linux网络相关 firewalld和netfilter netfilter5表5链介绍 iptables语法
1,linux网络相关。
(1)inconfig命令查看网卡ip。yum install net-tools安装。ip addr命令也有相同的功能。
-a选项:当网卡down掉的时候不会显示网卡信息。
ifdown停用网卡,ifup启动网卡。如果我们是远程登录服务器,那么使用ifdown命令后可能无法启动网卡,所以尽量使用systemctl restart network来重启网卡。我们还可以把两个命令放在一起执行。
(2)添加虚拟网卡。拷贝网卡并编辑。
重启网卡后可以看到多了一个网卡。
(3)查看网卡连接状态。
命令:mii-tool 网卡名。link is ok说明网卡是连接状态。
ethtool 也可以查看网卡连接状态。
(4)更改主机名。
hostname:查看主机名。
hostname 主机名:更改主机名,只保存在内存中,重启就会变回来。
hostnamectl set-hostname 主机名:更改主机名并保存到配置文件/etc/hostname。
(5)设置DNS。
把DNS地址写到配置文件/etc/resolv.conf中即可。第一行被注释没有实际意义,第二行才是DNS的配置。一定要按照nameserver ip的格式来写,可以多写几个DNS。当第一个解析不成功就会用第二个。修改这个配置文件只是临时修改DNS IP地址,想要永久生效的话就去改网卡的配置文件。
2,linux的防火墙。
(1)关闭SELinux。
临时关闭:setenforce 0。
永久关闭:cat /etc/selinux/config,把selinux的enforcing改为disable。
(2)netfilter。
旧版本的Centos的防火墙为netfiler,CentOS7的防火墙是firewalld。
关闭firwalld,开启netfiler。
、
CentOS上默认设有iptables规则,这个规则虽然很安全,但是对于我们没有用,建议先清除规则再保存一下。
iptables -nvL查看规则。
-F选项临时清除规则,重启系统或iptables服务后会重新加载保存的规则,使用service iptables save 保存规则。
防护墙的规则保存在/etc/sysconfig/iptables中。
(3)netfilter的5个表。
filter表主要用于过滤包,是系统预设的表,该表内建3个链:INPUT、OUTPUT以及FORWARD。INPUT链作用于进入本机的包,OUTPUT链作用于本机送出的包,FORWARD链作用于那些跟本机无关的包。
nat表主要作用于网络地址转换,它也有三个链。PREROUTING链的作用是在包刚刚达到防火墙时改变它的目的地址(如果需要的话),OUTPUT链的作用是改变本地产生的包的目的地址,POSTROUTING链的作用是在包即将离开防火墙时改天其源地址。
mangle表主要用于给数据包做标记,然后根据标记去操作相应的包。
raw表可以实现不追踪某些数据包。
security表用于强制访问控制(MAC)的网络规则。
(4)netfilter的5个链。
PREROUTING:数据包进入路由表之前。
INPUT:通过路由表后目的地为本机
FORWARDING:通过路由表后,目的地不为本机
OUTPUT:由本机产生,向外转发
POSTROUTIONG:发送到网卡接口之前。
3,iptables语法。
(1)查看规则以及清除规则。-t后面跟表名,-nvL表示查看该表的规则,-n:不针对IP反解析主机名,-L:列出,
-v:列出的信息更加详细。不加-t:打印filter表的相关信息。
-F:把所有规则全部删除。如果不加-t指定表则默认值清除filter的规则。
-Z:把包以及流量计数器置零。
(2)增加/删除一条规则。
-A/-D:增加/删除一条规则。
-I:插入一条规则。
-p:指定协议
--dport:跟-p一起使用,指定目标端口。
--sport:跟-p一起使用,指定源端口。
-s:指定源IP。
-d:指定目的IP。
-j:后面跟动作,ACCEPT为允许包DROP为丢包(不看)REJECT为拒绝包(看了再拒绝)。