linuxfilter命令

A. 如何在linux上高效阻止恶意IP地址

使用iptables命令，就可以实现阻止IP地址，使用下面命令阻止一个IP：
$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP
想要禁止某一整个IP地址区段，可以使用下面命令：
$ sudo iptables -A INPUT -s 1.1.2.0/24 -p TCP -j DROP

iptables命令说明
iptables命令是Linux上常用的防火墙软件，是netfilter项目的一部分。可以直接配置，也可以通过许多前端和图形界面配置。
语法
iptables(选项)(参数)
选项
-t<表>：指定要操纵的表；
-A：向规则链中添加条目；
-D：从规则链中删除条目；
-i：向规则链中插入条目；
-R：替换规则链中的条目；
-L：显示规则链中已有的条目；
-F：清楚规则链中已有的条目；
-Z：清空规则链中的数据包计算器和字节计数器；
-N：创建新的用户自定义规则链；
-P：定义规则链中的默认目标；
-h：显示帮助信息；
-p：指定要匹配的数据包协议类型；
-s：指定要匹配的数据包源ip地址；
-j<目标>：指定要跳转的目标；
-i<网络接口>：指定数据包进入本机的网络接口；
-o<网络接口>：指定数据包要离开本机所使用的网络接口。
iptables命令选项输入顺序：
iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作
表名包括：
raw：高级功能，如：网址过滤。
mangle：数据包修改（QOS），用于实现服务质量。
net：地址转换，用于网关路由器。
filter：包过滤，用于防火墙规则。
规则链名包括：
INPUT链：处理输入数据包。
OUTPUT链：处理输出数据包。
PORWARD链：处理转发数据包。
PREROUTING链：用于目标地址转换（DNAT）。
POSTOUTING链：用于源地址转换（SNAT）。
动作包括：
accept：接收数据包。
DROP：丢弃数据包。
REDIRECT：重定向、映射、透明代理。
SNAT：源地址转换。
DNAT：目标地址转换。
MASQUERADE：IP伪装（NAT），用于ADSL。
LOG：日志记录。

B. 一下几个Linux命令是什么意思，最好能详细解释下里面的参数含义

第一行是开启路由转发功能。
第二行是定义SNAT策略，但是好像你没有定义源网段地址。
第三行是加载路由功能，使路由功能生效。

C. linux Filter是什么技术

http://wenku..com/view/4caa70d049649b6648d74735.html

D. Linux怎么查看进程运行命令

一：linux查看进程命令详解

ps命令查找与进程相关的PID号：

ps a 显示现行终端机下的所有程序，包括其他用户的程序。

ps -A 显示所有程序。

ps c 列出程序时，显示每个程序真正的指令名称，而不包含路径，参数或常驻服务的标示。

ps -e 此参数的效果和指定"A"参数相同。

ps e 列出程序时，显示每个程序所使用的环境变量。

ps f 用ASCII字符显示树状结构，表达程序间的相互关系。

ps -H 显示树状结构，表示程序间的相互关系。

ps -N 显示所有的程序，除了执行ps指令终端机下的程序之外。

ps s 采用程序信号的格式显示程序状况。

ps S 列出程序时，包括已中断的子程序资料。

ps -t<终端机编号> 指定终端机编号，并列出属于该终端机的程序的状况。

ps u 以用户为主的格式来显示程序状况。

ps x 显示所有程序，不以终端机来区分。

最常用的方法是ps aux,然后再通过管道使用grep命令过滤查找特定的进程,然后再对特定的进程进行操作。

ps aux | grep program_filter_word,ps -ef |grep tomcat

ps -ef|grep java|grep -v grep 显示出所有的java进程，去处掉当前的grep进程。

二.(4)linuxfilter命令扩展阅读：linux 结束进程命令详解

使用kill命令结束进程：kill xxx

常用：kill -9 324

Linux下还提供了一个killall命令，可以直接使用进程的名字而不是进程标识号，例如：# killall -9 NAME

E. linux下如何屏蔽端口

端口是linux下应用软件因需要而开启的socket套接字，具有唯一性。端口可以查看、启动关闭、设置防火墙规则等。

1、端口查看

netstat -tln //表示已数字形式查看，正在监听的端口

netstat -ap //查看所有应用占用端口情况

2、启动停止

端口自己是不会停止和启动的，需要停止和启动的是端口对应的应用。

可以先找到端口，再对应PID，命令如下：

netstat -anp|grep 57069 //这个是要找的端口号

lsof -i:57069 //查找器PID信息

第三部杀死进程：图例里面没有在这里写上，kill -9 PID

3、屏蔽

linux下一般使用防火墙的filter规则 定义允许或者不允许进行屏蔽。对于filter一般只能做在3个链上：INPUT ，FORWARD ，OUTPUT。

例如设置在输入端屏蔽53端口：

iptables-AINPUT1-d172.16.100.1-pudp--dport53-jREJECT

-A是增加规则，-d：表示匹配目标地址，-pudp表示UPD协议，--dPort 是端口53

这里表示在输入端目的地址是172.16.100.1的53端口被屏蔽

F. 什么过滤操作在Linux中如何实现

过滤操作就是指在一大堆文本信息中筛选出你关心的数据。
一般用 ls + 通配符，或 grep, sed 或 awk 这些支持正则表达式的工具都可以实现过滤操作。
比如：
ls *.jpg #过滤出当前目录下以jpg为后缀的所有文件，这是通配符用法
grep "abc" file.txt #过滤出file.txt中包含abc的行，这里没有使用正则表达式
ls | grep "[a-z][0-9].csv" #从ls的结果中过滤出文件名格式为一个字母加一位数字并以.csv为后缀的文件名，这里用了正则表达式（字母集合[a-z]与数字集合[0-9]）

G. linux服务器监控的几个方法和命令

监控会降低性能的。同问filter、simls是什么？没用过。
当服务器系统性能突然低于平均应有的情况，问题可能来自在执行的进程、内存的使用率、磁盘的性能和CPU 的压力。在预算有限的时代，理解如何优化系统性能比以往任何时候都重要。要实现它的前提是，你必须充分了解自己的服务器，从而找到真正的瓶颈所在。本文提供一些基础的工具来辨别和处理一些性能问题。工作过程是：首先查看整个系统的状态（服务器整体）后是检查特定的子系统（内存、处理器、IO等）。

一、系统负载监测

1.使用uptime命令

2.使用cron命令进行定时监测系统负载：

二、Unix进程运行的监测

1.使用ps命令

Unix系统提供了ps等察看进程信息的系统调用，通过结合使用这些系统调用，我们可以清晰地了解进程的运行状态以及存活情况，从而采取相应的措施，来确保Unix系统的性能。它们是目前在Unix下最常见的进程状况查看工具，是随 Unix版本发行的，安装好系统之后，用户就可以使用。 这里以ps命令为例，ps命令是最基本同时也是非常强大的进程查看命令。利用它可以确定有哪些进程正在运行及运行的状态、进程是否结束、进程有没有僵死、哪些进程占用了过多的资源等。ps命令可以监控后台进程的工作情况，因为后台进程是不和屏幕键盘这些标准输入/输出设备进行通信的

2.使用进程监控工具

如果安装了CDE环境，可以使用图形界面进程等系统信息，使用方法是单击“前面板”上“工具”子面板上的“查找进程”控件。 显示“进程管理器”主窗口。它立即对工作站进行采样，并显示所有当前进程的采样。

三、内存使用情况监测

内存是Unix内核所管理的最重要的资源之一。内存管理系统是操作系统中最为重要的部分，因为系统的物理内存总是少于系统所需要的内存数量。虚拟内存就是为了克服这个矛盾而采用的策略。系统的虚拟内存通过在各个进程之间共享内存而使系统看起来有多于实际内存的内存容量。Unix支持虚拟内存, 就是使用磁盘作为RAM的扩展，使可用内存相应地有效扩大。核心把当前不用的内存块存到硬盘，腾出内存给其他目的。当原来的内容又要使用时，再读回内存。

H. 关于Linux防火墙的包过滤功能设置（filter表）

iptables
你可以查看iptables -help
iptables -L查看当前规则
iptables -F清空。
很多
看你具体是要干什么了。

I. 急!!!利用 iptables 实现 linux 防火墙功能有关问题的3条命令的解释.

第一条不太清楚，
第二条是添加一条放行，外部网络到本地eth0的icmp协议包放行。意思就是别人可以ping通你的eth0.
第三条是添加一条放行，外部IP（变量$IP_SERVER)访问本地IP($MY_IP)80端口的包放行。意思就是你在IP_SERVER变量里定义的IP地址可以访问你本机的网页服务。

J. 在linux上tshark怎么过滤

tshark使用-f来指定捕捉包过滤规则，规则与tcpmp一样，可以通过命令man pcap-filter来查得
tshark使用-R来过滤已捕捉到的包，与界面板wireshark的左上角Filter一致
举个栗子
抓Mysql包命令如下：
tshark -s 512 -i eth0 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query
tshark -s 512 -i em1 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query
过滤HTTP请求：
# tshark 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' -R 'http.request.method == "GET" || http.request.method == "HEAD"'