linux網絡相關，以及防火牆

• ifconfig查看網卡ip（yum install net-tools）

ifconfig -a 查看全部網卡信息

ifconfig eth0 up 啓用網卡eth0

• ip addr

•ip route

• ifup ens33/ifdown ens33

ifdown eth0 && ifdown eth0

ifdown eth0 ; ifup eth0

• 設定虛擬網卡ens33:1

cd /etc/sysconfig/network-scripts

cp ifcfg-eth0 ifcfg-eth0\:1

vim ifcfg-eth0:1

修改name和device爲eth0:1，修改ip地址

ifdown eth0 && ifup eth0

ifconfig 查看是否已出現eth0:1

• mii-tool ens33 查看網卡是否鏈接

提示not supported時能夠用ethtool命令

• ethtool ens33 也能夠查看網卡是否鏈接

link detected：yes表示已鏈接網線

• 更改主機名 hostnamectl set-hostname aminglinux

要退出從新登陸才能夠看到修改爲功，或者用hostname命令查看

vim /etc/hostname 也能夠修改主機名

• DNS配置文件/etc/resolv.conf

cat /etc/resolv.conf 查看dns

在網卡配置文件中定義的

在這裏面修改的dns重啓後，會被網卡配置文件中的dns覆蓋

• /etc/hosts文件

綁定hosts解析

左邊ip 右邊域名，一行裏面能夠後面跟多個域名。

• selinux臨時關閉 setenforce 0

• selinux永久關閉 vi /etc/selinux/config

getenforce 查看selinux是否關閉

• centos7以前使用netfilter防火牆

• centos7開始使用firewalld防火牆

• 關閉firewalld開啓netfilter方法

systemctl stop firewalld

systemctl disable firewalled

yum install -y iptables-services

systemctl enable iptables

systemctl start iptables

iptables -nvL 查看iptables表

Linux防火牆-netfilter

iptables簡介：netfilter/iptables（簡稱爲iptables）組成Linux平臺下的包過濾防火牆，與大多數的Linux軟件同樣，這個包過濾防火牆是免費的，它能夠代替昂貴的商業防火牆解決方案，完成封包過濾、封包重定向和網絡地址轉換（NAT）等功能。

iptables基礎：規則（rules）其實就是網絡管理員預約義的條件，規則通常的定義爲「若是數據包頭符合這樣的條件，就這樣處理這個數據包」。規則存儲在內核空間的信息 包過濾表中，這些規則分別指定了源地址、目的地址、傳輸協議（如TCP、UDP、ICMP）和服務類型（如HTTP、FTP和SMTP）等。當數據包與規 則匹配時，iptables就根據規則所定義的方法來處理這些數據包，如放行（accept）、拒絕（reject）和丟棄（drop）等。配置防火牆的 主要工做就是添加、修改和刪除這些規則。

iptables和netfilter的關係：這是第一個要說的地方，Iptables和netfilter的關係是一個很容易讓人搞不清的問題。不少的知道iptables殊不知道 netfilter。其實iptables只是Linux防火牆的管理工具而已，位於/sbin/iptables。真正實現防火牆功能的是 netfilter，它是Linux內核中實現包過濾的內部結構。

CentOS 7中netfilter的5表：

filter: 這是默認的表（若是沒有-t選項），用於過濾包，包含如下3鏈：

INPUT

FORWARD

OUTPUT

nat: 用於網絡地址轉換，有如下三個鏈：

PREROUTING

OUTPUT

POSTROUTING

mangle: 用於給數據包作標記，有如下5鏈：

PREROUTING

OUTPUT

INPUT

FORWARD

POSTROUTING

raw: 能夠實現不追蹤某些數據包，有如下2鏈：

PREROUTING

OUTPUT

security: 用於強制訪問控制（MAC）的網絡規則，在centos6中並無此表。有如下5鏈：

SECMARK

CONNSECMARK

INPUT

OUTPUT

FORWARD

1.INPUT——進來的數據包應用此規則鏈中的策略

2.OUTPUT——外出的數據包應用此規則鏈中的策略

3.FORWARD——轉發數據包時應用此規則鏈中的策略

4.PREROUTING——對數據包做路由選擇前應用此鏈中的規則

（記住！全部的數據包進來的時侯都先由這個鏈處理）

5.POSTROUTING——對數據包做路由選擇後應用此鏈中的規則

（全部的數據包出來的時侯都先由這個鏈處理）

數據包流向與netfilter的5個鏈：

PREROUTING：數據包進入路由表以前

INPUT：經過路由表後目的地爲本機

FORWARD：經過路由表後，目的地不爲本機

OUTPUT：由本機產生，向外發出

POSTROUTING：發送到網卡接口以前

iptables語法：

1. 查看iptables規則：iptables -nvL

service iptables restart 從新啓動iptables服務

默認規則保存在/etc/sysconfig/iptables

2. iptables -F 清空規則

清空規則後不保存時，重啓iptables服務又會自動加載回來。

3. service iptables save 保存規則

4. iptables -t nat //-t指定表

不加-t時默認爲filter表。

5. iptables -Z  能夠把計數器清零

清除INPUT等鏈中pkts和bytes。

6. iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP

-A 增長一條規則

INPUT 在INPUT鏈中加入

-s 指定源ip

-p 指定協議

--sport 指定源端口

-d 指定目的ip

--sport 指定目的端口

-j 處理數據包的方式

ACCEPT 容許數據包經過

DROP 直接丟棄數據包，不給任何迴應信息

REJECT 拒絕數據包經過，必要時會給數據發送端一個響應的信息。

LOG在/var/log/messages文件中記錄日誌信息，而後將數據包傳遞給下一條規則

7. iptables -I/-A/-D INPUT -s 1.1.1.1 -j DROP

-I 是插入，把這個規則插入到最前面

-A 是增長，把這個規則寫入到最後面

-D 刪除規則

採用數據流的方式匹配規則，前面規則先匹配。

8. iptables -I INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT

-i eth0表示

9. iptables -nvL --line-numbers

把規則的序列號顯示出來，能夠根據號碼刪除規則

10. iptables -D INPUT 1

把INPUT鏈中第一條規則刪除

11. iptables -P INPUT DROP

-P 預設策略，後面跟鏈名默認是accept

不建議此項操做，輸入iptables -P INPUT ACCEPT才能恢復到原始狀態。