Linux網絡相關 firewalld和netfilter netfilter5表5鏈介紹 iptables語法

Linux網絡相關
firewalld和netfilter
netfilter5表5鏈介紹
iptables語法

--

Linux網絡相關

ifconfig 安裝  ： yum install net-tools ( ip add 和 ifconfig 效果同樣)

ifconfig -a  :     當沒有網卡或者網卡宕掉的時候是不顯示的。

關閉網卡: ifdown ens33

啓動網卡：ifup ens33

這兩個命令通常在專門針對某個網卡作更改的時候用。好比增長一個DNS，更改一個網關，重啓指定網卡。

千萬不要隨便ifdown 一個正在運行的網卡。

兩個命令一塊兒執行是沒問題的：

設定虛擬網卡：

先到網卡配置文件裏cp一下。

vi !$

重啓網卡：

查看一下，多了一個網卡，而且能ping通

--

查看網卡是否鏈接網線：

更改主機名：

要更改DNS，去更改網卡配置文件就好了

也能夠臨時更改，編輯DNS配置文件：

host:

支持一個ip配多個域名，只在本機生效。

firewalld和netfilter

selinux 臨時關閉 setenforce 0

selinux 永久關閉  vi /etc/selinux/config

查看狀態：

另一種防火牆叫 netfilter (sentos5  6  的時候叫這個名字， centos7的時候更名字叫：firewalld)

這兩個機制不太同樣，但iptables是同樣的。（iptables是防火牆的一個工具）

（selinux開啓會增大管理成本，關閉也不會有太大安全問題。）

如何關閉 firewalld:

1.systemctl disable firewalld

2.systemctl stop firewalld

3.yum install -y iptables-services

4.systemctl enable iptables

5.systemctl start iptables

查看iptables的默認規則：

netfilter5表5鏈介紹

filter表用於過濾包，最經常使用的表有input forward  output 三個鏈

nat表用於網絡地址轉換， 有prerouting output postrouting 三個鏈

managle表用於給數據包作標記，幾乎用不到

raw表能夠實現不追蹤某些數據包，幾乎用不到

security 表在centos6中並無，用於強制訪問控制（MAC）的網絡規則，幾乎用不到。

參考連接：http://www.cnblogs.com/metoy/p/4320813.html
iptables語法

默認規則保存位置：

清空全部規則：

（清空規則後文件裏實際上是還有的）

把當前規則保存到配置文件裏去的命令（當把規則寫完以後，它僅僅是在當前內存中生效的）：

service iptables save

重啓服務器或者重啓iptables都會加載配置文件裏的規則的。

以上這些操做都是針對filter 表

查看錶的規則：

把計數器清零：

iptables -Z

--

filter表是最經常使用的...

[root@serverlinux-00001 ~]# iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP 

-A增長一條規則，-s  source 指定來源， -p 指定協議 --sport 來源端口  -d目標ip --dport 目標端口

-j 操做 （DROP   REJECT扔掉和拒絕最終實現的結果是同樣的，讓數據包過不來，至關於把IP封掉）

另外一種用法：

（-A 新增長的規則排到最後面，-I 新增長的規則插隊到最前面）

效果：

優先過濾最前面的規則，一旦匹配，直接執行。

刪除規則： -D

另外一種刪除方法：

先打印出編號，再刪除編號刪除對應規則

---

默認規則：

全部的數據包若是沒有設置的規則來匹配，就會走默認的策略

也能夠把它改爲drop

iptables -P OUTPUT DROP

(不要隨便執行，會禁掉你的終端，只能去服務器端放行： iptables -P OUTPUT ACCEPT)

---

ok.