1、iptables介绍

iptables是复杂的，它集成到linux内核中。用户通过iptables，可以对进出你的计算机的数据包进行过滤。通过iptables命令设置你的规则，来把守你的计算机网络──哪些数据允许通过，哪些不能通过，哪些通过的数据进行记录（log）。接下来，我将告诉你如何设置自己的规则，从现在就开始吧。

2、初始化工作

在shell提示符 # 下打入

iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

以上每一个命令都有它确切的含义。一般设置你的iptables之前，首先要清除所有以前设置的规则，我们就把它叫做初始化好了。虽然很多情况下它什么也不做，但是保险起见，不妨小心一点吧！ 如果你用的是redhat 或fedora，那么你有更简单的办法

service iptables stop

3、开始设置规则:

接下下开始设置你的规则了

iptables -P INPUT DROP

这一条命令将会为你构建一个非常“安全”的防火墙，我很难想象有哪个hacker能攻破这样的机器，因为它将所有从网络进入你机器的数据丢弃(drop) 了。这当然是安全过头了，此时你的机器将相当于没有网络。如果你ping localhost，你就会发现屏幕一直停在那里，因为ping收不到任何回应。

4 、添加规则

接着上文继续输入命令：

iptables -A INPUT -i ! ppp0 -j ACCEPT

这条规则的意思是：接受所有的，来源不是网络接口ppp0的数据。

我们假设你有两个网络接口，eth0连接局域网，loop是回环网（localhost）。ppp0是一般的adsl上网的internet网络接口，如果你不是这种上网方式，那则有可能是eth1。在此我假设你是adsl上网，你的internet接口是ppp0

此时你即允许了局域网的访问，你也可以访问localhost

此时再输入命令 ping localhost，结果还会和刚才一样吗？

到此我们还不能访问www,也不能mail，接着看吧。

5、我想访问www

iptables -A INPUT -i ppp0 -p tcp -sport 80 -j ACCEPT

允许来自网络接口ppp0(internet接口)，并且来源端口是80的数据进入你的计算机。
80端口正是www服务所使用的端口。

好了，现在可以看网页了。但是，你能看到吗？

如果你在浏览器的地址中输入www.baidu.com，能看到网页吗？

你得到的结果一定是：找不到主机www.baidu.com

但是，如果你再输入220.181.27.5,你仍然能够访问baidu的网页。

为什么？如果你了解dns的话就一定知道原因了。

因为如果你打入www.baidu.com,你的电脑无法取得www.baidu.com这个名称所能应的ip地址220.181.27.5。如果你确实记得这个ip，那么你仍然能够访问www,你当然可以只用ip来访问www，如果你想挑战你的记忆的话^ _ ^，当然，我们要打开DNS。

6、打开dns端口

打开你的dns端口，输入如下命令：

iptables -A INPUT -i ppp0 -p udp -sport 53 -j ACCEPT

这条命令的含义是，接受所有来自网络接口ppp0,upd协议的53端口的数据。53也就是著名的dns端口。

此时测试一下，你能通过主机名称访问www吗？你能通过ip访问www吗？

当然，都可以！

7、查看防火墙

　此时可以查看你的防火墙了

iptables -L

　如果你只想访问www，那么就可以到此为止，你将只能访问www了。 不过先别急，将上面讲的内容总结一下，写成一个脚本。

#!/bin/bash

# This is a script

# Edit by liwei

# establish static firewall

iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

iptables -P INPUT DROP

iptables -A INPUT -i ! ppp0 -j ACCEPT

iptables -A INPUT -i ppp0 -p tcp –sport 80 -j ACCEPT

iptables -A INPUT -i ppp0 -p udp –sport 53 -j ACCEPT

8、复杂吗?到此iptables可以按你的要求进行包过滤了。你可以再设定一些端口，允许你的机器访问这些端口。这样有可能，你不能访问QQ，也可能不能打网络游戏，是好是坏，还是要看你自己而定了。顺便说一下，QQ这个东西还真是不好控制，用户与服务器连接使用的好像是8888端口，而QQ上好友互发消息使用的又是udp的4444端口(具体是不是4444还不太清楚)。而且QQ还可以使用www的80端口进行登录并发消息，看来学无止境，你真的想把这个家伙控制住还不容易呢？还是进入我们的正题吧。

如果你的机器是服务器，怎么办？

9、如果不巧你的机器是服务器，并且要提供www服务。显然，以上的脚本就不能符合我们的要求了。但只要你撑握了规则，稍作修改同样也能很好的工作。在最后面加上一句

iptables -A INPUT -i ppp0 -p tcp –dport 80 -j ACCEPT

这一句也就是将自己机器上的80端口对外开放了,这样internet上的其他人就能访问你的www了。当然，你的www服务器得工作才行。如果你的机器同时是smtp和pop3服务器，同样的再加上两条语句,将–dport后面的80改成25和110就行了。如果你还有一个ftp服务器，呵呵，如果你要打开100个端口呢……

我们的工作好像是重复性的打入类似的语句，你可能自己也想到了，我可以用一个循环语句来完成，对，此处可以有效的利用shell脚本的功能，也让你体验到了shell脚本语言的威力。看下文：

10、用脚本简化你的工作,阅读下面的脚本

#!/bin/bash

# This is a script

# Edit by liwei

# establish a static firewall

# define const here

Open_ports=”80 25 110 10″ # 自己机器对外开放的端口

Allow_ports=”53 80 20 21″ # internet的数据可以进入自己机器的端口

#init

iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

iptables -P INPUT DROP #we can use another method to instead it

iptables -A INPUT -i ! ppp0 -j ACCEPT

# define ruler so that some data can come in.

for Port in “$Allow_ports” ; do

iptables -A INPUT -i ppp0 -p tcp -sport $Port -j ACCEPT

iptables -A INPUT -i ppp0 -p udp -sport $Port -j ACCEPT

done

for Port in “$Open_ports” ; do

iptables -A INPUT -i ppp0 -p tcp -dport $Port -j ACCEPT

iptables -A INPUT -i ppp0 -p udp -dport $Port -j ACCEPT

done

这个脚本有三个部分（最前面的一段是注释，不算在这三部分中）

第一部分是定义一些端口：访问你的机器”Open_ports”端口的数据，允许进入；来源是”Allow_ports”端口的数据，也能够进入。

第二部分是iptables的初始化，第三部分是对定义的端口具体的操作。

如果以后我们的要求发生了一些变化，比如,你给自己的机器加上了一个ftp服务器，那么只要在第一部分”Open_ports”的定义中，将ftp对应的20与21端口加上去就行了。呵呵，到此你也一定体会到了脚本功能的强大的伸缩性，但脚本的能力还远不止这些呢！

11、使你的防火墙更加完善

看上面的脚本init部分的倒数第二句

iptables -P INPUT DROP

这是给防火墙设置默认规则。当进入我们计算机的数据，不匹配我们的任何一个条件时，那么就由默认规则来处理这个数据—-drop掉，不给发送方任何应答。

也就是说，如果你从internet另外的一台计算机上ping你的主机的话，ping会一直停在那里，没有回应。

如果黑客用namp工具对你的电脑进行端口扫描，那么它会提示黑客，你的计算机处于防火墙的保护之中。我可不想让黑客对我的计算机了解太多，怎么办，如果我们把drop改成其他的动作，或许能够骗过这位刚出道的黑客呢。

怎么改呢？将刚才的那一句( iptables -P INPUT DROP )去掉，在脚本的最后面加上

iptables -A INPUT -i ppp0 -p tcp -j REJECT –reject-with tcp-reset

iptables -A INPUT -i ppp0 -p udp -j REJECT –reject-with icmp-port-unreachable

这样就好多了，黑客虽然能扫描出我们所开放的端口，但是他却很难知道，我们的机器处在防火墙的保护之中。如果你只运行了ftp并且仅仅对局域网内部访问, 他很难知道你是否运行了ftp。在此我们给不应该进入我们机器的数据，一个欺骗性的回答，而不是丢弃(drop)后就不再理会。这一个功能，在我们设计有状态的防火墙中(我这里讲的是静态的防火墙)特别有用。

你可以亲自操作一下，看一看修改前后用namp扫描得到的结果会有什么不同？

12、这个教程我想到此就结束了，其中有很多东西在这里没有提到，如ip伪装，端口转发，对数据包的记录功能。还有一个很重要的东西就是： iptables处理数据包的流程.在这里我想告诉你，你设置的过滤规则的顺序很重要，在此不宜详细介绍，因为这样一来，这个教程就会拘泥于细节。

iptables是复杂的，我在linuxsir上看过很多教程，它们往往多而全，反而让人望而生畏，希望我的这个教程，能够指导你入门。加油！

最后，我把完整的脚本写出来如下，你只要修改常量定义部分，就能表现出较大的伸缩性^_^

#!/bin/bash

# This is a script

# Edit by liwei

# establish a static firewall

# define const here

Open_ports=”80 25 110 10″ # 自己机器对外开放的端口

Allow_ports=”53 80 20 21″ # internet的数据可以进入自己机器的端口

#init

iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

# The follow is comment , for make it better
# iptables -P INPUT DROP

iptables -A INPUT -i ! ppp0 -j ACCEPT

# define ruler so that some data can come in.

for Port in “$Allow_ports” ; do
ptables -A INPUT -i ppp0 -p tcp -sport $Port -j ACCEPT
iptables -A INPUT -i ppp0 -p udp -sport $Port -j ACCEPT
done

for Port in “$Open_ports” ; do
iptables -A INPUT -i ppp0 -p tcp -dport $Port -j ACCEPT
iptables -A INPUT -i ppp0 -p udp -dport $Port -j ACCEPT
done

# This is the last ruler , it can make you firewall better
iptables -A INPUT -i ppp0 -p tcp -j REJECT –reject-with tcp-reset
iptables -A INPUT -i ppp0 -p udp -j REJECT –reject-with icmp-port-unreachable

作者：liweioop
转自www.linuxsir.org
原文地址：http://www.linuxsir.org/bbs/showthread.php?t=184634

首先，MySQL已经有中文手册了，详见 http://dev.mysql.com/doc/refman/5.1/zh/index.html

Q: 如何让我的MySQL支持中文
A:
以下十几个相关的链接，包括字符集支持等问题，都可以看看
http://bbs.chinaunix.net/viewthread.php?tid=444009&extra=page%3D1%26filter%3Ddigest
http://bbs.chinaunix.net/viewthread.php?tid=732610&extra=page%3D1%26filter%3Ddigest
http://bbs.chinaunix.net/viewthread.php?tid=702090&extra=page%3D1%26filter%3Ddigest
http://imysql.cn/index.php?q=node/20

Q: 如何安装LAMP(Linux+Apache+MySQL+PHP)
A:
http://www.freelamp.com/1003235699/index_html

Q: 如何使用rpm方式安装mysql
A:
首先下载合适的rpm包，例如下载了文件 MySQL-5.0.15-0.i386.rpm
用一下方法安装：
#rpm -ivhU MySQL-5.0.15-0.i386.rpm
通常情况下，安装完这个rpm包后，只具备有mysqld服务功能，其它相关的client程序和开发包还需要另外安装
#rpm -ivhU MySQL-devel-5.0.15-0.i386.rpm
#rpm -ivhU MySQL-client-5.0.15-0.i386.rpm

Q: 如何安装已经编译好了的mysql二进制包
A:
首先下载合适的二进制包，例如下载了文件 mysql-standard-4.1.13-pc-linux-gnu-i686.tar.gz
#groupadd mysql
#useradd -g mysql mysql
#cd /usr/local
#tar zxf mysql-standard-4.1.13-pc-linux-gnu-i686.tar.gz
#ln -s mysql-standard-4.1.13-pc-linux-gnu-i686 mysql
#cd mysql
#scripts/mysql_install_db –user=mysql
#chgrp -R mysql *
#bin/mysqld_safe –user=mysql &
有什么个性化的配置，可以通过创建 /etc/my.cnf 或者 /usr/local/mysql/data/my.cnf，增加相关的参数来实现。

Q: 如何自己编译mysql
A:
以redhat linux 9.0为例：
下载文件 mysql-4.1.13.tar.gz
#tar zxf mysql-4.1.13.tar.gz
#cd mysql-4.1.13
#./configure –prefix=/usr/local/mysql –enable-assembler \
–with-mysqld-ldflags=-all-static –localstatedir=/usr/local/mysql/data \
–with-unix-socket-path=/tmp/mysql.sock –enable-assembler \
–with-charset=complex –with-low-memory –with-mit-threads
#make
#make install
#groupadd mysql
#useradd -g mysql mysql
#chgrp -R mysql /usr/local/mysql/
#/usr/local/mysql/bin/mysqld_safe –user=mysql &
有什么个性化的配置，可以通过创建 /etc/my.cnf 或者 /usr/local/mysql/data/my.cnf，增加相关的参数来实现。

Q: 如何登录MySQL
A:
使用mysql提供的客户端工具登录
#PATH_TO_MYSQL/bin/mysql -uuser -ppassword dateabase

Q: 忘记MySQL的root密码，怎么修改
A:
如果 MySQL 正在运行，首先杀之： killall -TERM mysqld。
启动 MySQL ：PATH_TO_MYSQL/bin/mysqld –skip-grant-tables &
就可以不需要密码就进入 MySQL 了。
然后就是
mysql>use mysql
mysql>update user set password=password(”new_pass”) where user=”root”;
mysql>flush privileges;
重新杀 MySQL ，用正常方法启动 MySQL
一定注意：很多新手没有用password=password(”…”)，而是直接password=”…”所以改掉密码不好使

Q: 为什么mysqld起来了，却无法登录，提示”/var/lib/mysql/mysql.sock”不存在
A:
这种情况大多数是因为你的mysql是使用rpm方式安装的，它会自动寻找 /var/lib/mysql/mysql.sock 这个文件，
通过unix socket登录mysql。
常见解决办法如下：
1、
创建/修改文件 /etc/my.cnf，至少增加/修改一行
[mysql]
[client]
socket = /tmp/mysql.sock
#在这里写上你的mysql.sock的正确位置，通常不是在 /tmp/ 下就是在 /var/lib/mysql/ 下

2、
指定IP地址，使用tcp方式连接mysql，而不使用本地sock方式
#mysql -h127.0.0.1 -uuser -ppassword

3、
为 mysql.sock 加个连接，比如说实际的mysql.sock在 /tmp/ 下，则
#ln -s /tmp/mysql.sock /var/lib/mysql/mysql.sock即可

Q: 如何修改mysql用户密码
A:
大致有2种方法：
1、
mysql>mysql -uroot -pxxx mysql
mysql>update user set password=password(’new_password’) where user=’user’;;
mysql>flush privileges;

2、
格式：mysqladmin -u用户名 -p旧密码 password 新密码
#mysqladmin -uroot -password ab12
注：因为开始时root没有密码，所以-p旧密码一项就可以省略了。

Q: 如何新增一个mysql用户
A:
格式：grant select on 数据库.* to 用户名@登录主机 identified by “密码”
例1、增加一个用户test1密码为abc，让他可以在任何主机上登录，并对所有数据库有查询、插入、修改、删除的权限。首先用以root用户连入MYSQL，然后键入以下命令：
mysql>grant select,insert,update,delete on *.* to test1@”%” Identified by “abc”;
但例1增加的用户是十分危险的，你想如某个人知道test1的密码，那么他就可以在internet上的任何一台电脑上登录你的mysql数据库并对你的数据可以为所欲为了，解决办法见例2。
例2、增加一个用户test2密码为abc,让他只可以在localhost上登录，并可以对数据库mydb进行查询、插入、修改、删除的操作（localhost指本地主机，即MYSQL数据库所在的那台主机），这样用户即使用知道test2的密码，他也无法从internet上直接访问数据库，只能通过MYSQL主机上的web页来访问了。
mysql>grant select,insert,update,delete on mydb.* to test2@localhost identified by “abc”;
如果你不想test2有密码，可以再打一个命令将密码消掉。
mysql>grant select,insert,update,delete on mydb.* to test2@localhost identified by “”;
另外，也可以通过直接往user表中插入新纪录的方式来实现。

Q: 如何查看mysql有什么数据库
A:
mysql>show databases;

Q: 如何查看数据库下有什么表
A:
mysql>show tables;

Q: 如何导出数据
A:
有几种方法，如下：
1、使用mysqldump
#mysqldump -uuser -ppassword -B database –tables table1 –tables table2 > dump_data_20051206.sql
详细的参数

2、backup to语法
mysql>BACKUP TABLE tbl_name[,tbl_name...] TO ‘/path/to/backup/directory’;
详细请查看mysql手册

3、mysqlhotcopy
#mysqlhotcopy db_name [/path/to/new_directory]
或
#mysqlhotcopy db_name_1 … db_name_n /path/to/new_directory
或
#mysqlhotcopy db_name./regex/
详细请查看mysql手册

4、select into outfile
详细请查看mysql手册

5、客户端命令行
#mysql -uuser -ppassword -e “sql statements” database > result.txt

以上各种方法中，以mysqldump最常用

Q: 如何在命令行上执行SQL语句
A:
#mysql -uuser -ppassword -e “sql statements” database

Q: 如何导入备份出来的文件
A:
常见几种方法如下：
1、由mysqldump出来的文件
#mysql -uuser -ppassword [database] source /path_to_file/dump.sql;

3、按照一定格式存储的文本文件或csv等文件
#mysqlimport [options] database file1 [file2....]
详细请查看mysql手册

4、文件类型同上，也可以使用load data语法导入
详细请查看mysql手册

Q: 如何快速设定MySQL同步
A:
详情请参见 http://imysql.cn/index.php?q=node/73

Q: MySQL升级过程中都应该注意什么问题
A:
详情请参见 http://imysql.cn/index.php?q=node/74

Q: 如何分析MySQL的运行状态
A:
介绍一个开源的工具，详情请参考 http://hackmysql.com/mysqlreport

其他更多的FAQ请查看这里
http://imysql.cn/?q=node/151

本文转自

http://bbs2.chinaunix.net

原文地址

http://bbs2.chinaunix.net/viewthread.php?tid=662944