1、linux网络相关
ifconfig查看网卡ip(yum install -y net-tools)
ifconfig -a显示所有网卡信息,包括down状态的网卡信息
ifup ens33/ifdown ens33启动和关闭网卡,关闭以后网卡不会显示IP,当单独针对某个网卡进行更改时,可以只对该网卡进行关闭,然后再重新打开该网卡
在进行远程管理时,如果需要关闭该网卡,可以使用ifdown ens33 && ifup ens33在关闭网卡后再重新打开网卡,避免关闭后无法进行远程管理
设定虚拟网卡ens33.0
1.先到网卡配置文件所在目录,cd /etc/sysconfig/network-scripts/
2.cp ifcfg-ens33 ifcfg-ens33\:0
3.然后编辑文件,修改NAME和DEVICE为ens33:0,然后IP根据实际情况进行修改
4.然后重启该网卡,就可以查看到该网卡的信息
mii-tool ens33 查看网卡是否连接
eth2 ens33也可以查看网卡连接状态
hostnamectl更改主机名
hostnamectl set-hostname hostname,更改主机名后需要重新登录才能生效
主机名配置文件在/etc/hostname
DNS配置文件在/etc/resolve.conf
/etc/hosts文件是windows和linux都有的文件
可以在/etc/hosts文件中配置域名对应的IP地址,一个IP地址可以对应多个域名,多个域名以空格隔开,当一个域名对应多个IP地址时,以最后一个IP地址为主
2、filewalld和netfilter
selinux临时关闭 setenforce 0,此时selinux的状态为permissive,处于状态时,遇到需要发生阻断的情况,不会进行阻断,只会发出提醒。
selinux永久关闭需要修改配置文件 vi /etc/selinux/config,将SELUNUX=enforcing的值修改为disabled
修改完之后需要重启才能生效
centos7之前使用netfilter,centos7使用firewalld,这两种防火墙的机制不同,但是使用的工具相同,都是使用iptables
在centos7可以关闭Firewallsd,然后开启netfilter
systemctl disable firewalld 停止firewalld服务,禁止开机启动
systemctl stop firewalld 关闭firewalld服务
yum install -y iptables-services安装netfilter
systemctl enable iptables配置netfilter开机启动
systemctl start iptables 开启服务
iptables -nvL查看iptables启动后自带的规则
3、netfilter5表5链介绍
netfilter的5个表
通过man命令,可以看到netfilter有五个表
filter表包含三个链:
INPUT:数据包进本机时,需要经过的链,如果访问本地80端口的包,检查源IP,禁止可疑的IP
FORWARD:进入到本机,但是未进入内核,判断目标地址是否为本机,如果目标地址不是本机,则需要经过FORWARD链
OUTPUT:本机产生的包,在出去之前进行的操作
nat表也包含三个链:
PREROUTING:在数据包进来的时候更改数据包
OUTPUT:与filter表中的OUTPUT相同
POSTROUTING:在出去时更改数据包
4、iptables语法
iptables -nvL查看iptables规则
规则保存在/etc/sysconfig/iptables
iptables -F清空所有规则,此时iptables没有任何规则,但是/etc/sysconfig/iptables中的内容仍然存在
service iptables save将当前规则保存在配置文件中,但是由于此时iptables没有任何规则,所以配置文件内容未发生变化
此时再重启iptables,默认规则重新生效:
iptables -t filter -nvL查看filter表的规则
iptables -t nat -nvL查看nat表的规则
iptables -Z把计数器清零
在为清零之前可以看到规则匹配的包数和字节数
清零之后,统计数值重新开始计算
iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DORP,默认是filter表,-A是增加规则,INPUT链,指定源IP地址、源端口和协议、目标IP地址、目标端口,操作为drop,除了drop还有reject,drop不对数据包做任何处理,直接丢弃,reject会查看数据包内容
iptables -I INPUT -p tcp --dport 80 -j DROP,可以省略源IP地址和目标IP地址,-I是插入规则,将规则插入最前面,而-A是添加到最后一行,在过滤时,从前到后匹配
iptables -D INPUT -p tcp --dport 80 -j DROP删除规则
如果忘了规则的命令,想要删除该规则,可以执行如下命令
iptables -nvL --line-number 查看规则并显示规则编号
iptables -D INPUT 7删除对应编号的规则
iptables的默认规则是accept,执行iptables -P INPUT DROP可以将默认策略修改为drop
iptables常用命令: