linux 网络 防火墙 netfilter-iptables

#网络

##linux网络相关

* ifconfig #查看网卡（yum -y install net-tools）
* ifdown ens33 && ifup ens33 #重启网卡
* ifconfig ens33:1 ip #临时设定虚拟网卡
* cp /etc/sysconfig/network-scripts/ifcfg-ens33 /etc/sysconfig/network-scripts/ifcfg-ens33\:1
>编辑ifcfg-ens33:1文件 修改IP和NAME DEVICE ens33:1

* mii-tool ens33 或者 ethtool ens33 # 查看网卡是否连接
* hostnamectl set-hostname test #对应文件 /etc/hostname
* /etc/resolv.conf #DNS配置文件
* /etc/hosts #指定名称对应IP，算是本地域名解析

##linux防火墙
* getenforce #获得selinux 状态
* setenforce #临时设置selinux 状态 0:Permissive 警告 1:Enforcing 开启selinux
* 编辑/etc/selinux/config #修改SELINUX=enforcing这项 有 enforcing permissive disabled:关闭selinux 这几项

###linux 防火墙-netfilter

**iptables是netfilter的一个工具**

* centos7 之前使用netfiter 防火墙*
* centos7开始使用 firewalld 防火墙*

在centos7上使用netfilter步骤：
1、 关闭firewalld
systemctl stop firewalld #临时关闭frewalld
sysctemctl disable firewalld #开机启动关闭firewalld
2、 开启netfilter
yum -y install iptables-services
systemctl enable iptables #开机启动开启iptables
systemctl start iptables #临时开启iptables
iptables -nvL #查看iptables规则

##netfilter 5表5链介绍

**netfilter 5表**

* filter # INPUT OUTPUT FORWARD 链 控制进入机器网络数据包
* nat
* mangle
* raw
* security

###filter

控制数据的进入INPUT，数据输出OUTPUT, 数据转发FORWARD

* 进入本地机器的数据 INPUT,OUTPUT 链
* 转发到别的机器的数据 FORWARD, OUTPUT 链

###nat
网络数据包地址转换
作用：
1、 端口映射
2、 地址转换
3、 伪装IP

* PREROUTING #数据进入机器时经过的链
* POSTROUTING #数据出去时经过的链

可以使用的动作有：
REDIRECT: 将数据包重定向到另一台主机的某个端口，通常用实现透明代理和对外开放内网某些服务。
SNAT: 源地址转换，改变数据包的源地址
DNAT: 目的地址转换，改变数据包的目的地址
MASQUERADE: IP伪装，只适用于ADSL等动态拨号上网的IP伪装，如果主机IP是静态分配的，就用snat