ipconfig、selinux、netfilter、iptables、netfilter5表5鏈

10.11 Linux網絡相關

1. ifconfig 查看網卡ip(yum install net-tools)
2. ip add
3. ifconfig -a 能夠查看到全部的網卡信息
4. ifup ens33/ifdown ens33
5. ifdown ens33 && ifup ens33能夠down掉網卡，再重啓網卡
6. 增長虛擬網卡
   1. cd /etc/sysconfig/network-scripts
   2. cp ifcfg-ens33 ifcfg-ens33/:0
   3. vi !$
   4. 修改NAME=ens33:0
   5. 修改DEVICE=ens33:0
   6. 修改Ip
7. mii-tool ens33 查看網卡是否插着網線，查看是否link ok
8. ethtool ens33 查看網卡是否鏈接網線，查看最後一段的link detected：yes
9. hostnamectl set-hostname aminglinux-001修改主機名
   1. cat /etc/hostname 主機名的配置文件
10. DNS配置文件在/etc/resolv.conf
11. linux，windows都有的一個文件，訪問自定義域名的時候訪問的是這個文件/etc/hosts

10.12 firewalld和netfilter

1. selinux臨時關閉命令爲：setenforce 0
2. 永久關閉須要編輯配置文件，vim /etc/selinux/conifg 中的，SELINUX-disabled
3. getenforce 查看selinux的狀態
4. 臨時關閉後，遇到阻斷時，不會真正的阻斷，會經過
5. CentOs7 以前防火牆叫netfilter；CentOs 7的防火牆叫firewalld；都支持iptables命令
6. 開啓CentOs 7以前的防火牆netfilter
   1. systemctl disable firewalld
   2. systemctl stop firewalld
   3. yum install -y iptables-services
   4. systemctl enable iptables
   5. systemctl start iptables
   6. iptables -nvL
7. 防火牆叫netfilter，iptables只是netfilter的工具。

10.13 netfilter5表5鏈介紹

1. netfilter的5個表centos6只有前4個表，沒有security表 2. filter表用於過濾包，最經常使用的表，有INPUT、FORWARD、OUTPUT三個鏈 1. INPUT:數據包進本機的數據包，檢查源IP，發現可疑IP能夠禁掉 2. FORWARD:判斷目標地址是不是本機，若是不是本機，須要通過FORWARD鏈，進行操做，進行轉發 3. 本機的包，出去的包，通過OUTPUT鏈 3. nat表用於網絡地址轉換，有PREROUTING、OUTPUT、POSTROUTING三個鏈 1. PREROUTING:用來更改數據包，進來的一刻，須要更改 2. OUTPUT:出去的包那一刻須要更改 3. POSTROUTING: 4. managle表用於給數據包作標記，幾乎用不到 5. raw表能夠實現不追蹤某些數據包，阿銘歷來不用 6. security表在centos6中並無，用於強制訪問控制（MAC）的網絡規則，阿銘沒用過
2. 參考文章：http://www.cnblogs.com/metoy/p/4320813.html

10.14 iptables語法

1. linux防火牆 --netfilter
   1. 數據包流向與netfilter的5個練
   2. PREROUTING:數據包進入路由表以前
   3. INPUT：經過路由表後目的地爲本機
   4. FORWARD:經過路由表後，目的地不爲本機
   5. OUTPUT：由本機產生，向外發出
   6. POSTTOUTING:發送到網卡接口以前
2. iptables相關的命令和用法
   1. iptables -nvL 默認規則
   2. 重啓命令爲：# service iptables restart
   3. # cat /etc/sysconfig/iptables保存了默認規則
   4. # iptables -F臨時清空規則，文件中依然保存這這些規則，若是想保存當前規則保存到配置文件中去，須要執行# service iptables save 若是未保存，重啓後又會加載這些規則
   5. # iptables -t filter -nvL等同於# iptables -nvL不加參數默認查看的是filter表規則
   6. # iptables -t nat -nvL查看nat表規則
   7. # iptables -Z 將計數器清零。實例：監控腳本，封IP，若是一段時間內沒有超過一個量，再將此IP解封。
   8. 增長規則：# iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP 不加-t 默認爲filter表；-A表示增長一條規則，INPUT鏈；-s來源，IP；-p指定協議，tcp等；--sport來源端口，端口值；-d目標IP，IP；-dport目標端口，端口值；-j操做，DROP扔掉，REJECT拒絕，DROP，看都不看直接扔掉，REJECT須要檢查，再判斷是否拒絕
   9. 插入規則：# iptables -I INPUT -p tcp --dport 80 -j DROP
   10. -I插入規則會插入到鏈表的第一行，-A增長規則會增長到鏈表的最後一行
   11. 過濾的時候是從第一條規則開始過濾，因此優先過濾第一條規則
   12. 刪除規則：# iptables -D INPUT -p tcp --dport 80 -j DROP-D刪除規則
   13. 若是記得當時規則的命令能夠直接-D，可是若是忘記了當時的命令能夠經過如下方式刪除：首先執行# iptables -nvL --line-number打印出來表的行數，再執行# iptables -D INPUT 行數
   14. # iptables -I INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT能夠針對網卡進行設置規則
   15. # iptables -P OUTPUT DROP修改表的默認規則，OUTPUT表的DROP謹慎使用，若是將OUTPUT表的默認規則修改成DROP，這樣從服務器中的數據就不能發出去，經過xshell就不能接收到任何數據，就會馬上斷開。

10.15 iptables filter表小案例

擴展（selinux瞭解便可）

1. selinux教程 http://os.51cto.com/art/201209/355490.htm
2. selinux pdf電子書 http://pan.baidu.com/s/1jGGdExK