.2.1-RELEASE #0: Sun Apr 11 16:16:08 CST 2004
alex@alexwang.com:/usr/src/sys/i386/compile/ALEX
kern.maxvnodes: 17812
kern.maxproc: 2020
kern.maxfiles: 4040
kern.argmax: 65536
kern.securelevel: -1
kern.hostname: alexwang.com
kern.hostid: 0
kern.clockrate: { hz = 100, tick = 10000, profhz = 1024, stathz = 128 }
kern.posix1version: 200112
kern.ngroups: 16
kern.job_control: 1
kern.saved_ids: 0
kern.boottime: { sec = 1081672724, usec = 885137 } Sun Apr 11 16:38:44 2004
kern.domainname:
kern.osreldate: 502010
kern.bootfile: /boot/kernel/kernel
kern.maxfilesperproc: 3636
kern.maxprocperuid: 1818
kern.ipc.maxsockbuf: 262144
kern.ipc.sockbuf_waste_factor: 8
kern.ipc.somaxconn: 128
kern.ipc.max_linkhdr: 16
kern.ipc.max_protohdr: 60
kern.ipc.max_hdr: 76
kern.ipc.max_datalen: 132
kern.ipc.nmbclusters: 9024
………略………
我们也可以使用 sysctl 显示单一的参数值，例如：
# sysctl kern.ipc.maxsockbuf
kern.ipc.maxsockbuf: 262144
并非所有的参数都可以使用 sysctl 进行调整，而且有的参数对于效能的影响并不大。我们仅在此说明一些影响较明显的设定。
9.2.1 kern.ipc.maxsockets
这是用来设定系统最大可以开启的 socket 数目。如果您的服务器会提供大量的 FTP 服务，而且常快速的传输一些小档案，您也许会发现常传输到一半就中断。因为 FTP 在传输档案时，每一个档案都必须开启一个 socket 来传输，但关闭 socket 需要一段时间，如果传输速度很快，而档案又多，则同一时间所开启的 socket 会超过原本系统所许可的值，这时我们就必须把这个值调大一点。除了 FTP 外，也许有其它网络程序也会有这种问题。
然而，这个值必须在系统一开机就设定好，所以如果要修改这项设定，我们必须修改 /boot/loader.conf 才行。例如，我们要将它改成最多同时可以有 16424 个 socket，则必须在 /boot/loader.conf 中加入下列这一行：
kern.ipc.maxsockets=”16424″
9.2.2 net.inet.ip.portrange.*
net.inet.ip.portrange.* 是用来控制 TCP 及 UDP 所使用的 port 范围，这个范围被分成三个部份，低范围、预设范围、及高范围。让我们看一下目前各范围 port 的情形：
# sysctl -a|grep portrange
net.inet.ip.portrange.lowfirst: 1023
net.inet.ip.portrange.lowlast: 600
net.inet.ip.portrange.first: 1024
net.inet.ip.portrange.last: 5000
net.inet.ip.portrange.hifirst: 49152
net.inet.ip.portrange.hilast: 65535
一般的网络程序都会用到预设范围的 port，然而，这个预设范围只从 1024 到 5000，这对于一台忙碌的 FTP server 或 proxy server 可能会有不足的情形。所以我们可以手动调整一下 net.inet.ip.portrange.last 这个值，将它调为 10000、20000、甚至 40000 都是合理的。如果要在一开机就调整这个值，我们可以修改 /etc/sysctl.conf，并增加下列这一行：
net.inet.ip.portrange.last=40000
9.2.3 kern.ipc.shm_use_phys
kern.ipc.shm_use_phys 这个选项预设为 0 (关闭)，我们可以将它设为 1 (打开)。如果我们将它设成 1，则所有 System V 共享内存 (share memory，一种程序间沟通的方式)部份都会被留在实体的内存 (physical memory) 中，而不会被放到硬盘上的 swap 空间。我们知道物理内存的存取速度比硬盘快许多，而当物理内存空间不足时，部份数据会被放到虚拟的内存上，从物理内存和虚拟内存之间移转的动作就叫作 swap。如果时常做 swap 的动作，则需要一直对硬盘作 I/O，速度会很慢。因此，如果我们有大量的程序 (数百个) 需要共同分享一个小的共享内存空间，或者是共享内存空间很大时，我们可以将这个值打开。
这个值可以在开机完成后才设定，因此只要放在 /etc/sysctl.conf 中即可：
kern.ipc.shm_use_phys=1
9.2.4 vfs.vmiodirenable
这个选项预设被设为 1，也就是打开的状态。它被用来决定一个目录中的结构 (目录下的其它文件名称等等) 被快取在内存中的行为。一般的目录结构可能都不大，而这些目录结构会被快取在物理内存中。物理内存中所存放的目录结构快取有限，所以不管我们的物理内存有多大，预设都只会快取一定大小的目录结构。如果我们将这个选项打开，系统将 buffer cache 放在虚拟内存的快取中，目录结构也就会被存放在虚拟内存中。这样的好处是所有的内存空间都可以被拿来做目录的快取，而缺点是最小用来存放目录结构的快取会从 512 bytes 变成 4K。
如果您的系统物理内存空间有限，建议您将这个选项关闭。但如果您的系统需要进行大量档案操作，例如 proxy、多人使用的邮件服务器、或是 news server 等，建议将这个选项打开。
9.2.5 vfs.write_behind
这个选项预设为 1，也就是打开的状态。在打开时，在系统需要写入数据在硬盘或其它储存设备上时，它会等到收集了一个 cluster 单位的数据后再一次写入，否则会在一个暂存区空间有写入需求时就立即写到硬盘上。这个选项打开时，对于一个大档案写入速度非常有帮助。但如果您遇到有很多行程延滞在等待写入动作时，您可能必须关闭这个功能。
9.2.6 vfs.hirunningspace
这个值决定了系统可以将多少数据放在写入储存设备的等候区。通常使用默认值即可，但当我们有多颗硬盘时，我们可以将它调大为 4MB 或 5MB。但必须注意的是，太大的值反而会造成效能低落。
9.2.7 net.inet.tcp.sendspace 及 net.inet.tcp.recvspace
这二个选项分别控制了网络 TCP 联机所使用的传送及接收暂存区的大小。预设的传送暂存区为 32K，而接收暂存区为 64K。如果需要加速 TCP 的传输，可以将这二个值调大一点，但缺点是太大的值会造成系统核心占用太多的内存。如果我们的机器会同时服务数百或数千个网络联机，那么这二个选项最好维持默认值，否则会造成系统核心内存不足。但如果我们使用的是 gigabite 的网络，将这二个值调大会有明显效能的提升。传送及接收的暂存区大小可以分开调整，例如，假设我们的系统主要做为网页服务器，我们可以将接收的暂存区调小一点，并将传送的暂存区调大，如此一来，我们就可以避免占去太多的核心内存空间。
还有要注意的是，除了这二个选项可以控制网络传输暂存区大小外，route 这个指令也可以用来依路由路径的不同指定暂存区大小。另外 ipfw 等防火墙软件也可以用来限制每个联机所能使用的网络频宽。
如果我们将传送或接收的暂存区设为大于 65535，除非我们的服务器本身及客户端所使用的操作系统支持 TCP 协议的 windows scaling extension (请参考 RFC 1323 文件)。FreeBSD 预设已支援 rfs1323 (即 sysctl 的 net.inet.tcp.rfc1323 选项)。
9.2.8 net.inet.tcp.always_keepalive
当这个选项打开时，系统会定期送出「keepalives」以检查一个 TCP 联机是否中断。在打开的状况下，所有运作的网络程序都会有定时检查联机是否中断的功能，否则只有当应用程序本身支持时才有此功能。这个选项打开的好处是让系统更便于管理网络联机，尤其是当我们系统中常有一些莫名其妙就中断联机的使用者时。例如，当一个使用者利用拨接连到系统时，很可能在完成一个完整的 TCP 联机之前，就因为拨接中断而造成联机异常中断。当然，在某些情况下，也有可能会造成系统误判网络联机已中断而结束这个 TCP 联机。
9.2.9 net.inet.tcp.delayed_ack
TCP 协议有一个特性，就是当收到客户端的数据时，会传回一个 ACK (acknowledgement) 的封包，以确认已收到数据。然而，我们也可以将 ACK 封包和所要回传的资料一起送出。例如，当我使用 telnet 进入系统时，在输入指定时，当我们在键盘上敲打一个字符，系统会送回一个表示已接收到该字符的 ACK 封包，并传回一个含有该字符的封包以在终端机上显示。当 net.inet.tcp.delayed_ack 打开时，系统会将 ACK 和显示该字符的封包一传送，而不需分成二个封包。所以这个选项打开时，可以将封包数量减少一半，以加速网络传输。其它的网络服务，例如，WWW、 SMTP、POP3 等也都具有这种特性。
9.2.10 kern.ipc.somaxconn
这个选项控制了 TCP 联机等候区最多可以等待的联机数量，其默认值为 128，不过这个值对于一台忙碌的服务器而言可能小了点。例如大型的网页服务器、邮件服务器，我们可以将它设为 1024。要注意的是在一些网络服务的程序中，如 Apache 及 sendmail 也有自己的等待数量设定，我们可能也要在那些软件上做一些设定才会让 kern.ipc.somaxconn 发生作用。将这个选项的值调大一点还有一个好处，就是在面对 Denial of service 的攻击时，有较好的防卫能力。
9.2.11 kern.maxfiles
这个选项控制了系统中支持最多开启的档案数量，这个值通常是几千个档，但对于一台忙碌的数据库系统或是会开启许多档案的服务器而言，我们可以将它调高为一、二万。
9.2.12 kern.maxusers
这是用来控制系统内部表格(internal system tables)大小的参数，它的值大约是您期望系统同一时间会上线使用的使用者数量。我们在核心设定档中有一个 maxusers 的选项，如果您使用的是 FreeBSD 4.5 以上的版本，建议您只要在核心设定档中将它 0 即可，系统会在一开机时自动依您的内存大小调整这个值。如果我们使用的是 FreeBSD 4.5 以后的版本，要调整这个值时，我们可以在 /boot/loader.conf 中加入该选项的设定，例如：
kern.maxusers=256
如果您使用 FreeBSD 4.4 以前的版本，则只能重新编译核心以改变这项设定。
这个值一定要设定大于四，maxusers 的值决定了处理程序所容许的最大值，20+16*maxusers 就是你将得到的所容许处理程序。系统一开机就必须要有 18 个处理程序 (process)，即便是简单的执行指令 man 又会产生 9 个 process，所以将这个值设为 64 应该是一个合理的数目。如果你的系统会出现 proc table full 的讯息的话，可以就把它设大一点，例如 128。除非您的系统会需要同时开启很多档案，否则请不要设定超过 256。
9.2.13 kern.ipc.nmbclusters
这个值用来调整系统在开机后所要分配给网络 mbufs 的 cluster 数量，由于每个 cluster 大小为 2K，所以当这个值为 1024 时，也是会用到 2MB 的核心内存空间。我们可以简单的估计出大约需要的大小，例如，假设我们的网页同时约有 1000 个联机，而 TCP 传送及接收的暂存区大小都是 16K，则最糟的情况下，我们会需要 (16K+16K) * 1024，也就是 32MB 的空间，然而所需的 mbufs 大概是这个空间的二倍，也就是 64MB，所以所需的 cluster 数量为 64MB/2K，也就是 32768。对于内存有限的机器，建议值是 1024 到 4096 之间，而当拥有海量存储器空间时，我们可以将它设定为 4096 到 32768 之间。我们可以使用 netstat 这个指令并加上参数 -m 来查看目前所使用的 mbufs 数量。
当我们要修改这个值是，必须在一开机就修改，所以只能在 /boot/loader.conf 中加入修改的设定，例如：
kern.ipc.nmbclusters=16384
这个是我在实际使用服务器中的参数，请在：/etc/sysctl.conf 加入参数
kern.ipc.somaxconn=8192
kern.ipc.maxsockbuf=2097152
kern.maxfilesperproc=32768
kern.maxfiles=65536
#kern.securelevel=0
net.inet.tcp.sendspace=65536
net.inet.tcp.recvspace=32768
net.inet.udp.maxdgram=57344
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=0
net.inet.ip.redirect=0
net.inet6.ip6.redirect=0
net.inet.icmp.icmplim=100
net.inet.tcp.always_keepalive=0
net.inet.tcp.delayed_ack=0
net.inet.tcp.log_in_vain=0
net.inet.udp.log_in_vain=0
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
net.local.stream.sendspace=65535
net.local.stream.recvspace=32768
net.inet.ip.fastforwarding=1查看 # sysctl -a |grep syncookies 是否打开，开着可以防小规模的DDOS
如：# sysctl net.inet.tcp.syncookies=1
# ee /boot/loader.conf
kern.maxdsiz="536870912"
kern.ipc.maxsockets="4008"
kern.ipc.nmbclusters="32768"
kern.ipc.nmbufs="65535"
kern.ipc.nsfbufs="2496"
net.inet.tcp.tcbhashsize="2048"
[root@localhost dev]# sysctl -w net.ipv4.tcp_syncookies=1
net.ipv4.tcp_syncookies = 1
[root@localhost dev]#
[查看全文]

Iptables 指南 1.1.19Oskar Andreasson     oan@frozentux.net
Copyright © 2001-2003 by Oskar Andreasson
本文在符合 GNU Free Documentation 许可版本1.1的条件下，可以拷贝、分发、更改，但必须保留绪言和所有的章节，如印刷成书，封面要包括“原著：Oskar Andreasson”，且书背不准有文字。本文附录有 “GNU Free Documentation License”的详细内容。
文中的所有脚本均置于GNU General Public License版本2下，可以自由地分发、更改。
给出这些脚本是希望它们有所作用，但没有任何保证，也没有商业可用性或某些特殊用途的内在保证。参见GNU General Public License
本文附带一份GNU General Public License，在章节“GNU Free Documentation License”中，如没有，请联系the Free Software Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111- 1307 USA
献辞首先，我要把本文献给我那wonderful的女友Ninel（她给我的帮助远远胜过我给她的）：希望我能让你幸福，就象你给我的。（ 译者注：我没有想到合适的词能表达作者女友的wonderful，你就自己想去吧。还有，不知他们现在是否结婚了:) ）
其次，我要把这篇文章献给所有Linux的开发者和维护者，就是他们完成了令人无法相信的艰难工作，使这么优秀的操作系统成为可能。
目录 译者序 关于作者 如何阅读 必备知识 本文约定 1. 序言 1.1. 为什么要写这个指南 1.2. 指南是如何写的 1.3. 文中出现的术语2. 准备阶段 2.1. 哪里能取得iptables 2.2. 内核配置 2.3. 编译与安装 2.3.1. 编译 2.3.2. 在Red Hat 7.1上安装3. 表和链 3.1. 概述 3.2. mangle 表 3.3. nat 表 3.4. Filter 表4. 状态机制 4.1. 概述 4.2. conntrack记录 4.3. 数据包在用户空间的状态 4.4. TCP 连接 4.5. UDP 连接 4.6. ICMP 连接 4.7. 缺省的连接操作 4.8. 复杂协议和连接跟踪5. 保存和恢复数据管理规则 5.1. 速度 5.2. restore的不足之处 5.3. iptables-save 5.4. iptables-restore6. 规则是如何练成的 6.1. 基础 6.2. Tables 6.3. Commands 6.4. Matches 6.4.1. 通用匹配 6.4.2. 隐含匹配 6.4.3. 显式匹配 6.4.4. 针对非正常包的匹配6.5. Targets/Jumps 6.5.1. ACCEPT target 6.5.2. DNAT target 6.5.3. DROP target 6.5.4. LOG target 6.5.5. MARK target 6.5.6. MASQUERADE target 6.5.7. MIRROR target 6.5.8. QUEUE target 6.5.9. REDIRECT target 6.5.10. REJECT target 6.5.11. RETURN target 6.5.12. SNAT target 6.5.13. TOS target 6.5.14. TTL target 6.5.15. ULOG target7. 防火墙配置实例 rc.firewall 7.1. 关于rc.firewall 7.2. rc.firewall详解 7.2.1. 参数配置 7.2.2. 外部模块的装载 7.2.3. proc的设置 7.2.4. 规则位置的优化 7.2.5. 缺省策略的设置 7.2.6. 自定义链的设置 7.2.7. INPUT链 7.2.8. FORWARD链 7.2.9. OUTPUT链 7.2.10. PREROUTING链 7.2.11. POSTROUTING链8. 例子简介 8.1. rc.firewall.txt脚本的结构 8.1.1. 脚本结构8.2. rc.firewall.txt 8.3. rc.DMZ.firewall.txt 8.4. rc.DHCP.firewall.txt 8.5. rc.UTIN.firewall.txt 8.6. rc.test-iptables.txt 8.7. rc.flush-iptables.txt 8.8. Limit-match.txt 8.9. Pid-owner.txt 8.10. Sid-owner.txt 8.11. Ttl-inc.txt 8.12. Iptables-save rulesetA. 常用命令详解 A.1. 查看当前规则集的命令 A.2. 修正和清空iptables的命令B. 常见问题于与解答 B.1. 模块装载问题 B.2. 未设置SYN的NEW状态包 B.3. NEW状态的SYN/ACK包 B.4. 使用私有IP地址的ISP B.5. 放行DHCP数据 B.6. 关于mIRC DCC的问题C. ICMP类型 D. 其他资源和链接 E. 鸣谢 F. History G. GNU Free Documentation License 0. PREAMBLE 1. APPLICABILITY AND DEFINITIONS 2. VERBATIM COPYING 3. COPYING IN QUANTITY 4. MODIFICATIONS 5. COMBINING DOCUMENTS 6. COLLECTIONS OF DOCUMENTS 7. AGGREGATION WITH INDEPENDENT WORKS 8. TRANSLATION 9. TERMINATION 10. FUTURE REVISIONS OF THIS LICENSE How to use this License for your documentsH. GNU General Public License 0. Preamble 1. TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION 2. How to Apply These Terms to Your New ProgramsI. 示例脚本的代码 I.1. rc.firewall脚本代码 I.2. rc.DMZ.firewall脚本代码 I.3. rc.UTIN.firewall脚本代码 I.4. rc.DHCP.firewall脚本代码 I.5. rc.flush-iptables脚本代码 I.6. rc.test-iptables脚本代码
List of Tables 3-1. 以本地为目标（就是我们自己的机子了）的包 3-2. 以本地为源的包 3-3. 被转发的包 4-1. 数据包在用户空间的状态 4-2. 内部状态 6-1. Tables 6-2. Commands 6-3. Options 6-4. Generic matches 6-5. TCP matches 6-6. UDP matches 6-7. ICMP matches 6-8. Limit match options 6-9. MAC match options 6-10. Mark match options 6-11. Multiport match options 6-12. Owner match options 6-13. State matches 6-14. TOS matches 6-15. TTL matches 6-16. DNAT target 6-17. LOG target options 6-18. MARK target options 6-19. MASQUERADE target 6-20. REDIRECT target 6-21. REJECT target 6-22. SNAT target 6-23. TOS target 6-24. TTL target 6-25. ULOG target C-1. ICMP类型
译者序译者sllscn是中国Linux公社里的“Linux 新鲜社员”，一个Linux爱好者，在实际工作中使用iptables构造防火墙时，发现有关iptables的中文资料太少，故而不得已参考英文版的材料。为了今后参考的方便，也为了广大使用者，不怕自己的英文水平太差，翻着字典翻译了本文。翻译只为了能看懂，达不到“好看”，勿怪！
第一章序言部分除了第三小节介绍的术语要看看，其他都没什么。第二章对想要亲自编译iptables的兄弟们是有些帮助的。第三、第四两章可以使我们理解、掌握iptables工作方式和流程。第五章和第六章是iptables命令使用方法的详细介绍。第七章与第八章是实例讲解，对我们编写自己的规则很有指导意义的，强烈建议你看一看。附录里有一些资源链接是很好的，相信你一定会喜欢。
因为术语的缘故，目录部分有一些未翻译，但正文的内容都翻译了。附录F是本文的更新历史，附录G是GNU Free Documentation License，附录H是GNU General Public License，它们对理解 iptables没有什么作用，故未翻译。
在阅读本文时，你可能会发现有重复的地方，这不是原作者的水平不高，反而恰恰是他为我们考虑的结果。你可以把这篇文章的任何一章抽出来阅读，而不需要反复地参照其他章节。在此，再次向作者表示敬意！
因译者水平有限，对原文的理解不敢保证完全正确，如有意见或建议，可以联系译者slcl@sohu.com
郑重声明：翻译得到了原文作者Oskar Andreasson的许可。对于本文（不是原文），可自由使用、修改、传播、转载，但对以盈利为目的使用，保留所有权利。
关于作者我的局域网里有很多“年老的”计算机，他们也想连接到Internet上，还要保证安全。做到这一点， iptables是的ipchains的一个很好的升级。使用ipchains你可以通过丢弃所有“目的端口不是特定端口” 的包来建立一个安全的网络。但这将导致一些服务出现问题，比如被动FTP，还有在IRC中流出的DCC。它们在服务器上分配端口，并告知客户端，然后再让客户连接。 但是，iptables的代码中也有一些小毛病，在某些方面我发现这些代码并没有为作为完整的产品发布做好准备，但我仍然建议使用ipchains或更老的 ipfwadm 的人们进行升级，除非他们对正在使用的代码满意，或它们足以满足他们的需要。
如何阅读本文介绍了iptables，以便你可以领会iptables的精彩，文中不包含iptables或Netfilter在安全方面的 bug。如果你发现iptables（或其组成部分）任何bug或特殊的行为，请联系Netfilter mailing lists ，他们会告诉你那是否是bug或如何解决。iptables或Netfilter中几乎没有安全方面的bug，当然偶尔也会出些问题，它们能在Netfilter主页中找到。
文中用到的脚本不能解决Netfilter内部的bug，给出它们，只是为了演示如何构造规则，以便我们能解决遇到的数据流管理问题。但本文没有包括象“如何关闭HTTP端口，因为Apache 1.2.12偶尔会被攻击” 这样的问题。本指南会告诉你如何通过iptables关闭HTTP端口，但不是因为Apache偶尔会被攻击。
本文适合于初学者，但也尽可能完善。因为有太多的targets或matches，所以没有完全收录。如果你需要这方面的信息，可以访问Netfilter主页。
必备知识阅读本文，要具备一些基础知识，如Linux/Unix，shell脚本编写，内核编译，最好还有一些简单的内核知识。
我尝试着尽可能使读者不需要这些知识也能完全弄懂这篇文章，但要理解扩展部分是不行的。所以还是要有点基础的:)
本文约定以下的约定会在文中用到：
代码和命令输出使用定宽字体，命令用粗体。
[blueflux@work1 neigh]$ lsdefault  eth0  lo[blueflux@work1 neigh]$     所有的命令和程序名都用粗体。
所有的系统部件，如硬件、内核部件、loopback使用斜体。
计算机文本输出用 这种字体。 
文件名和路径名象这样 /usr/local/bin/iptables 。
1. 序言1.1. 为什么要写这个指南我发现目前所有的HOWTO都缺乏Linux 2.4.x 内核中的Iptables和Netfilter 函数的信息,于是我试图回答一些问题，比如状态匹配。我会用插图和例子 rc.firewall.txt 加以说明，此处的例子可以在你的/etc/rc.d/使用。最初这篇文章是以HOWTO文档的形式书写的,因为许多人只接受HOWTO文档。
还有一个小脚本rc.flush-iptables.txt，我写它只是为使你在配置它的时候能象我一样有成功的感觉。
1.2. 指南是如何写的 我请教了Marc Boucher 及netfilter团队的其他核心成员。对他们的工作以及对我在为boingworld.com 书写这个指南时的帮助表示极大的谢意，现在这个指南在我自己的站点frozentux.net上进行维护。这个文档将一步一步教你setup过程，让你对iptables包有更多的了解。这大部分的东西都基于例子rc.firewall 文件，因为我发现这是学习iptables的一个好方法。我决定自顶向下地跟随rc.firewall 文件来学习 iptables。虽然这样会困难一些，但更有逻辑。当你碰到不懂的东西时再来查看这个文件。
1.3. 文中出现的术语文中包含了一些术语，你应该有所了解。这里有一些解释，并说明了本文中如何使用它们。
DNAT - Destination Network Address Translation 目的网络地址转换。 DNAT是一种改变数据包目的 ip地址的技术，经常和SNAT联用，以使多台服务器能共享一个ip地址连入Internet，并且继续服务。通过对同一个ip地址分配不同的端口，来决定数据的流向。
Stream - 流 是指发送和接收的数据包和通信的双方都有关系的一种连接（译者注：本文中，作者把连接看作是单向的，流表示双向的连接）。一般的，这个词用于描述在两个方向上发送两个或三个数据包的连接。对于TCP，流意味着连接，它发送了一个SYN，然后又回复SYN/ACK。但也可能是指这样的连接，发送一个SYN，回复ICMP主机不可达信息。换句话说，我使用这个词很随意。
SNAT - Source Network Address Translation源网络地址转换。这是一种改变数据包源ip地址的技术，经常用来使多台计算机分享一个Internet地址。这只在IPv4中使用，因为IPv4的地址已快用完了，IPv6将解决这个问题。
State - 状态 指明数据包处于什么状态。状态在RFC 793 - Transmission Control Protocol中定义，或由用户在Netfilter/iptables中自定义。需要注意的是Netfilter设定了一些关于连接和数据包的状态，但没有完全使用使用RFC 793的定义。
User space - 用户空间，指在内核外部或发生在内核外部的任何东西。例如，调用 iptables -h 发生在内核外部，但iptables -A FORWARD -p tcp -j ACCEPT （部分地）发生在内核内部，因为一条新的规则加入了规则集。
Kernel space - 内核空间 ，与用户空间相对，指那些发生在内核内部。
Userland - 参见用户空间
target - 这个词在后文中有大量的应用，它表示对匹配的数据包所做的操作。
2. 准备阶段这一章是学习iptables的开始，它将帮助你理解Netfilter和iptables在Linux中扮演的角色。它会告诉你如何配置、安装防火墙，你的经验也会随之增长。当然，要想达到你的目标，是要花费时间，还要有毅力。（ 译者注：听起来很吓人的:) ）
2.1. 哪里能取得iptables iptables 可以从www.netfilter.org 下载，网站中的FAQs也是很好的教程。iptables 也使用一些内核空间，可以在用make configure配置内核的过程中配置，下面会介绍必要的步骤。
2.2. 内核配置 为了运行iptables，需要在内核配置期间，选择以下一些选项，不管你用make config或其他命令。
CONFIG_PACKET - 允许程序直接访问网络设备（译者注：最常用的就是网卡了），象tcpdump 和 snort就要使用这个功能。
严格地说，iptables并不需要CONFIG_PACKET，但是它有很多用处（译者注：其他程序需要），所以就选上了。当然，你不想要，不选就是了。（译者注：建议还是选的为好）
CONFIG_NETFILTER - 允许计算机作为网关或防火墙。这个是必需的，因为整篇文章都要用到这个功能。我想你也需要这个，谁叫你学iptables呢:)
当然，你要给网络设备安装正确的驱动程序，比如，Ethernet 网卡, PPP 还有 SLIP 。 上面的选项，只是在内核中建立了一个框架， iptables确实已经可以运行，但不能做任何实质性的工作。我们需要更多的选项。以下给出内核2.4.9的选项和简单的说明：
CONFIG_IP_NF_CONNTRACK - 连接跟踪模块，用于 NAT（网络地址转换） 和 Masquerading（ip地址伪装），当然，还有其他应用。如果你想把LAN中的一台机子作为防火墙，这个模块你算选对了。脚本rc.firewall.txt 要想正常工作，就必需有它的存在。
CONFIG_IP_NF_FTP - 这个选项提供针对FTP连接进行连接跟踪的功能。一般情况下，对FTP连接进行连接跟踪是很困难的，要做到这一点，需要一个名为helper的动态链接库。此选项就是用来编译helper的。如果没有这个功能，就无法穿越防火墙或网关使用FTP。
CONFIG_IP_NF_IPTABLES - 有了它，你才能使用过滤、伪装、NAT。它为内核加入了iptables标识框架。没有它，iptables毫无作用。
CONFIG_IP_NF_MATCH_LIMIT - 此模块并不是十分必要，但我在例子rc.firewall.txt中用到了。它提供匹配LIMIT的功能，以便于使用一个适当的规则来控制每分钟要匹配的数据包的数量。比如， -m limit --limit 3/minute 的作用是每分钟最多匹配三个数据包。这个功能也可用来消除某种DoS攻击。
CONFIG_IP_NF_MATCH_MAC - 选择这个模块，可以根据MAC地址匹配数据包。例如，我们想要阻塞使用了某些MAC地址的数据包，或阻塞某些计算机的通信，用这个很容易。因为每个Ethernet网卡都有它自己的MAC地址，且几乎从不会改变。但我在 rc.firewall.txt中没有用到这个功能，其他例子也未用到。（译者注：这又一次说明了学习是为将来打基础:) ）
CONFIG_IP_NF_MATCH_MARK - 这个选项用来标记数据包。对数据包做 MARK（标记）操作，我们就可以在后面的表中用这个标记来匹配数据包。后文有详细的说明。
CONFIG_IP_NF_MATCH_MULTIPORT - 选择这个模块我们可以使用端口范围来匹配数据包，没有它，是无法做到这一点的。
CONFIG_IP_NF_MATCH_TOS - 使我们可以设置数据包的TOS（Type Of Service 服务类型）。这个工作也可以用命令ip/tc完成，还可在mangle表中用某种规则设定。
CONFIG_IP_NF_MATCH_TCPMSS - 可以基于MSS匹配TCP数据包。
CONFIG_IP_NF_MATCH_STATE - 相比较ipchains 这是最大的更新，有了它，我们可以对数据包做状态匹配。比如，在某个TCP连接的两个方向上已有通信，则这个连接上的数据包就被看作ESTABLISHED（已建立连接）状态。在rc.firewall.txt 里大量使用了此模块的功能。
CONFIG_IP_NF_MATCH_UNCLEAN - 匹配那些不符合类型标准或无效的 P、TCP、UDP、ICMP数据包（译者注：之所以此模块名为UNCLEAN，可以这样理解，凡不是正确模式的包都是脏的。这有些象操作系统内存管理中的“脏页”，那这里就可以称作“脏包”了，自然也就UNCLEAN了）。我们一般丢弃这样的包，但不知这样做是否正确。另外要注意，这种匹配功能还在实验阶段，可能会有些问题。
CONFIG_IP_NF_MATCH_OWNER - 根据套接字的拥有者匹配数据包。比如，我们只允许root访问Internet。在iptables中，这个模块最初只是用一个例子来说明它的功能。同样，这个模块也处于实验阶段，还无法使用。
CONFIG_IP_NF_FILTER - 这个模块为iptables添加基本的过滤表，其中包含INPUT、FORWARD、OUTPUT链。通过过滤表可以做完全的IP过滤。只要想过滤数据包，不管是接收的还是发送的，也不管做何种过滤，都必需此模块。
CONFIG_IP_NF_TARGET_REJECT - 这个操作使我们用ICMP错误信息来回应接收到的数据包，而不是简单地丢弃它。有些情况必须要有回应的，比如，相对于ICMP和UDP来说，要重置或拒绝TCP连接总是需要一个TCP RST包。
CONFIG_IP_NF_TARGET_MIRROR - 这个操作使数据包返回到发送它的计算机。例如，我们在INPUT链里对目的端口为HTTP的包设置了MIRROR操作，当有人访问HTTP时，包就被发送回原计算机，最后，他访问的可能是他自己的主页。（译者注：应该不难理解为什么叫做MIRROR了）
CONFIG_IP_NF_NAT - 顾名思义，本模块提供NAT功能。这个选项使我们有权访问nat表。端口转发和伪装是必需此模块的。当然，如果你的LAN里的所有计算机都有唯一的有效的 IP地址，那在做防火墙或伪装时就无须这个选项了。rc.firewall.txt 是需要的:)
CONFIG_IP_NF_TARGET_MASQUERADE - 提供MASQUERADE（伪装）操作。如果我们不知道连接Internet的IP，首选的方法就是使用MASQUERADE，而不是DNAT或SNAT。换句话说，就是如果我们使用PPP或SLIP等连入Internet，由DHCP或其他服务分配IP，使用这个比SNAT好。因为MASQUERADE 不需要预先知道连接Internet的IP，虽然对于计算机来说MASQUERADE要比NAT的负载稍微高一点。
CONFIG_IP_NF_TARGET_REDIRECT - 这个操作和代理程序一起使用是很有用的。它不会让数据包直接通过，而是把包重新映射到本地主机，也就是完成透明代理。
CONFIG_IP_NF_TARGET_LOG - 为iptables增加 LOG（日志）操作。通过它，可以使用系统日志服务记录某些数据包，这样我们就能了解在包上发生了什么。这对于我们做安全审查、调试脚本的帮助是无价的。
CONFIG_IP_NF_TARGET_TCPMSS - 这个选项可以对付一些阻塞ICMP分段信息的ISP（服务提供商）或服务。没有ICMP分段信息，一些网页、大邮件无法通过，虽然小邮件可以，还有，在握手完成之后，ssh可以但scp不能工作。我们可以用TCPMSS解决这个问题，就是使MSS（Maximum Segment Size）被钳制于PMTU（Path Maximum Transmit Unit）。这个方法可以处理被Netfilter开发者们在内核配置帮助中称作“criminally brain-dead ISPs or servers”的问题。
CONFIG_IP_NF_COMPAT_IPCHAINS - ipchains 的，这只是为内核从2.2转换到2.4而使用的，它会在2.6中删除。
CONFIG_IP_NF_COMPAT_IPFWADM - 同上，这只是 ipfwadm的暂时使用的兼容模式。
上面，我简要介绍了很多选项，但这只是内核2.4.9中的。要想看看更多的选项，建议你去Netfilter 看看patch-o-matic。在那里，有其他的一些选项。POM可能会被加到内核里，当然现在还没有。这有很多原因，比如，还不稳定，Linus Torvalds没打算或没坚持要把这些补丁放入主流的内核，因为它们还在实验。
把以下选项编译进内核或编译成模块，rc.firewall.txt才能使用。
CONFIG_PACKET
CONFIG_NETFILTER
CONFIG_IP_NF_CONNTRACK
CONFIG_IP_NF_FTP
CONFIG_IP_NF_IRC
CONFIG_IP_NF_IPTABLES
CONFIG_IP_NF_FILTER
CONFIG_IP_NF_NAT
CONFIG_IP_NF_MATCH_STATE
CONFIG_IP_NF_TARGET_LOG
CONFIG_IP_NF_MATCH_LIMIT
CONFIG_IP_NF_TARGET_MASQUERADE
以上是为保证 rc.firewall.txt正常工作而需要的最少的选项。其他脚本需要的选项，在相应的章节里都有说明。目前，我们只需注意要学习的这个脚本。
2.3. 编译与安装下面，我们来看看如何编译iptables。iptables很多组件的配置、编译是与内核的配置、编译相关联的，了解这一点是很重要的。某些Linux产品预装了iptables，比如Red Hat，但是它的缺省设置是不启用iptables的。后文我们会介绍如何启用它，也会介绍一下其他 Linux产品里的iptables情况。
2.3.1. 编译首先要解压iptables包。这里，我用iptables 1.2.6a做例子（译者注：在我翻译时，最新版本已经是 1.2.9，其中又有了不少改进，修补了一些bug，增添了几个match和target。）。命令 bzip2 -cd iptables-1.2.6a.tar.bz2 | tar -xvf -（当然也可以用tar -xjvf iptables-1.2.6a.tar.bz2，但这个命令可能对一些老版的tar不适用 ） 将压缩包解压至目录iptables-1.2.6a，其中的INSTALL文件有很多对编译、运行有用的信息。
这一步，你将配置、安装一些额外的模块，也可以为内核增加一些选项。我们这里只是检查、安装一些未被纳入内核的标准的补丁。当然，更多的在实验阶段的补丁，仅在进行其他某些操作时才会用到。
有一些补丁仅仅处在实验阶段，把它们也安装上不是一个好主意。这一步，你会遇到很多十分有趣的匹配和对数据包的操作，但它们还正在实验。
为了完成这一步，我们要在iptables的目录内用到如下一些命令：
make pending-patches KERNEL_DIR=/usr/src/linux/
变量KERNEL_DIR指向内核原码的真实路径。一般情况下，都是/usr/src/linux/ ，但也会不一样，这要看你所用的Linux产品了。
总之，只有某些补丁会被询问是否加入内核，而Netfilter的开发者们有大量的补丁或附件想要加入内核，但还要再实验一阵子才能做到。如果你想安装这些东西，就用下面的命令：
make most-of-pom KERNEL_DIR=/usr/src/linux/
这个命令会安装部分patch-o-matic（netfilter世界对补丁的称呼），忽略掉的是非常极端的那一部分，它们可能会对内核造成严重的破坏。你要知道这个命令的作用，要了解它们对内核原码的影响，好在在你选用之前，会有所提示。下面的命令可以安装所有的patch-o-matic（译者注：一定要小心哦）。
make patch-o-matic KERNEL_DIR=/usr/src/linux/
要仔细的读读每一个补丁的帮助文件，因为有些patch-o-matic会损坏内核，而有些对其他补丁有破坏作用。
你要是不打算用patch-o-matic修补内核，以上的命令都用不着，它们不是必需的。不过，你可以用这些命令来看看有什么有趣的玩意儿，这不会影响任何东西。
安装好patch-o-matic，现在应该重新编译内核了，因为其中增加了一些补丁。但别忘了重新配置内核，现有的配置文件里可没有你增加的补丁的信息。当然，你也可以先编译iptables , 再来编译内核。
接下来就该编译iptables了，用下面这个简单的命令：
make KERNEL_DIR=/usr/src/linux/
iptables应该编译好了，如果不行，好好考虑考虑问题在哪儿，要么订阅 Netfilter mailing list，那里可能有人能帮助你。
一切顺利的话，我们该安装iptables了，这几乎不会有什么问题的。我们用下面的命令来完成这一步：
make install KERNEL_DIR=/usr/src/linux/
现在大功告成了。如果你在前面没有重新编译、安装内核，现在就要做了，不然，你还是不能使用更新后的iptables。好好看看INSTALL吧，那里面有详细的安装信息。
2.3.2. 在Red Hat 7.1上安装Red Hat 7.1使用2.4.x的内核，支持Netfilter和iptables。Red Hat包含了所有基本的程序和需要的配置文件，但缺省使用的是B class=COMMAND>ipchains。“iptables为什么不能用”是最常见的问题，下面就让我们就来说说如何关闭ipchains而起用iptables 。
Red Hat 7.1预装的iptables版本有些老了，在使用之前，你可能想装个新的，再自己编译一下内核。
我们先要关闭ipchains，并且不想再让它运行起来，做到这一点，要更改目录/etc/rc.d/下的一些文件名。用以下命令完成：
chkconfig --level 0123456 ipchains off
这个命令把所有指向/etc/rc.d/init.d/ipchains的软连接改名为 K92ipchains。以S开头表示，在启动时会由初始化脚本运行此脚本。改为K开头后，就表示终止服务，或以后在启动时不再运行。这样，ipchains以后不会再开机就运行了。
要想终止正在运行的服务，要用service命令。终止ipchains 服务的命令是：
service ipchains stop
现在，我们可以启动iptables服务了。首先，要确定在哪个运行层运行，一般是 2，3和5，这些层有不同的用处：
2. 不带NFS的多用户环境，和层3的区别仅在于不带网络支持。
3. 多用户环境，就是我们一般事用的层。
5. X11，图形界面。
用下面的命令以使iptables能在这些层运行：
chkconfig --level 235 iptables on
你也可以使用这个命令使iptables能在其他层运行。但没这个必要，因为层1是单用户模式，一般用在维修上；层4保留不用；层6用来关闭计算机。
启动iptables用：
service iptables start
在脚本iptables里还没有定义规则。在Red Hat 7.1中添加规则的方法有二：第一个方法是编辑/etc/rc.d/init.d/iptables，要注意在用RPM升级iptables时，已有的规则可能会被删除。另一个方法是先装载规则，然后用命令iptables-save把规则保存到文件中，再由目录rc.d下的脚本（/etc/rc.d/init.d/iptables）自动装载。
我们先来说明如何利用“剪切粘贴大法”设置/etc/rc.d/init.d/iptables。为了能在计算机启动iptables时装载规则，可以把规则放在“start)”节或函数start()中。注意：如果把规则放在“start)”节里，则不要在“start)”节里运行start()，还要编辑“stop)”节，以便在关机时或进入一个不需要iptables的层时，脚本知道如何处理。还应检查“restart”节和“condrestart”节的设置。一定要注意，我们所做的改动在升级iptables时可能会被删除，而不管是通过Red Hat网络自动升级还是用 RPM升级。
下面介绍第二种方法：先写一个规则的脚本，或直接用iptables命令生成规则。规则要适合自己的需要，别忘了实验一下是否有问题，确认正常之后，使用命令iptables-save来保存规则。一般用iptables-save > /etc/sysconfig/iptables生成保存规则的文件 /etc/sysconfig/iptables，也可以用service iptables save，它能把规则自动保存在/etc/sysconfig/iptables中。当计算机启动时，rc.d下的脚本将用命令iptables-restore调用这个文件，从而就自动恢复了规则。
以上两种方法最好不要混用，以免用不同方法定义的规则互相影响，甚至使防火墙的设置无效。
至此，可以删除预装的ipchains和iptables了,这样可以避免新旧版本的iptables之间的冲突。其实，只有当你从原码安装时，才需要这样做。但一般来说，也不会出现互相影响的问题，因为基于rpm的包不使用原码的缺省目录。删除用以下命令：
rpm -e iptables
既然不用ipchains为什么要保留呢？删吧！命令如下：
rpm -e ipchains
历经磨难，胜利终于到来了。你已经能够从源码安装iptables了。那些老版的东西就删掉吧。
Chapter 3. 表和链这一章我们来讨论数据包是以什么顺序、如何穿越不同的链和表的。稍后，在你自己写规则时，就会知道这个顺序是多么的重要。一些组件是iptables与内核共用的，比如，数据包路由的判断。了解到这一点是很重要的，尤其在你用iptables改变数据包的路由时。这会帮助你弄明白数据包是如何以及为什么被那样路由，一个好的例子是DNAT和SNAT，不要忘了TOS的作用。
3.1. 概述当数据包到达防火墙时，如果MAC地址符合，就会由内核里相应的驱动程序接收，然后会经过一系列操作，从而决定是发送给本地的程序，还是转发给其他机子，还是其他的什么。
我们先来看一个以本地为目的的数据包，它要经过以下步骤才能到达要接收它的程序：
下文中有个词mangle，我实在没想到什么合适的词来表达这个意思，只因为我的英语太差！我只能把我理解的写出来。这个词表达的意思是，会对数据包的一些传输特性进行修改，在mangle表中允许的操作是 TOS、TTL、MARK。也就是说，今后只要我们见到这个词能理解它的作用就行了。
Table 3-1. 以本地为目标（就是我们自己的机子了）的包
[td] 
Step（步骤）
Table（表）
Chain（链）
Comment（注释）
1
在线路上传输(比如，Internet)
2
进入接口 (比如， eth0)
3
mangle
PREROUTING
这个链用来mangle数据包，比如改变TOS等
4
nat
PREROUTING
这个链主要用来做DNAT。不要在这个链做过虑操作，因为某些情况下包会溜过去。
5
路由判断，比如，包是发往本地的，还是要转发的。
6
mangle
INPUT
在路由之后，被送往本地程序之前，mangle数据包。
7
filter
INPUT
所有以本地为目的的包都要经过这个链，不管它们从哪儿来，对这些包的过滤条件就设在这里。 
8
到达本地程序了(比如，服务程序或客户程序)
注意，相比以前（译者注：就是指ipchain）现在数据包是由INPUT链过，而不是FORWARD链。这样更符合逻辑。刚看上去可能不太好理解，但仔细想想就会恍然大悟的。
现在我们来看看源地址是本地器的包要经过哪些步骤：
Table 3-2. 以本地为源的包
[td] 
Step
Table
Chain
Comment
1
本地程序（比如，服务程序或客户程序）
2
路由判断，要使用源地址，外出接口，还有其他一些信息。 
3
mangle
OUTPUT
在这儿可以mangle包。建议不要在这儿做过滤，可能有副作用哦。
4
nat
OUTPUT
这个链对从防火墙本身发出的包进行DNAT操作。
5
filter
OUTPUT
对本地发出的包过滤。
6
mangle
POSTROUTING
这条链主要在包DNAT之后(译者注：作者把这一次DNAT称作实际的路由，虽然在前面有一次路由。对于本地的包，一旦它被生成，就必须经过路由代码的处理，但这个包具体到哪儿去，要由NAT代码处理之后才能确定。所以把这称作实际的路由。)，离开本地之前，对包 mangle。有两种包会经过这里，防火墙所在机子本身产生的包，还有被转发的包。
7
nat
POSTROUTING
在这里做SNAT。但不要在这里做过滤，因为有副作用，而且有些包是会溜过去的，即使你用了DROP策略。
8
离开接口(比如： eth0)
9
在线路上传输(比如，Internet)
在这个例子中，我们假设一个包的目的是另一个网络中的一台机子。让我们来看看这个包的旅程：
Table 3-3. 被转发的包
[td] 
Step
Table
Chain
Comment
1
在线路上传输(比如，Internet)
2
进入接口（比如， eth0）
3
mangle
PREROUTING
mangle数据包，，比如改变TOS等。
4
nat
PREROUTING
这个链主要用来做DNAT。不要在这个链做过虑操作，因为某些情况下包会溜过去。稍后会做SNAT。
5
路由判断，比如，包是发往本地的，还是要转发的。
6
mangle
FORWARD
包继续被发送至mangle表的FORWARD链，这是非常特殊的情况才会用到的。在这里，包被mangle（还记得mangle的意思吗）。这次mangle发生在最初的路由判断之后，在最后一次更改包的目的之前（译者注：就是下面的FORWARD链所做的，因其过滤功能，可能会改变一些包的目的地，如丢弃包）。
7
filter
FORWARD
包继续被发送至这条FORWARD链。只有需要转发的包才会走到这里，并且针对这些包的所有过滤也在这里进行。注意，所有要转发的包都要经过这里，不管是外网到内网的还是内网到外网的。在你自己书写规则时，要考虑到这一点。 
8
mangle
POSTROUTING
这个链也是针对一些特殊类型的包（译者注：参考第6步，我们可以发现，在转发包时，mangle表的两个链都用在特殊的应用上）。这一步mangle是在所有更改包的目的地址的操作完成之后做的，但这时包还在本地上。
9
nat
POSTROUTING
这个链就是用来做SNAT的，当然也包括Masquerade（伪装）。但不要在这儿做过滤，因为某些包即使不满足条件也会通过。
10
离开接口(比如： eth0)
11
又在线路上传输了(比如，LAN) 
就如你所见的，包要经历很多步骤，而且它们可以被阻拦在任何一条链上，或者是任何有问题的地方。我们的主要兴趣是iptables的概貌。注意，对不同的接口，是没有什么特殊的链和表的。所有要经防火墙/ 路由器转发的包都要经过FORWARD链。
在上面的情况里，不要在INPUT链上做过滤。INPUT是专门用来操作那些以我们的机子为目的地址的包的，它们不会被路由到其它地方的。
现在，我们来看看在以上三种情况下，用到了哪些不同的链。图示如下：
要弄清楚上面的图，可以这样考虑。在第一个路由判断处，不是发往本地的包，我们会发送它穿过 FORWARD链。若包的目的地是本地监听的IP地址，我们就会发送这个包穿过INPUT链，最后到达本地。
值得注意的是，在做NAT的过程中，发往本机的包的目的地址可能会在PREROUTING链里被改变。这个操作发生在第一次路由之前，所以在地址被改变之后，才能对包进行路由。注意，所有的包都会经过上图中的某一条路径。如果你把一个包DNAT回它原来的网络，这个包会继续走完相应路径上剩下的链，直到它被发送回原来的网络。
想要更多的信息，可以看看rc.test-iptables.txt ，这个脚本包括了一些规则，它们会向你展示包是怎样通过各个表和链的。
3.2. mangle 表这个表主要用来mangle包，你可以使用mangle匹配来改变包的TOS等特性。
强烈建议你不要在这个表里做任何过滤，不管是DANT，SNAT或者Masquerade。
以下是mangle表中仅有的几种操作：
TOS
TTL
MARK
TOS操作用来设置或改变数据包的服务类型域。这常用来设置网络上的数据包如何被路由等策略。注意这个操作并不完善，有时得不所愿。它在Internet上还不能使用，而且很多路由器不会注意到这个域值。换句话说，不要设置发往Internet的包，除非你打算依靠TOS来路由，比如用iproute2。
TTL操作用来改变数据包的生存时间域，我们可以让所有数据包只有一个特殊的TTL。它的存在有一个很好的理由，那就是我们可以欺骗一些ISP。为什么要欺骗他们呢？因为他们不愿意让我们共享一个连接。那些ISP会查找一台单独的计算机是否使用不同的TTL，并且以此作为判断连接是否被共享的标志。
MARK用来给包设置特殊的标记。iproute2能识别这些标记，并根据不同的标记（或没有标记）决定不同的路由。用这些标记我们可以做带宽限制和基于请求的分类。
3.3. nat 表此表仅用于NAT，也就是转换包的源或目标地址。注意，就象我们前面说过的，只有流的第一个包会被这个链匹配，其后的包会自动被做相同的处理。实际的操作分为以下几类：
DNAT
SNAT
MASQUERADE
DNAT操作主要用在这样一种情况，你有一个合法的IP地址，要把对防火墙的访问重定向到其他的机子上（比如DMZ）。也就是说，我们改变的是目的地址，以使包能重路由到某台主机。
SNAT改变包的源地址，这在极大程度上可以隐藏你的本地网络或者DMZ等。一个很好的例子是我们知道防火墙的外部地址，但必须用这个地址替换本地网络地址。有了这个操作，防火墙就能自动地对包做SNAT和De-SNAT(就是反向的SNAT),以使LAN能连接到Internet。如果使用类似 192.168.0.0/24这样的地址，是不会从Internet得到任何回应的。因为IANA定义这些网络（还有其他的）为私有的，只能用于LAN内部。
MASQUERADE的作用和MASQUERADE完全一样，只是计算机的负荷稍微多一点。因为对每个匹配的包，MASQUERADE都要查找可用的IP地址，而不象SNAT用的IP地址是配置好的。当然，这也有好处，就是我们可以使用通过PPP、 PPPOE、SLIP等拨号得到的地址，这些地址可是由ISP的DHCP随机分配的。
3.4. Filter 表filter 表用来过滤数据包，我们可以在任何时候匹配包并过滤它们。我们就是在这里根据包的内容对包做DROP或ACCEPT的。当然，我们也可以预先在其他地方做些过滤，但是这个表才是设计用来过滤的。几乎所有的target都可以在这儿使用。大量具体的介绍在后面，现在你只要知道过滤工作主要是在这儿完成的就行了。
Chapter 4. 状态机制本章将详细介绍状态机制。通读本章，你会对状态机制是如何工作的有一个全面的了解。我们用一些例子来进行说明状态机制。实践出真知嘛。
4.1. 概述状态机制是iptables中特殊的一部分，其实它不应该叫状态机制，因为它只是一种连接跟踪机制。但是，很多人都认可状态机制这个名字。文中我也或多或或少地用这个名字来表示和连接跟踪相同的意思。这不应该引起什么混乱的。连接跟踪可以让Netfilter知道某个特定连接的状态。运行连接跟踪的防火墙称作带有状态机制的防火墙，以下简称为状态防火墙。状态防火墙比非状态防火墙要安全，因为它允许我们编写更严密的规则。
在iptables里，包是和被跟踪连接的四种不同状态有关的。它们是NEW，ESTABLISHED，RELATED和INVALID。后面我们会深入地讨论每一个状态。使用--state匹配操作，我们能很容易地控制 “谁或什么能发起新的会话”。
所有在内核中由Netfilter的特定框架做的连接跟踪称作conntrack（译者注：就是connection tracking 的首字母缩写）。conntrack可以作为模块安装，也可以作为内核的一部分。大部分情况下，我们想要，也需要更详细的连接跟踪，这是相比于缺省的conntrack而言。也因为此，conntrack中有许多用来处理TCP， UDP或ICMP协议的部件。这些模块从数据包中提取详细的、唯一的信息，因此能保持对每一个数据流的跟踪。这些信息也告知conntrack流当前的状态。例如，UDP流一般由他们的目的地址、源地址、目的端口和源端口唯一确定。
在以前的内核里，我们可以打开或关闭重组功能。然而，自从iptables和Netfilter，尤其是连接跟踪被引入内核，这个选项就被取消了。因为没有包的重组，连接跟踪就不能正常工作。现在重组已经整合入 conntrack，并且在conntrack启动时自动启动。不要关闭重组功能，除非你要关闭连接跟踪。
除了本地产生的包由OUTPUT链处理外，所有连接跟踪都是在PREROUTING链里进行处理的，意思就是， iptables会在PREROUTING链里从新计算所有的状态。如果我们发送一个流的初始化包，状态就会在OUTPUT链里被设置为NEW，当我们收到回应的包时，状态就会在PREROUTING链里被设置为ESTABLISHED。如果第一个包不是本地产生的，那就会在PREROUTING链里被设置为NEW状态。综上，所有状态的改变和计算都是在nat表中的PREROUTING链和OUTPUT链里完成的。
4.2. conntrack记录我们先来看看怎样阅读/proc/net/ip_conntrack里的conntrack记录。这些记录表示的是当前被跟踪的连接。如果安装了ip_conntrack模块，cat /proc/net/ip_conntrack 的显示类似：
tcp      6 117 SYN_SENT src=192.168.1.6 dst=192.168.1.9 sport=32775 \     dport=22 [UNREPLIED] src=192.168.1.9 dst=192.168.1.6 sport=22 \     dport=32775 use=2     conntrack模块维护的所有信息都包含在这个例子中了，通过它们就可以知道某个特定的连接处于什么状态。首先显示的是协议，这里是tcp，接着是十进制的6（译者注：tcp的协议类型代码是6）。之后的117是这条conntrack记录的生存时间，它会有规律地被消耗，直到收到这个连接的更多的包。那时，这个值就会被设为当时那个状态的缺省值。接下来的是这个连接在当前时间点的状态。上面的例子说明这个包处在状态 SYN_SENT，这个值是iptables显示的，以便我们好理解，而内部用的值稍有不同。SYN_SENT说明我们正在观察的这个连接只在一个方向发送了一TCP SYN包。再下面是源地址、目的地址、源端口和目的端口。其中有个特殊的词UNREPLIED，说明这个连接还没有收到任何回应。最后，是希望接收的应答包的信息，他们的地址和端口和前面是相反的。
连接跟踪记录的信息依据IP所包含的协议不同而不同，所有相应的值都是在头文件linux/include/netfilter-ipv4/ip_conntrack*.h中定义的。IP、TCP、UDP、ICMP协议的缺省值是在linux/include/netfilter-ipv4/ip_conntrack.h里定义的。具体的值可以查看相应的协议，但我们这里用不到它们，因为它们大都只在conntrack内部使用。随着状态的改变，生存时间也会改变。
最近patch-o-matic里有一个新的补丁，可以把上面提到的超时时间也作为系统变量，这样我们就能够在系统空闲时改变它们的值。以后，我们就不必为了改变这些值而重编译内核了。
这些可通过/proc/sys/net/ipv4/netfilter下的一些特殊的系统调用来改变。仔细看看/proc/sys/net/ipv4/netfilter/ip_ct_*里的变量吧。
当一个连接在两个方向上都有传输时，conntrack记录就删除[UNREPLIED]标志，然后重置。在末尾有 [ASSURED]的记录说明两个方向已没有流量。这样的记录是确定的，在连接跟踪表满时，是不会被删除的，没有[ASSURED]的记录就要被删除。连接跟踪表能容纳多少记录是被一个变量控制的，它可由内核中的ip- sysctl函数设置。默认值取决于你的内存大小，128MB可以包含8192条目录，256MB是16376条。你也可以在 /proc/sys/net/ipv4/ip_conntrack_max里查看、设置。
4.3. 数据包在用户空间的状态就象前面说的，包的状态依据IP所包含的协议不同而不同，但在内核外部，也就是用户空间里，只有4种状态：NEW，ESTABLISHED，RELATED 和INVALID。它们主要是和状态匹配一起使用。下面就简要地介绍以下这几种状态：
Table 4-1. 数据包在用户空间的状态
[td] 
State（状态）
Explanation（注释）
NEW
NEW说明这个包是我们看到的第一个包。意思就是，这是conntrack模块看到的某个连接第一个包，它即将被匹配了。比如，我们看到一个SYN 包，是我们所留意的连接的第一个包，就要匹配它。第一个包也可能不是SYN包，但它仍会被认为是NEW状态。这样做有时会导致一些问题，但对某些情况是有非常大的帮助的。例如，在我们想恢复某条从其他的防火墙丢失的连接时，或者某个连接已经超时，但实际上并未关闭时。
ESTABLISHED
ESTABLISHED已经注意到两个方向上的数据传输，而且会继续匹配这个连接的包。处于ESTABLISHED状态的连接是非常容易理解的。只要发送并接到应答，连接就是ESTABLISHED的了。一个连接要从NEW变为ESTABLISHED，只需要接到应答包即可，不管这个包是发往防火墙的，还是要由防火墙转发的。ICMP的错误和重定向等信息包也被看作是ESTABLISHED，只要它们是我们所发出的信息的应答。
RELATED
RELATED是个比较麻烦的状态。当一个连接和某个已处于ESTABLISHED状态的连接有关系时，就被认为是RELATED的了。换句话说，一个连接要想是RELATED的，首先要有一个ESTABLISHED的连接。这个ESTABLISHED连接再产生一个主连接之外的连接，这个新的连接就是RELATED的了，当然前提是conntrack模块要能理解RELATED。ftp是个很好的例子，FTP-data 连接就是和FTP-control有RELATED的。还有其他的例子，比如，通过IRC的DCC连接。有了这个状态，ICMP应答、FTP传输、DCC等才能穿过防火墙正常工作。注意，大部分还有一些UDP协议都依赖这个机制。这些协议是很复杂的，它们把连接信息放在数据包里，并且要求这些信息能被正确理解。
INVALID
INVALID说明数据包不能被识别属于哪个连接或没有任何状态。有几个原因可以产生这种情况，比如，内存溢出，收到不知属于哪个连接的ICMP 错误信息。一般地，我们DROP这个状态的任何东西。
这些状态可以一起使用，以便匹配数据包。这可以使我们的防火墙非常强壮和有效。以前，我们经常打开1024以上的所有端口来放行应答的数据。现在，有了状态机制，就不需再这样了。因为我们可以只开放那些有应答数据的端口，其他的都可以关闭。这样就安全多了。
4.4. TCP 连接本节和下面的几节，我们来详细讨论这些状态，以及在TCP、UDP和ICMP这三种基本的协议里怎样操作它们。当然，也会讨论其他协议的情况。我们还是从TCP入手，因为它本身就是一个带状态的协议，并且具有很多关于iptables状态机制的详细信息。
一个TCP连接是经过三次握手协商连接信息才建立起来的。整个会话由一个SYN包开始，然后是一个 SYN/ACK包，最后是一个ACK包，此时，会话才建立成功，能够发送数据。最大的问题在于连接跟踪怎样控制这个过程。其实非常简单。
默认情况下，连接跟踪基本上对所有的连接类型做同样的操作。看看下面的图片，我们就能明白在连接的不同阶段，流是处于什么状态的。就如你看到的，连接跟踪的代码不是从用户的观点来看待TCP连接建立的流程的。连接跟踪一看到SYN包，就认为这个连接是NEW状态，一看到返回的SYN/ACK包，就认为连接是 ESTABLISHED状态。如果你仔细想想第二步，应该能理解为什么。有了这个特殊处理，NEW和ESTABLISHED包就可以发送出本地网络，且只有ESTABLISHED的连接才能有回应信息。如果把整个建立连接的过程中传输的数据包都看作NEW，那么三次握手所用的包都是NEW状态的，这样我们就不能阻塞从外部到本地网络的连接了。因为即使连接是从外向内的，但它使用的包也是NEW状态的，而且为了其他连接能正常传输，我们不得不允许NEW状态的包返回并进入防火墙。更复杂的是，针对TCP连接内核使用了很多内部状态，它们的定义在 RFC 793 - Transmission Control Protocol的21-23页。但好在我们在用户空间用不到。后面我们会详细地介绍这些内容。
正如你看到的，以用户的观点来看，这是很简单的。但是，从内核的角度看这一块还有点困难的。我们来看一个例子。认真考虑一下在/proc/net/ip_conntrack里，连接的状态是如何改变的。
tcp      6 117 SYN_SENT src=192.168.1.5 dst=192.168.1.35 sport=1031 \     dport=23 [UNREPLIED] src=192.168.1.35 dst=192.168.1.5 sport=23 \     dport=1031 use=1   从上面的记录可以看出，SYN_SENT状态被设置了，这说明连接已经发出一个SYN包，但应答还没发送过来，这可从[UNREPLIED]标志看出。
tcp      6 57 SYN_RECV src=192.168.1.5 dst=192.168.1.35 sport=1031 \     dport=23 src=192.168.1.35 dst=192.168.1.5 sport=23 dport=1031 \     use=1   现在我们已经收到了相应的SYN/ACK包，状态也变为SYN_RECV，这说明最初发出的SYN包已正确传输，并且SYN/ACK包也到达了防火墙。 这就意味着在连接的两方都有数据传输，因此可以认为两个方向都有相应的回应。当然，这是假设的。
tcp      6 431999 ESTABLISHED src=192.168.1.5 dst=192.168.1.35 \     sport=1031 dport=23 src=192.168.1.35 dst=192.168.1.5 \     sport=23 dport=1031 use=1   现在我们发出了三步握手的最后一个包，即ACK包，连接也就进入ESTABLISHED状态了。再传输几个数据包，连接就是[ASSURED]的了。
下面介绍TCP连接在关闭过程中的状态。
如上图，在发出最后一个ACK包之前，连接（指两个方向）是不会关闭的。注意，这只是针对一般的情况。连接也可以通过发送关闭，这用在拒绝一个连接的时候。在RST包发送之后，要经过预先设定的一段时间，连接才能断掉。
连接关闭后，进入TIME_WAIT状态，缺省时间是2分钟。之所以留这个时间，是为了让数据包能完全通过各种规则的检查，也是为了数据包能通过拥挤的路由器，从而到达目的地。
如果连接是被RST包重置的，就直接变为CLOSE了。这意味着在关闭之前只有10秒的默认时间。RST包是不需要确认的，它会直接关闭连接。针对TCP连接，还有其他一些状态我们没有谈到。下面给出一个完整的状态列表和超时值。
Table 4-2. 内部状态
[td] 
State
Timeout value
NONE
30 minutes
ESTABLISHED
5 days
SYN_SENT
2 minutes
SYN_RECV
60 seconds
FIN_WAIT
2 minutes
TIME_WAIT
2 minutes
CLOSE
10 seconds
CLOSE_WAIT
12 hours
LAST_ACK
30 seconds
LISTEN>
2 minutes
这些值不是绝对的，可以随着内核的修订而变化，也可以通过/proc/sys/net/ipv4/netfilter/ip_ct_tcp_*的变量更改。这些默认值都是经过实践检验的。它们的单位是jiffies（百分之一秒），所以3000就代表30秒。
注意状态机制在用户空间里的部分不会查看TCP包的标志位（也就是说TCP标志对它而言是透明的）。如果我们想让NEW状态的包通过防火墙，就要指定NEW状态，我们理解的NEW状态的意思就是指SYN包，可是iptables又不查看这些标志位。这就是问题所在。有些没有设置SYN或ACK的包，也会被看作NEW状态的。这样的包可能会被冗余防火墙用到，但对只有一个防火墙的网络是很不利的（可能会被攻击哦）。那我们怎样才能不受这样的包的影响呢？你可以使用未设置SYN的NEW状态包 里的命令。还有一个办法，就是安装patch-o-matic里的tcp-window-tracking扩展功能，它可以使防火墙能根据TCP的一些标志位来进行状态跟踪。
4.5. UDP连接UDP连接是无状态的，因为它没有任何的连接建立和关闭过程，而且大部分是无序列号的。以某个顺序收到的两个数据包是无法确定它们的发出顺序的。但内核仍然可以对UDP连接设置状态。我们来看看是如何跟踪UDP连接的，以及conntrack的相关记录。
从上图可以看出，以用户的角度考虑，UDP连接的建立几乎与TCP的一样。虽然conntrack信息看起来有点儿不同，但本质上是一样的。下面我们先来看看第一个UDP包发出后的conntrack记录。
udp      17 20 src=192.168.1.2 dst=192.168.1.5 sport=137 dport=1025 \     [UNREPLIED] src=192.168.1.5 dst=192.168.1.2 sport=1025 \     dport=137 use=1   从前两个值可知，这是一个UDP包。第一个是协议名称，第二个是协议号，第三个是此状态的生存时间，默认是30秒。接下来是包的源、目地址和端口，还有期待之中回应包的源、目地址和端口。[UNREPLIED]标记说明还未收到回应。
udp      17 170 src=192.168.1.2 dst=192.168.1.5 sport=137 \     dport=1025 src=192.168.1.5 dst=192.168.1.2 sport=1025 \     dport=137 use=1   一旦收到第一个包的回应，[UNREPLIED]标记就会被删除，连接就被认为是ESTABLISHED的，但在记录里并不显示ESTABLISHED标记。相应地，状态的超时时间也变为180秒了。在本例中，只剩170秒了，10秒后，就会减少为160秒。有个东西是不可少的，虽然它可能会有些变化，就是前面提过的[ASSURED]。要想变为 [ASSURED]状态，连接上必须要再有些流量。
udp      17 175 src=192.168.1.5 dst=195.22.79.2 sport=1025 \     dport=53 src=195.22.79.2 dst=192.168.1.5 sport=53 \     dport=1025 [ASSURED] use=1   可以看出来，[ASSURED]状态的记录和前面的没有多大差别，除了标记由[UNREPLIED]变成[ASSURED]。如果这个连接持续不了180秒，那就要被中断。180秒是短了点儿，但对大部分应用足够了。只要遇到这个连接的包穿过防火墙，超时值就会被重置为默认值，所有的状态都是这样的。
4.6. ICMP 连接ICMP也是一种无状态协议，它只是用来控制而不是建立连接。ICMP包有很多类型，但只有四种类型有应答包，它们是回显请求和应答（Echo request and reply），时间戳请求和应答（Timestamp request and reply），信息请求和应答（Information request and reply），还有地址掩码请求和应答（Address mask request and reply），这些包有两种状态，NEW和ESTABLISHED 。时间戳请求和信息请求已经废除不用了，回显请求还是常用的，比如ping命令就用的到，地址掩码请求不太常用，但是可能有时很有用并且值得使用。看看下面的图，就可以大致了解ICMP连接的NEW和ESTABLISHED状态了。
如图所示，主机向目标发送一个回显请求，防火墙就认为这个包处于NEW状态。目标回应一个回显应答，防火墙就认为包处于ESTABLISHED了。当回显请求被发送时，ip_conntrack里就有这样的记录了：
icmp     1 25 src=192.168.1.6 dst=192.168.1.10 type=8 code=0 \     id=33029 [UNREPLIED] src=192.168.1.10 dst=192.168.1.6 \     type=0 code=0 id=33029 use=1   可以看到，ICMP的记录和TCP、UDP的有点区别，协议名称、超时时间和源、目地址都一样，不同之处在于没有了端口，而新增了三个新的字段：type，code和id。字段type说明ICMP的类型。code说明ICMP的代码，这些代码在附录ICMP类型里有说明。id是ICMP包的ID。每个ICMP包被发送时都被分配一个ID，接受方把同样的ID 分配给应答包，这样发送方能认出是哪个请求的应答。
[UNREPLIED]的含义和前面一样，说明数的传输只发生在一个方向上，也就是说未收到应答。再往后，是应答包的源、目地址，还有相应的三个新字段，要注意的是type和code是随着应答包的不同而变化的，id和请求包的一样。
和前面一样，应答包被认为是ESTABLISHED的。然而，在应答包之后，这个ICMP 连接就不再有数据传输了。所以，一旦应答包穿过防火墙，ICMP的连接跟踪记录就被销毁了。
以上各种情况，请求被认为NEW，应答是ESTABLISHED。换句话说，就是当防火墙看到一个请求包时，就认为连接处于NEW状态，当有应答时，就是ESTABLISHED状态。
注意，应答包必须符合一定的标准，连接才能被认作established的，每个传输类型都是这样。
ICMP的缺省超时是30秒，可以在/proc/sys/net/ipv4/netfilter/ip_ct_icmp_timeout中修改。这个值是比较合适的，适合于大多数情况。
ICMP的另一个非常重要的作用是，告诉UDP、TCP连接或正在努力建立的连接发生了什么，这时ICMP应答被认为是RELATED的。主机不可达和网络不可达就是这样的例子。当试图连接某台机子不成功时（可能那台机子被关上了），数据包所到达的最后一台路由器就会返回以上的ICMP信息，它们就是RELATED的，如下图：
我们发送了一个SYN包到某一地址，防火墙认为它的状态是NEW。但是，目标网络有问题不可达，路由器就会返回网络不可达的信息，这是RELATED的。连接跟踪会认出这个错误信息是哪个连接的，连接会中断，同时相应的记录删除会被删除。
当UDP连接遇到问题时，同样会有相应的ICMP信息返回，当然它们的状态也是RELATED ，如下图：
我们发送一个UDP包，当然它是NEW的。但是，目标网络被一些防火墙或路由器所禁止。我们的防火墙就会收到网络被禁止的信息。防火墙知道它是和哪个已打开的UDP连接相关的，并且把这个信息（状态是RELATED）发给它，同时，把相应的记录删除。客户机收到网络被禁止的信息，连接将被中断。
4.7. 缺省的连接操作有时，conntrack机制并不知道如何处理某个特殊的协议，尤其是在它不了解这个协议或不知道协议如何工作时，比如，NETBLT，MUX还有EGP。这种情况下，conntrack使用缺省的操作。这种操作很象对UDP连接的操作，就是第一个包被认作NEW，其后的应答包等等数据都是 ESTABLISHED。
使用缺省操作的包的超时值都是一样的，600秒，也就是10分钟。当然，这个值可以通过/proc/sys/net/ipv4/netfilter/ip_ct_generic_timeout更改，以便适应你的通信量，尤其是在耗时较多、流量巨大的情况下，比如使用卫星等。
4.8. 复杂协议和连接跟踪有些协议比其他协议更复杂，这里复杂的意思是指连接跟踪机制很难正确地跟踪它们，比如，ICQ、IRC 和FTP，它们都在数据包的数据域里携带某些信息，这些信息用于建立其他的连接。因此，需要一些特殊的 helper来完成工作。
下面以FTP作为例子。FTP协议先建立一个单独的连接——FTP控制会话。我们通过这个连接发布命令，其他的端口就会打开以便传输和这个命令相关的数据。这些连接的建立方法有两种：主动模式和被动模式。先看看主动模式，FTP客户端发送端口和IP地址信息给服务器端，然后，客户端打开这个端口，服务器端从它自己的20端口（FTP-Data端口号）建立与这个端口的连接，接着就可以使用这个连接发送数据了。
问题在于防火墙不知道这些额外的连接（相对于控制会话而言），因为这些连接在建立时的磋商信息都在协议数据包的数据域内，而不是在可分析的协议头里。因此，防火墙就不知道是不是该放这些从服务器到客户机的连接过关。
解决的办法是为连接跟踪模块增加一个特殊的helper，以便能检测到那些信息。这样，那些从FTP服务器到客户机的连接就可以被跟踪了，状态是RELATED，过程如下图所示：
被动FTP工作方式下，data连接的建立过程和主动FTP的相反。客户机告诉服务器需要某些数据，服务器就把地址和端口发回给客户机，客户机据此建立连接接受数据。如果FTP服务器在防火墙后面，或你对用户限制的比较严格，只允许他们访问HTTP和FTP，而封闭了其他所有端口，为了让在Internet是的客户机能访问到FTP，也需要增加上面提到的helper。下面是被动模式下data连接的建立过程：
有些conntrack helper已经包含在内核中，在写这篇文章时，FTP和IRC已有了相应的conntrack helper。如果在内核里没有你想要的helper，可以到iptables用户空间的patch-o-matic目录中看看，那里有很多的helper，比如针对ntalk或H.323协议的等等。如果没找到，还有几个选择：可以查查iptables的 CVS，或者联系Netfilter-devel问问有没有你要的。还不行的话，只有你自己写了，我可以给你介绍一篇好文章，Rusty Russell's Unreliable Netfilter Hacking HOW-TO，连接放在附录里其他资源和链接。
Conntrack helper即可以被静态地编译进内核，也可以作为模块，但要用下面的命令装载：
modprobe ip_conntrack_*   注意连接跟踪并不处理NAT，因此要对连接做NAT就需要增加相应的模块。比如，你想NAT并跟踪FTP连接，除了FTP的相应模块，还要有NAT的模块。所有的NAT helper名字都是以ip_nat_开头的，这是一个命名习惯：FTP NAT helper叫做ip_nat_ftp，IRC的相应模块就是ip_nat_irc。conntrack helper 的命名也遵循一样的习惯：针对IRC的conntrack helper叫ip_conntrack_irc，FTP的叫作ip_conntrack_ftp。
[查看全文]

Red Hat Linux 033 实验部分
试验３　
文件和目录操作
估计时间： 1小时30分钟
目标：　　　　　　　　　　 熟悉函数、语法和一些基本的文件和目录的控制操作。
　　　　　　　　　　　　　 练习有效地组合这些命令完成一般的用户任务
试验的起点： 安装了Red Hat Linux可运行系统 ，有一个无特权用户student，密码：student
第一步：目录和文件组织
场景／情节
在您的home目录下有一系列的文件，您决定到时间整理一下了．您计划生成一些新的子目录，然后根据您的计划拷贝和移动这些文件到适当的目录；另外，这些文件不是都有用的，有一些是要删除掉的。
任务：
１． 以用户名student密码student在tty1上登陆。
２． 在您登陆系统以后，你将进入您的home目录．你可以使用＂打印工作目录＂检查这一情况
$ pwd
/home/student
３．使用如下每条命令检查您是否还有文件在您的home目录下：
$ ls
$ ls -a
$ ls –al
为什么第一和第二条命令返回不同的文件数？
第三条命令返回的在您当前的home目录下最大的文件是多少？
您的home目录下有子目录吗？
４． 您现在使用touch为以后的步骤建立文件。这种扩展在接下来的命令中是如何工作的在以后的章节中进行讨论。现在，仅仅按照下面的行键入就行了（在集合与集合之间使用包括花括号｛｝和下划线的字符）
$ touch {report,memo,graph}_{sep,oct,nov,dec}_{a,b,c}{1,2,3}
５． 使用命令ls检查最后一条命令的结果，你会发现它在您的home目录下生成了108个
新的空文件（您不必数）。这些文件代表了您将使用的在这个步骤中的代表的数据文件。如果您看不到这些文件，向教师寻找帮助，没有这些文件，该试验后面的步骤就无法进行。
６． 为了组织您的文件，您必须先建立一些新目录，使用mkdir在您的home目录中直接
建立一些子目录：
$ mkdir a_reports
$ mkdir september october november december
　　再使用ls 检查您的工作。
７． 使用如下命令在您的一个新的目录中生成一些附加子目录
$ cd a_reports
为了切换到目录，接下来：
$ mkdir 1 2 3
使用ls检查你的子目录a_reports下的名为1，2，3的三个新的子目录。
８． 首先把所有带”b”的报告从home目录中移出并且按月份分组，先验证要使用的复杂的通配符模式，是个好方法。这样做以确保它对于正确的文件进行操作。如果你打算使用这种通配符模式，您可以使用一个无害的命令来替换您的命令。
$ cd
$ ls -l *dec?b?
你将看到列出了9个”december”，”b”文件，把其中的一个移到december目录中：
$ mv graph_dec_b1 december
用下面的语句移动其余的：
$ mv *dec?b? december
列出december目录的内容验证移动操作是否成功：
$ ls -l december
total 0
-rw-rw-r-- 1 student student 0 Sep 18 17:45 graph_dec_b1
-rw-rw-r-- 1 student student 0 Sep 18 17:45 graph_dec_b2
-rw-rw-r-- 1 student student 0 Sep 18 17:45 graph_dec_b3
-rw-rw-r-- 1 student student 0 Sep 18 17:45 memo_dec_b1
-rw-rw-r-- 1 student student 0 Sep 18 17:45 memo_dec_b2
-rw-rw-r-- 1 student student 0 Sep 18 17:45 memo_dec_b3
-rw-rw-r-- 1 student student 0 Sep 18 17:45 report_dec_b1
-rw-rw-r-- 1 student student 0 Sep 18 17:45 report_dec_b2
-rw-rw-r-- 1 student student 0 Sep 18 17:45 report_dec_b3
９．把其余所有带”b”的报告分别移动到各自对应的目录中：
$ mv *oct?b? october
$ mv *sep?b? september
１０． 现在你将把”a”报告收集到它们各自对应的目录中。注意使用～代替 “你的home
目录”。通配符和模式的组合指定了您的home目录下所有以_a1结尾的文件。
$ cd a_reports
$ mv ~/*_a1 1/
“september””a1”文件陈旧并且不再需要，使用echo确定您已经建立了一个只匹配该类文件的模式，然后删除它们，并且检查剩下的”a1”文件是否正确移动：
$ cd 1
$ echo *sep*
$ rm *sep*
$ ls
graph_dec_a1 graph_oct_a1 memo_nov_a1 report_dec_a1 report_oct_a1 graph_nov_a1 memo_dec_a1 memo_oct_a1 report_nov_a1
11．最后移动”a2”和”a3”报告到各自对应的目录中。为了使过程变得有趣，我们将把
它们移出当前目录，使用相对和绝对的的路径名。第一步，使用pwd确定当前目录：
$ pwd
/home/student/a_reports/1
用echo检查涉及到”a2”文件的模式，然后使用绝对路径名：
$ echo /home/student/*a2*
$ mv /home/student/*a2* /home/student/a_reports/2
即使您当前在/home/student/a_reports/１目录下，也能把文件从/home/student移动到/home/student/a_reports/2目录中，因为您指定了文件的路径名称（在本例中为绝对路径名称）
现在使用相对路径移动“a3”文件。再一次的，首先确信模式指定的是正确的文件名称。
$ echo ../../*a３*
$ mv ../../*a３* ../３
12．返回您的home目录，并且使用ls 来校验仅存在该目录中的文件都是“c”文件（例如：graph_dec_c1,graph_dec_c2，…）
13.“c1”和“c2”报告文件对于每个月来说都非常重要，并且您打算把它们备份到另外一个目录：
$ mkdir /tmp/archive
$ cp report*[12] /tmp/archive/
另外的，所有的对于十二月份的报告文件应该备份到/tmp/archice目录下面。注意，-i选项使得cp程序在覆盖任何文件之前进行提示：
$ cp -i report_dec* /tmp/archive/
cp: overwrite `/tmp/archive/report_dec_c1'? n
cp: overwrite `/tmp/archive/report_dec_c2'? n
14．现在您备份了一些对您重要的“c”文件，您现在要删除位于您的home目录下面所有的文件。使用通配符“*c*”检查剩下的含有c的文件。您为什么不想执行命令rm *c* ？
（作为提示：尝试：ls *c*）
15.删除您的home目录下的剩余*c*文件。在发出一个破坏性的命令之前我们再次使用echo命令。
$ echo *c[1-3]
$ rm *c[1-3]
$ ls
a_reports 　 december november october september　　 
试验的结果
一个组织良好的home目录，文件放置在合理的位置，一些文件备份到了/tmp/archive目录中
第二步：决定磁盘的使用率
场景／情节
您想记录您的系统中的每一个文件系统总共有多少剩余空间。
另外，您想有一个关于哪些目录消耗了系统的多数的空间的列表。
任务
1. 使用df获取文件系统总的剩余空间，您的输出应该是类似于下面的例子（尽管输出
依赖于您的特定的安装，输出可能不同）
$ df
Filesystem 1k-blocks Used Available Use% Mounted on
/dev/hdc2 14129568 1809728 11602096 14% /
/dev/hdc1 49743 8847 38328 19% /boot
none 63312 0 63312 0% /dev/shm
2.注意缺省的命令df操作是以块为单位报告信息，试用-h,-H选项，则是用 “用户可读的“形式报告
$ df -h
Filesystem Size Used Avail Use% Mounted on
/dev/hdc2 13G 1.8G 11G 14% /
/dev/hdc1 49M 8.7M 37M 19% /boot
none 62M 0 61M 0% /dev/shm
$ df -H
Filesystem Size Used Avail Use% Mounted on
/dev/hdc2 14G 1.9G 11G 14% /
/dev/hdc1 51M 9.1M 39M 19% /boot
none 65M 0 64M 0% /dev/shm
这两个开关有什么不同（使用man df）？
2. 在您的home目录使用du（磁盘使用率）命令来决定您所有的文件消耗的空间。确保尝试-h选项获得更可读的输出。
第三步：检视文本文件
任务
1.我们需要一个可供我们工作的文本文件：
$ cd
$ cp /usr/share/dict/words
.
2.使用cat显示文件:
$ cat words
Aarhus
Aaron
Ababa
…输出省略….
Zulu
Zulus
Zurich
3.在这种情况下cat是一个坏的选择,因为很多输出快速的滚屏,试用less:
$ less words
Aarhus
Aaron
Ababa
…输出省略…
abiding
Abidjan
Abigail
…输出省略…
使用less的时候,您可以向前翻页(使用b),向后翻页(使用空格键)在整个输出中,每次一屏.
4.如果你只需要快速的看看某个文件的最前几行和最后几行,你要使用head或者tail:
$ head words
Aarhus
Aaron
Ababa
aback
abaft
abandon
abandoned
abandoning
abandonment
abandons
$ tail words
zoologically
zoom
zooms
zoos
Zorn
Zoroaster
Zoroastrian
Zulu
Zulus
Zurich
您可以使用man帮助页面发现能使用head和tail中的哪个开关修改行号或是显示的行的相关的位置.
哪个命令你能使用显示文本的前50行?
哪个命令您能使用显示文件从第25,000行到结束的内容?
试验4　
用户信息
估计时间： 　30分钟
目标：　　　　　　　　　　 　熟悉一些用户标识和帐户转换基本的控制操作。
试验的起点： 　 安装了Red Hat Linux可运行系统，并且是成功完成试验系统。有另外一个无特权用户visitor，密码：visitor帐户的存在。请教师检查您的系统中是否已经建立这个帐户。如果这个visitor用户帐户没有建立，按照以下步骤进行
１． 用root帐户登陆虚拟控制台。
２． 在提示符下键入以下命令
　　　　# useradd visitor
３． 现在键入
　　　# passwd visitor
Changing password for user visitor.
New password: ｛输入visitor｝
BAD PASSWORD: it is based on a dictionary word
Retype new password: ｛输入visitor｝
passwd: all authentication tokens updated successfully.
第一步：本地用户登陆
任务:
1. 完全从工作站中退出。确定您已经推出所有虚拟终端和X　Windows系统
2. 转换到虚拟终端1（tty1）通过按：
3. 使用密码redhat进入root帐号登陆您的工作站
4. 确定指定的登陆信息，使用下列命令：
# whoami
# groups
# id
　检查这些命令的输出。
5.获取工作站当前所有登陆者信息，当前，应该只有一个用户登陆系统，按如下顺序键入的命令的输出是很有趣的。
# users
# who
# w
检查这些命令的输出。
6. 转换到虚拟终端２（tty２）通过按
7.以用户student，密码:student登陆你的工作站。
8.获取指定登陆者的信息，运行下列命令：
$ whoami
$ groups
$ id
检查这些命令的输出。
9.获取工作站上当前所有登陆者的信息：
$ users
$ who
$ w
检查这些命令的输出。
10. 转换到虚拟终端3（tty3）通过按
11. 以用户visitor，密码：visitor登陆你的工作站
12. 获取指定登陆者的信息，运行下列命令：
$ whoami
$ groups
$ id
检查这些命令的输出。
13. 获取工作站上当前所有登陆者的信息：
$ users
$ who
$ w
检查这些命令的输出。
步骤2：切换帐户
任务：
1. 按下如下的键切换到虚拟终端3（tty3）
2. 运行id命令来决定您的用户信息，pwd来喜爱能使您目前的工作目录
$ id
$ pwd
记录结果：
id=__________________________________________
pwd=_________________________________________
3. 使用su – 来切换到root用户，运行id和pwd来获取您的当前的目录
$ su –
# id
# pwd
记录结果：
id=__________________________________________
pwd=_________________________________________
4. 从root帐户退出，返回到visitor帐户
# exit
5. 使用不含 - 的su切换到root用户，运行pwd和id。
$ su
# id
# pwd
记录结果：
id=__________________________________________
pwd=_________________________________________
为什么和第3步骤的结果不同呢？
6．登出所有您在这个步骤中本地的和远程的shell。
试验6　
Linux文件系统的要点
估计时间： 　90分钟
目标：　　　　　　　　　 深入了解linux文件系统知识，包括：创建和使用links，使用slocate和find，归档压缩文件。
试验的起点： 　 一个Red Hat Linux系统。
第一步：创建和使用links
任务:
1.在早些时候的试验，你已经拷贝了一个文件/usr/share/dict/words到你使用的用户student的主目录 ～/words.在这个案例里，你不需要编辑文件-拷贝一个文件到你的主目录就可以在试验的期间使用了。
2.为了要避免原始文件和副本之间的混乱。在student’s主目录中删除words的副本
$ cd
$ rm words
3.虽然你可能没有在那时了解它, 这个文件/usr/share/dict/words 的副本实际上是一个软link。列出内容下面目录 /usr/share/dict的内容查看link和它的参数。
$ ls –l /usr/share/dict
total 404
-rw-r—r-- 1 root root 409305 Apr 3 10:29 linux.words
lrwxrwxrwx 1 root root 11 Apr 20 17:33 words ->linux.words
a.你能告诉我words是一个软链接吗？
b．为什么words的文件大小是11？
c．words允许所有人访问。这和linux.words文件用什么冲突？除了root用户，其他用户能够能在linux.words上面写数据吗？
4.再一次列出文件，这次显示相应的indeds号。为什么两个文件会有相同或不同的inodes号？
$ ls –I /usr/share/dict
5. 现在在你的主目录中产生两个的代号和硬链接到/usr/share/dict/linux.words:
$ ln –s /usr/share/dict/linux.words soft
$ ln /usr/share/dict/linux.words hard
6. 测试一下，你新建的链接两者都指到 linux.words 文件:
$ head hard soft
7. 检查你所有文件的link , 然后在下面回答问题：
$ ls –il hard soft
$ stat had soft
报告文件大小，hard_______和soft_______.
被占用的真实的空间，hard_______和soft_______.
你怎样解释这两个link占用空间的差别。
列出链接的记数，hard_______和soft_______.
所有权，hard_______和soft_______.
文件硬链接的所有者和root用户可以完全访问，其他用户是只读权限。学生将会可以删除这个新的文件吗?为什么？
8. 更多的挑战：如果时间许可，探究一下下面的问题：
a.你能创建一个目标文件并不存在的软连接吗？看看ls命令的输出能否给你一些提示。
b.你能创建一个目标文件并不存在的软连接吗? 为什么？
c.你能创建一个软连接的硬连接吗? 当你尝试的时候有什么问题吗？
d.在创建了几个硬连接后，你能说出哪个是更加真实的文件吗？
步骤2：使用find命令
任务：
作为student登录。设计完成find命令提出结果
查看你当前的umask。设计并且运行find命令在每下列各项被描述的结果指令里。然后写下提供的空格里。
你可能需要在在find的man page里查许找。记得你能用/stringz man page里查找。
第一个答案已经为你列出。
1.在/var/lib目录下查找所有文件其所有者是games用户的文件
$ find /var/lib –user games 2> /dev/null
2.在/var目录下查找所有文件其所有者是root用户的文件。_________________________________________________________
3.查找所有文件其所有者不是root，bin和student用户并用长格式显示（如ls –l 的显示结果）。
_________________________________________________________
4.查找/usr/bin目录下所有大小超过一百万byte的文件并用长格式显示（如ls –l 的显示结果）。
_________________________________________________________
5.对/etc/mail目录下的所有文件使用file命令.
_________________________________________________________
6.查找/tmp目录下属于student的所有普通文件，这些文件的修改时间为120分钟以前，查询结果用长格式显示（如ls –l 的显示结果）。
_________________________________________________________
7. 对于查到的上述文件，用-ok选项删除。
_________________________________________________________
步骤3：归档和压缩
情景/故事：
你的系统上的主硬盘在你使用它的时候有可怕的噪音，但是它上面有有价值的数据。自从系统在两年半以前备份过，你有决定手动备份少数几个你最紧要的文件。那 / tmp 目录里储存在不同的硬盘的分区上快怀的分区,这样你想临时的把文件备份到那里。
任务：
1. 在/home目录里，用find命令定位文件所有者是student的文件。然后将其压缩。
$ find /home –user student –exec tar rvf /tmp/backup.tar {} \;
2. 保存/etc目录下的文件到/tmp目录下：
$ tar cvf /tmp/confbackup.tar /etc
3. 列出两个文件的大小
$ ls –lh /tmp/*.tar
-rw-rw-r-- 1 student student 1.9M Oct 17 23:06 /tmp/backup.tar
-rw-rw-r-- 1 student student 5.4M Oct 18 00:27 /tmp/confbackup.tar
backup.tar文件的大小________
confbackup.tar文件的大小________
4. 使用gzip压缩你的文档。然后报告文件的大小：
$ cd /tmp
$ gzip –v *.tar
$ ls –lh *tar*
-rw-rw-r-- 1 student student 580K Oct 17 23:06 backup.tar.gz
-rw-rw-r-- 1 student student 913K Oct 18 0:27 confbackup.tar.gz
backup.tar.gz文件大小为____________
backup.tar.gz文件的压缩百分比________
confbackup.tar.gz文件大小为____________
confbackup.tar.gz文件的压缩百分比________
5. 先解压缩bzip2文件然后在压缩，然后比较新文件的大小：
$ gunzip *.gz
$ ls –lh *tar
-rw-rw-r—1 1 student student 1.9M Oct 17 23:06 backup.tar
-rw-rw-r—1 1 student student 5.4M Oct 18 00:27 confbackup.tar
$ bzip2 –v *tar
$ ls –lh *tar
-rw-rw-r—1 1 student student 510K Oct 17 23:06 backup.tar.bz2
-rw-rw-r—1 1 student student 791K Oct 18 00:27 confbackup.tar.bz2
backup.tar.bz2文件大小为____________
backup.tar.bz2文件的压缩百分比________
confbackup.tar.bz2文件大小为____________
confbackup.tar.bz2文件的压缩百分比________
6. 在传统UNIX系统，
$ rm confbackup.tar.bz2
$ tar czf test1.tgz /etc
$ tar cjf test2.tbz /etc
$ file test*
test1.tgz:gzip compressed data,deflated,last modified:Wed Oct 18 01:52:11 2000,os:Unix
test2.tbz:bzip2 compressed data,block size = 900K
结果：
你的“重要数据”被压缩备份到/tmp目录里了。
问题答案2
2. find /var –user root –group mail 2>/dev/mull
3. find / -not –user root –not –user bin –not –user student –ls 2> /dev/null
or
find / ! –user root ! –user bin ! –user student –exec ls –ld {} \; 2> /dev/null
4. find /usr/bin –size +1000000c –ls 2> /dev/null
5. find /etc/maill –exec file {} \; 2 > /dev/null
6. find /tmp –user student –and –mmin +120 –and –type f –ls 2> /dev/null
7. find /tmp –user student –and –mmin +120 –and –type f –ok rm {} \;
(end)
试验7　
bash Shell
估计时间： 　45分钟
目标：　　　　　　　　　 深入了解bash shell,包括创建定制。
试验的起点： 　 一个Red Hat Linux系统。
第一步：使用Aliases
任务:
1.你决定创建一个alias，当你使用cls的时候，系统能够运行clear命令清除你的屏幕。使用student身份在tty1登录，然后输入下列命令.
$ alias cls=‘clear’
$ alias
$ cls
2.当你重新登录的时候这个别名就丢失了。确信新的别名在用户student每次登录的时候都能够使用，可以执行一下几步。
$ cd
$ vi .bashrc
查找包含下列的文字：#User specific aliases and functions 添加到你的别名命令行：
alias cls=’clear’
保存并推出。
3.测试你的改变当你注销的时候，重新登录到tty1上的时候，试下面的命令：
$ alias
$ cls
4.现在使用ls 的man page 去创建一个叫lr的别名，利用ls的五个开关。测试并添加你的别名到.bashrc中.这个别名能够：
a)用长格式显示文件
b)显示隐含文件
c)给文件分类
d)用相反的顺序显示文件
e)按文件修改时间显示文件。
目标:
一条新的清屏命令和一条新的列文件命令。（都是别名）
步骤2：改变你的bash提示
情景/故事：
你决定定制你的bash提示以能够显示完全的路径和命令的序列号。
任务：
5. 在终端窗口，显示当前主要提示符的值。
$ echo $PS1
6. 改变你的提示符为一个字符串。
$ PS1=’Red Hat Linux ->’
7. 这个不常使用,因此恢复到有$提示符的情况下,同时加上主机名。
$ PS1=’\h $’
8. 在主机名和$符号之间插入bash表示历史纪录提示符的特殊字符 \!。
9. 查找bash 的man 手册，把当前的工作目录放入提示符中。
10. 你定制的提示符显示实例，如不同请继续修改。
station1:~ 21 $ cd /tmp
station1:/tmp 22 $
11. 编辑你重新定义的PS1 到你的.bashrc,然后打开新的终端窗口看看结果如何.
步骤3：配置shell选项
情景/故事：
使用set和shopt你定制几个bash shell 。
任务：
12.以student身份登录tty1界面上.查看许多普遍的配置shell选项:
$ set –o
allexport off
braceexpand on
emacs on
errexit off
hashall on
… output truncated …
13.察看目前ignoreeof的属性，用ctrl+d 键看是否能logout.
14.用student身份在tty1上登录,执行下面的改变,然后测试ignoreeof选项:
$ set –o ignoreeof
$
$ 用 “logout” 退出shell
$ set +o ignoreeof
$
15.当试图执行命令的时候可以看到提示信息.使用type的命令：
$ type cat
cat is hashed (/bin/cat)
$ type cls
cls is aliased to ‘clear’
$ type set
shopt is a shell builtin
$ type while
while is a shell keyword
结果：
现在你有一个更好的shell options.
问题答案4:命令替代
1. 确定完全路径名
$ which metacity
$ which .-message
$ ^message^window-demo
2. 重复执行上一个包含字符串ig的命令:
$ ig
3. 当一个命令在另一个命令的后面用(‘ ‘)起来的时候,bash会先执行后面的命令并把执行的结果作为第一个命令的输入. 使用这个技术,看看下面命令的执行结果.
$ ls –l ‘which nautilus‘
(end)
试验8　
定制图形化界面
估计时间： 　15分钟
目标：　　　　　　　　　 探索Red hat liunx多种多样的图形化桌面环境..
试验的起点： 　 一个Red Hat Linux系统。
第一步：定制窗口管理
任务:
1.在你的桌面的左边点击Red Hat图标,选择”属性”然后点击”控制中心”.Nautilus 将打开显示的可以定制你的桌面环境的窗口.
2.双击”背景”图标.点击”选择图片”按钮,可用的图片在/usr/share/backgrounds 下,有一些图片作为墙纸很漂亮;你可以在”图片选项”中选择居中拉伸.
选择一个你喜欢的,或者选”没有图片”然后你可以使用”背景风格”颜色和属性.当你完成的后,关闭”背景属性”对话框.
3. 双击”鼠标”的图标, 这个参数面板你能够调整双击的时间延迟,速度和灵敏度 .
假如你伸左撇子,你也可以在这里选择左收习惯
当完成后选择关闭”鼠标属性”对话框.
4. 打开”桌面主题”面板.你可以选择一个主题,默认的主题是”Bluecurve”.选一个你喜欢的,然后关闭这个面板.
5. 最后,打开”工具栏”,你能够选择你可以选择下列特性中的一个:显示工具条,或小的图标.然后关闭面板.
目标:
Red Hat Linux的桌面环境已经按你的要求定制好了。
试验9
标准输入输出和管道
估计时间： 30分钟
目标： 熟悉Red Hat Linux中的标准输入输出和管道
试验的起点： 标准的Red Hat Linux安装
步骤1：标准输入和输出
任务：
1． 使用你熟悉的编辑器创建两个文件：
packages1.txt 应该包含以下八行：
amanda
galleon
metacity
mozilla
postgresql
procinfo
rpmfind
squid
packages2.txt应该包含以下6行
anaconda
openssh
gnome-core
samba
sendmail
xscreensaver
2． cat工具是最简单的linux过滤器，它会默认把跟在后面的参数当作文件名，并把这个文件作为输入，如果没有文件名则把标准的输入作为自己的输入，然后将它们发送到标准的输出上去。现在我们来实验一下：
$cat packages1.txt
3． 如果cat后没有参数，则它会等待标准的输入，所以当你输入cat命令后，再回车，然后什么也没有显示。输入cat后，cat命令会监视标准输入，等待输入的到达。如果这个时候输入一些文本，再按回车，cat就会把输入的内容当作自己的输入，然后输出到标准的输出——显示器上，结束cat的命令为按下ctrl-d，这是结束输入的标志。
$ cat
输入一些文字，然后按回车。
^d (就是按ctrl-d)
4． 大多数的文本处理命令是执行过滤操作，他们可以读标准输入，对输入做一些动作，然后把结果发送到标准输出去。这些命令就向cat一样，只是对输入的处理不太一样。
tr命令，也是过滤器命令，如果给tr后加两个字符串做为参数，它会读取标准输入，然后把输入中包含着前一个字符串的字符变成第二个字符串，然后输出到标准输出去。
把刚才的命令换成tr，tr将把字符串中有的字符变成大写的。
$ tr 'aeiou' 'AEIOU'
输入一些文字，然后按回车。
^d
5． 定义shell不要把命令的输出发到标准输出上，而是重定向到一个文件中，我们使用 > 来重定向
重复cat的例子重定向标准的输出到packages1.catfile，这样把输出到屏幕的东西输出到了文件中，效果就和重新copy了一份文件是一样的，cat这个输出文件，然后用diff和ls确认原文件与package1.catfile内容一样。
$ cat packages1.txt > packages1.catfile
$ cat packages1.catfile
$ diff packages1.txt packages1.catfile
$ ls –l packages1*
6． 使用>>来重定向会把输出附加到已存在的文件的末尾。
把packages2.txt文件中的内容附加到packages1.catfile之后，然后检验结果。
$ cat packages2.txt >> packages1.catfile
$ cat packages1.catfile
7． 如果输出重定向时cat没有直接跟文件名的参数，那么cat就会等待标准的输入，直到按下ctrl-d作为结束，然后把所有输入的东西重定向到这个文件中去。这样可以很容易的创建一个文本文件,
$ cat > typedin.txt
This time, when text is typed at the keyboard,
It is not echoed back to the screen.
Instead, it is redirected to the file typedin.txt.
^d
$ ls –l typedin.txt
$ cat typedin.txt
8． 使用tr取代cat，重复刚才的命令
$ tr 'aeiou' 'AEIOU' > trfile.txt
This time, when text is typed at the keyboard,
It is not echoed back to the screen.
Instead, it is redirected to the file typedin.txt.
^d
$ ls –l trfile.txt
$ cat trfile.txt
9． 使用set –o命令，确认显示出目前bash的noclobber选项是关闭状态，确认当输出重定时向你可以重写文件
$ set –o
$ ls –l /tmp > trifle.txt
$ ls –l trfile.txt
$ cat trifle.txt
10． 使用set命令更改noclobber选项，如下操作：
$ set –o noclobber
$ echo “new contents” > trfile.txt
bash: trfile.txt：cannot overwrite existing file
11． cat可以接受一个文件名或者是一个输入重定向的文件，测试以下两个命令:
$ cat packages1.txt
$ cat < packages1.txt
12． 但是tr不能接受文件名作为参数，它只希望输入是标准输入。
$ tr 'aeiou' 'AEIOU' < packages1.txt
13． 下面的例子中标准输入和输出都被重定向，输入还是packages1.txt文件，这回改为输出到文件packages1.trfile.txt中去了。
$ tr 'aeiou' 'AEIOU' < packages1.txt >packages1.trfile.txt
$ ls –l packages1.txt packages1.trfile.txt
$ cat packages1.trfile.txt
步骤2：管道
1． 把一个命令的标准输出直接传输给另一个命令作为它的标准输入，这样特殊的机制叫做管道。
如果没有管道，你要想打印你的目录中文件的列表至少要两步，还需要把没用的文件删除，（lpr命令可以把文件的内容发给默认的打印机，它的用法会在第12章讲）（注意只有当你没有打印机时可以使用以下的例子）
$ ls –l > /tmp/ls.txt
$ lpr /tmp/ls.txt
$ rm /tmp/ls.txt
使用管道，这些命令可以仅仅用以下短短的一条命令，将ls –l的输出直接发送给lpr作为输入，lpr也不需要别的参数。
$ ls –l | lpr
2． 管道经常的用法是一个命令产生了很多页的输出，可以把这些输出直接给less，管道左边是你的命令，右边是less，less不需要参数。（空格键是翻页，q键是退出less）
$ ls –l /usr/bin | less
步骤3：练习
答案在下面，可以使用man page来帮助你解决问题
1． 拷贝一份cal命令的man page，放在你的主目录下，取名叫cal.man。
2． 只在一行上输入什么样的命令，可以使你从键盘上输入的文本输出到打印机上
3． 怎样把/usr/bin下以c或d开头的文件列表发送到打印机上？
步骤3：练习-答案
1． man cal > cal.man
2． lpr
lpr打印出以后面的参数命名的文件中的内容，如果没有参数，lpr就会从标准输入中读取，标准的输入是键盘，直到你按下ctrl-d表示键盘输入结束。
3．ls –l /usr/bin/[cd]* | lpr
试验10　
字符串处理
估计时间： 　60分钟
目标：　　　　　　　　　 熟悉字符串处理 
试验的起点： 　 一个Red Hat Linux系统,把/etc/passwd拷贝到你的主目录下。
第一步：字符串处理基本知识
任务:
1..拷贝/etc/passwd到你的主目录下:
$ cd
$ cp /etc/passwd
2. 在/etc/passwd里面有系统里的每一个帐户.使用wc,在passwd文件里计算有多少行。
$ wc –l passwd
在你的系统里有多少个帐户____________
3. 找出本机中所有用户使用的各种shell并把其放置在一个文件内：
$ cut –d: -f7 passwd > shells
4. 使用cat命令查看你新的shells文件的内容，为了使输出结果更为友好.用sort命令输出这些数据在一个新的文件里：
$ sort shells > sorted.shells
5. 你的文件包含许多同样的内容.使用uniq命令可以计算出有多少个相同的行：
$ uniq –c sorted.shells > uniq.sorted.shells
为什么在使用uniq之前要使用sort命令
6. 按照数字由大到小的顺序列出在你的机器上使用的各种shell:
$ sort –nr uniq.sorted.shells
i. /sbin/nologin
6 /bin/bash
1 /sbin/shutdown
1 /sbin/halt
1 /bin/sync
结果:
按照数字由大到小的顺序列出你机器上所有用户使用的各种shell:
步骤2：更多的练习
为每一个练习写下解决办法.记住,答案是一个你想出办法的命令,不是输出.答案在实验的最后被列出来了,但是在对答案之前,你可以试着完成每个任务.每个答案将显示单独的一行.这个命令aspell没有man page;你将怎样获得帮助呢?
7. 有多少文件在／ｕｓｒ／ｂｉｎ目录下?输出是一个单一的整数.提示:设计一个命令列出文件名到每一行,然后计算一共有多少行.
__________________________________________________________
8. 列出下列文件/usr/share/doc/nautilus-*/NEWS中拼错的单词.
__________________________________________________________
12. 多少唯一的单词从上述练习中输出?
__________________________________________________________
步骤2答案：
1 ls –1 /usr/bin | wc -l (注意ls 的参数是数字1)
2 aspell –l < /usr/shar/doc/nautilus-*/NEWS
3 aspell –l < /usr/share/doc/nautilus-*/NEWS | sort | uniq | wc -l
试验11
使用正则表达式进行字符处理
估计时间： 60分钟
目标： 熟悉Red Hat Linux中进行字符处理的几个工具
试验的起点： 安装Red Hat Linux，并且能正常工作，拷贝 /etc/passwd到
你的主目录中 
步骤1：使用grep进行字符处理
任务：
1. 在copy到你主目录中的/etc/passwd文件的副本中，使用grep显示出所有以“g”开头的帐户：
2. 显示出所有使用bash shell的帐户：
$ grep ‘bash$’ passwd
3. 显示出没有使用bash作为shell的帐户：
$ grep –v ‘bash$’ passwd
4. 为了做一个使用diff的例子，我们要更改这个passwd文件的拷贝，先用grep把原文件中所有含有“N”和“P”的行删除：
$ grep –v ‘[NP]’ passwd > modified.passwd
5. 最后再用tr将含有的所有大写字母变成小写：
$ tr “A-Z” “a-z” < modified.passwd > modified2.passwd
6. 这时使用cat命令看原来的passwd文件和改过的modified2.passwd文件，不仔细看看不出其中的区别，这只是小文件，如果文件大一些，想象一下拥有几千个用户的文件。使用diff可以产生两个文件中不同之处的列表。
$ diff modified2.passwd passwd
14a15,16
> ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
> nobody:x:99:99:Nobody:/:/sbin/nologin
… …
步骤2：正则表达式及字符处理
在任务下面的横线上写下你的解决方案，你要写出你的命令而不是命令的输出，答案在实验最后，但是要先试着自己解决，可以使用man page来帮助你解决问题。
任务：
1． 使用grep显示出/usr/share/dict/words文件中还有某参数的行，例如显示出所有含有fish的行：
$ grep fish /usr/share/dict/words
blowfish
bluefish
codfish
… output truncated …
unselfish
unselfishly
unselfishness
2． 使用grep的man page作为帮助，输出任何包含fish的所有行，还要输出紧接着这行的上下各两行的内容：
—————————————————————————————————————
3． 使用grep的man page作为帮助，找出相应的命令，来显示出在words文件中有多少行含有fish。
—————————————————————————————————————
4． 使用grep的帮助文件，找出相应的命令，显示出那些行含有fish，并将行号一块输出，看一看starfish在哪行？
—————————————————————————————————————
5． 想列出/usr/share/dict/words中包含先有字母t然后有一个元音字母，之后是sh的单词，命令为：
—————————————————————————————————————
6． 在/usr/share/dict/words文件中，创建可以符合abominable，abominate，anomie和atomize的正则表达式，但是不要选到别的单词。
—————————————————————————————————————
7． 在/usr/share/dict/words文件中包含多少先有字母t然后有一个元音字母，之后是sh的单词，只输出数量。
—————————————————————————————————————
8． 列出/usr/share/dict/words中刚好包含16个字母的单词：
—————————————————————————————————————
9． 我们将要使用/usr/share/doc文件夹来完成我们的下几个任务。
列出/usr/share/doc/bash-2.05b文件夹中，所有包含单词expansion的文件， 
—————————————————————————————————————
10． 显示出“Linux”在/usr/share/doc/bash-2.05b文件夹的文件中出现的次数，但是不要显示没有这个单词的文件。提示：先列出所有的文件，然后想如何使输出符合要求：
—————————————————————————————————————
11． 列出所有包含Havoc的文件名：
—————————————————————————————————————
步骤3：使用正则表达进行文本流编辑
任务：
想象你创建一个了名叫“cats”的文件包含以下单词：
cat
catalog
concatenate
polecat
Cat
猜想执行以下每个sed命令之后，把cats文件的每一行的执行后的结果写在后面：
1． sed 's/cat/dog/' cats
cat __________
catalog __________
concatenate __________
polecat __________
Cat __________
2． sed 's/[Cc]at/dog/' cats
cat __________
catalog __________
concatenate __________
polecat __________
Cat __________
3． sed 's/\<[Cc]cat/dog/' cats
cat __________
catalog __________
concatenate __________
polecat __________
Cat __________
4． sed 's/[Cc]at\>/dog/' cats
cat __________
catalog __________
concatenate __________
polecat __________
Cat __________
5． sed 's/\<[Cc]at\>/dog/' cats
cat __________
catalog __________
concatenate __________
polecat __________
Cat __________
6． sed 's/\<[Cc]at\>/& and dog/' cats
cat __________
catalog __________
concatenate __________
polecat __________
Cat __________
7． 创建一个'cats'文件，运行sed命令，测试你的答案。
步骤2的答案：
2．grep –B2 –A2 "fish" /usr/share/dict/words
3．grep –c "fish" /usr/share/dict/words
4．grep –n "fish" /usr/share/dict/words
5．grep "t[aeiou]sh" /usr/share/dict/words
6． "^a.omi.*e$"
或
"\"
诀窍是判断哪些字母是变化的哪些是不变的，注意想代替任意个任意字符要使用 “.*”。
7．grep –c "t[aeiou]sh$" /usr/share/dict/words
8．grep "^…………….$" /usr/share/dict/words
或者：
grep –c "^.\{16\}$" /usr/share/dict/words
9．grep –l expansion /usr/share/doc/bash-2.05b/*
10．grep –c "Linux" /usr/share/doc/bash-2.05b/* |grep –v ":0"
11．grep –R –l "Havoc" /usr/share/doc
试验12
进程控制
估计时间： 30分钟
目标： 练习与进程控制有关的不同命令
试验的起点： 安装Red Hat Linux，并且能正常工作，有一个用户名和密
码都为student的用户
步骤1：进程控制
场景描述：
在这个任务中，大家会启用几个进程，然后使用bash的进程控制方法来控制它们。你将会在几个控制台间切换，注意你在哪个控制台上运行命令。
任务：
1． 开始使用student用户在第一、二个控制台（tty1、tty2）上登陆
2． 到tty1上，然后运行以下命令：
$ (while true; do echo –n A >> log; sleep 1;done)
3． 注意这个控制台现在因为在运行你的进程，所以处于忙的状态（进程在前台运行），这个进程不断把字母“A”添加进~/log文件中去，到tty2上运行以下命令：
$ tail –f log
你会看到“A”不断增长
4． 切换回控制台tty1，按下，shell会告诉你进程停止了，告诉你job号码为1，切换回控制台2，你会看到文件不变了。
5． 回到tty1，再次启动进程，运行jobs会显示job[1]在运行了，到tty2上看到文件继续增长了：
$ bg
$ jobs
6． 到tty1上，按向上的箭头，重新找回第二步时的命令，把A换成B，在最后加上&，然后在把B换成C：
$ (while true; do echo –n B >> log; sleep 1;done)
$ ^B^C
7． 输入jobs确认三个进程都在运行，到tty2上看到每秒钟会有三个字母增长。
8． 在第4步你按ctrl-z时，实际上是给进程发一个信号，使用kill命令也可以给它们发信号，使用kill来显示信号列表和标号，然后发一个SIGSTOP（19）的信号给job[1]，到tty1上执行：
$ kill –l
$ kill -19 %1
9． 输入jobs，确认job[1]停止，到tty2上看结果是否停止。
10． 用kill重新启动进程，使用SIGCONT（18）信号，你会看到进程又重新启动了。（参考第8步的实现方法）
11． 使用kill命令的SIGTERM（15）信号，也是kill的默认信号，来结束三个进程，先结束job[2]和job[3]时，用jobs来看一下它们的状态是不是terminated的：
$ kill %2 %3
$ jobs
12． 结束最后的进程：
$ fg
$
13． 在tty1上使用jobs命令来看一下，然后在tty2上看是否进程真的结束了，然后按结束tail进程，注销。
14． 在tty1上删除 ~/log文件
试验13　
用户信息
估计时间： 　1小时
目标：　　　　　　　　　　 　熟练掌握vi的控制操作。
试验的起点： 　 安装了Red Hat Linux可运行系统，安装vim-common、
vim-minimal、vim-enhanced 的rpm 包
在提示符下键入: vimtutor
你会看到英文的试验教程
第一讲第一节∶移动光标
※※ 要移动光标，请依照说明分别按下 h、j、k、l 键。 ※※
^
k 提示∶ h 的键位于左边，每次按下就会向左移动。
< h l > l 的键位于右边，每次按下就会向右移动。
j j 键看起来很象一支尖端方向朝下的箭头。
v
1. 请随意在屏幕内移动光标，直至您觉得舒服为止。
2. 按下下行键(j)，直到出现光标重复下行。
---> 现在您应该已经学会如何移动到下一讲吧。
3. 现在请使用下行键，将光标移动到第二讲。
提示∶如果您不敢确定您所按下的字母，请按下键回到正常(Normal)模式。
然后再次从键盘输入您想要的命令。
提示∶光标键应当也能正常工作的。但是使用hjkl键，在习惯之后您就能够快速
地在屏幕内四处移动光标了。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第一讲第二节∶VIM的进入和退出
!! 特别提示∶敬请阅读完整本一节的内容，然后才能执行以下所讲解的命令。
1. 请按键(这是为了确保您处在正常模式)。
2. 然后输入∶ :q! <回车>
---> 这种方式的退出编辑器绝不会保存您进入编辑器以来所做的改动。
如果您想保存更改再退出，请输入∶
:wq <回车>
3. 如果您看到了命令行提示符，请输入能够带您回到本教程的命令，那就是∶
vimtutor <回车>
通常情况下您也可以用这种方式∶
vim tutor <回车>
---> 这里的 'vim' 表示进入vim编辑器，而 'tutor'则是您准备要编辑的文件。
4. 如果您自信已经牢牢记住了这些步骤的话，请从步骤1执行到步骤3退出，然
后再次进入编辑器。接著将光标移动到第一讲第三节来继续我们的教程讲解。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第一讲第三节∶文本编辑之删除
** 在正常(Normal)模式下，可以按下 x 键来删除光标所在位置的字符。**
1. 请将光标移动到本节中下面标记有 ---> 的那一行。
2. 为了修正输入错误，请将光标移至准备删除的字符的位置处。
3. 然后按下 x 键将错误字符删除掉。
4. 重复步骤2到步骤4，直到句子修正为止。
---> The ccow jumpedd ovverr thhe mooon.
5. 好了，该行已经修正了，下一节内容是第一讲第四节。
特别提示∶在您浏览本教程时，不要强行记忆。记住一点∶在使用中学习。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第一讲第四节∶文本编辑之插入
** 在正常模式下，可以按下 i 键来插入文本。**
1. 请将光标移动到本节中下面标记有 ---> 的第一行。
2. 为了使得第一行内容雷同于第二行，请将光标移至文本第一个字符准备插入
的位置。
3. 然后按下 i 键，接著输入必要的文本字符。
4. 所有文本都修正完毕，请按下 键返回正常模式。
重复步骤2至步骤4以便修正句子。
---> There is text misng this .
---> There is some text missing from this line.
5. 如果您对文本插入操作已经很满意，请接著阅读下面的小结。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第一讲小结
1. 光标在屏幕文本中的移动既可以用箭头键，也可以使用 hjkl 字母键。
h (左移) j (下行) k (上行) l (右移)
2. 欲进入vim编辑器(从命令行提示符)，请输入∶vim 文件名 <回车>
3. 欲退出vim编辑器，请输入以下命令放弃所有修改∶
:q! <回车>
或者输入以下命令保存所有修改∶
:wq <回车>
4. 在正常模式下删除光标所在位置的字符，请按∶ x
5. 在正常模式下要在光标所在位置开始插入文本，请按∶
i 输入必要文本 
特别提示∶按下 键会带您回到正常模式或者取消一个不期望或者部分完成
的命令。
好了，第一讲到此结束。下面接下来继续第二讲的内容。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第二讲第一节∶删除类命令
** 输入 dw 可以从光标处删除至一个单字/单词的末尾。**
1. 请按下 键确保您处于正常模式。
2. 请将光标移动到本节中下面标记有 ---> 的那一行。
3. 请将光标移至准备要删除的单词的开始。
4. 接著输入 dw 删除掉该单词。
特别提示∶您所输入的 dw 会在您输入的同时出现在屏幕的最后一行。如果您输
入有误，请按下 键取消，然后重新再来。
---> There are a some words fun that don't belong paper in this sentence.
5. 重复步骤3至步骤4，直至句子修正完毕。接著继续第二讲第二节内容。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第二讲第二节∶其他删除类命令
** 输入 d$ 从当前光标删除到行末。**
1. 请按下 键确保您处于正常模式。
2. 请将光标移动到本节中下面标记有 ---> 的那一行。
3. 请将光标移动到该行的尾部(也就是在第一个点号‘.’后面)。
4. 然后输入 d$ 从光标处删至当前行尾部。
---> Somebody typed the end of this line twice. end of this line twice.
5. 请继续学习第二讲第三节就知道是怎么回事了。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第二讲第三节∶关于命令和对象
删除命令 d 的格式如下∶
[number] d object 或者 d [number] object
其意如下∶
number - 代表执行命令的次数(可选项，缺省设置为 1 )。
d - 代表删除。
object - 代表命令所要操作的对象(下面有相关介绍)。
一个简短的对象列表∶
w - 从当前光标当前位置直到单字/单词末尾，包括空格。
e - 从当前光标当前位置直到单字/单词末尾，但是 *不* 包括空格。
$ - 从当前光标当前位置直到当前行末。
特别提示∶
对于勇于探索者，请在正常模式下面仅按代表相应对象的键而不使用命令，则
将看到光标的移动正如上面的对象列表所代表的一样。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第二讲第四节∶对象命令的特殊情况
** 输入 dd 可以删除整一个当前行。 **
鉴于整行删除的高频度，VIM 的设计者决定要简化整行删除，仅需要在同一行上
击打两次 d 就可以删除掉光标所在的整行了。
1. 请将光标移动到本节中下面的短句段落中的第二行。
2. 输入 dd 删除该行。
3. 然后移动到第四行。
4. 接著输入 2dd (还记得前面讲过的 number-command-object 吗？) 删除两行。
1) Roses are red,
2) Mud is fun,
3) Violets are blue,
4) I have a car,
5) Clocks tell time,
6) Sugar is sweet
7) And so are you.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第二讲第五节∶撤消类命令
** 输入 u 来撤消最后执行的命令，输入 U 来修正整行。**
1. 请将光标移动到本节中下面标记有 ---> 的那一行，并将其置于第一个错误
处。
2. 输入 x 删除第一个不想保留的字母。
3. 然后输入 u 撤消最后执行的(一次)命令。
4. 这次要使用 x 修正本行的所有错误。
5. 现在输入一个大写的 U ，恢复到该行的原始状态。
6. 接著多次输入 u 以撤消 U 以及更前的命令。
7. 然后多次输入 CTRL-R (先按下 CTRL 键不放开，接著输入 R 键) ，这样就
可以执行恢复命令，也就是撤消掉撤消命令。
---> Fiix the errors oon thhis line and reeplace them witth undo.
8. 这些都是非常有用的命令。下面是第二讲的小结了。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第二讲小结
1. 欲从当前光标删除至单字/单词末尾，请输入∶dw
2. 欲从当前光标删除至当前行末尾，请输入∶d$
3. 欲删除整行，请输入∶dd
4. 在正常模式下一个命令的格式是∶
[number] command object 或者 command [number] object
其意是∶
number - 代表的是命令执行的次数
command - 代表要做的事情，比如 d 代表删除
object - 代表要操作的对象，比如 w 代表单字/单词，$ 代表到行末等等。
$ (to the end of line), etc.
5. 欲撤消以前的操作，请输入∶u (小写的u)
欲撤消在一行中所做的改动，请输入∶U (大写的U)
欲撤消以前的撤消命令，恢复以前的操作结果，请输入∶CTRL-R
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第三讲第一节∶置入类命令
** 输入 p 将最后一次删除的内容置入光标之后 **
1. 请将光标移动到本节中下面示范段落的首行。
2. 输入 dd 将该行删除，这样会将该行保存到vim的缓冲区中。
3. 接著将光标移动到准备置入的位置的上方。记住∶是上方哦。
4. 然后在正常模式下(键进入)，输入 p 将该行粘贴置入。
5. 重复步骤2至步骤4，将所有的行依序放置到正确的位置上。
d) Can you learn too?
b) Violets are blue,
c) Intelligence is learned,
a) Roses are red,
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第三讲第二节∶替换类命令
** 输入 r 和一个字符替换光标所在位置的字符。**
1. 请将光标移动到本节中下面标记有 ---> 的第一行。
2. 请移动光标到第一个错误的适当位置。
3. 接著输入 r ，这样就能将错误替换掉了。
4. 重复步骤2和步骤3，知道第一行是已经修改完毕。
---> Whan this lime was tuoed in, someone presswd some wrojg keys!
---> When this line was typed in, someone pressed some wrong keys!
5. 然后我们继续学校第三讲第三节。
特别提示∶切记您要在使用中学习，而不是在记忆中学习。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第三讲第三节∶更改类命令
** 要改变一个单字/单词的部分或者全部，请输入 cw **
1. 请将光标移动到本节中下面标记有 ---> 的第一行。
2. 接著把光标放在单词 lubw 的字母 u 的位置那里。
3. 然后输入 cw 就可以修正该单词了(在本例这里是输入 ine 。)
4. 最后按 键，然后光标定位到下一个错误第一个准备更改的字母处。
5. 重复步骤3和步骤4，知道第一个句子完全雷同第二个句子。
---> This lubw has a few wptfd that mrrf changing usf the change command.
---> This line has a few words that need changing using the change command.
提示∶请注意 cw 命令不仅仅是替换了一个单词，也让您进入文本插入状态了。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第三讲第四节∶使用c指令的其他更改类命令
** 更改类指令可以使用同删除类命令所使用的对象参数。**
1. 更改类指令的工作方式跟删除类命令是一致的。操作格式是∶
[number] c object 或者 c [number] object
2. 对象参数也是一样的，比如 w 代表单字/单词，$代表行末等等。
3. 请将光标移动到本节中下面标记有 ---> 的第一行。
4. 接著将光标移动到第一个错误处。
5. 然后输入 c$ 使得该行剩下的部分更正得同第二行一样。最后按 键。
---> The end of this line needs some help to make it like the second.
---> The end of this line needs to be corrected using the c$ command.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第三讲小结
1. 要重新置入已经删除的文本内容，请输入小写字母 p。该操作可以将已删除
的文本内容置于光标之后。如果最后一次删除的是一个整行，那么该行将置
于当前光标所在行的下一行。
2. 要替换光标所在位置的字符，请输入小写的 r 和要替换掉原位置字符的新字
符即可。
3. 更改类命令允许您改变指定的对象，从当前光标所在位置直到对象的末尾。
比如输入 cw 可以替换当前光标到单词的末尾的内容；输入 c$ 可以替换当
前光标到行末的内容。
4. 更改类命令的格式是∶
[number] c object 或者 c [number] object
下面我们继续学习下一讲。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第四讲第一节∶定位及文件状态
** 输入 CTRL-g 显示当前编辑文件中当前光标所在行位置以及文件状态信息。
输入 SHIFT-G 则直接跳转到文件中的某一指定行。**
提示∶切记要先通读本节内容，之后才可以执行以下步骤!!!
1. 按下 CTRL 键不放开然后按 g 键。然后就会看到页面最底部出现一个状态信
息行，显示的内容是当前编辑的文件名和文件的总行数。请记住步骤3的行号。
2. 按下 SHIFT-G 键可以使得当前光标直接跳转到文件最后一行。
3. 输入您曾停留的行号，然后按下 SHIFT-G。这样就可以返回到您第一次按下
CTRL-g 时所在的行好了。注意∶输入行号时，行号是不会在屏幕上显示出来
的。
4. 如果愿意，您可以继续执行步骤1至步骤三。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第四讲第二节∶搜索类命令
** 输入 / 以及尾随的字符串可以用以在当前文件中查找该字符串。**
1. 在正常模式下输入 / 字符。您此时会注意到该字符和光标都会出现在屏幕底
部，这跟 : 命令是一样的。
2. 接著输入 errroor <回车>。那个errroor就是您要查找的字符串。
3. 要查找同上一次的字符串，只需要按 n 键。要向相反方向查找同上一次的字
符串，请输入 Shift-N 即可。
4. 如果您想逆向查找字符串，请使用 ? 代替 / 进行。
---> When the search reaches the end of the file it will continue at the start.
"errroor" is not the way to spell error; errroor is an error.
提示∶如果查找已经到达文件末尾，查找会自动从文件头部继续查找。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第四讲第三节∶配对括号的查找
** 按 % 可以查找配对的括号 )、、}。**
1. 把光标放在本节下面标记有 --> 那一行中的任何一个 (、[ 或 { 处。
2. 接著按 % 字符。
3. 此时光标的位置应当是在配对的括号处。
4. 再次按 % 就可以跳回配对的第一个括号处。
---> This ( is a test line with ('s, ['s ] and {'s } in it. ))
提示∶在程序调试时，这个功能用来查找不配对的括号是很有用的。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第四讲第四节∶修正错误的方法之一
** 输入 :s/old/new/g 可以替换 old 为 new。**
1. 请将光标移动到本节中下面标记有 ---> 的那一行。
2. 输入 :s/thee/the <回车> 。请注意该命令只改变光标所在行的第一个匹配串。
3. 输入 :s/thee/the/g 则是替换全行的匹配串。
---> the best time to see thee flowers is in thee spring.
4. 要替换两行之间出现的每个匹配串，请输入 :#,#s/old/new/g (#,#代表的是
两行的行号)。输入 :%s/old/new/g 则是替换整个文件中的每个匹配串。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第四讲小结
1. Ctrl-g 用于显示当前光标所在位置和文件状态信息。Shift-G 用于将光标跳
转至文件最后一行。先敲入一个行号然后按 Shift-G 则是将光标移动至该行
号代表的行。
2. 输入 / 然后紧随一个字符串是则是在当前所编辑的文档中向后查找该字符串。
输入问号 ? 然后紧随一个字符串是则是在当前所编辑的文档中向前查找该字
符串。完成一次查找之后按 n 键则是重复上一次的命令，可在同一方向上查
找下一个字符串所在；或者按 Shift-N 向相反方向查找下该字符串所在。
3. 如果光标当前位置是括号(、)、[、、{、}，按 % 可以将光标移动到配对的
括号上。
4. 在一行内替换头一个字符串 old 为新的字符串 new，请输入 :s/old/new
在一行内替换所有的字符串 old 为新的字符串 new，请输入 :s/old/new/g
在两行内替换所有的字符串 old 为新的字符串 new，请输入 :#,#s/old/new/g
在文件内替换所有的字符串 old 为新的字符串 new，请输入 :%s/old/new/g
进行全文替换时询问用户确认每个替换需添加 c 选项，请输入 :%s/old/new/gc
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第五讲第一节∶在 VIM 内执行外部命令的方法
** 输入 :! 然后紧随著输入一个外部命令可以执行该外部命令。**
1. 按下我们所熟悉的 : 命令设置光标到屏幕底部。这样就可以让您输入命令了。
2. 接著输入感叹号 ! 这个字符，这样就允许您执行外部的 shell 命令了。
3. 我们以 ls 命令为例。输入 !ls <回车> 。该命令就会列举出您当前目录的
内容，就如同您在命令行提示符下输入 ls 命令的结果一样。如果 !ls 没起
作用，您可以试试 :!dir 看看。
---> 提示∶ 所有的外部命令都可以以这种方式执行。
---> 提示∶ 所有的 : 命令都必须以 <回车> 告终。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第五讲第二节∶关于保存文件的更多信息
** 要将对文件的改动保存到文件中，请输入 :w FILENAME 。**
1. 输入 :!dir 或者 :!ls 获知当前目录的内容。您应当已知道最后还得敲
<回车> 吧。
2. 选择一个尚未存在文件名，比如 TEST 。
3. 接著输入 :w TEST (此处 TEST 是您所选择的文件名。)
4. 该命令会以 TEST 为文件名保存整个文件 (VIM 教程)。为了确保正确保存，
请再次输入 :!dir 查看您的目录列表内容。
---> 请注意∶如果您退出 VIM 然后在以文件名 TEST 为参数进入，那么该文件内
容应该同您保存时的文件内容是完全一样的。
5. 现在您可以通过输入 :!rm TEST 来删除 TEST 文件了。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第五讲第三节∶一个具有选择性的保存命令
** 要保存文件的部分内容，请输入 :#,# w FILENAME **
1. 再来执行一次 :!dir 或者 :!ls 获知当前目录的内容，然后选择一个合适的不重名的文件名，比如 TEST 。
2. 接著将光标移动至本页的最顶端，然后按 CTRL-g 找到该行的行号。别忘了
行号哦。
3. 接著把光标移动至本页的最底端，再按一次 CTRL-g 。也别忘了这个行好哦。
4. 为了只保存文章的某个部分，请输入 :#,# w TEST 。这里的 #,# 就是上面
要求您记住的行号(顶端行号,底端行号)，而 TEST 就是选定的文件名。
5. 最后，用 :!dir 确认文件是否正确保存。但是这次先别删除掉。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第五讲第四节∶提取和合并文件
** 要向当前文件中插入另外的文件的内容，请输入 :r FILENAME **
1. 请键入 :!dir 确认您前面创建的 TEST 文件还在。
2. 然后将光标移动至当前页面的顶端。
特别提示∶ 执行步骤3之后您将看到第五讲第三节，请届时再往下移动回到这里来。
3. 接著通过 :r TEST 将前面创建的名为 TEST 的文件提取进来。
特别提示∶您所提取进来的文件将从光标所在位置处开始置入。
4. 为了确认文件已经提取成功，移动光标回到原来的位置就可以注意有两份第
五讲第三节，一份是原本，另外一份是来自文件的副本。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第五讲小结
1. :!command 用于执行一个外部命令 command。
请看一些实际例子∶
:!dir - 用于显示当前目录的内容。
:!rm FILENAME - 用于删除名为 FILENAME 的文件。
2. :w FILENAME 可将当前 VIM 中正在编辑的文件保存到名为 FILENAME 的文
件中。
3. :#,#w FILENAME 可将当前编辑文件第 # 行至第 # 行的内容保存到文件
FILENAME 中。
4. :r FILENAME 可提取磁盘文件 FILENAME 并将其插入到当前文件的光标位置
后面。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第六讲第一节∶打开类命令
** 输入 o 将在光标的下方打开新的一行并进入插入模式。**
1. 请将光标移动到本节中下面标记有 ---> 的那一行。
2. 接著输入小写的 o 在光标 *下方* 打开新的一行并进入插入模式。
3. 然后复制标记有 ---> 的行并按 键退出插入模式而进入正常模式。
---> After typing o the cursor is placed on the open line in Insert mode.
4. 为了在光标 *上方* 打开新的一行，只需要输入大写的 O 而不是小写的 o
就可以了。请在下行测试一下吧。当光标处在在该行上时，按 Shift-O可以
在该行上方新开一行。
Open up a line above this by typing Shift-O while the cursor is on this line.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第六讲第二节∶光标后插入类命令
** 输入 a 将可在光标之后插入文本。 **
1. 请在正常模式下通过输入 $ 将光标移动到本节中下面标记有 ---> 的第一行
的末尾。
2. 接著输入小写的 a 则可在光标之后插入文本了。大写的 A 则可以直接在行
末插入文本。
提示∶输入大写 A 的操作方法可以在行末插入文本，避免了输入 i，光标定位到
最后一个字符，输入的文本， 回复正常模式，箭头右键移动光标以及
x 删除当前光标所在位置字符等等诸多繁杂的操作。
3. 操作之后第一行就可以补充完整了。请注意光标后插入文本与插入模式是基
本完全一致的，只是文本插入的位置定位稍有不同罢了。
---> This line will allow you to practice
---> This line will allow you to practice appending text to the end of a line.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第六讲第三节∶另外一个置换类命令的版本
** 输入大写的 R 可连续替换多个字符。**
1. 请将光标移动到本节中下面标记有 ---> 的第一行。
2. 移动光标到第一行中不同于标有 ---> 的第二行的第一个单词的开始，即单
词 last 处。
3. 然后输入大写的 R 开始把第一行中的不同于第二行的剩余字符逐一输入，就
可以全部替换掉原有的字符而使得第一行完全雷同第二行了。
---> To make the first line the same as the last on this page use the keys.
---> To make the first line the same as the second, type R and the new text.
4. 请注意∶如果您按 退出置换模式回复正常模式，尚未替换的文本将仍
然保持原状。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第六讲第四节∶设置类命令的选项
** 设置可使查找或者替换可忽略大小写的选项 **
1. 要查找单词 ignore 可在正常模式下输入 /ignore 。要重复查找该词，可以
重复按 n 键。
2. 然后设置 ic 选项(ic就是英文忽略大小写Ignore Case的首字母缩写词)，即
输入∶
:set ic
3. 现在可以通过键入 n 键再次查找单词 ignore。重复查找可以重复键入 n 键。
4. 然后设置 hlsearch 和 incsearch 这两个选项，输入以下内容∶
:set hls is
5. 现在可以再次输入查找命令，看看会有什么效果∶
/ignore
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第六讲小结
1. 输入小写的 o 可以在光标下方打开新的一行并将光标置于新开的行首，进入
插入模式。
输入大写的 O 可以在光标上方打开新的一行并将光标置于新开的行首，进入
插入模式。
2. 输入小写的 a 可以在光标所在位置之后插入文本。
输入大写的 A 可以在光标所在行的行末之后插入文本。
3. 输入大写的 R 将进入替换模式，直至按 键退出替换模式而进入正常
模式。
4. 输入 :set xxx 可以设置 xxx 选项。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第七讲∶在线帮助命令
** 使用在线帮助系统 **
Vim 拥有一个细致全面的在线帮助系统。要启动该帮助系统，请选择如下三种方
法之一∶
- 按下 键 (如果键盘上有的话)
- 按下 键 (如果键盘上有的话)
- 输入 :help <回车>
输入 :q <回车> 可以关闭帮助窗口。
提供一个正确的参数给":help"命令，您可以找到关于该主题的帮助。请试验以
下参数(可别忘了按回车键哦。:)∶
:help w <回车>
:help c_
:help insert-index <回车>
:help user-manual <回车>
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
第八讲∶创建一个启动脚本
** 启用vim的功能 **
Vim的功能特性要比vi多得多，但大部分功能都没有缺省激活。为了启动更多的
功能，您得创建一个vimrc文件。
1. 开始编辑vimrc文件，这取决于您所使用的操作系统∶
:edit ~/.vimrc 这是Unix系统所使用的命令
:edit $VIM/_vimrc 这是Windows系统所使用的命令
2. 接着导入vimrc范例文件∶
:read $VIMRUNTIME/vimrc_example.vim
3. 保存文件，命令为∶
:write
在下次您启动vim的时候，编辑器就会有了语法高亮的功能。
UNIT 16 Lab
基本网络客户
目标：使用工具在本地和远程计算机传输文件。
实验1 使用lftp
1． 使用ping测试连通性： ping –c 3 stationxx
2． 使用lftp连接到远程计算机
cd
lftp stationxx
cd pub
ls
get getme
exit
3． 检查并修改得到的软件
cat getme
pico getme 存为 getme.xy
cat getme.xy
4． 使用lftp把文件传到用户目录
lftp –u student stationxx
put getme.xy
exit
实验2： 加密通讯 ssh套件
1． 复制getme.xy。
cd
cp getme.bd getme.bd.secure
2． scp getme.bd.secure student@stationxx
3． ssh student@stationxx
实验3： 和远程计算机同步文件
1． cd
rsync – – rsh=ssh student@stationxx:get* .
ls getme*
UNIT 17 Lab
系统工具
实验1：at
1． 使用以下命令在5分钟后执行任务
at now + 5 min
2． 输入以下命令
echo “ This message was automtically sent via the at facility.”
3． 使用ctrl-d 结束命令输入。at将显示任务执行的时间
4． 确认任务已经排序
5． 检查邮件。确认工作完成了
实验2 使用rpm检查包和文件的情况
1． 使用rpm列出安装的包
rpm –qa | less
2． 检查安装了多少个包
rpm –qa | wc –l
3． 检查哪个包提供了vimtutor文件
rpm –qf `which vimtutor`
4． 列出coreutils 提供的文件和相关信息
rpm –qil coreutils
[查看全文]