防火墙软件Netfilter之NAT技术Windows系统

下面是小编帮大家整理的防火墙软件Netfilter之NAT技术Windows系统，本文共5篇，希望对大家带来帮助，欢迎大家分享。

篇1：防火墙软件Netfilter之NAT技术Windows系统

本文档主要描述怎样进行IP伪装（masquerading）、透明代理（transparent proxying）、端口转发（port forwarding）和其他形式的 网络 地址翻译技术， 1． 什么是网络地址翻译NAT（Network Address Translation）？ 当一个包在网络上传输时，从它的源地址（例

本文档主要描述怎样进行IP伪装（masquerading）、透明代理（transparent proxying）、端口转发（port forwarding）和其他形式的网络地址翻译技术。

1． 什么是网络地址翻译NAT（Network Address Translation）？

当一个包在网络上传输时，从它的源地址（例如你自己的主机）到达目的地址（例如www.yahoo），中间经过很多节点和网络。这些节点通常不会改变你的包。他们仅仅转发你的包。

如果一个节点执行NAT，他将会修改包的源或目的地址。通常这个节点会记住他怎样修改了这个包，因此当相应的应答包从另一个方向到达时，他知道如何反向修改这个应答包。

2． 为什么要使用NAT？

l 用modem上网

大多数的ISPs只给你提供一个IP地址。你可以以任何源地址发出包，但是只有包含这个IP地址的包的应答包才会到达你的网络。如果你想使用多台机器（比如有个自己的网络）利用这个IP地址上网。需要NAT。

这是NAT使用得最为常见的情况，在linux的世界里称为IP伪装（masquerading）。又称之为SNAT，因为你要改变包的源地址。

l Multiple Servers

有时候你想改变到达你的网络的包的去向。通常因为你只有一个IP地址，但是你又想用户到达这个真实IP地址之后的各个机器。方法是修改这些包的目的地址，让他们到达不同的机器。

还有就是用于负载均衡。这种类型的NAT在linux上叫做端口转发（port-forwarding）。

l Transparent Proxying（透明代理）

透明代理是在你的网络和外部世界之间的程序，所有的进或出都要经过这个代理。之所以叫做“透明”，因为你的网络无需考虑他的存在。

例如，squid软件能够配置为透明代理。

3． 两种类型的NAT

NAT有两种类型：Source NAT（SNAT）和Destination NAT（DNAT）。

源NAT是指改变连接的第一个包的源地址。他是在路由之后做，即在包到达网线之前处理。IP伪装属于源NAT。

目的NAT是指改变连接的第一个包的目的地址。他是在路由之前做。端口转发、负载均衡、透明代理都属于目的NAT。

4． 仅仅需要IP伪装

这是大多数用户的要求。如果你有一个动态分配IP地址的PPP拨号连接，你仅仅想让你的内部网络发出的包发生改变，就像是从这个PPP拨号所分配的IP地址所发出的。如下：

# Load the NAT module (this pulls in all the others).

modprobe iptable_nat

# In the NAT table (-t nat), Append a rule (-A) after routing

# (POSTROUTING) for all packets going out ppp0 (-o ppp0) which says to

# MASQUERADE the connection (-j MASQUERADE).

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

# Turn on IP forwarding

echo 1 >/proc/sys/ipv4/ip_forward

这里假设你没有做包过滤。

5． 端口转发

例如，要将1.2.3.4:8080变为192.168.1.1:80：

# Append a rule pre-routing (-A PREROUTING) to the NAT table (-t nat) that

# TCP packets (-p tcp) going to 1.2.3.4 (-d 1.2.3.4) port 8080 (--dport 8080)

# have their destination mapped (-j DNAT) to 192.168.1.1, port 80

# (--to 192.168.1.1:80).

iptables -A PREROUTING -t nat -p tcp -d 1.2.3.4 --dport 8080

-j DNAT --to 192.168.1.1:80

如果想让本地网络的机器适用于上面的规则，例如，本地机telnet 1.2.3.4 8080，就转变为telnet 192.168.1.1 80。可以在OUTPUT chain中插入规则：

iptables -A OUTPUT -t nat -p tcp -d 1.2.3.4 --dport 8080

-j DNAT --to 192.168.1.1:80

6． 控制NAT

你可以创建NAT规则来告诉内核改变哪些连接，以及怎么改变。同样，我们使用iptables工具。用选项“-t nat”来表示需要修改NAT表。

NAT表中包括3个chain：PREROUTING（用于目的NAT）、POSTROUTING（用于源NAT）、OUTPUT（用于本地产生的包的目的NAT）。如下图：

_____ _____

/ /

PREROUTING -->[Routing ]----------------->POSTROUTING----->

D-NAT/ [Decision] S-NAT/

| ^

| __|__

| /

| | OUTPUT|

| D-NAT/

| ^

| |

-------->Local Process ------

当一个包经过上图时，检查它属于什么样的连接，如果是新连接，查找NAT表决定做甚，

7． 使用iptables的简单选项

如果iptables作为一个模块，那么使用前需要insmod ip_tables。

最重要的选项是“-t”。对于所有的NAT操作，都需要-t nat。第二重要的是“-A”附加一条规则到chain的末尾；或者“-I”在开头插入一条规则。

用选项“-s”和“-d”来描述源和目的地址。

用选项“-i”和“-o”表示in的接口和out的接口。

用选项“-p”表示协议，例如-p TCP。

用选项“--sport”和“--dport”表示源和目的端口。

8． 源NAT

源NAT将连接的源地址改变成不同的地址，他是在POSTROUTING chain中完成。这非常重要，因为路由、包过滤都是在源地址改变之前做的。所以并不影响。

源NAT用选项“-j SNAT”描述，用“--to-source”来描述IP地址、一个范围的IP地址或者端口（仅仅用于TCP和UDP）。例如：

## Change source addresses to 1.2.3.4.

# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4

## Change source addresses to 1.2.3.4, 1.2.3.5 or 1.2.3.6

# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4-1.2.3.6

## Change source addresses to 1.2.3.4, ports 1-1023

# iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to 1.2.3.4:1-1023

特殊情况（IP伪装）：

有一种特殊的源NAT叫masquerading（前面讲过），仅仅用于拨号上网的情况（动态IP）。上面所讲的是静态IP。

在masquerading中不需要像上面那样清楚表达，只需要指明正确的网络接口。例如：

## Masquerade everything out ppp0.

# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

9． 目的NAT

目的NAT在PREROUTING chain中完成，对于本机的应用程序来说（包括routing、包过滤程序）都忽略目的地址的改变，认为到达真实的目的地址。需要用到“-i”选项。

目的NAT用“-j DNAT”来表示，用“--to-destination”选项来描述IP地址、IP地址的范围或者端口。例如：

## Change destination addresses to 5.6.7.8

# iptables -t nat -A PREROUTING -i eth1 -j DNAT --to 5.6.7.8

## Change destination addresses to 5.6.7.8, 5.6.7.9 or 5.6.7.10.

# iptables -t nat -A PREROUTING -i eth1 -j DNAT --to 5.6.7.8-5.6.7.10

## Change destination addresses of web traffic to 5.6.7.8, port 8080.

# iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth1

-j DNAT --to 5.6.7.8:8080

## Redirect local packets to 1.2.3.4 to loopback.

# iptables -t nat -A OUTPUT -d 1.2.3.4 -j DNAT --to 127.0.0.1

重定向：（Redirection）

目的地址的一个特例叫做重定向。相当于对进来的包作目的NAT，例如：

## Send incoming port-80 web traffic to our squid (transparent) proxy

# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80

-j REDIRECT --to-port 3128

10．源NAT与路由

如果你做了源NAT，要注意路由器返回信息时能不能找到你真正的机器。例如，你将自己机器发出的包的源地址改为1.2.3.4，这样外部路由器将向你发送应答包（目的地址是1.2.3.4）。怎样到达你的机器？

如果你变化后的源地址是本地网络所用的地址，则不需要变化，直接返回到这个地址；

如果变化后是本地网络不用的地址，例如，你变成1.2.3.99，一个本地局域网未用的地址，网络地址1.2.3.0/24，则需要做ARP查询，有一个简单的方法是做IP alias，例如：

# ip address add 1.2.3.99 dev eth0

如果变成一个完全不同的地址（不属于本地局域网），必须向路由器发出一条路由信息或者手工加一条路由记录。

11．目的NAT变目的地址到同一个网络

古典的例子内部的职工想访问你的公共的web server，目的地址从公共地址（1.2.3.4）变成内部地址（192.168.1.1），执行：

# iptables -t nat -A PREROUTING -d 1.2.3.4

-p tcp --dport 80 -j DNAT --to 192.168.1.1

一种方法是运行一个内部的DNS server，他知道公共web server的地址，并且将其他的request请求转发到外部的DNS server。另一个方法是将源地址映射到自己的连接上，让web server的返回信息通过他。执行：

# iptables -t nat -A POSTROUTING -d 192.168.1.1 -s 192.168.1.0/24

-p tcp --dport 80 -j SNAT --to 192.168.1.250

原文转自：www.ltesting

篇2：Windows软件防火墙实现技术简述服务器教程

从Windows软件防火墙的诞生开始，这种安全防护产品就在跟随着不断深入的 病毒与反黑反毒之争，不断的进化与升级，从最早期的只能分析来源地址，端口号以及未经处理的报文原文的封包过滤防火墙，后来出现了能对不同的应用程序设置不同的访问网络权限的技术；近年来由ZoneAlarm等国外知名品牌牵头，还开始流行了具有未知攻击拦截能力的智能行为监控防火墙；最后，由于近来垃圾插件和流氓软件的盛行，很多防火墙都在考虑给自己加上拦截流氓软件的功能。综上，Windows软件防火墙从开始的时候单纯的一个截包丢包，堵截IP和端口的工具，发展到了今天功能强大的整体性的安全套件。

接下来本文就对一个Windows软件防火墙应当拥有的这些组件进行一个简要的技术介绍。

封包过滤技术

封包过滤技术是最原始的防火墙所拥有的第一种功能，

但是该功能简单强大，直到现在都是任何一个防火墙必不可少的功能。

想要在网络数据包到达应用程序之前拦截之，就要在系统的网络协议栈上面安装过滤钩子。对Windows NT系列内核来说，可能安装过滤钩子的地方大致是这么几个，从高层到底层排序：SPI层（早期的天网防火墙 ），AFD层（资料缺乏，尚无例子），TDI层（不少国内墙），NDIS层（ZoneAlarm，Outpost等）。越位于高层，则产品开发难度越低，但是功能越弱，越容易被攻击者所穿越。由于NDIS层的防火墙具有功能强大，不易被穿透等优点，近来各大防火墙厂商的趋势是选择NDIS层来做包过滤。

目前比较流行的NDIS钩子技术有两种。一种是挂接ndis.sys模块的导出函数，从而能够在每个ndis protocol注册的时候截获其注册过程，从而替换其send(packets)handler和receive(packet)handler。这个方法的缺点是在第一次安全之后无法立刻生效，必须要重起一次，而且要禁用的话，也必须重起。

篇3：简易防火墙建置与流量统计之五Windows系统

第 7 章 使用webmin 管理 ipchains 看了上述的说明或许读者会感到十分困难，其实我们也可以使用 webmin 的 Third Party Modules 中 IPchains Firewalling 来管理，如下图所示： 其中有 Disable, Low, Medium, High, Full 五个 安全 等级，或者可自定规则，如

第 7 章 使用webmin 管理 ipchains

看了上述的说明或许读者会感到十分困难，其实我们也可以使用 webmin 的 Third Party Modules 中 IPchains Firewalling 来管理，如下图所示：

其中有 Disable, Low, Medium, High, Full 五个安全等级，或者可自定规则，如下图所示：

第 8 章 流量统计

www.ntop/ 是一个网络使用状况监测软件，在互动式模式下，ntop 会将网络的使用状况显示在使用者的终端机画面上，在 Web 模式中，ntop 会像 Web Server 一样产生出内含网络使用状况的网页传回到使用者的浏览器上。在 RedHat 7.0 powertools 中有 ntop-1.3.1.-2.i386.rpm，所以在 RedHat 7.0 下使用

rpm -ivh ntop-1.3.1.-2.i386.rpm

安装，然后用 ntop -d 执行即可，执行 web 输出画面如下：(笔者使用的是 1.1 版)

第 9 章 流量记录

Snort (www.snort)是一个精巧的网络入侵侦测软件(IDS)。具有执行即时流量分析与封包纪录功能的特性，提供了协定的分析，封包内容的搜寻。可用来侦测各种不同的攻击与调查 (如 buffer overflows，stealth port scans，CGI attacks，SMB probes，OS fingerprinting attempts 等等)。Snort 使用 flexible rule based language 来设定那些流量应该被收集，那些应该放行，

他也具有模组化的侦测引擎。Snort 具有即时警告的特性，其警告的机制可使用 syslog，使用者自订的档案，UNIXsocket 或是使用 Samclient 传递 WinPopup 讯息给 Windows client 端的使用者。(取自LinuxFAB.cx)

取得 snort-1.6.3.tar.gz ，然后执行下列步骤安装：

tar xvfz snort-1.6.3.tar.gz

cd snort-1.6.3

./configure

make

make install

在此笔者只介绍封包纪录功能，其他功能日后再述。假定我们要将记录档至于首页上可以执行 snort -C -d -D -l /home/httpd/html/snort，结果如下：

当然笔者有作一些安全上的管理，否则所有网络的机密便曝光了，况且因为记录所有资料所以档案会长的很快，所以如果你真要如此记录，请注意控制的细节。底下我们再深入看看。

看到 USER 了吗？接下来当然是 PASS …….

结论：

看到了这里相信大家对 ipchains 的使用应该有进一步的认识，ipchains 的功能实在是很强大，无法去说的很彻底，有些小地方要靠读者去体会才行。另外由 ntop, snort 可以看出网络是如何不安全性，也希望所有网管人员要多重视。(哎！套一句我女儿说的：说别人说自己 :~~)

施势帆，任职于亚东技术学院电机系

吴国华，任职于帆网络研究室

E-mail：shie@digital.oit.edu.tw

URL：mouse.oit.edu.tw

原文转自：www.ltesting

篇4：[ES220] SDS软件的介绍（翻译之灌水篇二）Windows系统

闲来无事，翻译着玩的，不过，原文是PDF地， 偶翻译的格式是word地，贴上来之后好象有点问题地， 大家将就着看吧，哪天有空，偶把E文上传一下！ 第二章IntroductiontoSolsticeDiskSuiteSoftware 目标 通过本章的学习，你将掌握如下： l描述SUN的数据管理策略

闲来无事，翻译着玩的，不过，原文是PDF地，

偶翻译的格式是word地，贴上来之后好象有点问题地，

大家将就着看吧，哪天有空，偶把E文上传一下！

第二章 Introduction to Solstice DiskSuite Software

目标

通过本章的学习，你将掌握如下：

l 描述SUN的数据管理策略

l 列出Solstice DiskSuite的特点，功能和优点

l 描述以下SDS的关键技术和术语

n 串联和条带

n 镜像

n RAID 5

n Hot Spares

n UFS记录(Logging UFSUNIXFile System)

n 磁盘集(disksets)

l 描述以下SDS metadevice类型

n 简单和镜像metadevice

n RAID和metatrans metadevice

l 定义镜你的重新同步及为何需要的解释

介绍l 为何选择DiskSuitel 与兼容性相关的事宜

介绍

Solstice DiskSuite 4.2是一款软件产品，允许你管理大量的磁盘及磁盘上的数据

为何选择DiskSuite

选择使用DiskSuite有许多原因，大部分主要集中在2方面：

l 存储容量

l 数据的有效性

兼容性

l 与早期的Solstice DiskSuite 4.1产品兼容

l 与DiskSuite 2.0.1及3.0产品并不向后兼容

l 与Solaris包一起提供，并做为一个未绑定的产品

l 运行于所有Solaris 2.6以后的操作环境及Sparc或x86平台

l 支持SparcStorage Array(SSA)阵列的 /, swap, /usr文件系统

l 包括了磁盘集(disksets)功能，这提供了在高可用性系统中能够共享磁盘的功能，这个功能在x86平台上不提供

Metadevicesl 提供了虚拟磁盘l 数据可以跨越多个设备l 设备可以复合多种磁盘类型l 定义metadevice为最低可管理单元l 块(block)或原(raw)是有效的l 提供了一个GUIl 默认为128个metadevice可以扩展到1024个

Metadevice

SDS软件使用虚拟磁盘来管理物理磁盘及相关的数据。在SDS软件中，一个虚拟磁盘被称为：metadevice。一个metadevice可以在应用的视图上标识为一个物理磁盘。SDS软件的metadevice由片(slice)来建立。

Metadevice能跨越多个磁盘类型及不同的控制器。如，你可以定义一个metadevice由一个SCSI slice和另一个磁盘控制串上的智能外围接口(Intelligent Perpheral Interface，IPI) slice 组成。在这个metadevice上的任何动作都将影响这2个磁盘片。

--------------------------------------------------------------------------------------------------

注意----SDS 4.2支持以下磁盘创建metadevice：SPARC---IPI和SCSI设备及SPARC Storage Array, x86---SCSI及IDE设备

--------------------------------------------------------------------------------------------------

特点

metadevice有以下特点：

l Metadevice是虚拟定义的并且是SDS操作的最小单元

l Metadevice可以用来描述一个单独的磁盘片或一组磁盘片或磁盘

l 逻辑metadevice设备名的入口在文件：/dev/md/dsk(块设备)

l 原metadevice设备名的入口在文件：/dev/md/rdsk(原设备)

l 默认的，有128个metadevice(d0---d127)，然而，可以增加附加的metadevice。SDS可以最大支持1024个metadevice

关键技术(Key Technologies)

如图2_0所示：

SDS软件的功能将在本章后面详细讨论

关键技术包括：

l 磁盘镜像

数据的多个拷贝保存在多个不同的物理磁盘上，支持2路和3路镜像

l 磁盘条带

在多个物理设备间进行数据交替

l 串联

复合2个或多个物理设备为一个单独的逻辑设备

l RAID 5

在多个物理设备间进行数据和奇偶校验的交替

l UFS日志

在一个日志中(称为日志设备)记录UFS的更新，在这些更新应用到UFS文件系统之前

l 扩展文件系统(UFS)

在一个UNIX文件系统被加载时增加它的大小并且不中断对数据的访问(允许读，禁止写，直到完成grow操作)

l 磁盘集(Disksets)

分组2个主机，并设置一个共享的磁盘驱动；2个主机可以唯一的访问磁盘集中的驱动(不是同时访问)；磁盘集中的驱动包括逻辑设备(metadevice)和hot spares

l hot spares

设置一个组件可以自动的替换RAID或镜像设备中失败的组件

SDS 支持

如图2_1

SDS软件包括以下功能：

l 磁盘串联

对一个需要大量数据区的应用，这个功能是有效的。它复合了多个物理磁盘来创建一个大的metadevice。数据以连续的方式被组织并且每个磁盘是相邻的，形成一个逻辑存储单元

l 磁盘镜像

通过同时对2个或多个磁盘写入同样的数据来防止磁盘失败。任何文件系统都可以被镜像，包括：root, swap, /usr

l 磁盘条带

通过2个或多个片来交替相等大小的段，来形成一个逻辑存储单元

l RAID

RedundantArray Inexpensive Disk的缩写

l growfs

一个与newfs功能相似的命令，允许你在一个片中，不丢失任何数据的情况下增加一个片的大小。growfs在线使用(hot)，在它运行的时候，缓存(buffer)写请求，在growfs结束后，再来完成。客户不必等待它完成

l hot spares

在一个镜像无效后，可以自动在线并重新进行同步的片。可以在一个hot spare池(在这里，软件可以选择一个有效的驱动)来创建hot spare

l UFS日志

用来增加操作系统的reboot时间，并减少同步磁盘写的数量

l 磁盘集

分组2个主机，并设置一个共享的磁盘驱动，这个功能提供了在一个HA环境中主机共享磁盘的功能。

使用DiskSuite的优点

如图2_2

主要包括：

l 可用性

支持对数据的读写访问，一旦发生磁盘失败，镜像，RAID 5及hot spare等功能都可以保持数据的可用性，UFS日志允许在系统崩溃之后更快的恢复其有效性，

l 可靠性

数据被干净的保护

l 性能

在I/O性能方面有总体的提高；条带平衡了加载来提高性能；UFS日志提高了同步写性能。

l 容量

文件系统的大小可以超过一个单独的物理磁盘

l 管理

一个完整的GUI接口，可以动态的增长文件系统，并且hot spare功能也使系统管理变得容易

SDS软件的组件

如图2_3

SDS软件主要包括这些组件：

l DiskSuite Tool

一个可以表示所有metadevice的GUI接口，并且提供了简单的即拖即用接口来创建和维护数据库的复制状态和metadevice

l 设备驱动(device driver)

SDS软件使用一个特定的设备驱动如metadisk 驱动从metadevice到物理设备来匹配I/O。允许应用把metadevice作为一个物理盘来对待，这种类型的驱动也称为逻辑或伪设备(pseudo)

l 命令

SDS软件提供了一个命令行接口，可以用来管理产品

l 配置文件

SDS软件使用到几个系统和启动文件。你可以通过手工修改文件：/etc/opt/SUNWmd/md.tab来创建metadevice，状态数据库的复制及hot spare。

l 状态数据库复制(state database replicas)

这些数据库保存着与之相连接的磁盘和它们的配置信息。它们通常是通过驱动器进行复制来避免一个单点失败

n 通过每磁盘的独立控制器来扩展加载

n 在一个镜像中以读参数来进行试验。默认的，按顺序读取每个驱动器，但与加载有关，这会降低性能

n 在单独的metadevice上，避免了不同类型驱动器的混杂。存储模块设备(SMD)，SCSI及IPI都有着不同的吞吐量

n 如果你串联了一个片，同时，要为HA来镜像它

n 当使用UFS日志功能，镜像日志设备

n 为了完成一个简单的HA解决方案，镜像你的数据磁盘，并设置2个系统，每个系统有属于它自己的内部系统盘。如果一个系统down机，你可以加入镜像到spare系统中。

l 如果你运行了Sun Prestoserve 软件，不要在镜像上(或子镜像)使用Prestorserve功能，trans metadevice或状态数据库的复制

命令总结

SDS产品主要包括以下命令：

SDS命令 描    述

growfs 使用非破坏性的方式来扩展一个UFS文件系统

mdlogd 使用mdlogd守护进程和mdlogd.cf配置文件来发送SNMP trap信息

metaclear 删除活动metadevice及hot spare 池

metadb 创建和删除状态数据库的复制

metadetach 在一个镜像中分离一个metadevice，或从一个trans metadevice中分离一个日志设备

metahs 管理hot spare或hot spare 池

metainit 通过读取文件：/etc/opt/SUNWmd/md.tab来配置metadevice

metaoffline 替换离线的子镜像

metaonline 替换在线的子镜像

metaparam 修改metadevice参数

metarename 修改或switch metadevice名字

metareplace 替换子镜像和RAID 5的metadevice的片

metaroot 为镜像 root(/)分区来设置系统文件

metaset 管理磁盘集

metastat 显示metadevice或hot spare的状态

metasync 在重启动过程中重新同步metadevice

metatool 运行DiskSuite的图形用户接口

metattach 连接一个镜像的metadevice或连接一个trans metadevice的日志设备

现有的产品功能l SPARCstorage Array (SSA)管理l Metadevice的重命名和switchingl 事件通知l SunNet 管理器l SDS管理l 性能监视

产品功能

已经存在的产品功能

这些功能包括：

l SPARCstorage Array(SSA)管理

在SPARCstorage Array 1x0和2x0上，DiskSuite工具已经增强了管理任务性能，这些管理任务包括启用或禁止NVROM,停止和启动磁盘，及查看控制器风扇和电池状态

l Metadevice的重命名及Switching

通过支持metadevice名字的重配置SDS简化了metadevice的管理

l 事件通知

当在metadevice中发生了状态改变时，DiskSuite工具自动更新事件通知。状态改变包括：metadevice创建，删除，及片错误

l SunNet 管理器

SDS产品能够通过SNMP协议传输失败或错误警告给一个SunNet管理控制器。反过来说，SunNet 管理器允许执行DiskSuite工具

l SDS管理

SDS产品工作于AdminSuite存储管理软件下，它提供了文件系统和物理磁盘的管理功能。存储管理通过综合DiskSuite工具，允许你在两个工具间进行拖拽

l 性能监视

DiskSuite工具为你对于metadevice和物理磁盘提供简单的性能监视能力。这允许你监视通常的性能趋向，查看突然的改变，及对比一个配置不同部分的数据收集

新的产品功能l 64位兼容l 支持路径选择(Alternate Pathing support)l 支持Solaris 2.6和Solaris 2.7l 兼容Y2Kl 完成了国际化(Internationalization complete)

产品功能

新功能

SDS4.2包括以下新功能：

l SDS4.2是64位兼容的。这意味着DiskSuite可以在Solaris 7上操作，SDS可以识别计算机是基于64位或是32位模式的，4.2对这两个模式都支持。

l SDS支持路径选择。DS可以识别提供给E10000的，进行路径选择的伪设备

l 在SPARC和x86平台上提高了数据的可靠性和性能的增强。它们包括：

n SDS支持Solaris 2.6或7

n 你可以使用DS工具而无需安装Solstice AdminSuite

n SDS兼容Y2K

n SDS文档在AnswerBook2格式下是可用的

n 完成了国际化工作

n SDS可以在路径选择(AP)方式下执行

n SDS内核线程坚持了Check Point Restart(CPR)协议

n FCAL磁盘可以hot spare方式工作。这项功能覆盖了产品A5200，A3500等

n 对于原设备(raw)及直接I/O存取检查Write-on-write条件

solstice 回复于：-08-11 11:51:04我倒，看的人多，回的人少，

不行，偶顶！

lizhiqing 回复于：2003-08-11 12:21:20支持一下，不过最好还是把英文共享一下。

guchengman 回复于：2003-08-13 15:59:00我也顶.

正需要这个.

allonsun 回复于：2003-08-14 10:19:22那么辛苦我来顶

iricyan 回复于：2003-11-06 01:28:13如果配上图片，加上实例，就好看多了。不过这个也不是很难。

原文转自：www.ltesting

篇5：[原]sa239学习笔记之四(57章)安装软件部分Windows系统

如果有错请指出,谢谢 Module5安装solaris9操作系统 六种方法: 1.Solarissuninstallprogram 2.SolarisWebStartInstallationsoftware 3.CustomJumpStartprocedure 4.SolarisWebStartFlashinstallation 5.Standardupgrade 6.SolarisLiveUpgrademethod 安装solar

<如果有错请指出谢谢>

Module 5  安装solaris9操作系统

六种方法:

1.Solaris suninstall program

2.Solaris™ Web Start Installation software

3.Custom JumpStart™ procedure

4.Solaris Web Start Flash installation

5.Standard upgrade

6.Solaris™ Live Upgrade method

安装solaris 9的硬件要求:

A system based on an UltraSPARC& processor

64 Mbytes of memory

2.3 Gbytes of disk space

A keyboard and monitor

Aclearcase/“ target=”_blank" >ccess to a CD-ROM drive or an installation server

一、 solaris操作系统的组件:

Software packages

Software clusters

Software groups

这们之间的关系:Software packages

Software packages包含了一组文件和路径;

Software clusters包含了许多软件包:例如:

CDE的Software clusters就包含了以下的lpackages

SUNWdtab SUNWdthed SUNWdtmad SUNWeudhr

SUNWdtbas SUNWdthev SUNWdtrme SUNWeudhs

SUNWdtdem SUNWdticn SUNWdtwn SUNWeudis

SUNWdtdmn SUNWdtim SUNWeudba SUNWeudlg

SUNWdtdst SUNWdtinc SUNWeudbd SUNWmfman

SUNWdthe SUNWdtma SUNWeudda

Software groups:  solaris OE就有以下几个Software groups来组成:

Core

End User System Support

Developer System Support

Entire Distribution

Entire Distribution Plus Original Equipment Manufacturers (OEM)

Core software gruop,只一个软件cluster,即SUNWCreq,是一个最小的软件,包括启动部分和最小的配置;不支持一些服务,它所支持只有:telnet ftp NFS NIS DNS,和一些需要CDE的驱动,但没有CDE,不包括在线手册.

End User System Support Software Group (SUNWCuser)

包括core和一些推荐的软件即一个CDE;

Developer System Support Software Group (SUNWCproq)

包括:End User 软件包和library,在线手册,程序开发工具;

Entire Distribution(SUNWCall)

包括:Developer system软件包,和其它一些服务,

Entire Distribution Plus OEM Support Software Group(SUNWXCall)

包括:Entier 软件包和支持OEM的硬件支持;

查看cluster配置,可以通过以下:

# grep METACLUSTER /var/sadm/system/admin/.clustertoc

METACLUSTER=SUNWCXall

METACLUSTER=SUNWCall

METACLUSTER=SUNWCprog

METACLUSTER=SUNWCuser

METACLUSTER=SUNWCreq

METACLUSTER=SUNWCmreq

注意:SUNWCmreq是一隐藏的softer cluster,是可以配置一个比core还小的应用;

查看当前clustser的配置:

# cat /var/sadm/system/admin/CLUSTER

CLUSTER=SUNWCXall

二、从光盘安装solaris

安装时需要的工作：

1，考虑为每个语言包的空间；

2。如果提供打印和mail应用，就增加一下/var的文件系统；

3。计划用crash dump 特性，就为/var分物理内存两倍的空间；

4。计划给每个用户提供home目录就生成一个/export文件系统；

5。分配30%给每个文件系统，生成mininum给每个文件系统，以备将来更新；

6。给附加软件和第三方软件预留空间；

安装时提供以下信息：

Hostname ,IP , Name server type(NIS or LDAP..),

、            subnet mask, root password, language

Module 6 管理solaris9的软件包

软件包包含:

1.描述软件包的文件和需要占用的硬盘空间;

2.压缩的软件

3.在软件安装,删除时的脚本;

/var/sadm/install/contents

此文件包含了系统中所有安装的软件记录;

# more /var/sadm/install/contents    显示所有内容

# grep showrev /var/sadm/install/contents    查找相关软件包是否被安装;

命令行管理软件包:

pkgadd 在操作系统上安装软件包

pkgrm 从系统中删除软件

pkginfo 显示软件包信息

pkgchk 检测软件包安装信息;

显示系统中安装的软件包:

/var/sadm/pkg这个目录保存了安装的软件包记录;

下面这个命令显示了系统已装的信息包;

# pkginfo | more

application NSCPcom Netscape Communicator

system SUNWaccr System Accounting, (Root)

system SUNWaccu System Accounting, (Usr)

system SUNWadmap System administration applications

system SUNWadmc System administration core libraries

system SUNWaudd Audio Drivers)

ALE SUNWciu8 Simplified Chinese iconv modules for UTF-8

system SUNWcsd Core Solaris Devices

CTL SUNWctplx Portable layout services for CTL (64-bit)

system SUNWdoc Documentation Tools

application SUNWdej2pJavaPlug-in

第一列:    软件包的类型;系统,应用 , CTL或ALE

第二列:    软件包名称

第三列:     软件包的描述;

显示所有软件包的详细信息:

# pkginfo -l | more

显示SUNWman软件包的详细信息:

# pkginfo -l SUNWman

PKGINST: SUNWman

NAME: On-Line Manual Pages

CATEGORY: system

ARCH: sparc

VERSION: 42.0,REV=35

BASEDIR: /usr

VENDOR: Sun Microsystems, Inc.

DESC: System Reference Manual Pages

PSTAMP: tinkertoym21003318

INSTDATE: Sep 27 2001 10:43

HOTLINE: Please contact your local service provider

STATUS: completely installed

FILES: 7033 installed pathnames

3 shared pathnames

84 directories

81450 blocks used (approx)

显示系统已安装软件包的数量:

# pkginfo | wc -l

显示光盘相关目录的软件包:

pkginfo -d /cdrom/cdrom0/s0/Solaris_9/Product |more

提示:光盘CD1of2 中放了core and END USER software Groups

cd2 of 2 中放了Developer, Entire Distribution, and Entire Distribution Plus OEM Support    software groups.

安装软件包从光盘到系统中:

# pkgadd -d . SUNWns6m

查看软件安装状况:

# pkgchk SUNWcarx

加-v 参数可查看软件包安装在那些目录下放置了文件:

# pkgchk -v SUNWcarx

查看文件状态:

#pkgchk -p /etc/passwd

查看passwd文件什么时候软件包创建,最一次修改时间以及原始文件大小,及现在大小;

#pkgchk -l -p /etc/group

查看此文件被那个软件包创建,以及一些相关信息;

提示:必须使用绝对路径,否则不显示信息;

删除软件包:

# pkgrm SUNWapchr  删除软件包SUNWapchr

增加一个软件包spool 路径:

默认情况下,spool路径放在/var/spool/pkg ,

增加方法如下:

# pkgadd -d /cdrom/cdrom0/s0/Solaris_9/Product -s spool SUNWensqr.u

如果想删除spool路径:

# pkgrm -s spool SUNWensqr.u

如果想增加一个spool中径到一个自己指定的目录/export/pkg下,则如下操作:

# pkgadd -d /cdrom/cdrom0/s0/Solaris_9/Product -s /export/pkg SUNWensqr.u

# pkgrm -s /export/pkg SUNWensqr.u

本章回顾:

pkginfo 显示安装在系统中的软件包或在介质可用的软件包

pkgadd 安装软件包

pkgrm 删除软件包

pkgchk 检测属于软件包的路径的属性,以及软件包状态;

/var/sadm/install/contents 存放安装在系统中的所有软件包信息

/opt/pkgname 推荐但没有安装的非附送软件

/opt/pkgname/bin or /opt/bin 没有安装的非附送软件包的可执行文件

/var/opt/pkgname or /etc/opt/pkgname 非附送软件的日志文件存放处;

Module 7    管理软件补丁

solaris补丁共分以下五种:

标准补丁(standard pathc):维护指定软件或硬件的问题;

推荐补丁(recommended pathc):大部分系统可能出现的问题;

Y2K patch(二千年问题补丁):

补丁群(patch cluster):标准补丁,推荐补丁,安全补丁,Y2k patch等补丁被捆到一起.

维护更新:(Maintenance update)

patch号的规则:

例如:105050-01 ,   105050为基础号; 01为版本号;

可通过sunsolve.sun或FTP到网上下载patch;

pathc文档放在/pub/patches目录下;

Solaris9.PatchReport 介绍solaris9patch摘要

9_Recommended.README 介绍安装方法,以及一些提示和警告;

检查系统已经安装的patch:

# showrev -p

# patchadd -p

提示:showrev -p 和patchadd -p是一样的,只是patchadd显示稍微详细一点,

还有就是showrev是一个二制命令,patch是一个脚本命令;

显示patch安装的目录:

# ls /var/sadm/patch

所以/var必须为安装补丁预留充分的空间;

获取补丁的方法:

用户可向SUN索取update CDrom,或到网站下载;

-------------------------------------------------------------------------------------------

提示:mget获取文件时每个文件都会提醒,如果不想可以用ftp -i FTPweb,或者在FTP登录后输入prompt命令;

--------------------------------------------------------------------------------------------

准备安装:

.ZIP文件:  # /usr/bin/unzip 105050-01.zip

.tar.z文件:# /usr/bin/zcat 105050-01.tar.Z | tar xvf -

安装:

# patchadd 105050-01

存储在/usr/sbin/patchadd下的error code:

0 No error.

1 Usage error.

2 An attempt to apply a patch that has already been

applied.

3 The effective user ID (EUID) is not root.

4 An attempt to save original files failed.

5 The pkgadd command failed.

6 The patch is obsolete.

7 An invalid package directory.

8 An attempt to patch a package that is not installed.

9 Cannot access /usr/sbin/pkgadd (client problem).

10 Package validation errors.

11 An error occurred while adding a patch to the root

template.

12 The patch script terminated due to a signal.

13 A symbolic linkwasincluded in the patch.

14 Not used.

15 The prepatch script had a return code other than 0.

16 The postpatch script had a return code other than 0.

17 A mismatch of the -d option occurred between a

previous patch installation and the current one.

18 There is not enough space in the file systems that are

targets of the patch.

19 The $SOFTINFO/INST_RELEASE file was not found.

20 A direct instance patch was required but was not

found.

21 The required patches have not been installed on the

manager.

22 A progressive instance patch was required but was not

found.

23 A restricted patch is already applied to the package.

24 An incompatible patch was applied.

25 A required patch was not applied.

26 The user-specified backout data cannot be found.

27 The relative directory supplied cannot be found.

28 A pkginfo file is corrupt or missing.

29 Bad patch ID format.

30 Dry run failures occurred.

31 The path given for the -C option was invalid.

32 You must be running the Solaris 2.6 OE to the Solaris 9

OE.

33 The patch file was formatted incorrectly or the patch

file was not found.

34 An incorrect patch spool directory was given.

35 A later revision was already installed.

36 You cannot create a safe temporary directory.

37 An illegal backout directory was specified.

删除补丁patchrm:

如下三种情况无法正常删除补丁:

1.在安装补丁时用了-d参数:patchadd -d  即更新不进行备份;

2.此补丁被其它补丁使用;

3.补丁已经被更新的补丁替代;

# patchrm 105050-01

安装patch cluster:

patch cluster由推荐补丁,安全补丁以及Y2K patch组成;安装时必须在/ /var /usr /opt有至少10M的空间,会把patch存在/var/sadm/pkg目录,也可-nosave,将不能对个别patch进行恢复删除,

具体步骤如下:

1.确定.zip 或.tar.z文件已经解压;

2.决定使用默认的save还是-nosave属性;

3.到解压后的patch cluster目录,进行安装

# cd patch_cluster_directory

# ./install_cluster

4.查看个别的patch的README文件,看是否还要进行附加的步骤;

5.查看日志文件,查看详细信息;

6.重启机器,使patch 生效;

wjg023 回复于：2005-01-26 11:55:26心都凉了.唉!!

songyupo 回复于：2005-01-26 12:42:34别呀，加油，我学呢，正准备春节回来练习呢，继续

jeson 回复于：2005-01-26 12:42:42努力学习你的笔记

wjg023 回复于：2005-01-26 16:07:17老兄,版主怎么就不给贴成原创精华呢,很郁闷!!

可能就因为我丑了一点吧!!

allunix回复于：2005-01-26 21:03:37好东东， 收了先， 慢慢看，

weiming_liu 回复于：2005-04-13 16:22:09我支持你加为精华

lsnow8624 回复于：2005-04-13 18:09:21还能将所有学习笔记打个包阿

找起来方便

原文转自：www.ltesting