先给你介绍的是网卡的设置这是一个关键:

ptubuntu.com# ifconfig

eth0 Link encap:Ethernet  HWaddr 00:e0:pt:ub:un:tu

inet addr:192.168.0.1 Bcast:192.168.0.255  Mask:255.255.255.0

eth1 Link encap:Ethernet  HWaddr 00:e0:pt:ub:un:tu

inet addr:58.58.98.8 Bcast:58.58.98.8   Mask:255.255.255.248

eth2 Link encap:Ethernet  HWaddr 00:e0:pt:ub:un:tu

inet addr:192.168.9.1 Bcast:192.168.9.255  Mask:255.255.255.0

注:eht0,eht2 内网IP地址 eth1外网IP地址

下面这个是配置iptables配置文档.

ptubuntu.com#vi /etc/init.d/iptables

#fLUSH THE FILTER,NAT,Mangle chain!

/sbin/iptables -F -t filter

/sbin/iptables -F -t nat

/sbin/iptables -F -t mangle

#Flush the user’s chain

/sbin/iptables -t filter -X

/sbin/iptables -t nat -X

/sbin/iptables -t mangle -X

#Set default policies to DROP

/sbin/iptables -P INPUT ACCEPT

/sbin/iptables -P OUTPUT ACCEPT

/sbin/iptables -P FORWARD ACCEPT

#LAN NAT  内网转外网.

/sbin/iptables -A POSTROUTING -t nat -s 192.168.0.0/255.255.255.0 -o eth1 -j MASQUERADE

#/sbin/iptables -A POSTROUTING -t nat -s 192.168.0.0/255.255.255.0 -o eth0 -j MASQUERADE

/sbin/iptables -A POSTROUTING -t nat -s 192.168.9.2 -o eth1 -j MASQUERADE

#Drop Web Server  阻止外网的IP地址.

/sbin/iptables -A FORWARD -i eth0 -p tcp -d 218.5.00.116 -j DROP

#Drop out 80 port (FORWARD -i -i -in-interface [!] [name]

i -进入的（网络）接口 [!][名称]

这是包经由该接口接收的可选的入口名称，包通过该接口接收（在链INPUT、FORWORD和PREROUTING中进入的包）。当在接口名前使用”!”说明后，指的是相反的名称。如果接口名后面加上”+”，则所有以此接口名开头的接口都会被匹配。如果这个选项被忽略，会假设为”+”，那么将匹配任意接口。 )

#/sbin/iptables -A FORWARD -i eth0 -p tcp –dport 80 -j DROP

所以上面这行说明阻止任何80端口进入服务器.

if [ -f /etc/access_mac.conf ]

then

for i in `cat /etc/access_mac.conf | grep “^[^#]” | tr -s “[\012]” | cut -c1-17` ; do

/sbin/iptables -A FORWARD -m mac –mac-source $i -i eth0 -j ACCEPT

done

fi

上面这段是设置相关的mac地址.只有在这个mac地址的电脑才可以上网.这个主要是用shell语言写的.

/sbin/iptables -A FORWARD -i eth0 -j DROP

#Drop Incomeing Hacker

/sbin/iptables -A INPUT -s 202.194.0.0 -i eth1 -j DROP

#Http Services DNAT

/sbin/iptables -A PREROUTING -t nat -p tcp -m tcp -i eth0 -d 59.00.00.0 –dport 8080 -j DNAT –to-destination 192.168.0.2:80

这个是内部机器的端口转换.

有关mac址地的格式.

ptubuntu.com#/etc/access_mac.conf

#MAC address            Employee Name OR SERVER Name

#Server Netcard Mac Address

00:14:38:0d:00:00     test

00:e0:4c:00:00:01       System Server eth0

00:e0:4c:00:00:02       System Server eth1

相关参考如下:shell tr语法查看:http://www.chinaitpower.com

IPtables命令详解

用iptables -ADC 来指定链的规则，-A添加 -D删除 -C 修改
iptables - [RI] chain rule num rule-specification[option]
用iptables - RI 通过规则的顺序指定

iptables -D chain rule num[option]
删除指定规则
iptables -[LFZ] [chain][option]
用iptables -LFZ 链名 [选项]

iptables -[NX] chain
用 -NX 指定链

iptables -P chain target[options]
指定链的默认目标

iptables -E old-chain-name new-chain-name
-E 旧的链名 新的链名
用新的链名取代旧的链名
说明
Iptalbes 是用来设置、维护和检查Linux内核的IP包过滤规则的。
可以定义不同的表，每个表都包含几个内部的链，也能包含用户定义的链。每个链都是一个规则列表，对对应的包进行匹配：每条规则指定应当如何处理与之相匹配的包。这被称作’target’（目标），也可以跳向同一个表内的用户定义的链。

TARGETS
防火墙的规则指定所检查包的特征，和目标。如果包不匹配，将送往该链中下一条规则检查；如果匹配,那么下一条规则由目标值确定.该目标值可以是用户定义的链名,或是某个专用值,如ACCEPT[通过], DROP[删除], QUEUE[排队], 或者 RETURN[返回]。
ACCEPT 表示让这个包通过。DROP表示将这个包丢弃。QUEUE表示把这个包传递到用户空间。RETURN表示停止这条链的匹配，到前一个链的规则重新开始。如果到达了一个内建的链(的末端)，或者遇到内建链的规则是RETURN，包的命运将由链准则指定的目标决定。

TABLES
当前有三个表（哪个表是当前表取决于内核配置选项和当前模块)。
-t table
这个选项指定命令要操作的匹配包的表。如果内核被配置为自动加载模块，这时若模块没有加载，(系统)将尝试(为该表)加载适合的模块。这些表如下：filter,这是默认的表，包含了内建的链INPUT（处理进入的包）、FORWORD（处理通过的包）和OUTPUT（处理本地生成的包）。nat,这个表被查询时表示遇到了产生新的连接的包,由三个内建的链构成：PREROUTING (修改到来的包)、OUTPUT（修改路由之前本地的包）、POSTROUTING（修改准备出去的包）。mangle 这个表用来对指定的包进行修改。它有两个内建规则：PREROUTING（修改路由之前进入的包）和OUTPUT（修改路由之前本地的包）。
OPTIONS
这些可被iptables识别的选项可以区分不同的种类。

COMMANDS
这些选项指定执行明确的动作：若指令行下没有其他规定,该行只能指定一个选项.对于长格式的命令和选项名,所用字母长度只要保证iptables能从其他选项中区分出该指令就行了。
-A -append
在所选择的链末添加一条或更多规则。当源（地址）或者/与 目的（地址）转换为多个地址时，这条规则会加到所有可能的地址(组合)后面。

-D -delete
从所选链中删除一条或更多规则。这条命令可以有两种方法：可以把被删除规则指定为链中的序号(第一条序号为1),或者指定为要匹配的规则。

-R -replace
从选中的链中取代一条规则。如果源（地址）或者/与 目的（地址）被转换为多地址，该命令会失败。规则序号从1开始。

-I -insert
根据给出的规则序号向所选链中插入一条或更多规则。所以，如果规则序号为1，规则会被插入链的头部。这也是不指定规则序号时的默认方式。

-L -list
显示所选链的所有规则。如果没有选择链，所有链将被显示。也可以和z选项一起使用，这时链会被自动列出和归零。精确输出受其它所给参数影响。

-F -flush
清空所选链。这等于把所有规则一个个的删除。

–Z -zero
把所有链的包及字节的计数器清空。它可以和 -L配合使用，在清空前察看计数器，请参见前文。

-N -new-chain
根据给出的名称建立一个新的用户定义链。这必须保证没有同名的链存在。

-X -delete-chain
删除指定的用户自定义链。这个链必须没有被引用，如果被引用，在删除之前你必须删除或者替换与之有关的规则。如果没有给出参数，这条命令将试着删除每个非内建的链。

-P -policy
设置链的目标规则。

-E -rename-chain
根据用户给出的名字对指定链进行重命名，这仅仅是修饰，对整个表的结构没有影响。TARGETS参数给出一个合法的目标。只有非用户自定义链可以使用规则，而且内建链和用户自定义链都不能是规则的目标。

-h Help.
帮助。给出当前命令语法非常简短的说明。

PARAMETERS
参数
以下参数构成规则详述，如用于add、delete、replace、append 和 check命令。

-p -protocal [!]protocol
规则或者包检查(待检查包)的协议。指定协议可以是tcp、udp、icmp中的一个或者全部，也可以是数值，代表这些协议中的某一个。当然也可以使用在/etc/protocols中定义的协议名。在协议名前加上”!”表示相反的规则。数字0相当于所有all。Protocol all会匹配所有协议，而且这是缺省时的选项。在和check命令结合时，all可以不被使用。
-s -source [!] address[/mask]
指定源地址，可以是主机名、网络名和清楚的IP地址。mask说明可以是网络掩码或清楚的数字，在网络掩码的左边指定网络掩码左边”1″的个数，因此，mask值为24等于255.255.255.0。在指定地址前加上”!”说明指定了相反的地址段。标志 –src 是这个选项的简写。

-d –destination [!] address[/mask]
指定目标地址，要获取详细说明请参见 -s标志的说明。标志 –dst 是这个选项的简写。

-j –jump target
-j 目标跳转
指定规则的目标；也就是说，如果包匹配应当做什么。目标可以是用户自定义链（不是这条规则所在的），某个会立即决定包的命运的专用内建目标，或者一个扩展（参见下面的EXTENSIONS）。如果规则的这个选项被忽略，那么匹配的过程不会对包产生影响，不过规则的计数器会增加。

-i -in-interface [!] [name]
i -进入的（网络）接口 [!][名称]
这是包经由该接口接收的可选的入口名称，包通过该接口接收（在链INPUT、FORWORD和PREROUTING中进入的包）。当在接口名前使用”!”说明后，指的是相反的名称。如果接口名后面加上”+”，则所有以此接口名开头的接口都会被匹配。如果这个选项被忽略，会假设为”+”，那么将匹配任意接口。

-o –out-interface [!][name]
-o –输出接口[名称]
这是包经由该接口送出的可选的出口名称，包通过该口输出（在链FORWARD、OUTPUT和POSTROUTING中送出的包）。当在接口名前使用”!”说明后，指的是相反的名称。如果接口名后面加上”+”，则所有以此接口名开头的接口都会被匹配。如果这个选项被忽略，会假设为”+”，那么将匹配所有任意接口。

[!] -f, –fragment
[!] -f –分片
这意味着在分片的包中，规则只询问第二及以后的片。自那以后由于无法判断这种把包的源端口或目标端口（或者是ICMP类型的），这类包将不能匹配任何指定对他们进行匹配的规则。如果”!”说明用在了”-f”标志之前，表示相反的意思。

OTHER OPTIONS
其他选项
还可以指定下列附加选项：

-v –verbose
-v –详细
详细输出。这个选项让list命令显示接口地址、规则选项（如果有）和TOS（Type of Service）掩码。包和字节计数器也将被显示，分别用K、M、G(前缀)表示1000、1,000,000和1,000,000,000倍（不过请参看-x标志改变它），对于添加,插入,删除和替换命令，这会使一个或多个规则的相关详细信息被打印。

-n –numeric
-n –数字
数字输出。IP地址和端口会以数字的形式打印。默认情况下，程序试显示主机名、网络名或者服务（只要可用）。

-x -exact
-x -精确
扩展数字。显示包和字节计数器的精确值，代替用K,M,G表示的约数。这个选项仅能用于 -L 命令。

–line-numbers
当列表显示规则时，在每个规则的前面加上行号，与该规则在链中的位置相对应。

MATCH EXTENSIONS
对应的扩展
iptables能够使用一些与模块匹配的扩展包。以下就是含于基本包内的扩展包，而且他们大多数都可以通过在前面加上!来表示相反的意思。

tcp
当 –protocol tcp 被指定,且其他匹配的扩展未被指定时,这些扩展被装载。它提供以下选项：

–source-port [!] [port[:port]]
源端口或端口范围指定。这可以是服务名或端口号。使用格式端口：端口也可以指定包含的（端口）范围。如果首端口号被忽略，默认是”0″，如果末端口号被忽略，默认是”65535″，如果第二个端口号大于第一个，那么它们会被交换。这个选项可以使用 –sport的别名。

–destionation-port [!] [port:[port]]
目标端口或端口范围指定。这个选项可以使用 –dport别名来代替。

–tcp-flags [!] mask comp
匹配指定的TCP标记。第一个参数是我们要检查的标记，一个用逗号分开的列表，第二个参数是用逗号分开的标记表,是必须被设置的。标记如下：SYN ACK FIN RST URG PSH ALL NONE。因此这条命令：iptables -A FORWARD -p tcp –tcp-flags SYN, ACK, FIN, RST SYN只匹配那些SYN标记被设置而ACK、FIN和RST标记没有设置的包。

[!] –syn
只匹配那些设置了SYN位而清除了ACK和FIN位的TCP包。这些包用于TCP连接初始化时发出请求；例如，大量的这种包进入一个接口发生堵塞时会阻止进入的TCP连接，而出去的TCP连接不会受到影响。这等于 –tcp-flags SYN, RST, ACK SYN。如果”–syn”前面有”!”标记，表示相反的意思。

–tcp-option [!] number
匹配设置了TCP选项的。

udp
当protocol udp 被指定,且其他匹配的扩展未被指定时,这些扩展被装载,它提供以下选项：

–source-port [!] [port:[port]]
源端口或端口范围指定。详见 TCP扩展的–source-port选项说明。

–destination-port [!] [port:[port]]
目标端口或端口范围指定。详见 TCP扩展的–destination-port选项说明。

icmp
当protocol icmp被指定,且其他匹配的扩展未被指定时,该扩展被装载。它提供以下选项：
–icmp-type [!] typename
这个选项允许指定ICMP类型，可以是一个数值型的ICMP类型，或者是某个由命令iptables -p icmp -h所显示的ICMP类型名。

mac
–mac-source [!] address
匹配物理地址。必须是XX:XX:XX:XX:XX这样的格式。注意它只对来自以太设备并进入PREROUTING、FORWORD和INPUT链的包有效。

limit
这个模块匹配标志用一个标记桶过滤器一一定速度进行匹配,它和LOG目标结合使用来给出有限的登陆数.当达到这个极限值时,使用这个扩展包的规则将进行匹配.(除非使用了”!”标记)

–limit rate
最大平均匹配速率：可赋的值有’/second’, ’/minute’, ’/hour’, or ’/day’这样的单位，默认是3/hour。

–limit-burst number
待匹配包初始个数的最大值:若前面指定的极限还没达到这个数值,则概数字加1.默认值为5

multiport
这个模块匹配一组源端口或目标端口,最多可以指定15个端口。只能和-p tcp 或者 -p udp 连着使用。

–source-port [port[, port]]
如果源端口是其中一个给定端口则匹配

–destination-port [port[, port]]
如果目标端口是其中一个给定端口则匹配

–port [port[, port]]
若源端口和目的端口相等并与某个给定端口相等,则匹配。
mark
这个模块和与netfilter过滤器标记字段匹配（就可以在下面设置为使用MARK标记）。

–mark value [/mask]
匹配那些无符号标记值的包（如果指定mask，在比较之前会给掩码加上逻辑的标记）。

owner
此模块试为本地生成包匹配包创建者的不同特征。只能用于OUTPUT链，而且即使这样一些包（如ICMP ping应答）还可能没有所有者，因此永远不会匹配。

–uid-owner userid
如果给出有效的user id，那么匹配它的进程产生的包。

–gid-owner groupid
如果给出有效的group id，那么匹配它的进程产生的包。

–sid-owner seessionid
根据给出的会话组匹配该进程产生的包。

state
此模块，当与连接跟踪结合使用时，允许访问包的连接跟踪状态。

–state state
这里state是一个逗号分割的匹配连接状态列表。可能的状态是:INVALID表示包是未知连接，ESTABLISHED表示是双向传送的连接，NEW表示包为新的连接，否则是非双向传送的，而RELATED表示包由新连接开始，但是和一个已存在的连接在一起，如FTP数据传送，或者一个ICMP错误。

unclean
此模块没有可选项，不过它试着匹配那些奇怪的、不常见的包。处在实验中。

tos
此模块匹配IP包首部的8位tos（服务类型）字段（也就是说，包含在优先位中）。

–tos tos
这个参数可以是一个标准名称，（用iptables -m tos -h 察看该列表），或者数值。

TARGET EXTENSIONS
iptables可以使用扩展目标模块：以下都包含在标准版中。

LOG
为匹配的包开启内核记录。当在规则中设置了这一选项后，linux内核会通过printk()打印一些关于全部匹配包的信息（诸如IP包头字段等）。
–log-level level
记录级别（数字或参看 syslog.conf(5)）。
–log-prefix prefix
在纪录信息前加上特定的前缀：最多14个字母长，用来和记录中其他信息区别。

–log-tcp-sequence
记录TCP序列号。如果记录能被用户读取那么这将存在安全隐患。

–log-tcp-options
记录来自TCP包头部的选项。
–log-ip-options
记录来自IP包头部的选项。

MARK
用来设置包的netfilter标记值。只适用于mangle表。

–set-mark mark

REJECT
作为对匹配的包的响应，返回一个错误的包：其他情况下和DROP相同。

此目标只适用于INPUT、FORWARD和OUTPUT链，和调用这些链的用户自定义链。这几个选项控制返回的错误包的特性：

–reject-with type
Type可以是icmp-net-unreachable、icmp-host-unreachable、icmp-port-nreachable、icmp-proto-unreachable、 icmp-net-prohibited 或者 icmp-host-prohibited，该类型会返回相应的ICMP错误信息（默认是port-unreachable）。选项 echo-reply也是允许的；它只能用于指定ICMP ping包的规则中，生成ping的回应。最后，选项tcp-reset可以用于在INPUT链中,或自INPUT链调用的规则，只匹配TCP协议：将回应一个TCP RST包。
TOS
用来设置IP包的首部八位tos。只能用于mangle表。

–set-tos tos
你可以使用一个数值型的TOS 值，或者用iptables -j TOS -h 来查看有效TOS名列表。
MIRROR
这是一个试验示范目标，可用于转换IP首部字段中的源地址和目标地址，再传送该包,并只适用于INPUT、FORWARD和OUTPUT链，以及只调用它们的用户自定义链。

SNAT
这个目标只适用于nat表的POSTROUTING链。它规定修改包的源地址（此连接以后所有的包都会被影响），停止对规则的检查，它包含选项：

–to-source [:port-port]
可以指定一个单一的新的IP地址，一个IP地址范围，也可以附加一个端口范围（只能在指定-p tcp 或者-p udp的规则里）。如果未指定端口范围，源端口中512以下的（端口）会被安置为其他的512以下的端口；512到1024之间的端口会被安置为1024以下的，其他端口会被安置为1024或以上。如果可能，端口不会被修改。

–to-destiontion [:port-port]
可以指定一个单一的新的IP地址，一个IP地址范围，也可以附加一个端口范围（只能在指定-p tcp 或者-p udp的规则里）。如果未指定端口范围，目标端口不会被修改。

MASQUERADE
只用于nat表的POSTROUTING链。只能用于动态获取IP（拨号）连接：如果你拥有静态IP地址，你要用SNAT。伪装相当于给包发出时所经过接口的IP地址设置一个映像，当接口关闭连接会终止。这是因为当下一次拨号时未必是相同的接口地址（以后所有建立的连接都将关闭）。它有一个选项：

–to-ports
指定使用的源端口范围，覆盖默认的SNAT源地址选择（见上面）。这个选项只适用于指定了-p tcp或者-p udp的规则。

REDIRECT
只适用于nat表的PREROUTING和OUTPUT链，和只调用它们的用户自定义链。它修改包的目标IP地址来发送包到机器自身（本地生成的包被安置为地址127.0.0.1）。它包含一个选项：

–to-ports
指定使用的目的端口或端口范围：不指定的话，目标端口不会被修改。只能用于指定了-p tcp 或 -p udp的规则。

DIAGNOSTICS
诊断
不同的错误信息会打印成标准错误：退出代码0表示正确。类似于不对的或者滥用的命令行参数错误会返回错误代码2，其他错误返回代码为1。

BUGS
臭虫
Check is not implemented (yet).
检查还未完成。

COMPATIBILITY WITH IPCHAINS
与ipchains的兼容性
iptables和Rusty Russell的ipchains非常相似。主要区别是INPUT 链只用于进入本地主机的包,而OUTPUT只用于自本地主机生成的包。因此每个包只经过三个链的一个；以前转发的包会经过所有三个链。其他主要区别是 -i 引用进入接口；-o引用输出接口，两者都适用于进入FORWARD链的包。当和可选扩展模块一起使用默认过滤器表时，iptables是一个纯粹的包过滤器。这能大大减少以前对IP伪装和包过滤结合使用的混淆，所以以下选项作了不同的处理：
-j MASQ
-M -S
-M -L
在iptables中有几个不同的链。

看完那么多.那你还需要再看一些命吧……接下看.

Iptables 命令使用举例
1、链的基本操作

（1） 清除所有规则

1）          清除预设表filter中所有规则链中的规则

# iptables –F

2) 清除预设表filter中使用者自定链中的规则

# iptables –X

3)将指定链中所有规则的包字节计数器清零

#  iptables –Z

(2)设置链的默认策略

1）先允许，再禁止

用下面的命令初始化

# iptables –P INPUT  ACCEPT

# iptables –P OUTPUT  ACCEPT

# iptables –P FORWARD  ACCEPT

2）          先禁止，再允许

用下面的命令初始化

# iptables –P INPUT  DROP

# iptables –P OUTPUT  DROP

# iptables –P FORWARD  DROP

（3）列出表/链中的所有规则

# iptables –L –n

（4）向链中添加规则。下面的语句用于开放网络接口

#  iptables –A INPUT –i lo –j ACCEPT

#  iptables –A OUTPUT –o lo –j ACCEPT

#  iptables –A INPUT –i eth0 –j ACCEPT

#  iptables –A OUTPUT –o eth0 –j ACCEPT

#  iptables –A FORWARD –i eth0 –j ACCEPT

#  iptables –A FORWARD –o eth0 –j ACCEPT

（5）使用用户自定义链

#  iptables –N custom

#  iptables –A custom –s 0/0 –d 0/0 –p icmp –j DROP

#  iptables –A INPUT –s 0/0 –d 0/0 –j custom

2、设置基本的规则匹配（忽略目标动作）
（1） 指定协议匹配

1）          匹配指定的协议

#  iptables –A INPUT –p tcp

2）          匹配指定协议之外的所有协议

#  iptables –A INPUT –p ! tcp

（2） 指定地址匹配

1）          指定匹配的主机

#  iptables –A INPUT –s 192.168.0.1

2）          指定匹配的网络

#  iptables –A INPUT –s 192.168.0.0/24

3）          匹配指定主机之外的地址

#  iptables –A INPUT –s ! 192.168.0.1

4）          匹配指定网络之外的网络

#  iptables –A INPUT –s ! 192.168.0.1/24

（3） 指定网络接口匹配

1）          指定单一的网络接口匹配

#  iptables –A INPUT –i eth0

#  iptables –A FORWARD –o eth0

2）          指定同类型的网络接口匹配

#  iptables –A FORWARD –o ppp+

（4） 指定端口匹配

1）          指定单一的端口匹配

#  iptables –A INPUT –p tcp –sport wwww

#  iptables –A INPUT –p tcp –sport 80

#  iptables –A INPUT –p udp –sport 53

#  iptables –A INPUT –p udp –dport 53

2）          匹配指定端口之外的端口

#  iptables –A INPUT –p tcp –dport !22

3）          匹配指定的端口范围

#  ipbables –A INPUT –p tcp –sport 22:80

4）          匹配ICMP端口和ICMP 类型

#  iptables –A INPUT –p icmp-type 8

（5） 指定IP碎片

#  iptables –A FORWARD –p tcp –s 192.168.0.0/24 –d 192.168.2.100 –dport 80 –f ACCEPT

#  iptables –A FORWARD –f –s 192.168.0.0/24 –d 192.168.2.100 –j ACCEPT
3、设置扩展的规则匹配（忽略目标动作）（1）多端口匹配扩展

1）匹配多个源端口

#  iptables –A INPUT –p tcp –m multiport –source-port 22,53,80,110

2）匹配多个目的端口

#  iptables –A INPUT –p tcp –m multiport –destination-port 22,53,80,110

3）匹配多个端口

#  iptables –A INPUT –p tcp –m multiport –prot 22,53,80,110

（2）指定TCP匹配扩展

通过使用–tcp-flags 选项可以根据TCP包的标志位进行过滤，第一个参数为要检查的标志位；第二个参数是标志位为1的标志

#  iptables –A INPUT –p tcp –tcp-flags SYN,FIN,ACK SYN

#  iptables –p tcp –syn

表示SYN、ACK、FIN的标志都要检查，但是只有设置了SYN的才匹配

# iptables –A INPUT –p tcp –tcp-flags ALL SYN,ACK

表示ALL（SYN，ACK，FIN，RST，USG，PSH）的标志都要检查，但是只有设置了SYN和ACK的才匹配

（3）limit速率匹配扩展

1）指定单位时间内允许通过的数据包个数

# iptables –A INPUT –m limit –limit 300/hour

表示限制每小时允许通过300个数据包

2）指定触发事件的阀值（默认值是5）

# iptables –A INPUT –m limit –limit-burst 10

表示一次涌入的封包超过10个将被直接丢弃

3）同时指定速率限制和触发阀值

# iptables –A INPUT –p icmp –m limit –limit 3/m –limit-burst 3

以上命令参考内容来处http://www.blogjava.net

http://blog.chinaunix.net/

察看函数 set

设置hello设置调用.

root@ptubuntu:~# vi func
!/bin/bash
#func
. fun
set   //设置查看函数
echo “now going to the unction hello ”
hello
echo “back from the function”

查看函数hello是否被调用.

root@ptubuntu:~# ./func    //
TERM=xterm
UID=0
USER=root
XDG_SESSION_COOKIE=20ffd3439e326b98eada2fc9492fb7e6-1228894566.802095-1306568828
_=fun
hello ()
{
echo “Hello,taday is `date`”;     //这段就可以看到正确的函数数被调用出来.
return 0
}
now going to the unction hello
Hello,taday is Wed Dec 10 03:24:17 EST 2008
back from the function

删除函数 unset

#!/bin/bash
#func
. fun
unset hello  //设置土删除hello函数
echo “now going to the unction hello ”
hello
echo “back from the function”

查看函数hello是否被调用.

root@ptubuntu:~# ./func
now going to the unction hello
./func: line 6: hello: command not found    // 在这里报错.没有找到相关的hello函数
back from the function

正确例子hello函数的调用.

root@ptubuntu:~# vi fun //设置hello函数
#!/bin/bash
#hellfunctions
function hello ()
{
echo “Hello,taday is `date`”
return 0   //返回状态值为0是一般为正确值.
}

root@ptubuntu:~# vi function   //程序调用hello函数
#!/bin/bash
#func
. fun //在这里指到上面要调用到函数的库名fun
echo “now oging to the function hello”
hello
echo $?
echo “back from the function”

输入的结果:

root@ptubuntu:~# ./function
now oging to the function hello
Hello,taday is Wed Dec 10 03:15:38 EST 2008
0
back from the function

#breakout
while :
do
        echo -n “Enter any number [1...5]:”
        read ANS
        case $ANS in
        1|2|3|4|5)
                echo “you enter a number between 1 and 5!”
                ;;
        *)
                echo -n “Wrong number,continue (y/n)?:”
                read IS_CONTINUE
                case $IS_CONTINUE in
                 y|yes|Y|Yes)
                        continue
                        ;;
#这个就是定义跳出循环跟跳回到循环当中.只有输入Y/yes,才能跳回循环中.如果是N/no或是任意值都跳出这个循环.
                 *)
                        break
                        ;;
                esac
        esac
done

    系统管理员通常需要在每天，每周，每月做备份和运行其他的进程。虽然这些进程都可以手工运行，但是通常都需要安排它们自动运行。cron守护进程的作用就在与此。

1．编辑/usr/spool/cron/crontabs/root文件（以root用户执行。若以其它用户执行，则编辑相应文件名），

其他参考资料:

　　cron 是linux的内置服务，能够用以下的方法启动、关闭这个服务：

　　引用:

　　/sbin/service crond start //启动服务

　　/sbin/service crond stop //关闭服务

　　/sbin/service crond restart //重启服务

　　/sbin/service crond reload //重新载入配置

　　您也能够将这个服务在系统启动的时候也自动启动：

　　引用:

　　在/etc/rc.d/rc.local这个脚本的末尾加上：

　　/sbin/service crond start

　　现在cron这个服务已在进程里面了，我们就能够用这个服务了，cron服务提供以下几种接口供大家使用：

　　1.直接用crontab命令编辑

　　cron服务提供crontab命令来设定cron服务的，以下是这个命令的一些参数和说明：

　　引用:

　　crontab -u //设定某个用户的cron服务，一般root用户在执行这个命令的时候需要此参数

　　crontab -l //列出某个用户cron服务的周详内容

　　crontab -r //删除没个用户的cron服务

　　crontab -e //编辑某个用户的cron服务

　　比如说root查看自己的cron配置：

　　引用:

　　crontab -u root -l

　　再例如，root想删除fred的cron配置：

　　引用:

　　crontab -u fred -r

　　在编辑cron服务时，编辑的内容有一些格式和约定，输入：

　　引用:

　　crontab -u root -e

　　进入vi编辑模式，编辑的内容一定要符合下面的格式：

　　引用:

　　*/1 * * * * ls >> /tmp/ls.txt

　　这个格式的前一部分是对时间的设定，后面一部分是要执行的命令，假如要执行的命令太多，能够把这些命令写到一个脚本里面，然后在这里直接调用这个脚本就能够了，调用的时候记得写出命令的完整路径。时间的设定我们有一定的约定，前面五个*号代表五个数字，数字的取值范围和含义如下：

　　引用:

　　分钟

　　（0-59）

　　小時

　　（0-23）

　　日期

　　（1-31）

　　月份

　　（1-12）

　　星期

　　（0-6）//0代表星期天

　　除了数字更有几个个特别的符号就是”*”、”/”和”-”、”,”，*代表任何的取值范围内的数字，”/”代表每的意思,”*/5″表示每5个单位，”-”代表从某个数字到某个数字,”,”分开几个离散的数字。以下举几个例子说明问题：

　　引用:

　　每天早上6点

　　0 6 * * * echo “Good morning.” >> /tmp/test.txt //注意单纯echo，从屏幕上看不到任何输出，因为cron把任何输出都email到root的信箱了。

　　每两个小时

　　0 */2 * * * echo “Have a break now.” >> /tmp/test.txt

　　晚上11点到早上8点之间每两个小时，早上八点

　　0 23-7/2，8 * * * echo “Have a good dream：）” >> /tmp/test.txt

　　每个月的4号和每个礼拜的礼拜一到礼拜三的早上11点

　　0 11 4 * 1-3 command line

　　1月1日早上4点

　　0 4 1 1 * command line

　　每次编辑完某个用户的cron配置后，cron自动在/var/spool/cron下生成一个和此用户同名的文档，此用户的cron信息都记录在这个文档中，这个文档是不能够直接编辑的，只能够用crontab -e 来编辑。cron启动后每过一份钟读一次这个文档，检查是否要执行里面的命令。因此此文档修改后无需重新启动cron服务。

　　2.编辑/etc/crontab 文档配置cron

　　cron服务每分钟不但要读一次/var/spool/cron内的任何文档，还需要读一次/etc/crontab,因此我们配置这个文档也能运用 cron服务做一些事情。用crontab配置是针对某个用户的，而编辑/etc/crontab是针对系统的任务。此文档的文档格式是：

　　引用:

　　SHELL=/bin/bash

　　PATH=/sbin:/bin:/usr/sbin:/usr/bin

　　MAILTO=root //假如出现错误，或有数据输出，数据作为邮件发给这个帐号

　　HOME=/

　　# run-parts

　　01 * * * * root run-parts /etc/cron.hourly //每个小时去执行一遍/etc/cron.hourly内的脚本

　　02 4 * * * root run-parts /etc/cron.daily //每天去执行一遍/etc/cron.daily内的脚本

　　22 4 * * 0 root run-parts /etc/cron.weekly //每星期去执行一遍/etc/cron.weekly内的脚本

　　42 4 1 * * root run-parts /etc/cron.monthly //每个月去执行一遍/etc/cron.monthly内的脚本

　　使用者 运行的路径

　　大家注意”run-parts”这个参数了，假如去掉这个参数的话，后面就能够写要运行的某个脚本名，而不是文档夹名了。

　　假如您还不太明白，看下面的内容：

　　cron 是个能够用来根据时间、日期、月份、星期的组合来调度对重复任务的执行的守护进程。

　　cron 假定系统持续运行。假如当某任务被调度时系统不在运行，该任务就不会被执行。

　　要使用 cron 服务，您必须安装了 vixie-cron RPM 软件包，而且必须在运行 crond 服务。要判定该软件包是否已安装，使用 rpm -q vixie-cron 命令。要判定该服务是否在运行，使用 /sbin/service crond status 命令。

　　cron 的主配置文档是 /etc/crontab，他包括下面几行：

　　代码:

　　SHELL=/bin/bash

　　PATH=/sbin:/bin:/usr/sbin:/usr/bin

　　MAILTO=root

　　HOME=/

　　# run-parts

　　01 * * * * root run-parts /etc/cron.hourly

　　02 4 * * * root run-parts /etc/cron.daily

　　22 4 * * 0 root run-parts /etc/cron.weekly

　　42 4 1 * * root run-parts /etc/cron.monthly

　　前四行是用来配置 cron 任务运行环境的变量。 SHELL 变量的值告诉系统要使用哪个 shell 环境（在这个例子里是 bash shell）；PATH 变量定义用来执行命令的路径。cron 任务的输出被邮寄给 MAILTO 变量定义的用户名。假如 MAILTO 变量被定义为空白字符串（MAILTO=””），电子邮件就不会被寄出。HOME 变量能够用来配置在执行命令或脚本时使用的主目录。

　　/etc/crontab 文档中的每一行都代表一项任务，他的格式是：

　　代码:

　　minute hour day month dayofweek command

　　*

　　minute — 分钟，从 0 到 59 之间的任何整数

　　*

　　hour — 小时，从 0 到 23 之间的任何整数

　　*

　　day — 日期，从 1 到 31 之间的任何整数（假如指定了月份，必须是该月份的有效日期）

　　*

　　month — 月份，从 1 到 12 之间的任何整数（或使用月份的英文简写如 jan、feb 等等）

　　*

　　dayofweek — 星期，从 0 到 7 之间的任何整数，这里的 0 或 7 代表星期日（或使用星期的英文简写如 sun、mon 等等）

　　*

　　command — 要执行的命令（命令能够是 ls /proc >> /tmp/proc 之类的命令，也能够是执行您自行编写的脚本的命令。）

　　在以上任何值中，星号（*）能够用来代表任何有效的值。譬如，月份值中的星号意味着在满足其他制约条件后每月都执行该命令。

　　整数间的短线（-）指定一个整数范围。譬如，1-4 意味着整数 1、2、3、4。

　　用逗号（,）隔开的一系列值指定一个列表。譬如，3, 4, 6, 8 标明这四个指定的整数。

　　正斜线（/）能够用来指定间隔频率。在范围后加上 /<integer> 意味着在范围内能够跳过 integer。譬如，0-59/2 能够用来在分钟字段定义每两分钟。间隔频率值还能够和星号一起使用。例如，*/3 的值能够用在月份字段中表示每三个月运行一次任务。

　　开头为井号（#）的行是注释，不会被处理。

　　如您在 /etc/crontab 文档中所见，他使用 run-parts 脚本来执行 /etc/cron.hourly、/etc/cron.daily、/etc/cron.weekly 和 /etc/cron.monthly 目录中的脚本，这些脚本被相应地每小时、每日、每周、或每月执行。这些目录中的文档应该是 shell 脚本。

　　假如某 cron 任务需要根据调度来执行，而不是每小时、每日、每周、或每月地执行，他能够被添加到 /etc/cron.d 目录中。该目录中的任何文档使用和 /etc/crontab 中相同的语法。如下：

　　代码:

　　# record the memory usage of the system every monday

　　# at 3:30AM in the file /tmp/meminfo

　　30 3 * * mon cat /proc/meminfo >> /tmp/meminfo

　　# run custom script the first day of every month at 4:10AM

　　10 4 1 * * /root/scripts/backup.sh

　　根用户以外的用户能够使用 crontab 工具来配置 cron 任务。任何用户定义的 crontab 都被保存在 /var/spool/cron 目录中，并使用创建他们的用户身份来执行。要以某用户身份创建一个 crontab 项目，登录为该用户，然后键入 crontab -e 命令，使用由 VISUAL 或 EDITOR 环境变量指定的编辑器来编辑该用户的 crontab。该文档使用的格式和 /etc/crontab 相同。当对 crontab 所做的改变被保存后，该 crontab 文档就会根据该用户名被保存，并写入文档 /var/spool/cron/username 中。

　　cron 守护进程每分钟都检查 /etc/crontab 文档、etc/cron.d/ 目录、连同 /var/spool/cron 目录中的改变。假如发现了改变，他们就会被载入内存。这样，当某个 crontab 文档改变后就不必重新启动守护进程了。

　　/etc/cron.allow 和 /etc/cron.deny 文档被用来限制对 cron 的使用。这两个使用控制文档的格式都是每行一个用户。两个文档都不允许空格。假如使用控制文档被修改了，cron 守护进程（crond）不必被重启。使用控制文档在每次用户添加或删除一项 cron 任务时都会被读取。

　　无论使用控制文档中的规定如何，根用户都总是能够使用 cron。

　　假如 cron.allow 文档存在，只有其中列出的用户才被允许使用 cron，并且 cron.deny 文档会被忽略。

　　假如 cron.allow 文档不存在，任何在 cron.deny 中列出的用户都被禁止使用 cron。

　　要启动 cron 服务，使用 /sbin/service crond start 命令。要停止该服务，使用 /sbin/service crond stop 命令。推荐您在引导时启动该服务。

　　增加CRON的工作

　　当我们决定要在系统上定期执行某个命令，我们必须将这个要执行的命令定义成一个CRON工作，能够直接将要建立的CRON工作定义在CRONTAB配置文档中，配置该命令执行的时机；或也能够利用CRON会定时执行/ETC/CROM.*目录SCRIPT的特性，将要执行的命令建立成为一个脚本文档，放置在该目录下，并且注意他的权限–必须能够执行

来自:http://linux-os.cn/20080320/cron/

　　case的作用就是当字符串与某个值相同是就执行那个值后面的操作。如果同一个操作对于多个值，则使用”|”将各个值分开。在case的每一个操作的最后面都有两个”;;”，分号是必须的。

　　语法：case 字符串 in     //in  是每条语句之要加入的.

　　值1|值2)   //这里可以有两个值, Y|y

　　操作;;

　　值3|值4)

　　操作;;

　　值5|值6)

　　操作;;

　　*}   //任意值.

　　操作;;

　　esac

echo -n “请输入选项(1/2/3/4)：”
# 由标准输入读入，在放在 opt 中
read opt

case “$opt” in
   1) echo “1 太好了!”
      ;;
   2) echo “2 太妙了!”
      ;;
   3) echo “3 太爽了!”
      ;;
   4) echo “4 太香了!”
      ;;
   *) echo “$opt 超出选项 1~4 的数值”
esac

if test  (表达式为真)

if test !表达式为假

test 表达式1 –a 表达式2                  两个表达式都为真

test 表达式1 –o 表达式2                 两个表达式有一个为真

2）判断字符串

test –n 字符串                                   字符串的长度非零

test –z 字符串                                    字符串的长度为零

test 字符串1＝字符串2                    字符串相等

test 字符串1！＝字符串2               字符串不等

3）判断整数

test 整数1 –eq 整数2                        整数相等

test 整数1 –ge 整数2                        整数1大于等于整数2

test 整数1 –gt 整数2                         整数1大于整数2

test 整数1 –le 整数2                         整数1小于等于整数2

test 整数1 –lt 整数2                          整数1小于整数2

test 整数1 –ne 整数2                        整数1不等于整数2

4）判断文件

test  File1 –ef  File2                            两个文件具有同样的设备号和i结点号

test  File1 –nt  File2                            文件1比文件2 新

test  File1 –ot  File2                            文件1比文件2 旧

test –b File                                           文件存在并且是块设备文件

test –c File                                           文件存在并且是字符设备文件

test –d File                                           文件存在并且是目录

test –e File                                           文件存在

test –f File                                            文件存在并且是正规文件

test –g File                                           文件存在并且是设置了组ID

test –G File                                           文件存在并且属于有效组ID

test –h File                                           文件存在并且是一个符号链接（同-L）

test –k File                                           文件存在并且设置了sticky位

test –b File                                           文件存在并且是块设备文件

test –L File                                           文件存在并且是一个符号链接（同-h）

test –o File                                           文件存在并且属于有效用户ID

test –p File                                           文件存在并且是一个命名管道

test –r File                                            文件存在并且可读

test –s File                                           文件存在并且是一个套接字

test –t FD                                             文件描述符是在一个终端打开的

test –u File                                           文件存在并且设置了它的set-user-id位

test –w File                                          文件存在并且可写

test –x File                                           文件存在并且可执行

#!/bin/bash
#ifelif
echo -n “Enter you name:”    //请输入你的名字.
read NAME   //读取NAME
if [ -z $NAME ] || [ "$NAME" = "" ];then    //NAME的长度为0或等于空.
        echo “You did not enter a name.”    //输入你没有输入名字.
elif [ "$NAME" = "root" ];then                  //输入root.
        echo “Hello root”
elif [ "$NAME" = "ruijin" ];then
        echo “ruijin”
else
        echo “You are not root or ruijin,But hi is $NAME”  //如果不是ruijin或是root .但是你输入的是…
fi

#!/bin/bash
#iftest
echo -n “Enter your name:”
read NAME
if [ "$NAME" == "" ];
then
echo “You did not enter any information”
else
        echo “Youe Name is ${NAME}”
fi

1、对mysql 进行备份。
2、对一些重要配置文件进行备份。
3、对邮件存储的结构进行备份。
4、每天备分，只保留7 天的内容。
5、备份完成后自动上传到ftp （其它服务器）
6、系统恢复需要手工恢复，是防止灾难性发生。
7、crontab 内容（当前是root用户）

#每天23:59 分执行
59 23 * * * /usr/local/backup/backup.sh > /dev/null

以下脚本，稍作修改就能用于自己的电脑.本脚本在freebsd　执行通过，
linux　可能需要跟据实际命令使用方法作修改
下载原脚本

#!/bin/sh

backupdir="/home/data/backup/" #备份保存的目录

#如果目录不存在就创建
if [ ! -d $backupdir ];then
	mkdir $backupdir
fi

# mkdir today backup

today=`date +%Y-%m-%d_%H_%M_%S` #取得当天的日期
fpath=$backupdir$today   # 取得备份目录的完整路径
echo $fpath
#如果目录不存在就创建
if [ ! -d $fpath ];then
	mkdir $fpath
fi

# delete old file
#删除旧的文件，+7 表示7 天之前，+30 表示一个月之前
#完整意思 查找备份目录里 7 天之前的文件，并且删除它
find $backupdir -type f -mtime +7 -print -exec rm {} ;

#文件file_list与脚本在同一个目录里，安装在/usr/local/backup ，如果你有什么重要文件备份就写在这里，一行一个。
FL=`cat /usr/local/backup/file_list`
for i in $FL ;do
	cp -Rp $i $fpath #复制保留权限，如果目录同样也可以复制
done

#backup mail dir
#备份邮件目录的结构，因为我的硬盘小，所以只备份结构。
#如果你要备份邮件，可以将邮件保存的目录写在上面的file_list 里。
find /home/data/domains -type d >$fpath/maildirlist

# backup mysql all
#备份mysql 所有数据库 把yourpasswd 改为你mysql　root　密码
/usr/local/bin/mysqldump --all-databases -uroot -pyourpasswd>$fpath/mysql_all.sql

# backup my self
#备份这个脚本
cp -Rp $0 $fpath
cp -Rp file_list $fpath

# 将备份的东西进行打包
cd $backupdir
tar czf $today.tar.gz $today
rm -rf $today
cd -

# ftp ...
#上传到ftp
ftp -n<<!
open 192.168.1.3 21
user backup backup
binary
lcd $backupdir　#本地目录
prompt off
mdelete * #删除远程所有文件
mput * #上传本地目录所有文件
bye
!

没有添加注解：
#!/bin/sh

backupdir="/home/data/backup/"

if [ ! -d $backupdir ];then
	mkdir $backupdir
fi

# mkdir today backup

today=`date +%Y-%m-%d_%H_%M_%S`
fpath=$backupdir$today
echo $fpath
if [ ! -d $fpath ];then
	mkdir $fpath
fi

# delete old file 

find $backupdir -type f -mtime +7 -print -exec /bin/rm -f {} \;

FL=`cat /usr/local/backup/file_list`

for i in $FL ;do
	cp -Rp $i $fpath
done

#backup mail dir

find /home/data/domains -type d >$fpath/maildirlist

# backup mysql all
/usr/local/bin/mysqldump --all-databases -uroot -pyourpasswd >$fpath/mysql_all.sql

# backup my self
cp -Rp $0 $fpath
cp -Rp /usr/local/backup/file_list $fpath

cd $backupdir
tar czf $today.tar.gz $today
rm -rf $today
cd -

# ftp ...

ftp -n<<!
open 192.168.1.3 21
user backup backup
binary
lcd $backupdir
prompt off
mdelete *
mput *
bye
!

来自：开源有易YiYou.Org

Xshell 官方网站
来自:http://www.real-blog.com/software/497