pfctl

PF防火墙的配置命令

补充说明

pfctl命令 是PF防火墙的配置命令，PF防火墙( 全称：Packet Filter )是UNIX LIKE系统上进行TCP/ip流量过滤和网络地址转换的软件系统。PF同样也能提供TCP/IP流量的整形和控制，并且提供带宽控制和数据包优先集控制。PF最早是由Daniel Hartmeier开发的，现在的开发和维护由Daniel和openBSD小组的其他成员负责。

PF防火墙的功能很多，本站只列举一些基本配置。

激活

要激活pf并且使它在启动时调用配置文件，编辑/etc/rc.conf文件，修改配置pf的一行：

1
2

<!-- more -->
pf=yes

重启操作系统让配置生效。

也可以通过pfctl程序启动和停止pf：

1
2

# pfctl -e
# pfctl -d

注意这仅仅是启动和关闭PF，实际它不会载入规则集，规则集要么在系统启动时载入，要在PF启动后通过命令单独载入。

配置

系统引导到在rc脚本文件运行PF时PF从/etc/pf.conf文件载入配置规则。注意当/etc/pf.conf文件是默认配置文件，在系统调用rc脚本文件时，它仅仅是作为文本文件由pfctl装入并解释和插入pf的。对于一些应用来说，其他的规则集可以在系统引导后由其他文件载入。对于一些设计的非常好的unix程序，PF提供了足够的灵活性。

pf.conf文件有7个部分：

1. 宏：用户定义的变量，包括IP地址，接口名称等等。
2. 表：一种用来保存IP地址列表的结构。
3. 选项：控制PF如何工作的变量。
4. 整形：重新处理数据包，进行正常化和碎片整理。
5. 排队：提供带宽控制和数据包优先级控制。
6. 转换：控制网络地址转换和数据包重定向。
7. 过滤规则：在数据包通过接口时允许进行选择性的过滤和阻止。

除去宏和表，其他的段在配置文件中也应该按照这个顺序出现，尽管对于一些特定的应用并不是所有的段都是必须的。

空行会被忽略，以#开头的行被认为是注释。

控制

引导之后，PF可以通过pfctl程序进行操作，以下是一些例子：

1
2
3
4
5
6
7
8
9
10

# pfctl -f /etc/pf.conf  载入 pf.conf 文件
# pfctl -nf /etc/pf.conf 解析文件，但不载入
# pfctl -Nf /etc/pf.conf 只载入文件中的NAT规则
# pfctl -Rf /etc/pf.conf 只载入文件中的过滤规则

# pfctl -sn 显示当前的NAT规则
# pfctl -sr 显示当前的过滤规则
# pfctl -ss 显示当前的状态表
# pfctl -si 显示过滤状态和计数
# pfctl -sa 显示任何可显示的

完整的命令列表，请参阅pfctl的man手册页。

su

用于切换当前用户身份到其他用户身份

补充说明

su命令 用于切换当前用户身份到其他用户身份，变更时须输入所要变更的用户帐号与密码。

语法

1

su(选项)(参数)

选项

lsblk

列出块设备信息

补充说明

lsblk命令 用于列出所有可用块设备的信息，而且还能显示他们之间的依赖关系，但是它不会列出RAM盘的信息。块设备有硬盘，闪存盘，cd-ROM等等。lsblk命令包含在util-linux-ng包中，现在该包改名为util-linux。这个包带了几个其它工具，如dmesg。要安装lsblk，请在此处下载util-linux包。Fedora用户可以通过命令sudo yum install util-linux-ng来安装该包。

选项

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

-a, --all            显示所有设备。
-b, --bytes          以bytes方式显示设备大小。
-d, --nodeps         不显示 slaves 或 holders。
-D, --discard        print discard capabilities。
<!-- more -->
-e, --exclude <list> 排除设备 (default: RAM disks)。
-f, --fs             显示文件系统信息。
-h, --help           显示帮助信息。
-i, --ascii          use ascii characters only。
-m, --perms          显示权限信息。
-l, --list           使用列表格式显示。
-n, --noheadings     不显示标题。
-o, --output <list>  输出列。
-P, --pairs          使用key="value"格式显示。
-r, --raw            使用原始格式显示。
-t, --topology       显示拓扑结构信息。

实例

lsblk命令默认情况下将以树状列出所有块设备。打开终端，并输入以下命令：

1
2
3
4
5
6
7
8
9
10
11

lsblk

NAME   MAJ:MIN rm   SIZE RO type mountpoint
sda      8:0    0 232.9G  0 disk 
├─sda1   8:1    0  46.6G  0 part /
├─sda2   8:2    0     1K  0 part 
├─sda5   8:5    0   190M  0 part /boot
├─sda6   8:6    0   3.7G  0 part [SWAP]
├─sda7   8:7    0  93.1G  0 part /data
└─sda8   8:8    0  89.2G  0 part /personal
sr0     11:0    1  1024M  0 rom

7个栏目名称如下：

1. NAME ：这是块设备名。
2. MAJ:MIN ：本栏显示主要和次要设备号。
3. RM ：本栏显示设备是否可移动设备。注意，在本例中设备sdb和sr0的RM值等于1，这说明他们是可移动设备。
4. SIZE ：本栏列出设备的容量大小信息。例如298.1G表明该设备大小为298.1GB，而1K表明该设备大小为1KB。
5. RO ：该项表明设备是否为只读。在本案例中，所有设备的RO值为0，表明他们不是只读的。
6. TYPE ：本栏显示块设备是否是磁盘或磁盘上的一个分区。在本例中，sda和sdb是磁盘，而sr0是只读存储（rom）。
7. MOUNTPOINT ：本栏指出设备挂载的挂载点。

默认选项不会列出所有空设备。要查看这些空设备，请使用以下命令：

1

lsblk -a

lsblk命令也可以用于列出一个特定设备的拥有关系，同时也可以列出组和模式。可以通过以下命令来获取这些信息：

1

lsblk -m

该命令也可以只获取指定设备的信息。这可以通过在提供给lsblk命令的选项后指定设备名来实现。例如，你可能对了解以字节显示你的磁盘驱动器大小比较感兴趣，那么你可以通过运行以下命令来实现：

1
2
3
4
5

lsblk -b /dev/sda

等价于

lsblk --bytes /dev/sda

你也可以组合几个选项来获取指定的输出。例如，你也许想要以列表格式列出设备，而不是默认的树状格式。你可能也对移除不同栏目名称的标题感兴趣。可以将两个不同的选项组合，以获得期望的输出，命令如下：

1

lsblk -nl

要获取SCSI设备的列表，你只能使用-S选项。该选项是大写字母S，不能和-s选项混淆，该选项是用来以颠倒的顺序打印依赖的。

1

lsblk -S

lsblk列出SCSI设备，而-s是逆序选项（将设备和分区的组织关系逆转过来显示），其将给出如下输出。输入命令：

1

lsblk -s

dmesg

显示Linux系统启动信息

补充说明

dmesg命令 被用于检查和控制内核的环形缓冲区。kernel会将开机信息存储在ring buffer中。您若是开机时来不及查看信息，可利用dmesg来查看。开机信息保存在/var/log/dmesg文件里。

语法

1

dmesg(选项)

选项

dhcpd

运行DHCP服务器。

语法

1

dhcpd [选项] [网络接口]

选项

1
2
3
4
5
6
7
8
9
10
11
12
13
14

-p <端口> 指定dhcpd监听的端口
-f 作为前台进程运行dhcpd
<!-- more -->
-d 启用调试模式
-q 在启动时不显示版权信息
-t 简单地测试配置文件的语法是否正确的，但不会尝试执行任何网络操作
-T 可以用来测试租约数据库文件
-4 运行DHCP服务器
-6 运行DHCPv6服务器
-s <服务器> 指定发送回复的服务器
-cf <配置文件> 指定配置文件
-lf <租约文件> 指定租约文件
-pf <PID文件> 指定PID文件
-tf <跟踪输出文件> 指定文件记录DHCP服务器的整个启动状态

例子

对DHCP服务器进行排错。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

[root@localhost ~]# dhcpd
InternetSystems Consortium DHCP Server 4.1.1-P1
Copyright2004-2010 Internet Systems Consortium.
All rightsreserved.
For info,please visit https://www.isc.org/software/dhcp/
Not searchingLDAP since ldap-server, ldap-port and ldap-base-dn were not specified in theconfig file
Wrote 0deleted host decls to leases file.
Wrote 0 newdynamic host decls to leases file.
Wrote 1leases to leases file.
Listening onLPF/eth0/00:0c:29:fc:2f:e5/192.168.0.0/24
Sendingon  LPF/eth0/00:0c:29:fc:2f:e5/192.168.0.0/24
Sendingon   Socket/fallback/fallback-net
[root@rhel~]# There's already a DHCP server running.
 
This versionof ISC DHCP is based on the release available
onftp.isc.org.  Features have been addedand other changes
have beenmade to the base software release in order to make
it workbetter with this distribution.
 
exiting.

一、常用操作以及概念

快捷键

• Tab：命令和文件名补全；
• Ctrl+C：中断正在运行的程序；
• Ctrl+D：结束键盘输入（End Of File，EOF）

求助

1. –help

指令的基本用法与选项介绍。

kexec

从当前正在运行的内核引导到一个新内核

补充说明

kexec命令 是Linux内核的一个补丁，让您可以从当前正在运行的内核直接引导到一个新内核。在上面描述的引导序列中，kexec跳过了整个引导装载程序阶段（第一部分）并直接跳转到我们希望引导到的内核。不再有硬件的重启，不再有固件操作，不再涉及引导装载程序。完全避开了引导序列中最弱的一环 – 固件。这一功能部件带来的最大益处在于，系统现在可以极其快速地重新启动。

kexec的好处： 要求高可用性的系统，以及需要不断重新启动系统的内核开发人员，都将受益于kexec。因为 kexec跳过了系统重新启动过程中最耗时的部分（也就是固件初始化硬件设备的阶段），所以重新启动变得非常快，可用性得到了提高。

语法

1

kexec(选项)

e2label

设置第二扩展文件系统的卷标

补充说明

e2label命令 用来设置第二扩展文件系统的卷标。

语法

1

e2label(参数)

参数

seq

以指定增量从首数开始打印数字到尾数

补充说明

seq命令 用于产生从某个数到另外一个数之间的所有整数。

语法

1
2
3

seq [选项]... 尾数
seq [选项]... 首数 尾数
seq [选项]... 首数 增量 尾数

pwunconv

用来关闭用户的投影密码

补充说明

pwunconv命令 与pwconv功能相反，用来关闭用户的投影密码。它会把密码从shadow文件内，重回存到passwd文件里。

语法

1

pwunconv

实例