利用linux gpre o提高代码的优化性能 (linux gpre -o)
在当前的计算机领域,程序的优化是一个重要的话题。优化可以通过多个方面来实现,它可以让计算机程序在运行时更具有高效性,从而使得计算机的性能得到提升。而其中一种重要的优化方法就是利用Linux GPROF工具来提高代码的优化性能。
我们来介绍一下Linux GPROF工具的基本概念。GPROF是GNU Profiler的缩写,它是一个性能统计工具,专门用于从程序运行的性能数据中提取出各个函数的执行时间和调用次数等信息。它可以用于测量和优化程序的性能,同时还可以用于寻找和诊断程序中的性能瓶颈。作为一个开源工具,GPROF被广泛应用于各种不同类型的计算机程序,并且支持多种平台和操作系统。
接下来我们来讲一下如何利用Linux GPROF工具来优化程序的性能。我们需要在编译程序时加入-G选项,并使用-g选项指定调试信息级别。这样,编译器就会生成一个带有符号表和调试信息的可执行文件,以便GPROF可以从中提取性能数据。我们需要在程序运行时使用gmon.out文件记录性能数据。这个文件是GPROF生成的,它包含了程序运行过程中各个函数的调用堆栈和执行时间等信息。我们需要使用GPROF工具对gmon.out文件进行分析。GPROF会将性能数据转换成易于理解的报告,其中包含了每个函数的执行时间、调用次数和占用CPU时间的百分比等信息。
通过以上步骤,我们可以快速地识别程序中的性能瓶颈,并通过针对性的优化措施来提高程序的运行速度。例如,我们可以对执行时间较长的函数进行优化,并减少它们的调用次数;还可以通过局部代码优化从而提高程序的整体性能。
在利用GPROF进行代码优化时,我们还需要注意一些细节。我们需要保证测试代码的可复现性。这可以通过确定测试环境和输入数据的方法来实现。我们需要保证测试代码的代表性。这就要求我们准确地测试那些真正占用程序性能的函数。我们还需要注意代码优化可能带来的错误和副作用。优化只是提高程序性能的手段,不应该牺牲代码的正确性和稳定性。
在总体上,利用Linux GPROF工具来提高程序的优化性能,是在当前计算机领域中非常重要的一项工作。借助于GPROF的强大性能分析能力,我们可以快速识别和解决程序性能问题,从而让程序更具有高效性和稳定性。同时,我们也需要在实践中不断探索和实现更佳的代码优化策略,才能得到更好的代码优化效果。
相关问题拓展阅读:
linux怎么在lcd显示一张400*240的照片并放在中间
1) 在LCD上显示BMP或JPEG图片的主流程图
首先,在程序开始前。要在nfs/dev目录下创建LCD的设备结点,设备名fb0,设备类型为字符设备,主设备号为29,次设备号为0。命令如下:
mknod fb0 c 29 0
在LCD上显示图象的主流程图如图1所示。程序一开始要调用open函数打开设备,然后调用ioctl获取设备相关信息,接下来就是读取图形文件数据,把图象的RGB值映射到显存中,这部分是图象显示的核心。对于JPEG格式的图片,要先经过JPEG解码才能得到RGB数据,本项目中直接才用现成的JPEG库进行解码。对于bmp格式的图片,则可以直接从文件里面提取其RGB数据。要从一个bmp文件里面把图片数据阵列提取出来,首先必须知道bmp文件的格式。下面来详细介绍bmp文件的格式。
图1
2) bmp位图格式分析
位图文件可看成由四个则饥棚部分组成:位图文件头、位图信息头、彩色表和定义位图肢悔的字节阵列。如图2所示。
图2
文件头中各个段的地址及其内容如图3。
图3
位图文件头数据结构包含孙则BMP图象文件的类型,显示内容等信息。它的数据结构如下定义:
Typedef struct
{
int bfType;//表明位图文件的类型,必须为BM
long bfSize;//表明位图文件的大小,以字节为单位
int bfReserved1;//属于保留字,必须为本0
int bfReserved2;//也是保留字,必须为本0
long bfOffBits;//位图阵列的起始位置,以字节为单位
} BITMAPFILEHEADER;
2.1)信息头中各个段的地址及其内容如图4所示。
图4
位图信息头的数据结构包含了有关BMP图象的宽,高,压缩方法等信息,它的C语言数据结构如下:
Typedef struct {
long biSize; //指出本数据结构所需要的字节数
long biWidth;//以象素为单位,给出BMP图象的宽度
long biHeight;//以象素为单位,给出BMP图象的高度
int biPlanes;//输出设备的位平面数,必须置为1
int biBitCount;//给出每个象素的位数
long biCompress;//给出位图的压缩类型
long biSizeImage;//给出图象字节数的多少
long biXPelsPerMeter;//图像的水平分辨率
long biYPelsPerMeter;//图象的垂直分辨率
long biClrUsed;//调色板中图象实际使用的颜色素数
long biClrImportant;//给出重要颜色的索引值
} BITMAPINFOHEADER;
2.2)对于象素小于或等于16位的图片,都有一个颜色表用来给图象数据阵列提供颜色索引,其中的每块数据都以B、G、R的顺序排列,还有一个是reserved保留位。而在图形数据区域存放的是各个象素点的索引值。它的C语言结构如图5所示。
图5 颜色表数据结构
2.3)对于24位和32位的图片,没有彩色表,他在图象数据区里直接存放图片的RGB数据,其中的每个象素点的数据都以B、G、R的顺序排列。每个象素点的数据结构如图6所示。
图6 图象数据阵列的数据结构
2.4)由于图象数据阵列中的数据是从图片的最后一行开始往上存放的,因此在显示图象时,是从图象的左下角开始逐行扫描图象,即从左到右,从下到上。
2.5)对S3C2410或PXA255开发板上的LCD来说,他们每个象素点所占的位数为16位,这16位按B:G:R=5:6:5的方式分,其中B在更高位,R在更低位。而从bmp图象得到的R、G、B数据则每个数据占8位,合起来一共24位,因此需要对该R、G、B数据进行移位组合成一个16位的数据。移位方法如下:
b >>= 3; g >>= 2; r >>= 3;
RGBValue = ( rwidth/lcd_width;
heightScale=bmpi->height/lcd_height;
本程序中方块的大小以如下的方式确定:
unsigned int paneWidth=
unsigned int paneHeight= ;
符号 代表向上取整。
(2)、从图片的左上角开始,以(i* widthScale,j* heightScale)位起始点,以宽paneWidth 高paneHeight为一个小方块,对该方块的R、G、B数值分别取平均,得到映射点的R、G、B值,把该点作为要在LCD上显示的第(i , j)点存储起来。
这部分的程序如下:
//取平均
for( i=0;ir=div_round(color_sum_r,paneHeight*paneWidth);
RGBvalue_256->g=div_round(color_sum_g,paneHeight*paneWidth);
RGBvalue_256->b=div_round(color_sum_b,paneHeight*paneWidth);
}
}
4) 图片数据提取及显示的总流程
通过以上的分析,整个图片数据提取及显示的总流程如图8 所示。
图 8
图像显示应用程序:
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
struct fb_dev
{
//for frame buffer
int fb;
void *fb_mem; //frame buffer mmap
int fb_width, fb_height, fb_line_len, fb_size;
int fb_bpp;
} fbdev;
//得到framebuffer的长、宽和位宽,成功则返回0,失败返回-1
int fb_stat(int fd)
{
struct fb_fix_screeninfo fb_finfo;
struct fb_var_screeninfo fb_vinfo;
if (ioctl(fd, FBIOGET_FSCREENINFO, &fb_finfo))
{
perror(__func__);
return (-1);
}
if (ioctl(fd, FBIOGET_VSCREENINFO, &fb_vinfo))
{
perror(__func__);
return (-1);
}
fbdev.fb_width = fb_vinfo.xres;
fbdev.fb_height = fb_vinfo.yres;
fbdev.fb_bpp = fb_vinfo.bits_per_pixel;
fbdev.fb_line_len = fb_finfo.line_length;
fbdev.fb_size = fb_finfo.em_len;
return (0);
}
//转换RGB888为RGB565(因为当前LCD是采用的RGB565显示的)
unsigned short RGB888toRGB565(unsigned char red, unsigned char green, unsigned char blue)
{
unsigned short B = (blue >> 3) & 0x001F;
unsigned short G = ((green >> 2) > 3) width) || (y > height))
return (-1);
unsigned short *dst = ((unsigned short *) fbmem + y * width + x);
*dst = color;
return 0;
}
int main(int argc, char **argv)
{
int fb;
FILE *infile;
struct jpeg_decompress_struct cinfo;
int x,y;
unsigned char *buffer;
char s;
struct jpeg_error_mgr jerr;
if ((fb = open(“/dev/fb0”, O_RDWR))
改成
extern “C” {
#include
}
这里是有问题的,注意gcc 会把LCD.C当成c++编译,而把LCD.c当成C语言编译,改成lcd.c后就没有上边红色部分错误
由于是有的是JPEG解码库,链接的时候需要加上-ljpeg 选项
使用命令 arm-linux-gcc -ljpeg LCD.C -o LCD #add -ljpeg option 编译源文件成功,
文章知识点与官方知识档案匹配
CS入门技能树Linux入门初识Linux
23099 人正在系统学习中
点击阅读全文
打开CSDN,阅读体验更佳
开发板lcd上显示图片
#include #include #include “lcd.h” #include “regs.h” extern const unsigned char gImage_6; //extern const unsigned char gImage_5; extern const unsigned char gImage_a; extern const unsigned char test; static unsigned short drawb; //it is a public draw area unsigned char mask={0x80,0x40,0x20,0x10,0x08,0x04,0x02,0x01}; unsigned char mat={0x00,0x00,0x10,0x38, 0x6c,0xc6,0xfe,0xc6, 0xc6,0xc6,0xc6,0x00, 0x00,0x00,0x00,0x00 };
lcd屏幕显示bmp、jpg图片
文章目录BMP图片显示:jpeg压缩过程 RGB: ARGB 32bit 4Byte A:【24-31】 R:【16-23】 G:【8-15】 B:【0-7】 图片显示 显示思路: (1)打开液晶屏(open),进行内存映射(mmap) (2)打开图片,读取颜色数据 (3)将读取到的颜色数据映射到液晶屏 (4)关闭图片文件,液晶屏,解除内存映射 BMP图片显示: 没有经过压缩的二进制位图文件,文件较大,获取颜色数据方便 一张800*480的bmp格式的图片=Byt
继续访问
最新发布 【正点原子I.MX6U-MINI应用篇】6、嵌入式Linux在LCD屏幕上显示字符
嵌入式Linux在LCD屏幕上显示字符
继续访问
数码相框(十六、LCD显示JPG格式图片)
注:本人已购买韦东山老师第三期项目视频,内容来源《数码相框项目视频》,只用于学习记录,如有侵权,请联系删除。 1. LCD 如何显示一张图片? 假如下图是是我们的 JZ2440 开发板,它有一个块显存、LCD控制器、LCD显示屏,LCD是如何显示张图片的呢? 如上图所示: ① 图片的颜色数据存放在显存,LCD 控制器会自动从显存取出图片的一个个颜色数据发送给LCD,取到最后又从头开始的循环取数据,最终把一张图片的全部颜色数据发送到LCD上,从而在LCD显示出该图片; ② 显存存放的数据是RGB数据;.
继续访问
linux滚动屏幕,基于MIDP1.0实现屏幕滚动(转)
本例介绍了一个常用的编程技巧,就是如何基于MIDP1.0实现屏幕的滚动效果。在MIDP2.0可以借助LayerManager的的“可视窗口”来实现。MIDP1.0通过变化坐标系来实现屏幕的滚动效果,只要借助Graphics.translate()方法。package com.j2medev.translate;import javax.microedition.midlet.*;import ja…
继续访问
Linux系统LCD显示图片的原理,linux驱动开发:用户空间操作LCD显示简单的图片【转】…
上一章我们简单介绍了LCD的一些基本原理。当然更深奥的还有,比如gamma,dither,HUE,satuation.OSD等等.我们知道我们是用framebuffer来实现显示的.显存:framebuffer.由DDRAM中划去一部分内存供显存使用.从而操作lcd相当于操作显存.lcd控制器(s5pv210里面有lcd控制器)会周期的获取framebuffer中的数据。经过处理丢给 显示屏的lc…
继续访问
linux中如何在fb上显示
framebuffer 帧缓冲
帧缓冲(framebuffer)是Linux 系统为显示设备提供的一个接口,它将显示缓冲区抽象,屏蔽图像硬件的底层差异,允许上层应用程序在图形模式下直接对显示缓冲区进行读写操作。用户不必关心物理显示缓冲区的具置及存放方式,这些都由帧缓冲设备驱动本身来完成。 framebuffer机制模仿显卡的功能,将显卡硬件结构抽象为一系列的数据结构,可以通过fra…
继续访问
如何让linux fb0显示命令行,linux – 如何将/ dev / fb0用作来自用户空间的控制台,或者将文本输出到它…
所以我有一个Palm Pre(原始P100EWW)模型,我启用了开发人员模式,并安装了Debian Squeeze chroot.效果很好.我计划将这个用于任何东西(bittorrent peer,web server)但是一部手机.我注意到我是否做了猫/ dev / urandom> / dev / fb0它实际上将随机像素写入屏幕,直到生成设备错误上没有剩余空格.真棒,现在我可以使用显示…
继续访问
linux 如何查看fb中分辨率_linux下直接写framebuffer(fb0)的方式显示bmp图像
linux下的显示设备就是/dev/fb0,往该设备写入的数据会显示在屏幕上,所以我们可以通过直接写frame buffer这个/dev/fb0设备来实现bmp图像的显示,而不用管是在shell文本方式下还是在其他gnome、qt、gtk、wayland等图形模式下,都能显示出来。当前前提是你的linux下必须具有该设备并支持读写(无特殊处理的linux都有该设备)。代码(支持16位、24位或32…
继续访问
Linux下LCD编程(fb设备_console_汉化)
继续访问
如何改造 Linux 虚拟终端显示文字
CJKTTY 补丁是什么,为什么我写了它 当你不使用 X 的时候,打开电脑,你就在使用虚拟终端。这么多年来它工作的很好,直到它来到了中国。包含中文字符的文件名无法正确显示,中文文档无法阅读。当然可以使用 X , 但是我为什么不能让终端也能显示汉字呢?如果在 X 下我能让屏幕显示汉字,终端下一定也能。为此我开始了 internet 上的搜寻。 我找到了 fbterm,这是个可以利用 /dev/
继续访问
LCD图片显示、触摸屏、音乐播放、缩放图片和播放视频
讲解LCD的原理和mmap函数,BMP格式图片的的显示,触摸屏的概念和原理以及触摸屏输入的解读,以及音乐视频播放和图片缩放。
继续访问
undefined reference to `jpeg_std_error(jpeg_error_mgr*)
背景 linux + QT BMP图片转JPG #include 编译错误: root@happy-virtual-machine:/home/happy/Lee/Detector2# make arm-linux-g++ -Wl,-O1 -Wl,-rpath,/opt/qt-4.7.1/lib -o Detector2 main.o…
继续访问
linux屏幕滑动效果实现代码,使用swipe方法模拟屏幕滑动与手势密码绘制
前言App自动化测试中有两个很重要的操作,屏幕滑动与绘制手势密码。目前很多App在启动时,都存在启动时的引导动画或者加载上下文内容时需要手动上滑或者下滑加载页面,所以在自动化测试的过程中模拟手的滑动操作看起来就很重要了;第二个比较重要的是模拟手动绘制九宫格完成手势密码的设置,这种手势密码在我了解的范围内,大多在金融类的app中最常见,还有一些对用户信息保密性较好的app中,所以,模拟绘制手势密码也…
继续访问
Linux下LCD图片放大缩小实现,仿QQ空间滑动图片放大缩小控件
先来看一下效果:scrollzoom_listview.gif一、设计思路与实现步骤1、本例是通过重写ListView来实现的,头部的图片是ListView的HeadView。定义一个headview.xml布局文件,在这个布局文件中放一个ImageView,并给IamgeView设置一个初始高度2、实现下拉图片放大当ListView处于顶部的时候下拉实现图片放大,这里要用的一个核心的方法是ove…
继续访问
无法解析的外部符号 jpeg_std_error
1>dlib.lib(png_loader.obj) : error LNK2023: 无法解析的外部符号 png_set_sig_bytes 1>dlib.lib(png_loader.obj) : error LNK2023: 无法解析的外部符号 png_sig_cmp 1>dlib.lib(png_loader.obj) : error LNK2023: 无法解析的外部符号…
继续访问
Linux LCD驱动(二)——图形显示
BMP和JPEG图形显示程序 1) 在LCD上显示BMP或JPEG图片的主流程图 首先,在程序开始前。要在nfs/dev目录下创建LCD的设备结点,设备名fb0,设备类型为字符设备,主设备号为29,次设备号为0。命令如下: mknod fb0 c 29 0 在LCD上显示图象的主流程图如图1所示。程序一开始要调用open函数打开设备,然后调用ioctl获取设备相关信息,接下来就是读取图形
继续访问
嵌入式Linux下完成LCD屏文字显示(帧缓冲框架)
帧缓冲框架是Linux下专门为显示类设备设计的接口,目的是将硬件和软件层分离开,方便应用层的编程,也方便应用层程序移植。帧缓冲框架向驱动层和应用层分别提供了一套标准接口,驱动层按照框架编写驱动,应用层按照框架编写应用程序。帧缓冲在/dev目录下生成的标准节点是fb,比如:/dev/fb0,/dev/fb1等等。
继续访问
linux 如何查看fb中分辨率_通过Linux FrameBuffer将像素绘制到屏幕上
急!!!利用 iptables 实现 linux 防火墙功能有关问题
自己看:
什么是Iptables?
iptables 是建立在 netfilter 架构基础上的一个包过滤管理工具,最主要的作用是用来做防火墙或透明代理。Iptables 从 ipchains 发展而来,它的功能更为强大。Iptables 提供以下三种功能:包过滤、NAT(网络地址转换)和通用的 pre-route packet mangling。包过滤:用来过滤包,但是不修改包的内容。Iptables 在包过滤方面相对于 ipchians 的主要优点是速度更快,使用更方便。NAT:NAT 可以分为源地址 NAT 和目的地址 NAT。
Iptables 可以追加、插入或删除包过滤规则。实际上真正执行这些过虑规则的是 netfilter 及其相关模块(如 iptables 模块和 nat 模块)。Netfilter 是 Linux 核心中一个通用架构,它提供了一系列的 “表”(tables),每纤毁个表由若春竖梁干 “链”(chains)组成,而每条链中可以有一条或数条 “规则”(rule)组成。
系统缺省的表为 “filter”,该表中包含了 INPUT、FORWARD 和 OUTPUT 3 个链。
每一条链中可以有一条或数条规则,每一条规则都是这样定义的:如果数据包头符合这样的条件,就这样处理这个数据包。当一个数据包到达一个链时,系统就会从之一条规则开始检查,看是否符合该规则所定义的条件: 如果满足,系统将根据该条规则所定义的方法处理该数据包;如果不满足则继续检查下一条规则。最后,如果该数据包不符合该链中任一条规则的话,系统就会根据该链预先定义的策略来处理该数据包。
? table,chain,rule
iptables 可以操纵3 个表:filter 表,nat 表,mangle 表。
NAT 和一般的 mangle 用 -t 参数指定要操作哪个表。filter 是默认的表,如果没有 -t 参数,就默认对 filter 表操作。
Rule 规则:过滤规则,端口转发规则等,例如:禁止任何机器 ping 我们的服务器,可以在服务器上设置一条规则:
iptables -A INPUT -s ! 127.0.0.1 -p icmp -j DROP
从 –s 开始即是一条规则,-j 前面是规则的条件,-j 开始是规则的行为(目的)。整条扒运命令解释为,在filter 表中的 INPUT 规则链中插入一条规则,所有源地址不为 127.0.0.1 的 icmp 包都被抛弃。
Chain 规则链:由一系列规则组成,每个包顺序经过 chain 中的每一条规则。chain 又分为系统 chain和用户创建的 chain。下面先叙述系统 chain。
filter 表的系统 chain: INPUT,FORWAD,OUTPUT
nat 表的系统 chain: PREROUTING,POSTROUTING,OUTPUT
mangle 表的系统 chain: PREROUTING,OUTPUT
每条系统 chain 在确定的位置被检查。比如在包过滤中,所有的目的地址为本地的包,则会进入INPUT 规则链,而从本地出去的包会进入 OUTPUT 规则链。
所有的 table 和 chain 开机时都为空,设置 iptables 的方法就是在合适的 table 和系统 chain 中添相应的规则。
——
IPTABLES 语法:
表: iptables从其使用的三个表(filter、nat、mangle)而得名, 对包过滤只使用 filter 表, filter还是默认表,无需显示说明.
操作命令: 即添加、删除、更新等。
链:对于包过滤可以针对filter表中的INPUT、OUTPUT、FORWARD链,也可以操作用户自定义的链。
规则匹配器:可以指定各种规则匹配,如IP地址、端口、包类型等。
目标动作:当规则匹配一个包时,真正要执行的任务,常用的有:
ACCEPT 允许包通过
DROP 丢弃包
一些扩展的目标还有:
REJECT 拒绝包,丢弃包同时给发送者发送没有接受的通知
LOG 包有关信息记录到日志
TOS 改写包的TOS值
为使FORWARD规则能够生效,可使用下面2种方法的某种:
# vi /proc/sys/net/ipv4/ip_forward
# echo “1” > /proc/sys/net/ipv4/ip_forward
# vi /etc/sysconfig/network
# echo “FORWARD_IPV4=true” > /etc/sysconfig/network
iptables语法可以简化为下面的形式:
iptables CMD
常用操作命令:
-A 或 -append 在所选链尾加入一条或多条规则
-D 或 -delete 在所选链尾部删除一条或者多条规则
-R 或 -replace 在所选链中替换一条匹配规则
-I 或 -insert 以给出的规则号在所选链中插入一条或者多条规则. 如果规则号为1,即在链头部.
-L 或 -list 列出指定链中的所有规则,如果没有指定链,将列出链中的所有规则.
-F 或 -flush 清除指定链和表中的所由规则, 假如不指定链,那么所有链都将被清空.
-N 或 -new-chain 以指定名创建一条新的用户自定义链,不能与已有链名相同.
-X 或 -delete-chain 删除指定的用户定义帘,必需保证链中的规则都不在使用时才能删除,若没有指定链,则删除所有用户链.
-P 或 -policy 为永久帘指定默认规则(内置链策略),用户定义帘没有缺省规则,缺省规则也使规则链中的最后一条规则,用-L显示时它在之一行显示.
-C 或 -check 检查给定的包是否与指定链的规则相匹配.
-Z 或 -zero 将指定帘中所由的规则包字节(BYTE)计数器清零.
-h 显示帮助信息.
—–
常用匹配规则器:
-p , protocol 指出要匹配的协议,可以是tcp, udp, icmp, all, 前缀!为逻辑非,表示除该协议外的所有协议.
-s address 指定源地址或者地址范围.
-sport port 指定源端口号或范围,可以用端口号也可以用/ETC/SERVICES文件中的名子.
-d address 指定目的地址或者地址范围.
-dport port 指定目的端口号或范围,可以用端口号也可以用/ETC/SERVICES文件中的名子.
-icmp-type typename 指定匹配规则的ICMP信息类型(可以使用 iptables -p icmp -h 查看有效的ICMP类型名)
-i interface name 匹配单独或某种类型的接口,此参数忽略时,默认符合所有接口,接口可以使用”!”来匹配捕食指定接口来的包.参数interface是接口名,如 eth0, eht1, ppp0等,指定一个目前不存在的接口是完全合法的,规则直到接口工作时才起作用,折中指定对于PPP等类似连接是非常有用的.”+”表示匹配所有此类型接口.该选项只针对于INPUT,FORWARD和PREROUTING链是合法的.
-o interface name 匹配规则的对外网络接口,该选项只针对于OUTPUT,FORWARD,POSTROUTING链是合法的.
–syn 仅仅匹配设置了SYN位, 清除了ACK, FIN位的TCP包. 这些包表示请求初始化的TCP连接.阻止从接口来的这样的包将会阻止外来的TCP连接请求.但输出的TCP连接请求将不受影响.这个参数仅仅当协议类型设置为了TCP才能使用. 此参数可以使用”!”标志匹配已存在的返回包,一般用于限制网络流量,即只允许已有的,向外发送的连接所返回的包.
—
如何制定永久规则集:
/etc/sysconfig/iptables 文件是 iptables 守护进程调用的默认规则集文件.
可以使用以下命令保存执行过的IPTABLES命令:
/in/iptables-save > /etc/sysconfig/iptables
要恢复原来的规则库,可以使用:
/in/iptables-restore
iptables命令和route等命令一样,重启之后就会恢复,所以:
# service iptables save
将当前规则储存到 /etc/sysconfig/iptables:
令一种方法是 /etc/rc.d/init.d/iptables 是IPTABLES的启动脚本,所以:
# /etc/rc.d/init.d/iptables save
将当前规则储存到 /etc/sysconfig/iptables:
以上几种方法只使用某种即可.
若要自定义脚本,可直接使用iptables命令编写一个规则脚本,并在启动时执行:
例如若规则使用脚本文件名/etc/fw/rule, 则可以在/etc/rc.d/rc.local中加入以下代码:
if ; then /etc/fw/sule; fi;
这样每次启动都执行该规则脚本,如果用这种方法,建议NTSYSV中停止IPTABLES.
—
实例:
链基本操作:
# iptables -L -n
(列出表/链中的所有规则,包过滤防火墙默认使用的是filter表,因此使用此命令将列出filter表中所有内容,-n参数可加快显示速度,也可不加-n参数。)
# iptables -F
(清除预设表filter中所有规则链中的规则)
# iptables -X
(清除预设表filter中使用者自定义链中的规则)
# iptables -Z
(将指定链规则中的所有包字节计数器清零)
—-
设置链的默认策略,默认允许所有,或者丢弃所有:
# iptables -P INPUT ACCEPT
# iptables -P OUTPUT ACCEPT
# iptables -P FORWARD ACCEPT
(以上我们在不同方向设置默认允许策略,若丢弃则应是DROP,严格意义上防火墙应该是DROP然后再允许特定)
向链中添加规则,下面的例子是开放指定网络接口(信任接口时比较实用):
# iptables -A INPUT -i eth1 -j ACCEPT
# iptables -A OUTPUT -o eth1 -j ACCEPT
# iptables -A FORWARD -i eth1 -j ACCEPT
# iptables -A FORWARD -o eth1 -j ACCEPT
——
使用用户自定义链:
# iptables -N brus
(创建一个用户自定义名叫brus的链)
# iptables -A brus -s 0/0 -d 0/0 -p icmp -j DROP
(在此链中设置了一条规则)
# iptables -A INPUT -s 0/0 -d 0/0 -j brus
(向默认的INPUT链添加一条规则,使所有包都由brus自定义链处理)
基本匹配规则实例:
匹配协议:
iptables -A INPUT -p tcp
(指定匹配协议为TCP)
iptables -A INPUT -p ! tcp
(指定匹配TCP以外的协议)
匹配地址:
iptables -A INPUT -s 192.168.1.1
(匹配主机)
iptables -A INPUT -s 192.168.1.0/24
(匹配网络)
iptables -A FORWARD -s ! 192.168.1.1
(匹配以外的主机)
iptables -A FORWARD -s ! 192.168.1.0/24
(匹配以外的网络)
匹配接口:
iptables -A INPUT -i eth0
iptables -A FORWARD -o eth0
(匹配某个指定的接口)
iptables -A FORWARD -o ppp+
(匹配所有类型为ppp的接口)
匹配端口:
iptables -A INPUT -p tcp –sport www
iptables -A INPUT -p tcp –sport 80
(匹配单一指定源端口)
iptables -A INPUT -p ucp –dport 53
(匹配单一指定目的端口)
iptables -A INPUT -p ucp –dport ! 53
(指定端口以外)
iptables -A INPUT -p tcp –dport 22:80
(指定端口范围,这里我们实现的是22到80端口)
指定IP碎片的处理:
# iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 192.168.1.234 –dport 80 -j ACCEPT
# iptables -A FORWARD -f -p tcp -s 192.168.1.0/24 -d 192.168.1.234 –dport 80 -j ACCEPT
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT tcp.168.1.0/.168.1.tcp dpt:http
ACCEPT tcp -f 192.168.1.0/.168.1.tcp dpt:http
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
设置扩展的规测匹配:
(希望获得匹配的简要说明,可使用: iptables -m name_of_match –help)
多端口匹配扩展:
iptables -A INPUT -p tcp -m multiport –source-port 22,53,80
(匹配多个源端口)
iptables -A INPUT -p tcp -m multiport –destination-port 22,53,80
(匹配多个目的端口)
iptables -A INPUT -p tcp -m multiport –port 22,53,80
(匹配多个端口,无论是源还是目的端口)
TCP匹配扩展:
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,ACK SYN
(表示SYN、ACK、FIN的标志都要被检查,但是只有设置了SYN的才匹配)
iptables -A INPUT -p tcp –tcp-flags ALL SYN,ACK
(表示ALL:SYN、ACK、FIN、RST、URG、PSH的标志都被检查,但是只有设置了SYN和ACK的才匹配)
iptables -p tcp –syn
(选项–syn是以上的一种特殊情况,相当于“–tcp-flags SYN,RST,ACK SYN”的简写)
limit速率匹配扩展:
# iptables -A FORWARD -m limit –limit 300/hour
(表示限制每小时允许通过300个数据包)
# iptables -A INPUT -m limit –limit-burst 10
(–limit-burst指定触发时间的值(默认为5),用来比对瞬间大量数据包的数量。)
(上面的例子用来比对一次同时涌入的数据包是否超过十个,超过此上限的包将直接被丢弃)
# iptables -A FORWARD -p icmp -m limit –limit 3/m –limit-burst 3
(假设均匀通过,平均每分钟3个,那么触发值burst保持为3。如果每分钟通过的包的数目小于3,那么触发值busrt将在每个周期(若每分钟允许通过3个,则周期数为20秒)后加1,但更大值为3。每分钟要通过的包数量如果超过3,那么触发值busrt将减掉超出的数值,例如第二分钟有4个包,那么触发值变为2,同时4个包都可以通过,第三分钟有6个包,则只能通过5个,触发值busrt变为0。之后,每分钟如果包数量小于等于3个,则触发值busrt将加1,如果每分钟包数大于3,触发值busrt将逐渐减少,最终维持为0)
(即每分钟允许的更大包数量等于限制速率(本例中为3)加上当前的触发值busrt数。任何情况下,都可以保证3个包通过,触发值busrt相当于是允许额外的包数量)
基于状态的匹配扩展(连接跟踪):
每个网络连接包括以下信息:源和目的地址、源和目的端口号,称为套接字对(cocket pairs);协议类型、连接状态(TCP协议)和超时时间等。防火墙把这些叫做状态(stateful)。能够监测每个连接状态的防火墙叫做状态宝过滤防火墙,除了能完成普通包过滤防火墙的功能外,还在自己的内存中维护一个跟踪连接状态的表,所以拥有更大的安全性。
其命令格式如下:
iptables -m state –state state
state表示一个用逗号隔开的的列表,用来指定的连接状态可以有以下4种:
NEW:该包想要开始一个连接(重新连接或将连接重定向)。
RELATED:该包属于某个已经建立的连接所建立的新连接。例如FTP的数据传输连接和控制连接之间就是RELATED关系。
ESTABLISHED:该包属于某个已经建立的连接。
INVALID:该包不匹配于任何连接,通常这些包会被DROP。
例如:
# iptables -A INPUT -m state –state RELATED,ESTABLISHED
(匹配已经建立的连接或由已经建立的连接所建立的新连接。即匹配所有的TCP回应包)
# iptables -A INPUT -m state –state NEW -i ! eth0
(匹配所有从非eth0接口来的连接请求包)
下面是一个被动(Passive)FTP连接模式的典型连接跟踪
# iptables -A INPUT -p tcp –sport 1024: –dport 1024: -m state –state ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -p tcp –sport 1024: –dport 1024: -m state –state ESTABLISHED,RELATED -j ACCEPT
下面是一个主动(Active)FTP连接模式的典型连接跟踪
# iptables -A INPUT -p tcp –sport 20 -m state –state ESTABLISHED,RELATED -j ACCEPT
# iptables -A INPUT -p tcp –dport 20 -m state –state ESTABLISHED -j ACCEPT
—
日志记录:
格式为: -j LOG –log-level 7 –log-prefix “……”
# iptables -A FORWARD -m tcp -p tcp -j LOG
# iptables -A FORWARD -m icmp -p icmp -f -j LOG
# iptables -A FORWARD -s 192.168.1.0/24 -d 10.10.10.0/24 -p tcp –sport 80 -j LOG
# iptables -A INPUT -m limit –limit 3/minute –limit-burst 3 -j LOG –log-prefix “INPUT packet died:”
# iptables -A INPUT -p tcp ! –syn -m state –state NEW -j LOG –log-prefix “New net syn:”
——
回答你的问题:
1:设置为DROP默认不允许,然后你再开启,这样比门户大开再阻止某些服务来的安全(避免遗漏)
2:前面阻止了后面就无效了,有先后顺序的.
linux gpre -o的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于linux gpre -o,利用linux gpre o提高代码的优化性能,linux怎么在lcd显示一张400*240的照片并放在中间,急!!!利用 iptables 实现 linux 防火墙功能有关问题的信息别忘了在本站进行查找喔。
