公网IP：1.2.3.4
排除端口：80,21,22,1723
虚拟机IP：192.168.122.188

可以用以下iptables rules实现：

# /sbin/iptables -t nat -I PREROUTING -i br0 -d 1.2.3.4 -p tcp -m multiport ! –dports 80,21,22,1723 -j DNAT –to 192.168.122.188
# /sbin/iptables -t nat -I POSTROUTING -o br0 -s 192.168.122.188 -j SNAT –to 1.2.3.4
# /sbin/iptables -t filter -I FORWARD -i br0 -d 192.168.122.188 -j ACCEPT
# /sbin/iptables -t filter -I FORWARD -o br0 -s 192.168.122.188 -j ACCEPT

添加时需要注意，libvirtd启动虚拟网络时会自动添加相应的rules、需确定新加rules顺序以及是否与现有的rules冲突，如果启用了iptables的state模块，需要检查是否可以精简部分rules。

由于虚拟机仅仅用于测试，测试完了一般会关机，本着尽量精简iptables匹配rules的原则，虚拟机关闭后还需要手动删除添加的rules。利用libvirtd的hooks可以实现按需添加与清除iptables。

libvirtd的hooks脚本有3个，位于/etc/libvirt/hooks目录，如果不存在，可以手动建立。

1. daemon　在libvird启动、停止、重载配置后执行
2. qemu　　在QEMU虚拟机启动、停止、迁移后执行
3. lxc　　　 在LXC虚拟机启动、停止后执行

/etc/libvirt/hooks/qemu

QEMU虚拟机在启动前，会在以下两种场合执行，任意情况下执行失败，虚拟机将不能启动。
1. libvirt标识资源之前执行[主要用于分配一些不受libvirt管控的资源]

/etc/libvirt/hooks/qemu guest_name prepare begin -

2. libvirt已标识完所有资源但还没启动虚拟机时执行

/etc/libvirt/hooks/qemu guest_name start begin -

与启动对应，在QEMU虚拟机停止后也有相应的hooks，在以下两种情况下被执行
a. 虚拟机关闭后，在libvirt恢复资源标识前执行

/etc/libvirt/hooks/qemu guest_name stopped end -

b. libvirt将所有资源释放后执行

/etc/libvirt/hooks/qemu guest_name release end -

这里用到qemu脚本。

# vi /etc/libvird/hooks/qemu

#!/bin/bash

EXTERNAL_IF=br0
EXTERNAL_IP=204.45.16.35
INTERNAL_IP=192.168.122.188
EXCLUDE_PORTS=80,21,22,1723
IPTCMD=/sbin/iptables

GUEST=$!
ACTION=$2

if [ "$1" = "My-Windows2003" ]; then
  if [ "${ACTION}" = "start" ]; then
    ${IPTCMD} -t nat -I PREROUTING -i ${EXTERNAL_IF} -d ${EXTERNAL_IP} -p tcp -m multiport ! –dports ${EXCLUDE_PORTS} -j DNAT –to ${INTERNAL_IP}
    ${IPTCMD} -t nat -I POSTROUTING -o ${EXTERNAL_IF} -s ${INTERNAL_IP} -j SNAT –to ${EXTERNAL_IP}
    ${IPTCMD} -t filter -I FORWARD -i ${EXTERNAL_IF} -d ${INTERNAL_IP} -j ACCEPT
  elif [ "${ACTION}" = "release" ]; then
    ${IPTCMD} -t nat -D PREROUTING -i ${EXTERNAL_IF} -d ${EXTERNAL_IP} -p tcp -m multiport ! –dports ${EXCLUDE_PORTS} -j DNAT –to ${INTERNAL_IP}
    ${IPTCMD} -t nat -D POSTROUTING -o ${EXTERNAL_IF} -s ${INTERNAL_IP} -j SNAT –to ${EXTERNAL_IP}
    ${IPTCMD} -t filter -D FORWARD -i ${EXTERNAL_IF} -d ${INTERNAL_IP} -j ACCEPT
  fi
fi

# chmod a+x /etc/libvirt/hooks/qemu

注意，如果libvirtd已经在运行中，添加了qemu文件后需重载libvirt配置

# /etc/init.d/libvirtd reload

 打开IE，工具  -> Internet选项 -> “常规”选项卡 -> 浏览历史记录 [设置] -> 移动文件夹

 选择指定文件夹就可以了，IE会默认新建一个名为”Internet 临时文件”的文件夹，些文件夹默认添加了两个属性HIDE SYS，即隐藏文件、系统文件。

Firefox

 新建一个标签页，地址栏中输入about:config 回车，在config列表中右键新建一个字符串配置项，名称为browser.cache.disk.parent_directory，值为要指定的路径。

Google Chrome

 Google Chrome未提供类firefox的配置项，可以在浏览器启动链接后添加一个参数”–disk-cache-dir”来指定临时目录存放位置。

C:\Users\u01\AppData\Local\Google\Chrome\Application\chrome.exe –disk-cache-dir=E:\ChromeCache

这个设置仅对直接点击链接打开的Chrome进程有效，通过外部调用打开的链接仍然没有改变，可以更改注册表项来纠正。HKEY_CLASSES_ROOT\ChromeHTML\shell\open\command，为原值添加一个”–disk-cache-dir”选项。

其中NAT是默认开启的，如果要想外网能访问虚拟机多使用直接分配物理设备或者桥接网络。

NAT:
几乎所有标准的libvirt都支持NAT作为虚拟网络［default virtual network］，virsh net-list –all 可以查看

# virsh net-list –all
Name State Autostart
—————————————–
default active yes

如果相应的xml配置文件丢失，可以从模板中提取：

# virsh net-define /usr/share/libvirt/networks/default.xml

然后将虚拟网络标识为自动启动:

# virsh net-autostart default
# virsh net-start default

查看桥接情况，virbr0 通过NAT和IP转发与实体网络连通，不添加其它接口。

# brctl show
bridge name bridge id STP enabled interfaces
virbr0 8000.000000000000 yes

一般情况下libvirt会自动添加一些规则到iptables，并尝试打开ip_forward功能，但其它应用程序可能会禁止ip_forward，所以最好在/etc/sysctl.conf中添加一项：

net.ipv4.ip_forward = 1

Briged：
一般用于多网卡机器上，NetworkManager不支持桥接，所以需要关闭NetworkManager服务，或者在网络设备的配置文件中添加一选项’NM_CONTROLLED=no’参数

# vim /etc/sysconfig/network-scripts/ifcft-eth0

DEVICE=eth0
HWADDR=00:16:76:D6:C9:45
ONBOOT=yes
BRIDGE=br0

添加br0配置

DEVICE＝br0
ONBOOT=yes
TYPE=Bridge
BOOTPROTO=dhcp
DELAY=0

重启网络服务

service network restart

brctl查看

# brctl show
bridge name bridge id STP enabled interfaces
br0 8000.f0def1341ae6 no eth0
virbr0 8000.000000000000 yes

配置iptables，允许桥接网络的流量转发［用到physdev模块］

# iptables -I FORWARD -m physdev –physdev-is-bridged -j ACCEPT

配置以下内核参数也可以实现：

net.bridge.bridge-nf-call-ip6tables = 0
net.bridge.bridge-nf-call-iptables = 0
net.bridge.bridge-nf-call-arptables = 0

更多信息可参考：http://wiki.libvirt.org/page/VirtualNetworking

/opt/src *(ro)
/opt/src1   192.168.1.1(rw)
/opt/src2 192.168.2.0/24(ro) 192.168.3/255.255.255.0(rw,no_root_squash)
/opt/src3 *.hduo.net(rw,all_squash)
/opt/src4 www.hduo.net(rw, anonuid,anougid,root_squash)

一般来说，文件中的第一行可分成两个字段，第一字段是要导出的目录，即通过nfs共享的目录，第二个字段是对这个目录的权限控制，包括客户端限制和文件权限限制，客户端可以是单台主机［主机名或者IP地址标识］、网段、通配符网段或主机、网组［@netgroupname］，括号内多为权限设置，常见的有：

ro 只读
rw 可读写
root_squash 默认的，NFS会将UID或者GID为0的访问用户映射为anonymous
no_root_squash 不启用root_squash
all_squash 所有访问用户都做anonymous映射
anonuid, anongid 指定anonymous用户的uid\gid

配置文件编辑好启动服务就可以了

# /etc/init.d/nfs start

更改配置文件后，可用exportfs来重新生成导出目录，可不用重启服务

# exportfs -av
# exports -rv

对于开启了iptables的机器，要想提供对外的NFS服务，还必须开启相应的端口，早期版本的NFS服务有关的端口是在配置文件里固定的，新版本的NFS中，相关端口是动态的，当然也可以在配置文件中［/etc/nfsmount.conf］指定，在不指定的情况下可用以下命令来打开端口

# rpcinfo -p localhost | awk ‘$3 ~ /tcp/{print $4}’ | uniq | awk ‘BEGIN{ORS=”,”}{print $0}’ | sed -e ‘s/,$//g’ | xargs -i iptables -I INPUT -p tcp -m state –state NEW -m multiport –dports {} -j ACCEPT
# rpcinfo -p localhost | awk ‘$3 ~ /udp/{print $4}’ | uniq | awk ‘BEGIN{ORS=”,”}{print $0}’ | sed -e ‘s/,$//g’ | xargs -i iptables -I INPUT -p udp -m state –state NEW -m multiport –dports {} -j ACCEPT

注意，iptables的multiport模块最多只支持的端口数为15个，超过时iptables操作会失败

客户端启用nfs服务后，就可以直接访问了

# /etc/init.d/nfs restart
# showmount -e nfs_server
# mount -t nfs nfs_server:/opt/src1 /mnt

为了处理这个问题，wordpress同时也提供一些函数组，如下需的remove_filter()与wptexturize()，实际应用中可以按需求处理

/取消内容转义
remove_filter(‘the_content’, ‘wptexturize’);

//取消摘要转义

remove_filter(‘the_excerpt’, ‘wptexturize’);

//取消评论转义
remove_filter(‘comment_text’, ‘wptexturize’);

一般将它们放入主题的header.php文件中，就可以在多个页面中禁止wordpress的自动转义了，如：只想取消内容转义，只需要添加‘remove_filter(‘the_content’, ‘wptexturize’); ’至主题的header.php.

有兴趣的也可以研究下wptexturize()函数是怎么实现的，codex 上有个简单的函数说明，点这里查看

/etc/dhcpd.conf #可从/usr/share/doc/dhcp-$version/目录下复制一份模板文件
/var/lib/dhcpd/dhcpd.leases      #可查看当前地址分配情况

基本配置模板[注意每条配置语句末的';']：

ddns-update-style interim;
ignore client-updates;

subnet 192.168.1.0 netmask 255.255.255.0 {

option routers            192.168.1.1;
option subnet-mask        255.255.255.0;

option domain-name-servers    202.96.128.166,202.96.128.86;

range dynamic-bootp 192.168.1.2 192.168.1.151;
filename “linux-install/pxelinux.0″;
next-server 192.168.1.27;
default-lease-time 86400;
max-lease-time 864000;
}

常用配置项
default-lease-time 86400;            默认租赁时间
max-lease-time 864000;               最长租赁时间
option routers 192.168.1.1;           网关
option subnet-mask 255.255.255.0;   子网掩码
option domain-name-servers 192.168.1.1;     DNS服务器（可以有多个，以’,'号分隔）
lease-file-name “/etc/dhcpd.lease”;     租赁记录文件
pid-file-name “/etc/dhcpd.pid” ;     DHCP服务器pid文件
authoritative; 授权服务器

无盘或者PXE启动
filename “bootfile”;            启动文件
next-server “192.168.1.25″;        TFTP服务器
server-name “vhost”;            服务器名
option root-path “/root”;        TFTP服务根目录
option host-name “host1″;        主机名

MAC绑定IP
host host1 {
hardware ethernet FE:3s:de:e3:e2:43;
fixed-address 192.168.1.200;
}

http://www.team-cymru.org/Services/Bogons/fullbogons-ipv4.txt

#python -m SimpleHTTPServer
Serving HTTP on 0.0.0.0 port 8000 …

如果8000端口没有被占用，python将监听8000端口，如果当前目录下没有index.html文件，python将在客户端请求时返回一个当前目录下的文件列表，选择要传送的文件下载就是了。当然，这里也可以指定其它端口[注意root用户才有权限打开小于1024的端口]，如

#python -m SimplerHTTPServer 80
Serving HTTP on 0.0.0.0 port 8000 …

文件下完，直接Ctrl+C退出，更高级的功能，就得看模块帮助了

remi：rpm -Uvh http://rpms.famillecollet.com/enterprise/remi-release-5.rpm

epel：rpm -Uvh http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-3.noarch.rpm

记住这两个地址就可以了，http://rpms.famillecollet.com/ 和 http://download.fedora.redhat.com/ 如果不是太旧的版本，点进去总可以找到你要的包。