10.11 Linux网络相关

10.12 firewalld和netfilter

10.13 netfilter5表5链介绍

10.14 iptables语法







10.11 Linux网络相关

2018-5-8_linux防火墙


ifconfig -a ( 当网卡断掉的时候不会显示)


ifdown ens33 (断掉指定网卡) ifup ens33 (开启网卡),如果再用时不能直接断开,断开后远程链接就无法用了。

只能到终端去开启这个网卡才可以时候。有时候配置了网卡后需要重启,如果不想重启可以指定downup网卡,就可以

实现指定网卡的重启,也就是需要两个命令一起执行 ifdown ens33 && ifup ens33。



2018-5-8_linux防火墙_02

目前有eno16777736和lo两个网卡,如果还有需要可以设定一个虚拟网卡。

步骤:1.先到网卡配置文件目录下

2018-5-8_linux防火墙_03

2.cp一份ifcfg-ens16777736(这里的反斜杠是为了脱译这个冒号),然后编辑它

   2018-5-8_linux防火墙_04

   2018-5-8_linux防火墙_05

ip改成141 名字(name和device)改成原有的加:0 配置文件无需脱译。dns1已经有了可以不要,网关也可以去掉dd一下。2018-5-8_linux防火墙_06

wq保存退出


3重启网络服务

2018-5-8_linux防火墙_07

然后就有了。

2018-5-8_linux防火墙_08


用windows去ping 没有问题

2018-5-8_linux防火墙_09


mii-tool 网卡名(查看网卡是否连接)

2018-5-8_linux防火墙_10

如果不行用 ethtool 查看

2018-5-8_linux防火墙_11 

看最后一项link detected 。 如果是yes就是连接了网线


更改主机名hostnamectl set-hostname (centos6不支持,7才支持)

hostname可以查看主机名,重开会生效。


DNS配置文件在 /etc/resolv.conf

2018-5-8_linux防火墙_12

这个是在原来网卡的配置文件里配置的  /etc/sysconfig/network-scripts/ifcfg-ens16..(更改dns直接去更改网卡配置文件就行)

也可以临时的更改 vim /etc/resolv.conf  重启后复原。


 /etc/hosts 可以临时更改域名解析,只在本机生效。

2018-5-8_linux防火墙_13

更改配置文件

2018-5-8_linux防火墙_14

2018-5-8_linux防火墙_15

支持一个ip配多个域名,用空格分割。一个域名配多个ip 只有后面的生效。








10.12 firewalld和netfilter

2018-5-8_linux防火墙_16

firewalld 与 netfilter的机制不太一样。

但是可以通过iptables这个命令来修改。

比如可以通过iptables 开放80端口等。


在7上也可以用6的netfilter

systemctl disable firewalld 先把它停掉,不让它开机启动。

systemctl stop firewalld 关掉服务

然后开启netfiler

先安装一个包 yum install -y iptables-services

systemctl enable iptables

systemctl start iptables开启


iptables -nvL可以查看默认规则

2018-5-8_linux防火墙_17

这是iptables 服务启动自带的一些规则







10.13 netfilter5表5链介绍


2018-5-8_linux防火墙_18

本机的:经过PREROUTING INPUT OUTPUT POSTROUTING链

不是本机的:经过PREGOUTING FORWARD POSTROUTING链


iptables传输数据包的过程

① 当一个数据包进入网卡时,它首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。 
② 如果数据包就是进入本机的,它就会沿着图向下移动,到达INPUT链。数据包到了INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包会经过OUTPUT链,然后到达POSTROUTING链输出。 
③ 如果数据包是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过FORWARD链,然后到达POSTROUTING链输出。

2018-5-8_linux防火墙_19


规则表:

1.filter表——三个链:INPUT、FORWARD、OUTPUT
作用:过滤数据包  内核模块:iptables_filter.
2.Nat表——三个链:PREROUTING、POSTROUTING、OUTPUT
作用:用于网络地址转换(IP、端口) 内核模块:iptable_nat
3.Mangle表——五个链:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
作用:修改数据包的服务类型、TTL、并且可以配置路由实现QOS内核模块:iptable_mangle(别看这个表这么麻烦,咱们设置策略时几乎都不会用到它)
4.Raw表——两个链:OUTPUT、PREROUTING
作用:决定数据包是否被状态跟踪机制处理  内核模块:iptable_raw
(这个是REHL4没有的,不过不用怕,用的不多)

 

规则链:


1.INPUT——进来的数据包应用此规则链中的策略
2.OUTPUT——外出的数据包应用此规则链中的策略
3.FORWARD——转发数据包时应用此规则链中的策略
4.PREROUTING——对数据包作路由选择前应用此链中的规则
(记住!所有的数据包进来的时侯都先由这个链处理)
5.POSTROUTING——对数据包作路由选择后应用此链中的规则
(所有的数据包出来的时侯都先由这个链处理)






10.14 iptables语法

2018-5-8_linux防火墙_20

命令不加-t 默认为filter表

规则保存地址 /etc/sysconfig/iptables

2018-5-8_linux防火墙_21


iptables -F 清空规则 (仅仅是当前内存生效重启后会复原,因为配置文件不会改变,只有save后配置文件发生改变才会永久生效)

service iptables save 保存规则


2018-5-8_linux防火墙_22

-t省略意味着是filter表,-A增加规则(会把规则放到最后),针对input链子,指定来源ip -s,指定协议 -p,来源端口 1234,目标ip128,目标端口80,DROP数据包扔掉(类似拒绝)


-I插入规则,会把规则放到最前(一但出现同时匹配,优先前面的规则生效)

-D删除规则(用增加和插入时一样的命令删除)

iptables -nvl --line-numbers 列出规则序号

iptables -D INPUT 编号(利用编号去删除,这样更加方便)


也可以针对网卡 比如-i etho


-P更改默认策略(一般不动)