LAMP 归档

vi /etc/selinux/config

set SELINUX=disabled

因为WEB程序环境和SVN在同一机器(Linux)上，开始一直使用 TortoiseSVN+FTP ，终于受不了烦琐的操作，实现了自动构建。
记录如下：
1。建立要构建的目录，也就是web程序目录 mkdir /home/testsvn
初始化 svn checkout testsvn /home/testsvn

2。在 repos/hooks/ 目录下新建 post-commit 文件
添加脚本内容如下

#!/bin/sh
SVN=/usr/bin/svn
TODIR=/home/testsvn #要更新的目录
$SVN update –username xxx –password xxx $TODIR

3。让post-commit有执行的权限 chmod 777 post-commit

4。搞定，收工

环境:linux,apache 2.2

配制 httpd.conf

加载 mod_dav,mod_dav_fs

< IfModule mod_dav_fs.c>
DavLockDB “/usr/conf/DavLock/DavLock”
< /IfModule>
< Directory "/usr/htdocs/cake">
Dav On
AuthType Basic
AuthName name
AuthUserFile /usr/conf/authfile
< LimitExcept GET OPTIONS>
require valid-user
< /LimitExcept>
< /Directory>

设置目录权限
chown -R apache.apache /usr/conf/DavLock/
chown -R apache.apache /usr/htdocs/cake

Email : /^\w+([-+.]\w+)*@\w+([-.]\w+)*\.\w+([-.]\w+)*$/,
Phone : /^((\(\d{2,3}\))|(\d{3}\-))?(\(0\d{2,3}\)|0\d{2,3}-)?[1-9]\d{6,7}(\-\d{1,4})?$/,
Mobile : /^((\(\d{2,3}\))|(\d{3}\-))?13\d{9}$/,
Url : /^http:\/\/[A-Za-z0-9]+\.[A-Za-z0-9]+[\/=\?%\-&_~`@[\]\’:+!]*([^\”\”])*$/,
IdCard : /^\d{15}(\d{2}[A-Za-z0-9])?$/,
Currency : /^\d+(\.\d+)?$/,
Number : /^\d+$/,
Zip : /^[1-9]\d{5}$/,
QQ : /^[1-9]\d{4,8}$/,

$tomorrow = date( “Y-m-d”, mktime(0,0,0,4,1+1,2005));

$tomorrow = date( “Y-m-d”, mktime(0,0,0,date(”m”) ,date(”d”)+1,date(”Y”))); //明天

$yesterday = date( “Y-m-d”, mktime(0,0,0,date(”m”) ,date(”d”)-1,date(”Y”))); //昨天

$lastmonth = date( “Y-m-d”, mktime(0,0,0,date(”m”)-1,date(”d”), date(”Y”))); //上一个月

$nextyear = date( “Y-m-d”, mktime(0,0,0,date(”m”), date(”d”, date(”Y”)+1)); //下一年

$today = date(”Ymd”,strtotime (”+1 day”));

$date1=”2006-08-09″;
echo date(’Y-m-d’,strtotime(”$date1 +5 day”)); //相应地,要增加月,年,将day改成month或year即可

curl -x test.proxy.org:80 http://www.chinaunix.com
这样就使用test.proxy.org:80代理，来访问http://www.chinaunix.com了。

一、最简单的直接把数据目录copy一份了。
注意：一定要关闭MySQL的服务才能做，不然在你copy的时候刚好还有人读写表那麻烦就大了。

二、使用mysqldump
mysqldump db_name>db_name.sql -u root -p

三、mysql自带的热备份工具mysqlhotcopy
mysqlhotcopy –addtodest db_name /home/db_backup
–addtodest 增量备份，新的备份自动覆盖掉原来的

站点属性->动作->过滤->启动服务端过滤-> -a

Subversion SVN

编译
./configure
–with-apxs=/home/apache/bin/apxs
–prefix=/home/subversion
–with-apr=/home/apache
–with-apr-util=/home/apache
–enable-maintainer-mode
创建仓库
./svnadmin create /home/svnroot/repository/test
导入
./svn import /home/apache/htdocs/awstats/ file:///home/svnroot/repository/test -m “test”
修改Apache配置文件
LoadModule dav_svn_module modules/mod_dav_svn.so
LoadModule authz_svn_module modules/mod_authz_svn.so
< Location /svn>
DAV svn
SVNParentPath /home/svnroot/repository/
AuthzSVNAccessFile /home/svnroot/repository/authz.conf
AuthType Basic
AuthName “Subversion.xxb”
AuthUserFile /home/svnroot/repository/authfile
Require valid-user
< /Location>

权限分配
vi /home/svnroot/repository/authz.conf
[test:/] //这表示，仓库test的根目录下的访问权限
xxb = rw //test仓库xxb用户具有读和写权限
bao = r //test仓库bao用户具有读权限

ftp 1.1.1.1
ftp>passive


< Directory "/home/apache/htdocs/oscommerce">
< IfModule php5_module>
php_value register_globals 1
< /IfModule>
< /Directory>


1. #!/bin/sh
2. cd /home/mysql-backup
3. rm alldb.5.tar.gz -f
4. mv alldb.4.tar.gz alldb.5.tar.gz>/dev/null 2>&1
5. mv alldb.3.tar.gz alldb.4.tar.gz>/dev/null 2>&1
6. mv alldb.2.tar.gz alldb.3.tar.gz>/dev/null 2>&1
7. mv alldb.1.tar.gz alldb.2.tar.gz>/dev/null 2>&1
8. mv alldb.0.tar.gz alldb.1.tar.gz>/dev/null 2>&1
9. tar zcf alldb.0.tar.gz alldb.sql>/dev/null 2>&1
10. rm alldb.sql -f
11. mysqldump –all-databases –opt -ppassword>alldb.sql

上面的最后一句话中 -ppassword 的 password 表示 root 帐号的密码，把它改为你自己的数据库的 root 帐号密码就可以了，或者你可以专门建立一个用来备份的用户来代替 root 帐号。另外，你要保证 /home/mysql-backup 目录是存在的。最后把这个脚本属性改为 755，属主是 root.root，放在 /etc/cron.daily 目录下就可以每天备份一次数据库了，并且以一个星期为周期进行循环。 如果再加上双机备份，将会更保险。

同样的方法可以用于备份网站内容、dns 数据库等。

#mkdir www 创建/www目录，我们将把新的分区挂到www下
#mount /dev/sdb1 /www 将/dev/sdb1挂载到/www
# df 用df命令进行查看
Filesystem 1K-blocks Used Available Use% Mounted on
/dev/sda2 3771316 1388956 2190788 39% /
/dev/sda1 101089 9463 86407 10% /boot
none 62988 0 62988 0% /dev/shm
/dev/sdb1 485906 8239 452580 2% /www 看到了，这就是我们刚才新挂载的分区

进行手工挂载，这样很麻烦，我们需要修改/etc/fstab文件来进行自动挂载。
#vi /etc/fstab
在文件的末尾填加如下内容：
/dev/sdb1 /www ext3 defaults 1 2
如有多个分区可修改sdb1和/www，修改完后保存，重起服务器。

Wget 的用法
-V 版本信息
-h 帮助信息
-b 后台执行Wget
-o filename 把记录放在文件filename
-a filename 把记录附加在文件filename
-d 显示调试信息
-q 无输出下载方式
-v 详细的屏幕输出（默认）
-nv 简单的屏幕输出
-i inputfiles 从文本文件内读取地址列表
-F forcehtml 从html文件内读取地址列表

-t number number次重试下载(0时为无限次)
-O output document file 写文件到文件
-nc 不覆盖已有的文件
-c 断点下传
-N 时间戳：该参数指定wget只下载更新的文件，也就是说，与本地目录中的对应文件的长度和最后修改日期一样的文件将不被下载。
-S 显示服务器响应
-T timeout 超时时间设置(单位秒)
-w time 重试延时(单位秒)
-Y proxy=on/off 是否打开代理
-Q quota=number 重试次数

目录:
-nd –no-directories 不建立目录.
-x, –force-directories 强制进行目录建立的工作.
-nH, –no-host-directories 不建立主机的目录.
-P, –directory-prefix=PREFIX 把档案存到 PREFIX/…
–cut-dirs=NUMBER 忽略 NUMBER 个远端的目录元件.

HTTP 选项:

–http-user=USER 设 http 使用者为 USER.
–http0passwd=PASS 设 http 使用者的密码为 PASS.
-C, –cache=on/off 提供/关闭快取伺服器资料 (正常情况为提供).
–ignore-length 忽略 `Content-Length’ 标头栏位.
–proxy-user=USER 设 USER 为 Proxy 使用者名称.
–proxy-passwd=PASS 设 PASS 为 Proxy 密码.
-s, –save-headers 储存 HTTP 标头成为档案.
-U, –user-agent=AGENT 使用 AGENT 取代 Wget/VERSION 作为识别代号.
FTP 选项:
–retr-symlinks 取回 FTP 的象徵连结.
-g, –glob=on/off turn file name globbing on ot off.
–passive-ftp 使用 “passive” 传输模式.

使用递回方式的取回:
-r, –recursive
递归；对于HTTP主机，wget首先下载URL指定的文件，然后（如果该文件是一个HTML文档的话）递归下载该文件所引用（超级连接）的所有文件（递归深度由参数-l指定）。对FTP主机，该参数意味着要下载URL指定的目录中的所有文件，递归方法与HTTP主机类似。
-l, –level=NUMBER 递回层次的最大值 (0 不限制).
–delete-after 删除下载完毕的档案.
-k, –convert-links 转换连接：HTML文件存盘时，将其中的非相对连接转换成为相对连接。
-m, –mirror 镜像：相当于同时使用-r和-N参数。
-nr, –dont-remove-listing 不要移除 `.listing’ 档.
递回式作业的允许与拒绝选项:
-A, –accept=LIST 允许的扩充项目的列表
. -R, –reject=LIST 拒绝的扩充项目的列表.
-D, –domains=LIST 允许的网域列表.
–exclude-domains=LIST 拒绝的网域列表 (使用逗号来分隔).
-L, –relative 只跟随关联连结前进.
–follow-ftp 跟随 HTML 文件里面的 FTP 连结.
-H, –span-hosts 当开始递回时便到外面的主机.
-I, –include-directories=LIST 允许的目录列表.
-X, –exclude-directories=LIST 排除的目录列表.
-nh, –no-host-lookup 不透过 DNS 查寻主机.
-np, –no-parent 不追朔到起源目录.

使用举例：
一、wget -m -l4 -t0 External Linkhttp://oneweb.com.cn/
将在本地硬盘建立External Linkhttp://oneweb.com.cn/的镜像，镜像文件存入当前目录下一个名为
oneweb.com.cn的子目录中（你也可以使用-nH参数指定不建立该子目录，而直接在当前
目录下建立镜像的目录结构），递归深度为4，重试次数为无穷。

二、wget -L External Linkhttp://www.xys.org/~ppfl/
则只提取该个人网站，而不涉及主机www.xys.org上的其他目录。

三、用wget如何去一个要输入用户名和密码的站点
URL这样写: External Linkhttp://username:password@site.name/something/

启动服务 /sbin/service crond start

crontab -u /设定某个用户的cron服务，一般root用户在执行这个命令的时候需要此参数
crontab -l /列出某个用户cron服务的详细内容
crontab -r /删除没个用户的cron服务
crontab -e /编辑某个用户的cron服务

特殊的符号就是”*”、”/”和”-”、”,”，*代表所有的取值范围内的数字，”/”代表每的意思,”*/5″表示每5个单位，”-”代表从某个数字到某个数字,”,”分开几个离散的数字。以下举几个例子说明问题：
一.每天早上6点
0 6 * * * echo “Good morning.” >> /tmp/test.txt
二.每两个小时
0 */2 * * * echo “Have a break now.” >> /tmp/test.txt
三.晚上11点到早上8点之间每两个小时，早上八点
0 23-7/2,8 * * * echo “Have a good dream：）” >> /tmp/test.txt
四.每个月的4号和每个礼拜的礼拜一到礼拜三的早上11点
0 11 4 * 1-3 command line
五.1月1日早上4点
0 4 1 1 * command line

日期
date -s 03/31/2006
时间
date -s 14:36:00

写入CMOS
clock -w

编译时
./configure –prefix=/home/mysql –with-extra-charsets=all

–with-extra-charsets 参考 Mysql5 Manual

这要就有 gb2312_chinese_ci 了

MySQL 4.1以后版本对多语言的支持有了很大变化,有些不怎么习惯:)

导出: mysqldump -p my_database>my_database.sql

转码: iconv -t utf-8 -f gb2312 -c my_database.sql>new.sql

修改new.sql，增加一条sql语句 “SET NAMES utf8;”

导入: mysql -h localhost -u root -p my_database < new.sql

搞定,收工

简洁版
先添加系统用户

useradd name -s /sbin/nologin

再转入samba用户

smbpasswd -a name

用iptables -ADC 来指定链的规则，-A添加 -D删除 -C 修改
iptables - [RI] chain rule num rule-specification[option]
用iptables - RI 通过规则的顺序指定

iptables -D chain rule num[option]
删除指定规则
iptables -[LFZ] [chain][option]
用iptables -LFZ 链名 [选项]

iptables -[NX] chain
用 -NX 指定链

iptables -P chain target[options]
指定链的默认目标

iptables -E old-chain-name new-chain-name
-E 旧的链名 新的链名
用新的链名取代旧的链名
说明
Iptalbes 是用来设置、维护和检查Linux内核的IP包过滤规则的。
可以定义不同的表，每个表都包含几个内部的链，也能包含用户定义的链。每个链都是一个规则列表，对对应的包进行匹配：每条规则指定应当如何处理与之相匹配的包。这被称作’target’（目标），也可以跳向同一个表内的用户定义的链。

TARGETS
防火墙的规则指定所检查包的特征，和目标。如果包不匹配，将送往该链中下一条规则检查；如果匹配,那么下一条规则由目标值确定.该目标值可以是用户定义的链名,或是某个专用值,如ACCEPT[通过], DROP[删除], QUEUE[排队], 或者 RETURN[返回]。
ACCEPT 表示让这个包通过。DROP表示将这个包丢弃。QUEUE表示把这个包传递到用户空间。RETURN表示停止这条链的匹配，到前一个链的规则重新开始。如果到达了一个内建的链(的末端)，或者遇到内建链的规则是RETURN，包的命运将由链准则指定的目标决定。

TABLES
当前有三个表（哪个表是当前表取决于内核配置选项和当前模块)。
-t table
这个选项指定命令要操作的匹配包的表。如果内核被配置为自动加载模块，这时若模块没有加载，(系统)将尝试(为该表)加载适合的模块。这些表如下： filter,这是默认的表，包含了内建的链INPUT（处理进入的包）、FORWORD（处理通过的包）和OUTPUT（处理本地生成的包）。nat, 这个表被查询时表示遇到了产生新的连接的包,由三个内建的链构成：PREROUTING (修改到来的包)、OUTPUT（修改路由之前本地的包）、POSTROUTING（修改准备出去的包）。mangle 这个表用来对指定的包进行修改。它有两个内建规则：PREROUTING（修改路由之前进入的包）和OUTPUT（修改路由之前本地的包）。
OPTIONS
这些可被iptables识别的选项可以区分不同的种类。

COMMANDS
这些选项指定执行明确的动作：若指令行下没有其他规定,该行只能指定一个选项.对于长格式的命令和选项名,所用字母长度只要保证iptables能从其他选项中区分出该指令就行了。
-A -append
在所选择的链末添加一条或更多规则。当源（地址）或者/与 目的（地址）转换为多个地址时，这条规则会加到所有可能的地址(组合)后面。

-D -delete
从所选链中删除一条或更多规则。这条命令可以有两种方法：可以把被删除规则指定为链中的序号(第一条序号为1),或者指定为要匹配的规则。

-R -replace
从选中的链中取代一条规则。如果源（地址）或者/与 目的（地址）被转换为多地址，该命令会失败。规则序号从1开始。

-I -insert
根据给出的规则序号向所选链中插入一条或更多规则。所以，如果规则序号为1，规则会被插入链的头部。这也是不指定规则序号时的默认方式。

-L -list
显示所选链的所有规则。如果没有选择链，所有链将被显示。也可以和z选项一起使用，这时链会被自动列出和归零。精确输出受其它所给参数影响。

-F -flush
清空所选链。这等于把所有规则一个个的删除。

–Z -zero
把所有链的包及字节的计数器清空。它可以和 -L配合使用，在清空前察看计数器，请参见前文。

-N -new-chain
根据给出的名称建立一个新的用户定义链。这必须保证没有同名的链存在。

-X -delete-chain
删除指定的用户自定义链。这个链必须没有被引用，如果被引用，在删除之前你必须删除或者替换与之有关的规则。如果没有给出参数，这条命令将试着删除每个非内建的链。

-P -policy
设置链的目标规则。

-E -rename-chain
根据用户给出的名字对指定链进行重命名，这仅仅是修饰，对整个表的结构没有影响。TARGETS参数给出一个合法的目标。只有非用户自定义链可以使用规则，而且内建链和用户自定义链都不能是规则的目标。

-h Help.
帮助。给出当前命令语法非常简短的说明。

PARAMETERS
参数
以下参数构成规则详述，如用于add、delete、replace、append 和 check命令。

-p -protocal [!]protocol
规则或者包检查(待检查包)的协议。指定协议可以是tcp、udp、icmp中的一个或者全部，也可以是数值，代表这些协议中的某一个。当然也可以使用在 /etc/protocols中定义的协议名。在协议名前加上”!”表示相反的规则。数字0相当于所有all。Protocol all会匹配所有协议，而且这是缺省时的选项。在和check命令结合时，all可以不被使用。
-s -source [!] address[/mask]
指定源地址，可以是主机名、网络名和清楚的IP地址。mask说明可以是网络掩码或清楚的数字，在网络掩码的左边指定网络掩码左边”1″的个数，因此， mask值为24等于255.255.255.0。在指定地址前加上”!”说明指定了相反的地址段。标志 –src 是这个选项的简写。

-d –destination [!] address[/mask]
指定目标地址，要获取详细说明请参见 -s标志的说明。标志 –dst 是这个选项的简写。

-j –jump target
-j 目标跳转
指定规则的目标；也就是说，如果包匹配应当做什么。目标可以是用户自定义链（不是这条规则所在的），某个会立即决定包的命运的专用内建目标，或者一个扩展（参见下面的EXTENSIONS）。如果规则的这个选项被忽略，那么匹配的过程不会对包产生影响，不过规则的计数器会增加。

-i -in-interface [!] [name]
i -进入的（网络）接口 [!][名称]
这是包经由该接口接收的可选的入口名称，包通过该接口接收（在链INPUT、FORWORD和PREROUTING中进入的包）。当在接口名前使用”!”说明后，指的是相反的名称。如果接口名后面加上”+”，则所有以此接口名开头的接口都会被匹配。如果这个选项被忽略，会假设为”+”，那么将匹配任意接口。

-o –out-interface [!][name]
-o –输出接口[名称]
这是包经由该接口送出的可选的出口名称，包通过该口输出（在链FORWARD、OUTPUT和POSTROUTING中送出的包）。当在接口名前使用”!” 说明后，指的是相反的名称。如果接口名后面加上”+”，则所有以此接口名开头的接口都会被匹配。如果这个选项被忽略，会假设为”+”，那么将匹配所有任意接口。

[!] -f, –fragment
[!] -f –分片
这意味着在分片的包中，规则只询问第二及以后的片。自那以后由于无法判断这种把包的源端口或目标端口（或者是ICMP类型的），这类包将不能匹配任何指定对他们进行匹配的规则。如果”!”说明用在了”-f”标志之前，表示相反的意思。

OTHER OPTIONS
其他选项
还可以指定下列附加选项：

-v –verbose
-v –详细
详细输出。这个选项让list命令显示接口地址、规则选项（如果有）和TOS（Type of Service）掩码。包和字节计数器也将被显示，分别用K、M、G(前缀)表示1000、1,000,000和1,000,000,000倍（不过请参看-x标志改变它），对于添加,插入,删除和替换命令，这会使一个或多个规则的相关详细信息被打印。

-n –numeric
-n –数字
数字输出。IP地址和端口会以数字的形式打印。默认情况下，程序试显示主机名、网络名或者服务（只要可用）。

-x -exact
-x -精确
扩展数字。显示包和字节计数器的精确值，代替用K,M,G表示的约数。这个选项仅能用于 -L 命令。

–line-numbers
当列表显示规则时，在每个规则的前面加上行号，与该规则在链中的位置相对应。

MATCH EXTENSIONS
对应的扩展
iptables能够使用一些与模块匹配的扩展包。以下就是含于基本包内的扩展包，而且他们大多数都可以通过在前面加上!来表示相反的意思。

tcp
当 –protocol tcp 被指定,且其他匹配的扩展未被指定时,这些扩展被装载。它提供以下选项：

–source-port [!] [port[:port]]
源端口或端口范围指定。这可以是服务名或端口号。使用格式端口：端口也可以指定包含的（端口）范围。如果首端口号被忽略，默认是”0″，如果末端口号被忽略，默认是”65535″，如果第二个端口号大于第一个，那么它们会被交换。这个选项可以使用 –sport的别名。

–destionation-port [!] [port:[port]]
目标端口或端口范围指定。这个选项可以使用 –dport别名来代替。

–tcp-flags [!] mask comp
匹配指定的TCP标记。第一个参数是我们要检查的标记，一个用逗号分开的列表，第二个参数是用逗号分开的标记表,是必须被设置的。标记如下：SYN ACK FIN RST URG PSH ALL NONE。因此这条命令：iptables -A FORWARD -p tcp –tcp-flags SYN, ACK, FIN, RST SYN只匹配那些SYN标记被设置而ACK、FIN和RST标记没有设置的包。

[!] –syn
只匹配那些设置了SYN位而清除了ACK和FIN位的TCP包。这些包用于TCP连接初始化时发出请求；例如，大量的这种包进入一个接口发生堵塞时会阻止进入的TCP连接，而出去的TCP连接不会受到影响。这等于 –tcp-flags SYN, RST, ACK SYN。如果”–syn”前面有”!”标记，表示相反的意思。

–tcp-option [!] number
匹配设置了TCP选项的。

udp
当protocol udp 被指定,且其他匹配的扩展未被指定时,这些扩展被装载,它提供以下选项：

–source-port [!] [port:[port]]
源端口或端口范围指定。详见 TCP扩展的–source-port选项说明。

–destination-port [!] [port:[port]]
目标端口或端口范围指定。详见 TCP扩展的–destination-port选项说明。

icmp
当protocol icmp被指定,且其他匹配的扩展未被指定时,该扩展被装载。它提供以下选项：
–icmp-type [!] typename
这个选项允许指定ICMP类型，可以是一个数值型的ICMP类型，或者是某个由命令iptables -p icmp -h所显示的ICMP类型名。

mac
–mac-source [!] address
匹配物理地址。必须是XX:XX:XX:XX:XX这样的格式。注意它只对来自以太设备并进入PREROUTING、FORWORD和INPUT链的包有效。

limit
这个模块匹配标志用一个标记桶过滤器一一定速度进行匹配,它和LOG目标结合使用来给出有限的登陆数.当达到这个极限值时,使用这个扩展包的规则将进行匹配.(除非使用了”!”标记)

–limit rate
最大平均匹配速率：可赋的值有’/second’, ‘/minute’, ‘/hour’, or ‘/day’这样的单位，默认是3/hour。

–limit-burst number
待匹配包初始个数的最大值:若前面指定的极限还没达到这个数值,则概数字加1.默认值为5

multiport
这个模块匹配一组源端口或目标端口,最多可以指定15个端口。只能和-p tcp 或者 -p udp 连着使用。

–source-port [port[, port]]
如果源端口是其中一个给定端口则匹配

–destination-port [port[, port]]
如果目标端口是其中一个给定端口则匹配

–port [port[, port]]
若源端口和目的端口相等并与某个给定端口相等,则匹配。
mark
这个模块和与netfilter过滤器标记字段匹配（就可以在下面设置为使用MARK标记）。

–mark value [/mask]
匹配那些无符号标记值的包（如果指定mask，在比较之前会给掩码加上逻辑的标记）。

owner
此模块试为本地生成包匹配包创建者的不同特征。只能用于OUTPUT链，而且即使这样一些包（如ICMP ping应答）还可能没有所有者，因此永远不会匹配。

–uid-owner userid
如果给出有效的user id，那么匹配它的进程产生的包。

–gid-owner groupid
如果给出有效的group id，那么匹配它的进程产生的包。

–sid-owner seessionid
根据给出的会话组匹配该进程产生的包。

state
此模块，当与连接跟踪结合使用时，允许访问包的连接跟踪状态。

–state state
这里state是一个逗号分割的匹配连接状态列表。可能的状态是:INVALID表示包是未知连接，ESTABLISHED表示是双向传送的连接，NEW表示包为新的连接，否则是非双向传送的，而RELATED表示包由新连接开始，但是和一个已存在的连接在一起，如FTP数据传送，或者一个ICMP错误。

unclean
此模块没有可选项，不过它试着匹配那些奇怪的、不常见的包。处在实验中。

tos
此模块匹配IP包首部的8位tos（服务类型）字段（也就是说，包含在优先位中）。

–tos tos
这个参数可以是一个标准名称，（用iptables -m tos -h 察看该列表），或者数值。

TARGET EXTENSIONS
iptables可以使用扩展目标模块：以下都包含在标准版中。

LOG
为匹配的包开启内核记录。当在规则中设置了这一选项后，linux内核会通过printk()打印一些关于全部匹配包的信息（诸如IP包头字段等）。
–log-level level
记录级别（数字或参看 syslog.conf(5)）。
–log-prefix prefix
在纪录信息前加上特定的前缀：最多14个字母长，用来和记录中其他信息区别。

–log-tcp-sequence
记录TCP序列号。如果记录能被用户读取那么这将存在安全隐患。

–log-tcp-options
记录来自TCP包头部的选项。
–log-ip-options
记录来自IP包头部的选项。

MARK
用来设置包的netfilter标记值。只适用于mangle表。

–set-mark mark

REJECT
作为对匹配的包的响应，返回一个错误的包：其他情况下和DROP相同。

此目标只适用于INPUT、FORWARD和OUTPUT链，和调用这些链的用户自定义链。这几个选项控制返回的错误包的特性：

–reject-with type
Type 可以是icmp-net-unreachable、icmp-host-unreachable、icmp-port-nreachable、icmp- proto-unreachable、 icmp-net-prohibited 或者 icmp-host-prohibited，该类型会返回相应的ICMP错误信息（默认是port-unreachable）。选项 echo-reply也是允许的；它只能用于指定ICMP ping包的规则中，生成ping的回应。最后，选项tcp-reset可以用于在INPUT链中,或自INPUT链调用的规则，只匹配TCP协议：将回应一个TCP RST包。
TOS
用来设置IP包的首部八位tos。只能用于mangle表。

–set-tos tos
你可以使用一个数值型的TOS 值，或者用iptables -j TOS -h 来查看有效TOS名列表。
MIRROR
这是一个试验示范目标，可用于转换IP首部字段中的源地址和目标地址，再传送该包,并只适用于INPUT、FORWARD和OUTPUT链，以及只调用它们的用户自定义链。

SNAT
这个目标只适用于nat表的POSTROUTING链。它规定修改包的源地址（此连接以后所有的包都会被影响），停止对规则的检查，它包含选项：

–to-source [-][:port-port]
可以指定一个单一的新的IP地址，一个IP地址范围，也可以附加一个端口范围（只能在指定-p tcp 或者-p udp的规则里）。如果未指定端口范围，源端口中512以下的（端口）会被安置为其他的512以下的端口；512到1024之间的端口会被安置为1024 以下的，其他端口会被安置为1024或以上。如果可能，端口不会被修改。

–to-destiontion [-][:port-port]
可以指定一个单一的新的IP地址，一个IP地址范围，也可以附加一个端口范围（只能在指定-p tcp 或者-p udp的规则里）。如果未指定端口范围，目标端口不会被修改。

MASQUERADE
只用于nat表的POSTROUTING链。只能用于动态获取IP（拨号）连接：如果你拥有静态IP地址，你要用SNAT。伪装相当于给包发出时所经过接口的IP地址设置一个映像，当接口关闭连接会终止。这是因为当下一次拨号时未必是相同的接口地址（以后所有建立的连接都将关闭）。它有一个选项：

–to-ports
[-port>]
指定使用的源端口范围，覆盖默认的SNAT源地址选择（见上面）。这个选项只适用于指定了-p tcp或者-p udp的规则。

REDIRECT
只适用于nat表的PREROUTING和OUTPUT链，和只调用它们的用户自定义链。它修改包的目标IP地址来发送包到机器自身（本地生成的包被安置为地址127.0.0.1）。它包含一个选项：

–to-ports
[
]
指定使用的目的端口或端口范围：不指定的话，目标端口不会被修改。只能用于指定了-p tcp 或 -p udp的规则。

DIAGNOSTICS
诊断
不同的错误信息会打印成标准错误：退出代码0表示正确。类似于不对的或者滥用的命令行参数错误会返回错误代码2，其他错误返回代码为1。

BUGS
臭虫
Check is not implemented (yet).
检查还未完成。

COMPATIBILITY WITH IPCHAINS
与ipchains的兼容性
iptables 和Rusty Russell的ipchains非常相似。主要区别是INPUT 链只用于进入本地主机的包,而OUTPUT只用于自本地主机生成的包。因此每个包只经过三个链的一个；以前转发的包会经过所有三个链。其他主要区别是 -i 引用进入接口；-o引用输出接口，两者都适用于进入FORWARD链的包。当和可选扩展模块一起使用默认过滤器表时，iptables是一个纯粹的包过滤器。这能大大减少以前对IP伪装和包过滤结合使用的混淆，所以以下选项作了不同的处理：
-j MASQ
-M -S
-M -L
在iptables中有几个不同的链。

SEE ALSO
参见
iptables-HOWTO有详细的iptables用法,对netfilter-hacking-HOWTO也有详细的本质说明