1. IF=`/sbin/route | grep -i 'default' | awk '{print$8}'`
2. IP=`/sbin/ifconfig $IF | grep "inet addr" | awk -F":" '{print$2}' | awk '{print $1}'`
3. IPT="/usr/local/sbin/iptables"
4. NET="any/0"
5. DNS="xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy.yyy"
6. SERV_TCP="22 25 80 443 110"
7. SERV_UDP="53 123"
8. HI_PORTS="1024:65535"
9.
10. $IPT -F
11. $IPT -P INPUT DROP
12. $IPT -P OUTPUT DROP
13. $IPT -P FORWARD DROP
14.
15. for entry in $DNS, do
16. $IPT -A OUTPUT -o $IF -p udp -s $IP --sport $HI_PORTS -d $entry --dport 53 -m state --state NEW -j ACCEPT
17. $IPT -A INPUT -i $IF -p udp -s $entry --sport 53 -d $IP --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
18. done
19.
20. for port in $SERV_UDP; do
21. if test $port -eq 53
22. then
23. $IPT -A INPUT -i $IF -p udp -s $NET --sport $port -d $IP --dport $port -m state --state NEW,ESTABLISHED -j ACCEPT
24. $IPT -A OUTPUT -o $IF -p udp -s $IP --sport $port -d $NET --dport $port -m state --state ESTABLISHED -j ACCEPT
25. else
26. $IPT -A INPUT -i $IF -p udp -s $NET --sport $HI_PORTS -d $IP --dport $port -m state --state NEW -j ACCEPT
27. $IPT -A OUTPUT -o $IF -p udp -s $IP --sport $port -d $NET --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
28. fi
29. done
30.
31. for port in $ SERV_TCP; do
32. $IPT -A INPUT -i $IF -p tcp --syn -s $NET --sport $HI_PORTS -d $IP --dport $port -m state --state NEW -j ACCEPT
33. $IPT -A OUTPUT -o $IF -p tcp ! --syn -s $IP --sport $port -d $NET --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
34. $IPT -A INPUT -i $IF -p tcp ! --syn -s $NET --sport $HI_PORTS -d $IP --dport $port -m state --state ESTABLISHED -j ACCEPT
35. done
36.
37. $IPT -A INPUT -i $IF -d $IP -m limit --limit 1/s -j LOG --log-level 5 --log-prefix "BAD_INPUT: "
38. $IPT -A INPUT -i $IF -d $IP -j DROP
39. $IPT -A OUTPUT -i $IF -d $IP -m limit --limit 1/s -j LOG --log-level 5 --log-prefix "BAD_OUTPUT: "
40. $IPT -A OUTPUT -i $IF -d $IP -j DROP
41. $IPT -A FORWARD -i $IF -d $IP -m limit --limit 1/s -j LOG --log-level 5 --log-prefix "BAD_FORWARD: "
42. $IPT -A FORWARD -i $IF -d $IP -j DROP

$IPT -A INPUT -m state --state INVALID -m limit --limit 1/s -j LOG --log-prefix "INVALID_STATE: "
$IPT -A INPUT -m state --state INVALID -j DROP

$IPT -A INPUT -i $IF -s $IP -d $IP -m limit --limit 1/s -j LOG --log-prefix "SPOOFING: "
$IPT -A INPUT -i $IF -s $IP -d $IP -j DROP

a. $IPT -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -s $NET -j DROP

b. $IPT -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -s $NET -j DROP

$IPT -A INPUT -p tcp ! --syn -s $NET --sport $HI_PORTS -d $IP --dport $port -m state --state NEW -m limit --limit 1/s -j LOG --log-prefix "INVALID_SERVICE_REQUEST: "
$IPT -A INPUT -p tcp ! --syn -s $NET --sport $HI_PORTS -d $IP --dport $port -m state --state NEW -j DROP

$IPT -A INPUT -i $IF -p tcp --syn -s $NET --sport $HI_PORTS -d $IP --dport $port -m state --state NEW -j ACCEPT

$IPT -A INPUT -i $IF -p tcp --syn -s $NET --sport $HI_PORTS -d $IP --dport $port -m limit --limit 3/s --limit-burst 5 -m state --state NEW -j ACCEPT

$IPT -A INPUT -i $IF -p tcp --syn -s $NET --sport $HI_PORTS -d $IP --dport $port -m state --state NEW -j ACCEPT

$IPT -A INPUT -i $IF -p tcp --syn -s $NET --sport $HI_PORTS -d $IP --dport $port -m state --state NEW -m connlimit ! --connlimit-above 2 -j ACCEPT

$IPT -A INPUT -i $IF -p tcp --syn -s $NET --sport $HI_PORTS -d $IP --dport $port -m state --state NEW -j ACCEPT

$IPT -A INPUT -i $IF -p tcp --syn -s $NET --sport $HI_PORTS -d $IP --dport $port -m state --state NEW -m length --length 40:60 -j ACCEPT

$IPT -A INPUT -i $IF -p udp -s $NET --sport $port -d $IP --dport $port -m state --state NEW,ESTABLISHED -m limit --limit 2/s --limit-burst 2 -j ACCEPT
$IPT -A OUTPUT -o $IF -p udp -s $IP --sport $port -d $NET --dport $port -m state --state ESTABLISHED -m limit --limit 2/s --limit-burst 2 -j ACCEPT

NON_NET="10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 224.0.0.0/4 240.0.0.0/5 169.254.0.0/16 192.0.2.0/24"
for entry in $NON_NET; do
$IPT -A INPUT -i $IF -s $entry -m limit --limit 1/s -j LOG --log-level 5 --log-prefix "BAD_NET: "
$IPT -A INPUT -i $IF -s $entry -j DROP
done

OK_ICMP="0 3 4 8 11"
for item in $OK_ICMP; do
$IPTABS -A INPUT -i $IF -s $NET -p icmp --icmp-type $item -j ACCEPT
$IPTABS -A OUTPUT -o $IF -s $IP -p icmp --icmp-type $item -j ACCEPT
done

$IPTABS -A INPUT -i $IF -s $NET -p icmp --icmp-type $item -m limit --limit 1/s --limit-burst 1 -j ACCEPT
$IPTABS -A OUTPUT -o $IF -s $IP -p icmp --icmp-type $item -m limit --limit 1/s --limit-burst 1 -j ACCEPT

$IPTABS -A INPUT -i $IF -s $NET -p icmp --icmp-type $item -m state --state ESTABLISHED -m limit --limit 1/s --limit-burst 1 -j ACCEPT
$IPTABS -A OUTPUT -o $IF -s $IP -p icmp --icmp-type $item -m state --state NEW,ESTABLISHED -m limit --limit 1/s --limit-burst 1 -j ACCEPT

$IPTABS -A INPUT -i $IF -s $NET -p icmp --icmp-type $item -m length 42:43 -m limit --limit 1/s --limit-burst 1 -j ACCEPT
$IPTABS -A OUTPUT -o $IF -s $IP -p icmp --icmp-type $item -m length 42:43 -m limit --limit 1/s --limit-burst 1 -j ACCEPT

cvs -d :pserver:anoncvs@subversions.gnu.org:/cvsroot/grub login
Password: <ENTER>
cvs -d :pserver:anoncvs@subversions.gnu.org:/cvsroot/grub co grub
cvs -d :pserver:anoncvs@subversions.gnu.org:/cvsroot/grub logout

stage1
Giai đoạn 1, là một hình ảnh chính dùng đề khởi động GRUB, kích thước 512 byte.
stage2
Giai đoạn 2, là hình ảnh cốt lõi của GRUB.
e2fs_stage1_5
fat_stage1_5
ffs_stage1_5
jfs_stage1_5
minix_stage1_5
reiserfs_stage1_5
vstafs_stage1_5
xfs_stage1_5

Checking "/boot/grub/stage1" no
Checking "/grub/stage1" yes
Checking "/grub/stage2" yes
Checking "/grub/stage1_5" yes
Running "embed/grub/e2fs_stage1_5 (hd0)" 22 sectors are embedded
Running "install /grub/stage1 d (hd0) (hd0)1+22 p (hd2,0)/grub/stage2 /grub/menu.lst”

--help
In tóm tắt về các tuỳ chọn dòng lệnh và thoát.
--version
In số phiên bản của GRUB và thoát.
--force-lba
Bắt buộc GRUB dùng chế độ LBA. Chỉ dùng tuỳ chọn này nếu BIOS không hoạt động ở chế độ LBA mặc dù nó hỗ trợ chế độ LBA.
--root-directory=thư_mục
Cài các hình ảnh GRUB vào thư mục thư_mục thay vì vào thư mục root. Tuỳ chọn này có ích khi bạn muốn cài GRUB vào một phân vùng riêng biệt hoặc vào một ổ đĩa di động Thí dụ cho trường hợp bạn có một thư mục boot riêng được gán tại /boot:
grub-install --root-directory=/boot 'hd0'
--grub-shell=tập_tin
Dùng tập_tin làm shell grub. Bạn có thể thêm các tuỳ chọn tuỳ ý vào tập_tin sau tên tập tin, thí dụ:
grub-install --grub-shell="grub –read-only" /dev/fd0
--recheck
Kiểm tra lại ánh xạ thiết bị, ngay cả khi /boot/grub/device.map đã tồn tại. Nên dùng tuỳ chọn này mỗi khi thêm/tháo một đĩa vào/ra khỏi máy tính.

#!/bin/sh
# Du`ng /usr/sbin/grub ne^'u o+? he^. tho^'ng cu~.
/sbin/grub --batch <<EOT 1>/dev/null 2>/dev/null
root (hd0,0)
setup (hd0)
quit
EOT

--help
In tóm tắt về các tuỳ chọn dòng lệnh và thoát.
--version
In số phiên bản của GRUB và thoát.
--verbose
In các thông điệp verbose nhằm mục đích gỡ lỗi.
--device-map=tập_tin
Dùng tập tin ánh xạ thiết bị tập_tin.
--no-floppy
Không thăm dò ổ đĩa mềm. Tuỳ chọn này không có tác dụng nếu tuỳ chọn --device-map được chỉ định.
--probe-second-floppy
Thăm dò ổ đĩa mềm thứ hai. Shell grub không thăm dò nó nếu tuỳ chọn này không được chỉ định vì đôi khi nó cần thời gian lâu. Shell grub bỏ qua tuỳ chọn này nếu đã chỉ đinh tập tin ánh xạ thiết bị.
--config-file=tập_tin
Đọc tập tin cấu hình tập_tin thay vì /boot/grub/menu.lst.
--boot-drive=ổ_đĩa
Thiết lập ổ đĩa khởi động stage2 là ổ_đĩa. Đối số này là một số nguyên (thập thân, bát phân hay thập lục phân).
--install-partition=phân_vùng
Thiết lập phân vùng khởi động stage2 là phân_vùng. Đối số này là một số nguyên (thập thân, bát phân hay thập lục phân).
--no-config-file
Không dùng tập tin cấu hình.
--no-curses
Không dùng giao diện curses.
--batch
Tuỳ chọn này có cùng ý nghĩa như --no-config-file --no-curses.
--read-only
Không viết vào bất cứ đĩa nào.

#
# /etc/grubfd.conf – ta.o ddi~a me^`m kho+?i ddo^.ng
#
# DDe^? ca`i grub va`o ddi~a me^`m, nha^.p le^.nh sau:
# grep -v ^# /etc/grubfd.conf | grub --batch
#
root (fd0)
install /boot/grub/stage1 d (fd0) (fd0)/boot/grub/stage2 0x8000 p (fd0)/boot/grub/menu.lst
quit
Bạn dùng lệnh sau để cài GRUB vào đĩa mềm (đã được chú thích trong tập tin đó):
grep -v ^# /etc/grubfd.conf | grub --batch

#
# Ta^.p tin ca^'u hi`nh thu+.c ddo+n ma^~u
#
Đây là các dòng bình luận. GRUB bỏ qua các dùng bắt đầu với kí tự # và các dòng trống.
# Theo ma(.c ddi.nh, kho+?i ddo^.ng dde^` mu.c thu+' nha^'t
default 0
Đề mục thứ nhất (lưu ý là đếm bắt đầu từ 0 chứ không phải 1) sẽ là lựa chọn mặc định.
# Tu+. ddo^.ng kho+?i ddo^.ng sau 30 gia^y
timeout 30
GRUB sẽ khởi động tự động sau 30 giây, trừ khi bị ngắt bởi một nhấn phím.
# Quay la.i dde^` mu.c thu+' hai
fallback 1
Nếu vì bất cứ lí do nào mà đề mục mặc định không hoạt động, quay lại đề mục thứ hai. Ở phần định nghĩa cho hệ điều hành, mỗi đề mục bắt đầu bằng một lệnh đặc biệt title. Không có lệnh boot ở cuối đề mục vì nó sẽ tự động thực hiện nếu GRUB nạp thành công các lệnh khác.
Đối số cho lệnh title được dùng để trình bày một tựa/miêu tả ngắn cho đề mục.
# DDe^? kho+?i ddo^.ng GNU/Linux
title GNU/Linux
kernel (hd1,0)/vmlinuz root=/dev/hdb1
Khởi động GNU/Linux từ đĩa cứng thứ hai.
# DDe^? kho+?i ddo^.ng FreeBSD
title FreeBSD
root (hd0,2,a)
kernel /boot/loader
Khởi động nhân FreeBSD tải từ phân vùng a trên PC slice thứ ba của đĩa cứng thứ nhất.
# DDe^? kho+?i ddo^.ng OS/2
title OS/2
root (hd0,1)
makeactive
# na.p chuo^~i tri`nh kho+?i ddo^.ng OS/2 tu+` sector thu+' nha^'t
chainloader +1
# Na.p chuo^~i mo^.t ta^.p tin cu. the^?
#chainloader /boot/chain.os2
Khởi động OS/2 dùng cách nạp chuỗi.
# DDe^? kho+?i ddo^.ng Windows NT hoa(.c Windows95
title Thu+.c ddo+n kho+?i ddo^.ng Windows NT / Windows 95
root (hd0,0)
makeactive
chainloader +1
# DDe^? na.p DOS ne^'u co' ca`i Windows NT
# chainload /bootsect.dos
Khởi động Windows bằng cách nạp chuỗi.
# DDe^? kho+?i ddo^.ng mo^.t he^. ddie^`u ha`nh tre^n ddi~a me^`m
title floppy
pause Ga`i ddi~a me^`m va`o o^? ddi~a
root (fd0)
chainloader +1
Khởi động một hệ điều hành từ đĩa mềm.
# DDe^? ca`i GRUB va`o ddi~a cu+'ng
title Ca`i GRUB va`o ddi~a cu+'ng
root (hd0,0)
setup (hd0)
Cài (cài lại) GRUB vào đĩa cứng.
# Thay ddo^?i ma`u sa('c.
title Thay ddo^?i ma`u sa('c
color light-green/brown blink-red/blue
Thay đổi màu sắc của thực đơn.
# Ta?i mo^.t thu+.c ddo+n kha'c
title Thu+.c ddo+n bo^? sung
configfile (hd0,4)/boot/grub/control.lst

title Kho+?i ddo^.ng DOS
lock
rootnoverify (hd0,1)
makeactive
chainload +1[b]

--help
In tóm tắt các tuỳ chọn dòng lệnh và thoát
--version
In thông tin phiên bản và thoát
--grub-shell=tập_tin
Dùng tập_tin làm shell grub

<C-f>
<PC mũi tên phải>
Di chuyển về trước một kí tự.
<C-b>
<PC mũi tên trái>
Di chuyển về sau một kí tự.
<C-a>
<HOME>
Di chuyển về đầu dòng.
<C-e>
<END>
Di chuyển về cuối dòng.
<C-d>
<DEL>
Xoá kí tự bên dưới con trỏ.
<C-h>
<BS>
Xoá kí tự bên trái con trỏ..
<C-k>
Xoá đoạn văn bản từ vị trí con trỏ hiện tại đến cuối dòng.
<C-u>
Xoá ngược đoạn văn bản từ vị trí con trỏ hiện tại đến đầu dòng.
<C-y>
Lấy lại đoạn văn bản đã xoá vào bộ đệm tại con trỏ.
<C-p>
<PC mũi tên lên>
Di chuyển lên trên trong danh sách các lệnh vừa gõ.
<C-n>
<PC mũi tên xuống>
Di chuyển xuống dưới trong danh sách các lệnh vừa gõ.

default số
Thiết lập mặc định cho đề mục số số. Việc đánh số bắt đầu từ 0, và đề mục số 0 là mặc định nếu lệnh này không được dùng.
Có thể chỉ định saved thay vì một con số. Khi đó, đề mục mặc định là đề mục được lưu bằng lệnh savedefault.
fallback số
Nếu đề mục mặc định có lỗi, ngay lập tức chuyển qua đề mục số thay vì chờ người dùng thao tác. Cách đánh số giống như ở lệnh default. Có thể thiết lập nhiều hơn một fallback.
hiddenmenu
Không hiển thị thực đơn trên thiết bị đầu cuối và đề mục mặc định sẽ được khởi động sau khi hết thời gian chờ. Người dùng vẫn có thể yêu cầu hiển thị thực đơn bằng cách ấn <ESC> trước khi thời gian chờ hết.
timeout gy
Thiết lập thời gian chờ, tính bằng gy giây, trước khi tự động khởi động vào đề mục mặc định.
title tên ...
Bắt đầu một đề mục khởi động mới; nội dung của phần còn lại của dòng này, bắt đầu bằng kí tự đầu tiên không phải là khoảng trắng, được lấy làm tên cho đề mục đó.

1. IF=`/sbin/route | grep -i 'default' | awk '{print$8}'`
2. IP=`/sbin/ifconfig $IF | grep "inet addr" | awk -F":" '{print$2}' | awk '{print $1}'`
3. IPT="/usr/local/sbin/iptables"
4. NET="any/0"
5. DNS="xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy.yyy"
6. SERV_TCP="22 25 80 443 110"
7. SERV_UDP="53 123"
8. HI_PORTS="1024:65535"
9.
10. $IPT -F
11. $IPT -P INPUT DROP
12. $IPT -P OUTPUT DROP
13. $IPT -P FORWARD DROP
14.
15. for entry in $DNS, do
16. $IPT -A OUTPUT -o $IF -p udp -s $IP --sport $HI_PORTS -d $entry --dport 53 -m state --state NEW -j ACCEPT
17. $IPT -A INPUT -i $IF -p udp -s $entry --sport 53 -d $IP --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
18. done
19.
20. for port in $SERV_UDP; do
21. if test $port -eq 53
22. then
23. $IPT -A INPUT -i $IF -p udp -s $NET --sport $port -d $IP --dport $port -m state --state NEW,ESTABLISHED -j ACCEPT
24. $IPT -A OUTPUT -o $IF -p udp -s $IP --sport $port -d $NET --dport $port -m state --state ESTABLISHED -j ACCEPT
25. else
26. $IPT -A INPUT -i $IF -p udp -s $NET --sport $HI_PORTS -d $IP --dport $port -m state --state NEW -j ACCEPT
27. $IPT -A OUTPUT -o $IF -p udp -s $IP --sport $port -d $NET --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
28. fi
29. done
30.
31. for port in $ SERV_TCP; do
32. $IPT -A INPUT -i $IF -p tcp --syn -s $NET --sport $HI_PORTS -d $IP --dport $port -m state --state NEW -j ACCEPT
33. $IPT -A OUTPUT -o $IF -p tcp ! --syn -s $IP --sport $port -d $NET --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
34. $IPT -A INPUT -i $IF -p tcp ! --syn -s $NET --sport $HI_PORTS -d $IP --dport $port -m state --state ESTABLISHED -j ACCEPT
35. done
36.
37. $IPT -A INPUT -i $IF -d $IP -m limit --limit 1/s -j LOG --log-level 5 --log-prefix "BAD_INPUT: "
38. $IPT -A INPUT -i $IF -d $IP -j DROP
39. $IPT -A OUTPUT -i $IF -d $IP -m limit --limit 1/s -j LOG --log-level 5 --log-prefix "BAD_OUTPUT: "
40. $IPT -A OUTPUT -i $IF -d $IP -j DROP
41. $IPT -A FORWARD -i $IF -d $IP -m limit --limit 1/s -j LOG --log-level 5 --log-prefix "BAD_FORWARD: "
42. $IPT -A FORWARD -i $IF -d $IP -j DROP

$IPT -A INPUT -m state --state INVALID -m limit --limit 1/s -j LOG --log-prefix "INVALID_STATE: "
$IPT -A INPUT -m state --state INVALID -j DROP

$IPT -A INPUT -i $IF -s $IP -d $IP -m limit --limit 1/s -j LOG --log-prefix "SPOOFING: "
$IPT -A INPUT -i $IF -s $IP -d $IP -j DROP

a. $IPT -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -s $NET -j DROP

b. $IPT -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -s $NET -j DROP

$IPT -A INPUT -p tcp ! --syn -s $NET --sport $HI_PORTS -d $IP --dport $port -m state --state NEW -m limit --limit 1/s -j LOG --log-prefix "INVALID_SERVICE_REQUEST: "
$IPT -A INPUT -p tcp ! --syn -s $NET --sport $HI_PORTS -d $IP --dport $port -m state --state NEW -j DROP

$IPT -A INPUT -i $IF -p tcp --syn -s $NET --sport $HI_PORTS -d $IP --dport $port -m state --state NEW -j ACCEPT

$IPT -A INPUT -i $IF -p tcp --syn -s $NET --sport $HI_PORTS -d $IP --dport $port -m limit --limit 3/s --limit-burst 5 -m state --state NEW -j ACCEPT

$IPT -A INPUT -i $IF -p tcp --syn -s $NET --sport $HI_PORTS -d $IP --dport $port -m state --state NEW -j ACCEPT

$IPT -A INPUT -i $IF -p tcp --syn -s $NET --sport $HI_PORTS -d $IP --dport $port -m state --state NEW -m connlimit ! --connlimit-above 2 -j ACCEPT

$IPT -A INPUT -i $IF -p tcp --syn -s $NET --sport $HI_PORTS -d $IP --dport $port -m state --state NEW -j ACCEPT

$IPT -A INPUT -i $IF -p tcp --syn -s $NET --sport $HI_PORTS -d $IP --dport $port -m state --state NEW -m length --length 40:60 -j ACCEPT

$IPT -A INPUT -i $IF -p udp -s $NET --sport $port -d $IP --dport $port -m state --state NEW,ESTABLISHED -m limit --limit 2/s --limit-burst 2 -j ACCEPT
$IPT -A OUTPUT -o $IF -p udp -s $IP --sport $port -d $NET --dport $port -m state --state ESTABLISHED -m limit --limit 2/s --limit-burst 2 -j ACCEPT

NON_NET="10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 224.0.0.0/4 240.0.0.0/5 169.254.0.0/16 192.0.2.0/24"
for entry in $NON_NET; do
$IPT -A INPUT -i $IF -s $entry -m limit --limit 1/s -j LOG --log-level 5 --log-prefix "BAD_NET: "
$IPT -A INPUT -i $IF -s $entry -j DROP
done

OK_ICMP="0 3 4 8 11"
for item in $OK_ICMP; do
$IPTABS -A INPUT -i $IF -s $NET -p icmp --icmp-type $item -j ACCEPT
$IPTABS -A OUTPUT -o $IF -s $IP -p icmp --icmp-type $item -j ACCEPT
done

$IPTABS -A INPUT -i $IF -s $NET -p icmp --icmp-type $item -m limit --limit 1/s --limit-burst 1 -j ACCEPT
$IPTABS -A OUTPUT -o $IF -s $IP -p icmp --icmp-type $item -m limit --limit 1/s --limit-burst 1 -j ACCEPT

$IPTABS -A INPUT -i $IF -s $NET -p icmp --icmp-type $item -m state --state ESTABLISHED -m limit --limit 1/s --limit-burst 1 -j ACCEPT
$IPTABS -A OUTPUT -o $IF -s $IP -p icmp --icmp-type $item -m state --state NEW,ESTABLISHED -m limit --limit 1/s --limit-burst 1 -j ACCEPT

$IPTABS -A INPUT -i $IF -s $NET -p icmp --icmp-type $item -m length 42:43 -m limit --limit 1/s --limit-burst 1 -j ACCEPT
$IPTABS -A OUTPUT -o $IF -s $IP -p icmp --icmp-type $item -m length 42:43 -m limit --limit 1/s --limit-burst 1 -j ACCEPT

cvs -d :pserver:anoncvs@subversions.gnu.org:/cvsroot/grub login
Password: <ENTER>
cvs -d :pserver:anoncvs@subversions.gnu.org:/cvsroot/grub co grub
cvs -d :pserver:anoncvs@subversions.gnu.org:/cvsroot/grub logout

stage1
Giai đoạn 1, là một hình ảnh chính dùng đề khởi động GRUB, kích thước 512 byte.
stage2
Giai đoạn 2, là hình ảnh cốt lõi của GRUB.
e2fs_stage1_5
fat_stage1_5
ffs_stage1_5
jfs_stage1_5
minix_stage1_5
reiserfs_stage1_5
vstafs_stage1_5
xfs_stage1_5

Checking "/boot/grub/stage1" no
Checking "/grub/stage1" yes
Checking "/grub/stage2" yes
Checking "/grub/stage1_5" yes
Running "embed/grub/e2fs_stage1_5 (hd0)" 22 sectors are embedded
Running "install /grub/stage1 d (hd0) (hd0)1+22 p (hd2,0)/grub/stage2 /grub/menu.lst”

--help
In tóm tắt về các tuỳ chọn dòng lệnh và thoát.
--version
In số phiên bản của GRUB và thoát.
--force-lba
Bắt buộc GRUB dùng chế độ LBA. Chỉ dùng tuỳ chọn này nếu BIOS không hoạt động ở chế độ LBA mặc dù nó hỗ trợ chế độ LBA.
--root-directory=thư_mục
Cài các hình ảnh GRUB vào thư mục thư_mục thay vì vào thư mục root. Tuỳ chọn này có ích khi bạn muốn cài GRUB vào một phân vùng riêng biệt hoặc vào một ổ đĩa di động Thí dụ cho trường hợp bạn có một thư mục boot riêng được gán tại /boot:
grub-install --root-directory=/boot 'hd0'
--grub-shell=tập_tin
Dùng tập_tin làm shell grub. Bạn có thể thêm các tuỳ chọn tuỳ ý vào tập_tin sau tên tập tin, thí dụ:
grub-install --grub-shell="grub –read-only" /dev/fd0
--recheck
Kiểm tra lại ánh xạ thiết bị, ngay cả khi /boot/grub/device.map đã tồn tại. Nên dùng tuỳ chọn này mỗi khi thêm/tháo một đĩa vào/ra khỏi máy tính.

#!/bin/sh
# Du`ng /usr/sbin/grub ne^'u o+? he^. tho^'ng cu~.
/sbin/grub --batch <<EOT 1>/dev/null 2>/dev/null
root (hd0,0)
setup (hd0)
quit
EOT

--help
In tóm tắt về các tuỳ chọn dòng lệnh và thoát.
--version
In số phiên bản của GRUB và thoát.
--verbose
In các thông điệp verbose nhằm mục đích gỡ lỗi.
--device-map=tập_tin
Dùng tập tin ánh xạ thiết bị tập_tin.
--no-floppy
Không thăm dò ổ đĩa mềm. Tuỳ chọn này không có tác dụng nếu tuỳ chọn --device-map được chỉ định.
--probe-second-floppy
Thăm dò ổ đĩa mềm thứ hai. Shell grub không thăm dò nó nếu tuỳ chọn này không được chỉ định vì đôi khi nó cần thời gian lâu. Shell grub bỏ qua tuỳ chọn này nếu đã chỉ đinh tập tin ánh xạ thiết bị.
--config-file=tập_tin
Đọc tập tin cấu hình tập_tin thay vì /boot/grub/menu.lst.
--boot-drive=ổ_đĩa
Thiết lập ổ đĩa khởi động stage2 là ổ_đĩa. Đối số này là một số nguyên (thập thân, bát phân hay thập lục phân).
--install-partition=phân_vùng
Thiết lập phân vùng khởi động stage2 là phân_vùng. Đối số này là một số nguyên (thập thân, bát phân hay thập lục phân).
--no-config-file
Không dùng tập tin cấu hình.
--no-curses
Không dùng giao diện curses.
--batch
Tuỳ chọn này có cùng ý nghĩa như --no-config-file --no-curses.
--read-only
Không viết vào bất cứ đĩa nào.

#
# /etc/grubfd.conf – ta.o ddi~a me^`m kho+?i ddo^.ng
#
# DDe^? ca`i grub va`o ddi~a me^`m, nha^.p le^.nh sau:
# grep -v ^# /etc/grubfd.conf | grub --batch
#
root (fd0)
install /boot/grub/stage1 d (fd0) (fd0)/boot/grub/stage2 0x8000 p (fd0)/boot/grub/menu.lst
quit
Bạn dùng lệnh sau để cài GRUB vào đĩa mềm (đã được chú thích trong tập tin đó):
grep -v ^# /etc/grubfd.conf | grub --batch

#
# Ta^.p tin ca^'u hi`nh thu+.c ddo+n ma^~u
#
Đây là các dòng bình luận. GRUB bỏ qua các dùng bắt đầu với kí tự # và các dòng trống.
# Theo ma(.c ddi.nh, kho+?i ddo^.ng dde^` mu.c thu+' nha^'t
default 0
Đề mục thứ nhất (lưu ý là đếm bắt đầu từ 0 chứ không phải 1) sẽ là lựa chọn mặc định.
# Tu+. ddo^.ng kho+?i ddo^.ng sau 30 gia^y
timeout 30
GRUB sẽ khởi động tự động sau 30 giây, trừ khi bị ngắt bởi một nhấn phím.
# Quay la.i dde^` mu.c thu+' hai
fallback 1
Nếu vì bất cứ lí do nào mà đề mục mặc định không hoạt động, quay lại đề mục thứ hai. Ở phần định nghĩa cho hệ điều hành, mỗi đề mục bắt đầu bằng một lệnh đặc biệt title. Không có lệnh boot ở cuối đề mục vì nó sẽ tự động thực hiện nếu GRUB nạp thành công các lệnh khác.
Đối số cho lệnh title được dùng để trình bày một tựa/miêu tả ngắn cho đề mục.
# DDe^? kho+?i ddo^.ng GNU/Linux
title GNU/Linux
kernel (hd1,0)/vmlinuz root=/dev/hdb1
Khởi động GNU/Linux từ đĩa cứng thứ hai.
# DDe^? kho+?i ddo^.ng FreeBSD
title FreeBSD
root (hd0,2,a)
kernel /boot/loader
Khởi động nhân FreeBSD tải từ phân vùng a trên PC slice thứ ba của đĩa cứng thứ nhất.
# DDe^? kho+?i ddo^.ng OS/2
title OS/2
root (hd0,1)
makeactive
# na.p chuo^~i tri`nh kho+?i ddo^.ng OS/2 tu+` sector thu+' nha^'t
chainloader +1
# Na.p chuo^~i mo^.t ta^.p tin cu. the^?
#chainloader /boot/chain.os2
Khởi động OS/2 dùng cách nạp chuỗi.
# DDe^? kho+?i ddo^.ng Windows NT hoa(.c Windows95
title Thu+.c ddo+n kho+?i ddo^.ng Windows NT / Windows 95
root (hd0,0)
makeactive
chainloader +1
# DDe^? na.p DOS ne^'u co' ca`i Windows NT
# chainload /bootsect.dos
Khởi động Windows bằng cách nạp chuỗi.
# DDe^? kho+?i ddo^.ng mo^.t he^. ddie^`u ha`nh tre^n ddi~a me^`m
title floppy
pause Ga`i ddi~a me^`m va`o o^? ddi~a
root (fd0)
chainloader +1
Khởi động một hệ điều hành từ đĩa mềm.
# DDe^? ca`i GRUB va`o ddi~a cu+'ng
title Ca`i GRUB va`o ddi~a cu+'ng
root (hd0,0)
setup (hd0)
Cài (cài lại) GRUB vào đĩa cứng.
# Thay ddo^?i ma`u sa('c.
title Thay ddo^?i ma`u sa('c
color light-green/brown blink-red/blue
Thay đổi màu sắc của thực đơn.
# Ta?i mo^.t thu+.c ddo+n kha'c
title Thu+.c ddo+n bo^? sung
configfile (hd0,4)/boot/grub/control.lst

title Kho+?i ddo^.ng DOS
lock
rootnoverify (hd0,1)
makeactive
chainload +1[b]

--help
In tóm tắt các tuỳ chọn dòng lệnh và thoát
--version
In thông tin phiên bản và thoát
--grub-shell=tập_tin
Dùng tập_tin làm shell grub

<C-f>
<PC mũi tên phải>
Di chuyển về trước một kí tự.
<C-b>
<PC mũi tên trái>
Di chuyển về sau một kí tự.
<C-a>
<HOME>
Di chuyển về đầu dòng.
<C-e>
<END>
Di chuyển về cuối dòng.
<C-d>
<DEL>
Xoá kí tự bên dưới con trỏ.
<C-h>
<BS>
Xoá kí tự bên trái con trỏ..
<C-k>
Xoá đoạn văn bản từ vị trí con trỏ hiện tại đến cuối dòng.
<C-u>
Xoá ngược đoạn văn bản từ vị trí con trỏ hiện tại đến đầu dòng.
<C-y>
Lấy lại đoạn văn bản đã xoá vào bộ đệm tại con trỏ.
<C-p>
<PC mũi tên lên>
Di chuyển lên trên trong danh sách các lệnh vừa gõ.
<C-n>
<PC mũi tên xuống>
Di chuyển xuống dưới trong danh sách các lệnh vừa gõ.

default số
Thiết lập mặc định cho đề mục số số. Việc đánh số bắt đầu từ 0, và đề mục số 0 là mặc định nếu lệnh này không được dùng.
Có thể chỉ định saved thay vì một con số. Khi đó, đề mục mặc định là đề mục được lưu bằng lệnh savedefault.
fallback số
Nếu đề mục mặc định có lỗi, ngay lập tức chuyển qua đề mục số thay vì chờ người dùng thao tác. Cách đánh số giống như ở lệnh default. Có thể thiết lập nhiều hơn một fallback.
hiddenmenu
Không hiển thị thực đơn trên thiết bị đầu cuối và đề mục mặc định sẽ được khởi động sau khi hết thời gian chờ. Người dùng vẫn có thể yêu cầu hiển thị thực đơn bằng cách ấn <ESC> trước khi thời gian chờ hết.
timeout gy
Thiết lập thời gian chờ, tính bằng gy giây, trước khi tự động khởi động vào đề mục mặc định.
title tên ...
Bắt đầu một đề mục khởi động mới; nội dung của phần còn lại của dòng này, bắt đầu bằng kí tự đầu tiên không phải là khoảng trắng, được lấy làm tên cho đề mục đó.

[*] Network device support
..........................
<M> Universal TUN/TAP device driver support
Ngoài ra bạn phải kích hoạt tính năng MASQUERADE trong cấu hình netfilter của hạt nhân linux:
Networking -->
IP: Netfilter Configuration -->
IP tables support -->
Full NAT -->
<M> MASQUERADE target support

# ping -c 2 www.gentoo.org
PING www.gentoo.org (207.170.82.202): 56 octets data
64 octets from 207.170.82.202: icmp_seq=0 ttl=240 time=119.6 ms
64 octets from 207.170.82.202: icmp_seq=1 ttl=240 time=92.0 ms
--- www.gentoo.org ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 92.0/105.8/119.6 ms

127.:allow,RELAYCLIENT=””
192.168.1.:allow,RELAYCLIENT=””
10.10.10.50:allow,RELAYCLIENT=””
<a href="mailto:spamboy@spamhouse.com">spamboy@spamhouse.com</a>:deny
badhost.net:deny
.:deny

1 telnet 192.168.1.200 25
2 220 My company mail server - Welcome ESMTP
3 HELO
4 250 My company mail server – Welcome
5 MAIL FROM: <spamboy@spamhouse.com>
6 250 ok
7 RCPT TO: <reciepient@someonecompany.com>
8 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)

1 telnet 192.168.1.200 25
2 220 My company mail server - Welcome ESMTP
3 HELO
4 250 My company mail server – Welcome
5 MAIL FROM: <spamboy@spamhouse.com>
6 250 ok
7 RCPT TO: <someone@mydomain.net>
8 250 ok
9 DATA
10 354 go ahead
11 From: <a href="mailto:spamboy@spamhouse.com">spamboy@spamhouse.com</a>
12 To: <a href="mailto:someone@mydomain.net">someone@mydomain.net</a>
13 Subject: a relay test
14 This is only a test for open relay
15 .
16 250 ok 1041050865 qp 12150
17 QUIT
18 221 My company mail server – Welcome
19
20 Connection to host lost.

#!/bin/sh
# concurincoming is not standard qmail control file
# it is created manually to specify the allowed concurrent incoming messages
#
QMAILDUID=`id -u qmaild`
NOFILESGID=`id -g qmaild`
MAXSMTPD=`cat /var/qmail/control/concurincoming`
if [ -z "$QMAILDUID" -o -z "$NOFILESGID" -o -z "$MAXSMTPD" ]; then
echo QMAILDUID, NOFILESGID, or MAXSMTPD is not set in
echo /var/qmail/supervise/qmail-smtpd/run
echo “Have you set qmaild UID & qmaild GID yet?”
exit 1
fi
exec /usr/local/bin/softlimit -m 6291456 \
/usr/local/bin/tcpserver -v -p -x /etc/tcp.smtp.cdb -c "$MAXSMTPD" \
-u "$QMAILDUID" -g "$NOFILESGID" 0 smtp /var/qmail/bin/qmail-smtpd 2>&1
Ở trên tcpserver chỉ dùng “tcp.smtp.cdb”, hồ sơ này được “hash” từ “qmail-rules.txt” để chống relay và bom thư theo dạng đơn giản. Cũng với cơ chế này, chúng ta có thể dùng “rblsmtpd” cùng với “tcpserver” để báo cho qmail server biết nó có trách nhiệm phải kiểm tra các mail đi xuyên qua mail gateway có thuộc dạng “SPAM” trước khi được chấp nhận. Phương thức kiểm tra bằng cách đối chiếu dữ kiện ở một trong những RBL servers. Có một số RBL database miễn phí trên internet. Có hai RBL cá nhân tôi dùng là: ordb.org và osirusoft.com (bạn có thể đọc thêm một số tin tức về RBL từ hai site này).
Cách dùng rblsmtpd trong script run của “qmail-smtpd” đơn giản như sau:
exec /usr/local/bin/softlimit -m 6291456 \
/usr/local/bin/tcpserver -v -p -x /etc/tcp.smtp.cdb -c "$MAXSMTPD" \
-u "$QMAILDUID" -g "$NOFILESGID" 0 smtp /usr/local/bin/rblsmtpd -r relays.ordb.org -r relays.osirusoft.com /var/qmail/bin/qmail-smtpd >> /var/log/qmail/rblsmtpd.log 2>&1

#!/bin/sh
# concurincoming is not standard qmail control file
# it is created manually to specify the allowed concurrent incoming messages
#
QMAILDUID=`id -u qmaild`
NOFILESGID=`id -g qmaild`
MAXSMTPD=`cat /var/qmail/control/concurincoming`
if [ -z "$QMAILDUID" -o -z "$NOFILESGID" -o -z "$MAXSMTPD" ]; then
echo QMAILDUID, NOFILESGID, or MAXSMTPD is not set in
echo /var/qmail/supervise/qmail-smtpd/run
echo “Have you set qmaild UID & qmaild GID yet?”
exit 1
fi
exec /usr/local/bin/softlimit -m 6291456 \
/usr/local/bin/tcpserver -v -p -x /etc/tcp.smtp.cdb -c "$MAXSMTPD" \
-u "$QMAILDUID" -g "$NOFILESGID" 0 smtp /var/qmail/bin/qmail-smtpd 2>&1

#!/bin/sh
# set user id and group id for qmail smtp daemon
exec /usr/local/bin/setuidgid qmaill /usr/local/bin/multilog t s5000000000 /var/log/qmail/smtpd

127.:allow,RELAYCLIENT=””
192.168.1.:allow,RELAYCLIENT=””
10.10.10.50:allow,RELAYCLIENT=””
<a href="mailto:spamboy@spamhouse.com">spamboy@spamhouse.com</a>:deny
badhost.net:deny
.:deny

#!/bin/sh
# Dùng splogger để chuyển log xuyên qua syslog
# Dùng binmail để chuyển giao thông điệp đến /var/spool/mail/$USER theo default
# Dùng V7 binmail interface: /bin/mail -f
exec env – PATH=”/var/qmail/bin:$PATH” \
qmail-start \
`|preline -f /bin/mail -f "${SENDER:-MAILER-DAEMON}" -d "$USER"` \
splogger mail

#!/bin/sh
# Dùng multilog của daemontools để gởi log đến /var/log/qmail
# Dùng /var/qmail/control/defaultdelivery làm hồ sơ configuration
# Dùng ./Mailbox làm phương thức chuyển giao thông điệp
exec env – PATH=”/var/qmail/bin:$PATH” \
qmail-start “`cat /var/qmail/control/defaultdelivery`”

#!/bin/sh
# Người dùng RedHat có thể giản tiện chu trình sắp xếp
# “runlevel” với lệnh “chkconfig”
# chkconfig: - 80 30
# description: qmail as MTA
# Phần kế tiếp dùng để chỉnh user environment
PATH=/var/qmail/bin:/bin:/usr/bin:/usr/local/bin:/usr/local/sbin
export PATH
# Xác định variables cho qmail daemon ID và user group ID
QMAILDUID=`id -u qmaild`
NOFILESGID-`id -g qmaild`
# Bắt đầu tạo ra các trường hợp hoạt dụng cho supervise
case “$1” in
start)
echo -n “Starting qmail: svscan”
cd /var/qmail/supervise
env – PATH=”$PATH” svscan &
echo $! > /var/run/svscan.pid
echo “.”
;;
stop)
echo -n “Stopping qmail: svscan
kill `cat /var/run/svscan.pid`
echo -n “ qmail down”
svc -dx /var/qmail/supervise/*
echo -n “ logging down too”
svc -dx /var/qmail/supervise/*/log
echo “.”
;;
stat)
cd /var/qmail/supervise
svstat * */log
;;
doqueue)
echo “Sending ALRM signal to qmail-send”
svc -a /var/qmail/supervise/qmail-send
;;
queue)
qmail-qstat
qmail-qread
reload)
echo “Sending HUP signal to qmail-send”
svc -h /var/qmail/supervise/qmail-send
;;
pause)
echo “Pausing qmail-send”
svc -p /var/qmail/supervise/qmail-send
echo “Pausing qmail-smtpd”
svc -p /var/qmail/supervise/qmail-smtpd
;;
cont)
echo “Continuing qmail-send”
svc -c /var/qmail/supervise/qmail-send
echo “Continuing qmail-smtpd”
svc -c /var/qmail/supervise/qmail-smtpd”
;;
restart)
echo “Restarting qmail:”
echo “* Stopping qmail-smtpd”
svc -d /var/qmail/supervise/qmail-smtpd
echo “* Sending qmail-send SIGTERM and restarting”
svc -t /var/qmail/supervise/qmail-send
echo “* Restarting qmail-smtpd”
svc -u /var/qmail/supervise/qmail-smtpd
;;
cdb)
echo “Do not forget to modify /etc/smtprules/qmail-rules.txt or it will use the old cdb”
cat /etc/smtprules/qmail-rules.txt | tcprules /etc/tcp.smtp.cdb /tmp/tcp.smtp.tmp
chmod 644 /etc/tcp.smtp*
echo “/etc/tcp.smtp.cdb is reloaded”
;;
help)
cat <<HELP
stop -- stops mail service (smtp connections refused, nothing goes out)
start -- starts mail service (smtp connection accepted, mail can go out)
pause -- temporarily stops mail service (connections accepted, nothing leaves)
cont -- continues paused mail service
stat -- displays status of mail service
cdb -- rebuild the tcpserver cdb file for smtp
restart -- stops and restarts smtp, sends qmail-send a TERM & restarts it
doqueue -- sends qmail-send ALRM, scheduling queued messages for delivery
reload -- sends qmail-send HUP, rereading locals and virtualdomains
queue -- shows status of queue
HELP
;;
*)
echo “Usage: $0 {start|stop|restart|doqueue|reload|stat|pause|cont|cdb|queue|help}”
exit 1
;;
esac
exit 0

# =================================================
# Basic settings
# =================================================
ServerType standalone
ServerRoot "/usr/local/apache"
PidFile /usr/local/apache/logs/httpd.pid
ScoreBoardFile /usr/local/apache/logs/httpd.scoreboard
ResourceConfig /dev/null
AccessConfig /dev/null
# =================================================
# Performance settings
# =================================================
Timeout 300
KeepAlive On
MaxKeepAliveRequests 100
KeepAliveTimeout 15
MinSpareServers 5
MaxSpareServers 10
StartServers 5
MaxClients 150
MaxRequestsPerChild 0
# =================================================
# Apache's modules
# =================================================
ClearModuleList
AddModule mod_log_config.c
AddModule mod_mime.c
AddModule mod_dir.c
AddModule mod_access.c
AddModule mod_auth.c
# =================================================
# General settings
# =================================================
Port 80
User apache
Group apache
ServerAdmin Webmaster@www.ebank.lab
UseCanonicalName Off
ServerSignature Off
HostnameLookups Off
ServerTokens Prod
<IfModule mod_dir.c>
DirectoryIndex index.html
</IfModule>
DocumentRoot "/www/vhosts"
# =================================================
# Access control
# =================================================
<Directory />
Options None
AllowOverride None
Order deny,allow
Deny from all
</Directory>
<Directory "/www/vhosts/www.ebank.lab">
Order allow,deny
Allow from all
</Directory>
<Directory "/www/vhosts/www.test.lab">
Order allow,deny
Allow from all
</Directory>
# =================================================
# MIME encoding
# =================================================
<IfModule mod_mime.c>
TypesConfig /usr/local/apache/conf/mime.types
</IfModule>
DefaultType text/plain
<IfModule mod_mime.c>
AddEncoding x-compress Z
AddEncoding x-gzip gz tgz
AddType application/x-tar .tgz
</IfModule>
# =================================================
# Logs
# =================================================
LogLevel warn
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent
ErrorLog /usr/local/apache/logs/error_log
CustomLog /usr/local/apache/logs/access_log combined
# =================================================
# Virtual hosts
# =================================================
NameVirtualHost *
<VirtualHost *>
DocumentRoot "/www/vhosts/www.ebank.lab"
ServerName "www.ebank.lab"
ServerAlias "www.e-bank.lab"
ErrorLog logs/www.ebank.lab/error_log
CustomLog logs/www.ebank.lab/access_log combined
</VirtualHost>
<VirtualHost *>
DocumentRoot "/www/vhosts/www.test.lab"
ServerName "www.test.lab"
ErrorLog logs/www.test.lab/error_log
CustomLog logs/www.test.lab/access_log combined
</VirtualHost>

#!/bin/sh
CHROOT=/chroot/httpd/
HTTPD=/usr/local/apache/bin/httpd
PIDFILE=/usr/local/apache/logs/httpd.pid
echo -n " apache"
case "$1" in
start)
/usr/sbin/chroot $CHROOT $HTTPD
;;
stop)
kill `cat ${CHROOT}/${PIDFILE}`
;;
*)
echo ""
echo "Usage: `basename $0` {start|stop}" >&2
exit 64
;;
esac
exit 0

./configure --prefix=/usr/local/apache --disable-module=all --server-uid=apache --server-gid=apache --enable-module=access --enable-module=log_config --enable-module=dir --enable-module=mime --enable-module=auth

ldd (All): lists dynamic dependencies of executable files or shared libraries
ktrace/ktruss/kdump (*BSD): Enables kernel process tracing, Displays kernel trace data
sotruss (Solaris): Traces shared library procedure calls
strace/ltrace (Linux): Traces system calls and signals
strings (All): Finds the printable strings in binary files
trace (AIX): Records selected system events
trace (freeware) (HP-UX <10.20): Print system call and kernal traces of processes
truss (FreeBSD, Solaris, AIX 5L, SCO Unixware): Traces system calls and signals
tusc (freeware) (HP-UX>11): Traces the system calls a process invokes in HP-UX 11

/
|--bin
|--boot
|--dev
|--etc
|--lib
|--mnt
|--opt
|--sbin
|--tmp
|--usr
|--var
|......

/apache-root
|--httpd
|--dev
|--etc
|--var
| |--run
|--usr
| |--lib
| |--libexec
| |--local
| | |--apache
| | | |--bin
| | | |--logs
| | | |--conf
|--www

1. IF=`/sbin/route | grep -i 'default' | awk '{print $8}'`
2. IP=`/sbin/ifconfig $IF | grep "inet addr" | awk -F":" '{print $2}' | awk '{print $1}'`
3. IPT="/usr/local/sbin/iptables"
4.
5. $IPT -F
6. $IPT -P INPUT DROP
7. $IPT -P OUTPUT DROP
8. $IPT -P FORWARD DROP
9.
10. $IPT -A OUTPUT -o $IF -s $IP -j ACCEPT
11. $IPT -A INPUT -i $IF -d $IP -m state --state ESTABLISHED,RELATED -j ACCEPT

12. $IPT -A INPUT -i $IF -d $IP -m limit --limit 1/s -j LOG --log-level 5 --log-prefix "BAD_INPUT: "
13. $IPT -A INPUT -i $IF -d $IP -j DROP
14. $IPT -A OUTPUT -i $IF -d $IP -m limit --limit 1/s -j LOG --log-level 5 --log-prefix "BAD_OUTPUT: "
15. $IPT -A OUTPUT -o $IF -d $IP -j DROP
16. $IPT -A FORWARD -i $IF -d $IP -m limit --limit 1/s -j LOG --log-level 5 --log-prefix "BAD_FORWARD: "
17. $IPT -A FORWARD -i $IF -d $IP -j DROP

$IPT -A OUTPUT -o $IF -s $IP -p tcp -d any/0 -m multiport --dport 80,443,5050 -j ACCEPT

$IPT -A OUTPUT -o $IF -s $IP -p tcp -d any/0 -m multiport --dport 80,443,5050 -m state state NEW,ESTABLISHED -j ACCEPT

$IPT -A OUTPUT -o $IF -s $IP -p udp -d <DNS_của_ISP> --dport 53 -m state state NEW,ESTABLISHED -j ACCEPT

$IPT -A OUTPUT -o $IF -s $IP -p tcp -d any/0 -m multiport --dport 54321,12345 -j DROP
$IPT -A OUTPUT -o $IF -s $IP -p udp -d any/0 -m multiport --dport 54321,12345 -j DROP

1. IF=`/sbin/route | grep -i 'default' | awk '{print $8}'`
2. IP=`/sbin/ifconfig $IF | grep "inet addr" | awk -F":" '{print $2}' | awk '{print $1}'`
3. IPT="/usr/local/sbin/iptables"
4. ISP_DNS="xxx.xxx.xxx.xxx"
5. $IPT -F
6. $IPT -P INPUT DROP
7. $IPT -P OUTPUT DROP
8. $IPT -P FORWARD DROP
9. $IPT -A OUTPUT -o $IF -s $IP -p tcp -d any/0 -m multiport --dport 80,443,5050 -m state state NEW,ESTABLISHED -j ACCEPT
10. $IPT -A OUTPUT -o $IF -s $IP -p udp -d $ISP_DNS --dport 53 -m state state NEW,ESTABLISHED -j ACCEPT
11. $IPT -A INPUT -i $IF -d $IP -m state --state ESTABLISHED,RELATED -j ACCEPT
12. $IPT -A INPUT -i $IF -d $IP -m limit --limit 1/s -j LOG --log-level 5 --log-prefix "BAD_INPUT: "
13. $IPT -A INPUT -i $IF -d $IP -j DROP
14. $IPT -A OUTPUT -i $IF -d $IP -m limit --limit 1/s -j LOG --log-level 5 --log-prefix "BAD_OUTPUT: "
15. $IPT -A OUTPUT -o $IF -d $IP -j DROP
16. $IPT -A FORWARD -i $IF -d $IP -m limit --limit 1/s -j LOG --log-level 5 --log-prefix "BAD_FORWARD: "
17. $IPT -A FORWARD -i $IF -d $IP -j DROP