linux網絡相關，firewalld和netfilter，netfilter5表5鏈介紹，itptables語法

Linux網絡相關：

若是沒有 ifconfig 命令 那麼須要安裝一個包（yum install net-tools）

若是 ifconfig 命令查看不到網卡的話，那麼可使用 ifconfig -a 查看（網卡down掉時使用這個命令）

down=網卡被關閉

 

ifdown 網卡名字 關閉網卡

ifup 網卡名字 開啓網卡

在遠程終端上面使用了 ifdown 關閉了網卡，那麼必須在本地機器上面使用 ifup 啓用網卡纔可使用。 關閉網卡後ip就會消失，須要在本地機器重啓才能夠繼續使用。

ifdown 網卡名字 && ifup 網卡名字 =斷開網卡後再從新鏈接上（自動重啓網卡服務）

 

 

設定一個虛擬網卡，先進入網卡配置目錄而後拷貝一份網卡配置文件。

配置文件地址     /etc/sysconfig/network-scripts/

 

加上託意的內容，更換一個IP，DNS，和網關 均可以不要。

而後重啓網卡，就能夠查看到設置的虛擬網卡了。

 

 

mii-tool 網卡名字 能夠查看網線是否鏈接好 link ok =網線正常。若是mii-tool 命令不支持，那麼可使用 entool 網卡名字 查看網線是否鏈接OK Link detected:yes =網線正常。

 

 

hostnamectl set-hostname 名字(修改主機名) 直接打一個bash能夠更換新的主機名

 

網卡配置文件裏面能夠直接更改DNS

 

能夠更改域名解析（只支持本機）

支持一個IP多個域名，用空格分開便可

 

修改完之後立刻生效。

 

Linux防火牆-netfilter：

 

修改配置文件永久關閉防火牆：vi /etc/selinux/config

 

 

使用getenforce 查看到防火牆的狀態爲 disabled 說明防火牆被永久關閉了。

 

netfilter 是Centos7之前版本的叫法，Centos7後更名變動爲firewalld 。 netfiler 又叫 iptables

下面是在Centos7上關閉 firewalld 防火牆，而後在開啓netfilter 防火牆。

先關閉 firewalld 而後中止 firewalld 的服務，再安裝一個 iptables 安裝包，安裝完之後會產生一個新的 iptables 服務，開始 iptables 防火牆便可。用 iptables -nvL 能夠查看iptables自帶的一些規則。

 

 

netfilter5表5鏈介紹：

 

1. netfilter的五個表 
filter 這個表主要用於過濾包的，是系統預設的表，這個表也是阿銘用的最多的。內建三個鏈INPUT、OUTPUT以及FORWARD。INPUT做用於進入本機的包；OUTPUT做用於本機送出的包；FORWARD做用於那些跟本機無關的包。 
nat主要用處是網絡地址轉換，也有三個鏈。PREROUTING 鏈的做用是在包剛剛到達防火牆時改變它的目的地址，若是須要的話。OUTPUT鏈改變本地產生的包的目的地址。POSTROUTING鏈在包就要離開防火牆以前改變其源地址。 
mangle 這個表主要是用於給數據包打標記，而後根據標記去操做哪些包。 
raw表能夠實現不追蹤某些數據包，默認系統的數據包都會被追蹤，但追蹤勢必消耗必定的資源，因此能夠用raw表來指定某些端口的包不被追蹤。 
security表在Centos6中是沒有的，它用於強制訪問控制（MAC）的網絡規則。

2. netfilter的五個鏈 
PREROUTING：數據包進入路由表以前 
INPUT：經過路由表後目的地爲本機 
FORWARDING：經過路由表後，目的地不爲本機 
OUTPUT：由本機產生，向外轉發 
POSTROUTING：發送到網卡接口以前

3. iptables傳輸數據包的過程 
① 當一個數據包進入網卡時，它首先進入PREROUTING鏈，內核根據數據包目的IP判斷是否須要轉送出去。 
② 若是數據包就是進入本機的，它就會沿着圖向下移動，到達INPUT鏈。數據包到了INPUT鏈後，任何進程都會收到它。本機上運行的程序能夠發送數據包，這些數據包會通過OUTPUT鏈，而後到達POSTROUTING鏈輸出。 
③ 若是數據包是要轉發出去的，且內核容許轉發，數據包就會如圖所示向右移動，通過FORWARD鏈，而後到達POSTROUTING鏈輸出。 

 

iptables語法：

 

規則配置文件路徑：/etc/sysconfig/iptables

iptables -F 能夠清空規則

若是清空規則之後，沒有保存新的規則到 /etc/sysconfig/iptables 裏面，那麼重啓 iptables 服務就會把原來的規則從新加載。

 

 

通常查看兩個表：nat 和 filter

當你寫完新的規則之後須要使用 service iptables save 保存規則

 

iptables -Z 能夠歸0計數器

iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP

 

iptables （-I/-A/-D） INPUT -s 1.1.1.1 -j DROP    在首部插入規則 ，若是知足第一條規則那麼就會直接執行，若是規則是在尾部那麼添加的規則就是按照順序執行下去直到找到須要的規則。          DROP=直接執行而且拒絕後面的命令。

 

刪除指定的規則： iptables -D INPUT 1       DORP=拒絕服務    ACCEPT=容許服務

-P後面跟鏈名，策略內容或爲DROP，ACCEPT，默認是ACCEPT。注意：若是在鏈接遠程服務器，千萬不要隨便執行這個命令，由於一旦執行，遠程鏈接就會被斷開： iptables -P OUTPUT DROP

 

iptables -nvL --line-numbers 把規則前面的編號顯示出來，而後能夠根據規則的編號進行刪除。

 

擴展（selinux瞭解便可） 
1. selinux教程 http://os.51cto.com/art/201209/355490.htm  
2.selinux pdf電子書 http://pan.baidu.com/s/1jGGdExK