七周三次课（11月29日） 10.11 Linux网络相关 10.12 firewalld和netfilter 10.13 netfilter5表5链介绍 10.14 iptables语法

10.11 Linux网络相关

ifconfig 查看网卡ip （yum install net-tools） 安装



-a 当你的网卡没有ipdown掉的时候也是可以查看到的

ifup ens33/ifdown ens33 分别是启动网卡，与关闭网卡

通过&& 可以远程重启指定网卡



设定虚拟网卡ens33:1

流程

先进入网卡配置文件并先拷贝 ifcfg-ens33 网卡配置文件并改名



之后编辑ifcfg-ens33 文件，红框的更改一下，就设置完成。之后ping一下



mii-tool ens33 查看网卡是否连接



ethtool ens33 也可以查看网卡是否连接 看红框的是否ok





更改主机名 hostnamectl set-hostname aminglinux centos6不支持，centos7才支持





主机名配置文件 etc/hostname 下



DNS配置文件/etc/resolv.conf



该配置文件在 etc/sysconfig/network-scripts/ifcfg-ens33 里面定义DNS



在里面增加多增加一个DNS，就会增加一个（需要重启网卡）





临时增加的话 直接编辑 /etc/resolv.conf,重启网卡后失效，会被ifcfg配置文件覆盖



/etc/hosts文件，linux Windows 都有的

在里面可以 更改解析更改到指定ip上





一个ip可以多个域名。



一个域名多个ip的情况，以后面的为主



10.12 firewalld和netfilter

selinux一般都是关闭的。因为很多服务都受限于selinux

selinux 临时关闭 通过setenforce 0 命令 临时关闭防火墙

selinux 永久关闭 vi /etc/selinux/config





编辑该文件 把enforcing 改成disabled





centos7之前使用netfilter防火墙

centos7开始使用firewalld防火墙

两个防火墙机智不太一样，内部的工具 iptables 用法是一样的

iptables 关闭开启端口

centos7可以关闭firewalld开启netfilter

通过以下命令实现



systemctl stop firewalld 先把firewalld 关闭 ，不让它开机启动

systemctl disable firewalled

然后把netfilter开启，开启前要先安装 iptables-services 包

yum install -y iptables-services



安装完后就产生一个服务，iptables服务

systemctl enable iptables



之后开启

systemctl start iptables



iptables -nvL 查看默认规则



iptables 是工具，正确是叫法是 netfilter

10.13 netfilter5表5链介绍

netfilter的5个表 可以通过man查看。

filter 默认的表，用于过滤包，最常用的表，有INPUT,FORWARD,OUTPUT三个链

INPUT：数据包进来服务器的时候经过的链，发现可疑ip 要禁了，可以添加规则

FORWARD： 数据包到了机器不会进入内核，因为数据包不是给本机处理，是要给其它机器处理。所以要判断下目标地址，如果不是本机就要经过FORWARD。在该表里 可以把目标地址更改，转发。

OUTPUT：本机产生的数据包，传出去前做的操作。可以在里面更改禁用IP，或者更改ip

nat表用于网络地址转换，有PREROUTING,OUTPUT,POSTOUTING三个链

可以做端口映射，与实现路由器功能

PREROUTING：更改数据包进来的那一刻更改。

OUTPUT：同filter相同

POSTOUTING：更改数据包出去的那一刻更改。

managle表用于给数据包做标记，几乎用不到

raw表可以实现不追踪某些数据包，阿铭老师从来不用

security表在centos6中并没有，用于强制访问控制（MAC）的网络规则，阿铭老师没用过

参考文章 http://www.cnblogs.com/metoy/p/4320813.html

经过本机的数据包传送流程

PREROUTING-->INPUT-->本机内核处理-->OUTPUT-->POSTOUTING

不经过本机的数据包传送流程

PREROUTING-->FORWARD-->POSTROUTING

10.14 iptables语法

数据包流向与netfilter的5个链

PREROUTING：数据包进入路由表之前

INPUT：通过路由表后目的地为本机

FORWARD：通过路由表后，目的地不是本机

OUTPUT：由本机产生，向外发出

POSTROUTING：发送到网卡接口之前

查看iptables规则：iptables -nvL

默认规则保存在/etc/sysconfig/iptables



iptables -F 清空规则。 并不会清空配置文件里的



service iptables save 保存规则， 把当前的规则保存到配置文件里面去

重启服务 就可以加载回配置文件里的规则

service iptables restart 重启iptables规则命令



iptables -t nat 选项-t 指定要查看的表 不加选项-t 默认操作filter表

iptables -Z 可以把计数器清零



iptables -I/-A/-D INPUT -s 1.1.1.1 -j DROP 增加，插入，删除规则写法。

iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP

-A 增加规则，针对的链 -s 指定来源IP，-p指定协议 --sport来源的端口 -d目标IP --dport 目标的端口

-j DROP 把数据直接丢了 ， REJECT 拒绝接受数据包。区别在于DROP不会查看直接拒绝丢掉。

REJECT 会先看下数据包在拒绝。



-I 是插入规则，直接排到前面去





-D 是删除选项

iptables -nvL --line-numbers 查看规则的序列号。



可以通过序列号删除指定规则。ptables -D INPUT DROP



iptables -I INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT 指定网卡

iptables -D INPUT DROP

没有具体的规则的话。就走默认的策略 是 ACCEPT



-P 选项 可以更改默认策略

iptables -P 指定链 操作命令