10.11 Linux網絡相關
10.12 firewalld和netfilter
10.13 netfilter5表5鏈介
10.14 iptables語法
一、Linux網絡相關
- 查看網卡ip命令:ifconfig
ifconfig命令在centos6中是默認安裝的,centos7需要進行安裝:
yum install -y net-tools
網卡如果down掉,ifconfig是不顯示的,如果要查看加個-a選項
- 關閉/啓動網卡
有的時候修改了網卡參數需要關閉重啓
ifdown 網卡名 :關閉網卡
ifup 網卡名: 啓動網卡
如果是遠程操作,網卡關閉就無法連接操作了。這種情況可以使用以下方法:
ifdown 網卡名 && ifup 網卡名
- 設置虛擬網卡
cp /etc/sysconfig/network-scripts/原網卡 虛擬網卡
把現有的網卡複製一份,重新命名,並修改name, device, ip這三個參數。
ifdown 網卡名 && ifup 網卡名 使用這種方法重啓即可。
- 查看網卡連接狀態
mii-tool 網卡名
- 修改hostname
hostnamectl set-hostname 新主機名
查看hostname名命令:hostname
- DNS配置文件
/etc/resolv.conf 如果臨時修改DNS可以修改這個文件,但是重啓後會被網卡配置文件的內容所覆蓋
- hosts文件
hosts文件windows和linux都有,用來指定域名解析ip。只能做本機使用
二、firewalld和netfilter
1、SELinux
臨時關閉SELinux
setenforce 0
永久關閉
編輯配置/etc/selinux/config,SELINUX=enforcing改爲disabled ,保存重啓系統
查看SELinux狀態
getenforce
2、netfilter/firewalld
netfileter是centos6中使用的防火牆,centos7把netfileter升級爲了firewalld。
由於目前使用時centos7,想要使用netfileter可以把firewalld先關閉
- 關閉firewalld
systemctl disable firewalld //禁止啓動
systemctl stop firewalld //停止防火牆服務
- 開啓netfilter
先安裝iptables工具包:
yum install -y iptables-services
//啓動iptables服務
systemctl enable iptables
systemctl start iptables
- 開啓後查看iptable規則
iptables -nvL
三、netfilter5表5鏈介
netfilter五表:
filter:包過濾,用於防火牆規則。有INPUT、FORWARD、OUTPUT三個鏈
nat:地址轉換,用於網關路由器。有PREROUTING、OUTPUT、POSTROUTING三個鏈
mangle:用於給數據包打標記,然後根據標記去操作那些表。(不常用)
不常用的表:raw、security
netfilter五鏈:
PREROUTING:數據包進入路由表之前
INPUT:通過路由表後目的地爲本機
FORWARD:通過路由表後,目的地不爲本機
OUTPUT:由本機產生,向外發出
POSTROUTING:發送到網卡接口之前
參考文章:
http://www.cnblogs.com/metoy/p/4320813.html
四、iptables語法
- 查看iptables規則:
iptables -nvL
- 清除iptables規則:
iptables -F
清空後未保存規則配置文件(/etc/sysconfig/iptables),服務重啓或系統重啓後,防火牆服務會重新加載規則配置文件中的原有規則。
- 保存規則
service iptables save
- 重啓
service iptables restart
- 查看nat表
iptables -t nat -nvL
- 計數器清零
iptables -Z
- 添加iptables規則
iptables -A INPUT -s 192.168.1.19 -p tcp --sport 8888 -d 192.168.1.12 --dport 80 -i ens33 -j DROP
解釋: 增加一條iptables規則:input鏈,源IP:192.168.1.19,TCP協議,源端口:8888,目的IP:192.168.1.12,目的端口:80,執行:DROP(丟掉)。
和DROP類似的還有REJECT,不同的是:接受數據包後REJECT會進行查看,然後丟掉,DROP則是直接丟掉。一般DROP比較常用。
- 刪除iptables規則
和添加規則類似,把-A改成-D
iptables -D INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -i ens33 -j DROP
也可以根據查詢規則號進行刪除:
查詢
iptables -nvL --line-number
刪除
iptables -D INPUT 編號
- 插入一條規則
iptables -I INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
插入一條來源網段爲 192.168.1.0/24,網卡爲eth0,執行放行操作
- 修改默認規則
一般不要修改默認規則,有可能導致遠程終端無法連接
修改:
iptables -P INPUT DROP
恢復:
ptables -P OUTPUT ACCEPT