linux網絡相關、netfilter、iptables語法

Linux網絡相關

ifconfig命令

該命令是用來查看網卡IP的,使用前先安裝yum install -y net-tools,與命令ip addr效果同樣html

ifconfig -a命令顯示全部網卡信息,能夠查看到down掉的網卡信息linux

ifup/ifdown命令 啓動/關閉網卡vim

注意:若是咱們在遠程登陸時,單獨使用ifdown ens33,會讓後面的命令沒法運行,因此咱們能夠ifdown ens33 && ifup ens33。網絡

增長虛擬網卡

首先拷貝網卡配置文件,並修改tcp

將NAME=ens33改爲NAME=ens33:0,DEVICE=ens33改爲DEVICE=ens33:0,IPADDR=192.168.133.130改爲IPADDR=192.168.133.150,GATEWAY和DNS1兩行不須要了工具

而後運行ifdown ens33 && ifup ens33spa

ifconfig查看網卡信息rest

而後在Windows上ping192.168.133.150,能夠連通htm

查看網卡鏈接狀態

運行命令mii-tool ens33,link ok表示網卡鏈接,no link網卡未鏈接或網卡壞了。blog

還能夠運行命令ethtool ens33,Link detected 顯示yes也是網卡鏈接狀態,no未鏈接。

更改主機名

hostnamectl命令,更改主機名,自動更改文件內容

設置DNS

更改DNS,能夠修改網卡配置文件

固然也能夠臨時的編輯vim /etc/resolv.conf文件,重啓網卡後,它依舊會被網卡配置文件裏的 DNS 所覆蓋

/etc/hosts文件,在Linux下也能解析域名。

編輯/etc/hosts文件,添加192.168.133.150  www.qq123.com

支持一個IP配多個域名,;每一行只能有一個IP。

firewalld和netfilter

selinux防火牆

setenforce 0 臨時關閉 selinux

vi /etc/selinux/config 永久關閉 selinux,將SELINUX=enforceing改成SELINUX=disabled,重啓系統便可生效。

netfilter防火牆

CentOS7的防火牆是firewalld,以前版本(5和6)防火牆是netfilter,可是二者都使用iptables工具。

在Centos7,也可使用netfilter防火牆

首先關閉firewalld

而後開啓netfilter,在此以前要安裝yum install -y iptables-services,而後開啓iptables服務

用命令iptables -nvL 查看自帶規則

netfilter5表5鏈介紹

filter表主要用於過濾包,包含3個鏈INPUT、FORWARD和OUTPUT。INPUT鏈做用於進入本機的包,FORWARD鏈做用於與本機無關的包,OUTPUT鏈做用於本機送出的包。

nat表主要用於網絡地址轉換,也有3個鏈PREROUTING 、OUTPUT、POSTROUTING。PREROUTING鏈做用於在包剛剛到達防火牆是改變它的目的地址,OUTPUT鏈的做用是改變本地產生的包的目的地址,POSTROUTING鏈的做用是在包離開防火牆以前改變其源地址。

mangle表、raw表和security表幾乎用不到。

參考文章

iptables語法

iptables -nvL 查看iptables默認規則

service iptables restart 重啓iptables規則,查看存放默認規則的位置cat /etc/sysconfig/iptables

iptables -F命令清空規則,可是文件中還保存着規則

service iptables save 將當前規則保存到文件中

iptables -t nat -nvL 查看指定(nat)表中的規則,不加-t,默認是filter表

iptables -Z 把計數器清零

增長/刪除一條規則

iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP

  • -A,增長一條規則
  • -s ,指定來源IP
  • -p,指定它的協議,是TCP,UDP,或者是ICMP
  • -sport,來源的端口
  • -d,指目標的IP
  • -dport,指目標的端口
  • -j,操做
  • DROP,丟掉
  • REJECT,拒絕

命令iptables -I INPUT -p tcp --dport 80 -j DROP,-I表示插入一條規則,與-A效果同樣

命令iptables -D INPUT -p tcp --dport 80 -j DROP,-D表示刪除一條規則

刪除規則的另一種方法

iptables -nvL --line-numbers 先打印出規則的編號

命令iptables -D INPUT 7 ,刪除指定編號規則

iptables -P OUTPUT DROP 表示更改默認策略

當遠程鏈接時,執行上面命令,會致使遠程鏈接斷開,須要回到主機上執行命令iptables -P OUTPUT ACCEPT來恢復。

擴展

1. selinux教程

2.selinux pdf電子書 

相關文章
相關標籤/搜索