Day31 linux網絡相關

網絡相關

用ifconfig查看網卡ip

• 介紹
  安裝：yum install net-tools
  ifconfig 命令相比ip addr顯示的要簡單明瞭，大多狀況下用它來查看ip
• 選項
  ifconfig -a 查看網卡，當網卡宕掉的時候不顯示網卡。當咱們增長了一個網卡的時候，能夠用來查看是否連上了

給一個網卡設定多個ip

• 介紹
  增長一個虛擬網卡，並給這個網卡設定ip
• 步驟
  1.拷貝網卡配置文件
  2.建立網卡 。網卡名字後面\是爲了吧：轉義，否則命令行沒法識別
  3.編輯網卡配置主要改NAME、DEVICE、IPADDR
  4.重啓網卡命令，並檢查網卡
  • ifdown ens33 && ifup ens33
  • ifup ens33激活指定的網絡接口/ifdown ens33禁用指定的網絡接口
  • 單獨ifdown後只有在本地才能開啓，當你的機房遠在天邊時，就很麻煩了，因此要和ifup一塊兒使用
• 示例：

[root@centos001 ~]# cd /etc/sysconfig/network-scripts/
[root@centos001 network-scripts]# ls
ifcfg-e      ifdown-isdn      ifup-bnep   ifup-routes
ifcfg-ens    ifdown-post      ifup-eth    ifup-sit
ifcfg-ens33  ifdown-ppp       ifup-ib     ifup-Team
ifcfg-lo     ifdown-routes    ifup-ippp   ifup-TeamPort
ifdown       ifdown-sit       ifup-ipv6   ifup-tunnel
ifdown-bnep  ifdown-Team      ifup-isdn   ifup-wireless
ifdown-eth   ifdown-TeamPort  ifup-plip   init.ipv6-global
ifdown-ib    ifdown-tunnel    ifup-plusb  network-functions
ifdown-ippp  ifup             ifup-post   network-functions-ipv6
ifdown-ipv6  ifup-aliases     ifup-ppp
[root@centos001 network-scripts]# cp ifcfg-ens33 ifcfg-ens33\:0          // 斜槓是爲了給冒號轉義
[root@centos001 network-scripts]# vi !$
vi ifcfg-ens33\:0
[root@centos001 network-scripts]# ifdown ens33 && ifup ens33
成功斷開設備 'ens33'。
鏈接已成功激活（D-Bus 活動路徑：/org/freedesktop/NetworkManager/ActiveConnection/3）
[root@centos001 network-scripts]# ifconfig
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.10.120  netmask 255.255.255.0  broadcast 192.168.10.255
        inet6 fe80::20c:29ff:fe34:4a63  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:34:4a:63  txqueuelen 1000  (Ethernet)
        RX packets 687  bytes 61191 (59.7 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 547  bytes 55264 (53.9 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
ens33:0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.10.129  netmask 255.255.255.0  broadcast 192.168.10.255

查看網卡的鏈接狀態

• 介紹 主要有兩個命令
• 查看網卡狀態命令1：mii-tool +網卡名
  當顯示link ok，則網卡爲鏈接狀態；當顯示no link，則說明網卡壞了或者沒有鏈接網線

[root@centos001 network-scripts]# mii-tool ens33 
ens33: negotiated 1000baseT-FD flow-control, link ok

• 命令2.ethtool ens33 也能夠查看網卡是否鏈接 最下面的 會顯示是否鏈接
• 示例：
  

更改主機名

• 查看當前主機名
  hostname
• 暫時跟換主機名
  hostname+名字
• 永久更換主機名
  hostname set-hostname+名字
• 經過更改主機名配置文件，更改主機名字 cat /etc/hostname

設置DNS

• DNS用於解析域名。
• 設置DNS 直接更改配置文件 cat /etc/resolv.conf
• 計息域名的第二個文件/etc/hosts文件 cat /etc/hosts
  須要手東添加ip和域名
  • 注意：一個ip後面能夠是多個域名
  • 每一行只能有一個ip，意爲一個域名不能對應多個ip
  • 若是有多行中出現相同的域名（對應ip不同），會按照最前面出現的來解析

linux的防火牆

• linux的防火牆功能很是豐富，可是用的不是太多，如下介紹幾種經常使用的

SELlinux

• 暫時關閉 。通常用於如安裝完系統以後 setenforce o
• 永久關閉。 需更改配置文件
  cat /etc/selinux/config
  • 把SELINUX=enforcing改爲SELINUX=disabled.重啓後生效
• 查詢selinux的狀態
  命令：getenfotce
  • 開啓會輸出enforcing;關閉會輸出permissive

netfilter

• 介紹 neitfilter是以前版本的防火牆，firewalld是如今的防火牆，iptables是個打開防火牆的工具
• 準備步驟
  1.關閉firewalld，禁止其開機啓動
  2.安裝iptables工具，讓它開機啓動
  3.啓動neitfilter服務
• 示例

[root@centos001 ~]# systemctl disable firewalld
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
Removed symlink /etc/systemd/system/basic.target.wants/firewalld.service.
[root@centos001 ~]# systemctl stop firewalld
[root@centos001 ~]# yum install -y iptables-services
[root@centos001 ~]# systemctl start iptables

• 1.netfilter的5個表
  man iptables 打開
  • filter表用於過濾包，最經常使用的表，有INPUT做用於進入本機的包、FORWARD做用於那些與本機無關的包、OUTPUT做用於本機送出的數據包
  • nat表用於網絡地址轉換，有PREROUTING在包剛剛到達防火牆時改變它的目的地址、OUTPUT改變本地產生包的目的地、POSTROUTING在包即將厲害防火牆時改變其源地三個鏈
    managle表用於給數據包作標記，幾乎用不到
    raw表能夠實現不追蹤某些數據包，阿銘歷來不用
    security表在centos6中並無，用於強制訪問控制（MAC）的網絡規則，阿銘沒用過
• 示例
  
• 2.netfilter的5個鏈
  • iptables的規則表和鏈
    PREROUTING：數據包進入路由表以前
    INPUT：經過路由表後目的地爲本機
    FORWARD：經過路由表後，目的地不爲本機
    OUTPUT：由本機產生，向外發出
    POSTROUTING：發送到網卡接口以前
  • 參考 http://www.cnblogs.com/metoy/p/4320813.html

iptables基本語法

• 介紹：
  iptables的幾種經常使用語法
• 1、查看iptables規則：iptables -nvL
  • 規則保存位置cat /etc/sysconfig/iptables
    
• 2、iptables -F 清空規則，文件中依然保存了默認規則
• 3、service iptables save 保存當前規則。以前的操做知識保存在了內存中，保存規則則會使重啓後還生效
  • 重啓服務：service iptable restart
• 4、iptables -t nat //-t指定表
  • 不加-t默認是針對filter表
• 5、 iptables -Z 能夠把計數器清零
  
• 6、增長一條規則
  • 沒有加-t 就是f表 ，
    -A表示增長一條規則
    -D表示刪除一條規則
    -p表示指定協議，能夠是tcp、udp或者icmp
    --sport表示來源端口
    --dport表示目標端口
    -s表示指定源IP
    -j 後面跟動做，其中ACCEPT表示容許包，DROP表示丟掉包，REJECT表示拒絕包
    -i表示指定網卡（不經常使用）
  • 注意：刪除一條規則時，必須和插入的規則一致。也就是說，除了-i和-D不同外，其它都同樣

iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP

iptables -I/-A/-D INPUT -s 1.1.1.1 -j DROP
iptables -I INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT

• 7、根據編號刪規則
  --line-numbers 給規則編號，方便咱們刪除

iptables -nvL --line-numbers
 iptables -D INPUT 1

• 8、默認規則，預設策略（在遠程鏈接的時候別手賤執行）

iptables -P INPUT DROP

擴展

1.selinux教程 http://os.51cto.com/art/201209/355490.htm
2.selinux pdf電子書 http://pan.baidu.com/s/1jGGdExK