linux常见命令(10)

王朝system·作者佚名 2006-01-09

compress -c source.dat > target.dat.Z

-b 的值越大，压缩比例就越大，范围是 9-16 ，预设值是 16 。

compress -b 12 source.dat

将 source.dat.Z 解压成 source.dat ，若档案已经存在，使用者按 y 以确定覆盖档案，若使用 -df 程式则会自动覆盖档案。由于系统会自动加入 .Z 为延伸档名，所以 source.dat 会自动当作 source.dat.Z 处理。

compress -d source.dat

compress -d source.dat.Z

名称： lpd

使用权限：所有使用者

使用方式：lpd [-l] [#port]

lpd 是一个常驻的印表机管理程式，它会根据 /etc/printcap 的内容来管理本地或远端的印表机。/etc/printcap 中定义的每一个印表机必须在 /var/lpd 中有一个相对应的目录，目录中以 cf 开头的档案表示一个等待送到适当装置的印表工作。这个档案通常是由 lpr 所产生。

lpr 和 lpd 组成了一个可以离线工作的系统，当你使用 lpr 时，印表机不需要能立即可用，甚至不用存在。lpd 会自动监视印表机的状况，当印表机上线后，便立即将档案送交处理。这个得所有的应用程式不必等待印表机完成前一工作。

参数：

-l: 将一些除错讯息显示在标准输出上。

#port: 一般而言，lpd 会使用 getservbyname 取得适当的 TCP/IP port，你可以使用这个参数强迫 lpd 使用指定的 port。

范例：

这个程式通常是由 /etc/rc.d 中的程式在系统启始阶段执行。

名称 lpq

-- 显示列表机贮列中未完成的工作用法

lpq [l] [P] [user]

说明

lpq 会显示由 lpd 所管理的列表机贮列中未完成的项目。

范例

范例 1. 显示所有在 lp 列表机贮列中的工作

# lpq -PlpRank Owner Job Files Total Size1st root 238 (standard input) 1428646 bytes

相关函数

lpr,lpc,lpd

名称： lpr

使用权限：所有使用者

使用方式：lpr [ -P printer ]

将档案或是由标准输入送进来的资料送到印表机贮列之中，印表机管理程式 lpd 会在稍后将这个档案送给适当的程式或装置处理。lpr 可以用来将料资送给本地或是远端的主机来处理。

参数：

-p Printer: 将资料送至指定的印表机 Printer，预设值为 lp。

范例：

将 www.c 和 kkk.c 送到印表机 lp。

lpr -Plp www.c kkk.c

名称: lprm

-- 将一个工作由印表机贮列中移除用法

/usr/bin/lprm [P] [file...]

说明

尚未完成的印表机工作会被放在印表机贮列之中，这个命令可用来将常未送到印表机的工作取消。由于每一个印表机都有一个独立的贮列，你可以用 -P 这个命令设定想要作用的印列机。如果没有设定的话，会使用系统预设的印表机。

这个命令会检查使用者是否有足够的权限删除指定的档案，一般而言，只有档案的拥有者或是系统管理员才有这个权限。

范例

将印表机 hpprinter 中的第 1123 号工作移除

lprm -Phpprinter 1123

将第 1011 号工作由预设印表机中移除

lprm 1011

名称： fdformat

使用权限：所有使用者

使用方式：fdformat [-n] device

使用说明 :

对指定的软碟机装置进行低阶格式化。使用这个指令对软碟格式化的时候，最好指定像是下面的装置：

/dev/fd0d360 磁碟机 A: ，磁片为 360KB 磁碟

/dev/fd0h1440 磁碟机 A: ，磁片为 1.4MB 磁碟

/dev/fd1h1200 磁碟机 B: ，磁片为 1.2MB 磁碟

如果使用像是 /dev/fd0 之类的装置，如果里面的磁碟不是标准容量，格式化可能会失败。在这种情况之下，使用者可以用 setfdprm 指令先行指定必要参数。

参数：

-n 关闭确认功能。这个选项会关闭格式化之后的确认步骤。

范例：

fdformat -n /dev/fd0h1440

将磁碟机 A 的磁片格式化成 1.4MB 的磁片。并且省略确认的步骤。

名称： mformat

使用权限：所有使用者

使用方式：

mformat [-t cylinders] [-h heads] [-s sectors] [-l volume_label] [-F] [-I fsVer-sion] [-S sizecode] [-2 sectors_on_track_0] [-M software_sector_size] [-a] [-X] [-C] [-H hidden_sectors] [-r root_sectors] [-B boot_sector] [-0 rate_on_track_0] [-A rate_on_other_tracks] [-1] [-k] drive:

在已经做过低阶格式化的磁片上建立 DOS 档案系统。如果在编译 mtools 的时候把 USE_2M 的参数打开，部分与 2M 格式相关的参数就会发生作用。否则这些参数（像是 S,2,1,M）不会发生作用。

参数：

-t 磁柱（synlider）数

-h 磁头（head）数

-s 每一磁轨的磁区数

-l 标签

-F 将磁碟格式化为 FAT32 格式，不过这个参数还在实验中。

-I 设定 FAT32 中的版本号。这当然也还在实验中。

-S 磁区大小代码，计算方式为 sector = 2^(大小代码+7)

-c 磁丛（cluster）的磁区数。如果所给定的数字会导致磁丛数超过 FAT 表的限制，mformat 会自动放大磁区数。

-s

-M 软体磁区大小。这个数字就是系统回报的磁区大小。通常是和实际的大小相同。

-a 如果加上这个参数，mformat 会产生一组 Atari 系统的序号给这块软碟。

-X 将软碟格式化成 XDF 格式。使用前必须先用 xdfcopy 指令对软碟作低阶格式化的动作。

-C 产生一个可以安装 MS-DOS 档案系统的磁碟影像档（disk image）。当然对一个实体磁碟机下这个参数是没有意义的。

-H 隐藏磁区的数目。这通常适用在格式化硬碟的分割区时，因为通常一个分割区的前面还有分割表。这个参数未经测试，能不用就不用。

-n 磁碟序号

-r 根目录的大小，单位是磁区数。这个参数只对 FAT12 和 FAT16 有效。

-B 使用所指定的档案或是设备的开机磁区做为这片磁片或分割区的开机磁区。当然当中的硬体参数会随之更动。

-k 尽量保持原有的开机磁区。

-0 第 0 轨的资料传输率

-A 第 0 轨以外的资料传输率

-2 使用 2m 格式

-1 不使用 2m 格式

范例：

mformat a:

这样会用预设值把 a: （就是 /dev/fd0）里的磁碟片格式化。

名称： mkdosfs

使用权限：所有使用者

使用方式： mkdosfs [ -c | -l filename ]

[ -f number_of_FATs ]

[ -F FAT_size ]

[ -i volume_id ]

[ -m message_file ]

[ -n volume_name ]

[ -r root_dir_entry ]

[ -s sector_per_cluster ]

[ -v ]

device

[ block_count ]

说明：建立 DOS 档案系统。 device 指你想要建立 DOS 档案系统的装置代号。像是 /dev/hda1 等等。 block_count 则是你希望配置的区块数。如果 block_count 没有指定则系统会自动替你计算符合该装置大小的区块数。

参数：

-c 建立档案系统之前先检查是否有坏轨。

-l 从得定的档案中读取坏轨记录。

-f 指定档案配置表（FAT , File Allocation Table)的数量。预设值为 2 。目前 Linux 的 FAT 档案系统不支援超过 2 个 FAT 表。通常这个不需要改。

-F 指定 FAT 表的大小，通常是 12 或是 16 个位元组。12 位元组通常用于磁碟片，16 位元组用于一般硬碟的分割区，也就是所谓的 FAT16 格式。这个值通常系统会自己选定适当的值。在磁碟片上用 FAT16 通常不会发生作用，反之在硬碟上用 FAT12 亦然。

-i 指定 Volume ID。一般是一个 4 个位元组的数字，像是 2e203a47 。如果不给系统会自己产生。

-m 当使用者试图用这片磁片或是分割区开机，而上面没有作业系统时，系统会给使用者一段警告讯息。这个参数就是用来变更这个讯息的。你可以先用档案编辑好，然后用这个参数指定，或是用

-m -

这样系统会要求你直接输入这段文字。要特别注意的是，档案里的字串长度不要超过 418 个字，包括展开的跳栏符号（TAB）和换行符号（换行符号在 DOS 底下算两个字元！）

-n 指定 Volume Name，就是磁碟标签。如同在 DOS 底下的 format 指令一样，给不给都可以。没有预设值。

-r 指定根目录底下的最大档案数。这里所谓的档案数包括目录。预设值是在软碟上是 112 或是 224 ，在硬碟上是 512。没事不要改这个数字。

-s 每一个磁丛（cluster）的磁区数。必须是 2 的次方数。不过除非你知道你在作什么，这个值不要乱给。

-v 提供额外的讯息

范例：

mkdosfs -n Tester /dev/fd0 将 A 槽里的磁碟片格式化为 DOS 格式，并将标签设为 Tester

kingpaul @ 03:55 PM 发表于 linux | 编辑 | 留言 (0) | TrackBack (0)

2004年06月16日

Linux 2.4 Packet Filtering HOWTO 简体中文版

Rusty Russell, mailing list netfilter@lists.samba.org

$Revision: 1.3 $ $Date: 2002/06/05 13:21:56 $

简体中文：洋鬼鬼·NetSnake

感谢网中人netmanforever@yahoo.com 提供的繁体参照

此文档描述在Linux2.4 内核中，如何使用iptables过滤不正确的包

（译者：Packet在很多专业书籍中译为分组，此处根据大部分人的习惯，仍译为包）

1. 简介

2. 官方站点及邮件列表

3. 那么，什么是Packet Filter？

3.1 我为什么需要Packet Filter？

3.2 如何在Linux下进行包过滤？

3.2.1 iptables

3.2.2 创建永久性规则

7.3 过滤规格

7.3.2 反向指定

7.3.3 协议指定

7.3.4 接口指定

7.3.5 分片指定

7.3.6 iptables扩展：新的匹配

7.3.6.1 TCP 扩展

7.3.6.1.1 TCP标志的解释

7.3.6.2 UDP 扩展

7.3.6.3 ICMP扩展

7.3.6.4 其他匹配的扩展

7.3.6.5 状态匹配

7.4 目标规格

7.4.1 用户定义链

7.4.2 iptables扩展：新目标

7.4.3 特殊的内建目标

7.5 对整个链进行操作

7.5.1 创建新链

7.5.2 删除链

7.5.3 清空一个链

7.5.4 对链进行列表

7.5.5 重置（清零）计数器

7.5.6 设置原则（默认规则）

8. 使用ipchains和ipfwadm

9. NAT和包过滤的混合使用

10. iptables和ipchains之间的差别

11. 对制定包过滤器的建议

1. 简介

欢迎，亲爱的读者。

这篇文章假设你知道有关IP地址、网络地址、网络掩码、选路和DNS。如果不知道，我建议你先阅读网络概念的HowTo（Network Concepts HOWTO）。

这篇HOWTO并非一个简要的介绍（会让你发热、发毛，没有安全感），也非一个完全的原始的披露（最吃苦耐劳的人也会被搅晕，不过必定会有所斩获）。

你的网络并不安全。问题在于，必须获取快速、简洁的通讯，但又必须限于良好的、无恶意的行为，就如同在嘈杂的大戏院里，你可以高谈阔论，但是绝不能大喊：着火了！。这篇HOWTO不能解决这种问题。

（译者：所有安全都只是相对的，否则根本不会产生这种东西了）

因此，你只能决定在哪方面妥协。我想帮助你使用一些可用的工具和一些通常需要注意的漏洞，希望你将它们用在好的一面，而不是出于恶意的目的 -- 另一个同样重要的问题。

2、官方站点及邮件列表位置

这里有三个官方站点：

o Thanks to Filewatcher http://netfilter.filewatcher.org.

o Thanks to The Samba Team and SGI http://netfilter.samba.org.

o Thanks to Harald Welte http://netfilter.gnumonks.org.

你可以通过以下站点访问全部相关站点。

http://www.netfilter.org and http://www.iptables.org

以下是netfilter官方邮件列表

http://www.netfilter.org/contact.html#list.

3.那么，什么是包过滤器？

包过滤器是这样一种软件：它检查通过的每个包的头部，然后决定如何处置它们。可以这样对待它们：丢弃（也就是说，如果这个包从未被接受，那么丢弃它），通过（也就是说，让包通过），或者更复杂的（操作）。

Linux下，包过滤内建在内核中（内核模块，或者内建），而且我们还有处理包的一些技巧，不过检查头部和处理包的一般性原则仍在这里。

3.1 我为何要包过滤？

控制、安全、警戒。

控制：

当你用你的Linux服务器把你的内部网和另一个网络（就是Internet吧）连起来，你可以决定哪些通信是允许的，哪些不允许。例如，包头部包含了包的目标地址，你可以阻碍包发送到（你）确定的几个外部网络，另一个例子，我用NetScape连接到Dilbert archives。页面上有来自doubleclick.net的广告，然后NetScape浪费了我的时间愉快的下载他们。告诉包过滤器禁止任何来自或者发往doubleclick.net地址的包，问题就解决了。（当然有更好的办法，见Junkbuster）。

安全：

当Linux服务器是混乱的Internet和你良好的、有序的网络之间唯一的东西时，你最好能知道哪些东西可以进入你的大门。例如，你可以允许所有（包）从你的网络发出，不过你可能会为来自外部的著名的“Ping of Death”而焦急。另一个例子，你不希望外人telnet到你的Linux服务器，尽管所有账户都有密码。或许你只想（像绝大多数人）成为 Internet的旁观者，而非它的服务器（也可能愿意是吧）。简单的不允许任何人接入，设置包过滤器拒绝所有进入的包（是不错的办法）。

警戒：

有时，本地网络上错误配置的机器可能会向外部喷射出大量的包。最好是当（网络中）出现任何不正常现象时，让包过滤器告诉你。这样你可能可以做点什么，或者你天生就很好奇。

3.2 如何在Linux下进行包过滤？

Linux内核在其1.1系列中就有了包过滤功能。第一代，由Alan Cox 1994年移植于BSD的ipfw。这在Linux 2.0中由Jos Vos和其他人进行了加强；用户空间工具'ipfwadm'可用来控制内核过滤规则。1998年中，我在Michael Neuling的帮助下，为Linux 2.2进行了重写，推出了用户空间工具'ipchains'。最后，1999年中，基于Linux 2.4的第四代工具，'iptables'，和其他内核的改写正式推出。这就是这个iptables的HOWTO文档的所在。

译者：userspace根据台湾同胞的说法，是用来区别系统内存中的适用范围的，分为核心空间和使用者空间，不必深究）

你需要包含netfilter架构的内核。netfilter是Linux中的一个通用框架，也可以插入（plug in）其他内容（如iptables模块）。也就是说你需要2.3.15及以后版本，而且在配置内核时对CONFIG_NETFILTER回答'Y'。

iptables这个工具用来和内核交互并告诉它哪些包应该过滤。除非你是程序员或者特别好奇，否则这就是你用来控制包过滤的了。

3.2.1. iptables

iptables工具向内核的包过滤表中插入和删除规则。这就意味着无论怎样设置，启动后信息都会丢失；请参看“制定永久性规则”（Making Rules Permanent）来确定如何保证下次启动这些规则能被恢复。

iptables是ipfwadm和ipchains的替代品。如果你是它们的使用者，请参看 “使用ipchains和ipfwadm”，如何轻松使用iptables。

3.2.2 创建永久性规则

你当前的防火墙设置保存在内核中，所以重启后就会丢失。你可以试着用iptables-save和iptables-restore脚本来保存他们，并由一个文件恢复。

4. 你算老几，凭什么玩弄我的内核？

我是Rusty Russell。Linux IP防火墙的维护者，也是一个适当的时候出现在适当的地方的coder。我写了ipchains（参见“如何在Linux下进行包过滤？”看看实际的工作其实由哪些人完成），并希望能学到足够的东西修正这次的包过滤。

WatchGuard，一个非常出色的防火墙公司，总之一堆广告，此处省略一千字……

在此，我想澄清一个误解：我不是内核专家，我了解它，是因为我的核心工作让我接触了他们：David S. Miller, Alexey Kuznetsov, Andi Kleen, Alan Cox。无论如何，他们做了最深层的工作，轮到我时，已经非常安全和容易了。

5. Rusty的真正的包过滤快速指南

绝大部分人只有一个PPP连接到Internet，而且不希望有人由此进入他们的网络或者防火墙：

# 插入connection-tracking模块（如国内建在内核中就不需要）

# insmod ip_conntrack

# insmod ip_conntrack_ftp