首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Linux网络相关

Linux网络相关

作者头像
端碗吹水
发布2020-09-23 10:08:02
1.8K0
发布2020-09-23 10:08:02
举报

笔记内容:

l 10.11 Linux网络相关

l 10.12 firewalld和netfilter

l 10.13 netfilter5表5链介绍

l 10.14 iptables语法

笔记时间:

10.11 Linux网络相关

wKioL1nlzRrzhI95AAlnd_M1p74321.png
wKioL1nlzRrzhI95AAlnd_M1p74321.png

ifconfig命令在CentOS6是自带有的,但是在CentOS7默认是没有的,需要安装net-tools这个包。

安装命令:yum install -y net-tools

  ifconfig命令比起ipadd命令显示的信息更加直观一些:

wKiom1nlz9XxNPF9AAlmeCTGb_c657.png
wKiom1nlz9XxNPF9AAlmeCTGb_c657.png

ifconfig命令加上-a选项可以在网卡断掉或者没有分配ip的时候能够显示出来:

wKioL1nlzSPTDsX-AAmOfzXGaUY471.png
wKioL1nlzSPTDsX-AAmOfzXGaUY471.png

ifdown命令会将网卡断掉:

wKiom1nlz9uiBRxgAAOL2c_biyw470.png
wKiom1nlz9uiBRxgAAOL2c_biyw470.png
wKioL1nlzSjyrlOCAAiKRw74h2w700.png
wKioL1nlzSjyrlOCAAiKRw74h2w700.png

将网卡断掉之后使用ifconfig命令就查看不到ip了,远程连接的终端也会断开。

ifup则可以将断掉的网卡up回来:

wKiom1nlz9_B4UsFAAIri3F15mw204.png
wKiom1nlz9_B4UsFAAIri3F15mw204.png
wKioL1nlzS3DrGDFAAlrz46Ao28099.png
wKioL1nlzS3DrGDFAAlrz46Ao28099.png

当针对一个网卡去进行更改的时候,需要重新启动网卡,但是不想全部网卡都重新启动,就需要使用到这些命令。

  如果正在使用远程终端的情况下,不要单独使用ifdown命令,因为网卡被断掉了,远程就无法连接了,要同时使用ifdown和ifup才行:

wKioL1nlzS7TTuTLAAKCSRbpROQ328.png
wKioL1nlzS7TTuTLAAKCSRbpROQ328.png

给网卡设定虚拟的网卡:

  1.使用命令:cd /etc/sysconfig/network-scripts/ 进入到network-scripts目录下,然后拷贝网卡配置文件:

wKiom1nlz-aQS5OgAAJNK3LY11k110.png
wKiom1nlz-aQS5OgAAJNK3LY11k110.png

2.编辑拷贝的网卡配置文件:

wKioL1nlzTLiX-01AAW0xqtfFj8408.png
wKioL1nlzTLiX-01AAW0xqtfFj8408.png

3.重启网卡,并使用ifconfig命令查看信息:

wKiom1nlz-yS_-k3AAn_PSRM6wk003.png
wKiom1nlz-yS_-k3AAn_PSRM6wk003.png

我们可以打开cmd来ping一下这个虚拟网卡的地址,看看是否能ping通:

wKioL1nlzTnzCxIgAAaL-CuIZ9w365.png
wKioL1nlzTnzCxIgAAaL-CuIZ9w365.png

能ping通就证明没问题。

mii-tool命令可以查看网卡是否在连接状态:

wKiom1nlz_CQTjFJAAHCQR01Itk487.png
wKiom1nlz_CQTjFJAAHCQR01Itk487.png

是link ok则表示是连接状态。

如果mii-tool命令不支持的话,还可以使用ethtool命令查看:

wKioL1nlzT-DZGLBAAuAvOZgewk149.png
wKioL1nlzT-DZGLBAAuAvOZgewk149.png

hostnamectl是CentOS7的命令,CentOS6不支持,这个命令可以更改主机名,主机名的配置文件在etc目录下的hostname中:

wKiom1nlz_Xyzcg4AAExzdpoZDk122.png
wKiom1nlz_Xyzcg4AAExzdpoZDk122.png

DNS配置文件在etc目录下的resolv.conf中:

wKioL1nlzT_iGSF3AAHqYazGgHw150.png
wKioL1nlzT_iGSF3AAHqYazGgHw150.png

  nameserver行的ip地址来自于网卡配置文件,可以在resolv.conf文件里临时更改DNS。

/etc/hosts文件是Linux、Windows都有的,用于指定域名访问的IP地址:

wKiom1nlz_fSQgqPAAKK9xoyBpM150.png
wKiom1nlz_fSQgqPAAKK9xoyBpM150.png

例如我修改hosts文件指定一个域名的ip:

wKioL1nlzULQsJPxAALHrlmSyjU600.png
wKioL1nlzULQsJPxAALHrlmSyjU600.png
wKiom1nlz_mwaHgSAAMJA_vM3hM369.png
wKiom1nlz_mwaHgSAAMJA_vM3hM369.png

ping这个域名时就会访问127.0.0.1 IP地址

一个IP可以指定多个域名:

wKioL1nlzUOCV2wNAAHuz0ImNTk107.png
wKioL1nlzUOCV2wNAAHuz0ImNTk107.png
wKioL1nlzUSzx4i5AAMQ2MwoRyo857.png
wKioL1nlzUSzx4i5AAMQ2MwoRyo857.png

如果有两个同样的域名指定了不同的IP,以第一个的那个IP为准:

wKiom1nlz_ujdbH4AAJFkn3xTKE574.png
wKiom1nlz_ujdbH4AAJFkn3xTKE574.png
wKiom1nlz_yTDRvfAAPIZm1fXII131.png
wKiom1nlz_yTDRvfAAPIZm1fXII131.png

10.12 firewalld和netfilter

wKioL1nlzU3DduoJAA9rJOaRJdU319.png
wKioL1nlzU3DduoJAA9rJOaRJdU319.png

临时关闭selinux:

wKioL1nlzU7yLlKBAAD9A-CrfBs341.png
wKioL1nlzU7yLlKBAAD9A-CrfBs341.png

永久关闭selinux:

编辑/etc/selinux/config文件,把SELINUX行改为disabled,然后重启操作系统:

wKiom1nl0AfSLEzSAAVsQeEwl2A204.png
wKiom1nl0AfSLEzSAAVsQeEwl2A204.png

使用getenforce命令可以看到selinux的状态,显示Disabled表示关闭了,临时关闭则是显示Permissive:

wKioL1nlzVHA4QZCAADmsEs8cPE239.png
wKioL1nlzVHA4QZCAADmsEs8cPE239.png

selinux一般情况下都是关闭的,因为开启的话会有很多服务受限于它,从而增大运维的成本,而且关闭了selinux也不会对安全有什么影响。

netfilter防火墙在CentOS6之前的版本是这个名字,在CentOS7则变成了firewalld,而且机制也变得不太一样,但是内部的工具:iptables的用法是一样的。iptables可以去添加一些规则,比如关闭或开放端口。

在CentOS7上也可以使用netfilter机制的防火墙:

  1.关闭firewalld:

wKiom1nl0AiBSFnLAAJ5lH2vUuE953.png
wKiom1nl0AiBSFnLAAJ5lH2vUuE953.png
wKiom1nl0F-iaNjdAADr83Sk0JA021.png
wKiom1nl0F-iaNjdAADr83Sk0JA021.png

2.安装iptables-services包:

wKioL1nlzanRTDjeAAG9i9M1-BQ064.png
wKioL1nlzanRTDjeAAG9i9M1-BQ064.png

安装完之后就会有一个iptables服务:

wKioL1nlzarh7NDJAAGPaGqh3i4632.png
wKioL1nlzarh7NDJAAGPaGqh3i4632.png

3.开启iptables服务:

wKiom1nl0GDDz8M5AAEX8Hx9IHM326.png
wKiom1nl0GDDz8M5AAEX8Hx9IHM326.png

4.使用iptables -nvL命令查看iptables服务自带的一些规则:

wKiom1nl0GLhMFukAAV7Cw1a1DQ686.png
wKiom1nl0GLhMFukAAV7Cw1a1DQ686.png

10.13 netfilter 5表5链介绍

wKioL1nlzbHxrrepAApnXjxkrT8601.png
wKioL1nlzbHxrrepAApnXjxkrT8601.png

使用man命令可以看到关于netfilter的5个表的解释:

wKiom1nl0GqBi0eZAAgiK7c0OXU714.png
wKiom1nl0GqBi0eZAAgiK7c0OXU714.png

比较常用的是filter和nat表,filter是最常用的表,用于过滤数据包,这个表里有INPUT、FORWARD、OUTPUT三个链。INPUT 是数据包进入到本机的时候需要经过的一个链,在数据包经过这个链的时候可以做些操作,例如我要检查这个数据包访问的端口和源IP是什么,发现可疑的IP就可以禁掉。

接收到的数据包会经过一个判断,判断是否是发送到本机的,如果不是发送到本机的就会经过FORWARD这个链,当数据包经过FORWARD链的时候,我们也可以做一些操作,例如更改数据包的目标地址或者进行转发。

OUTPUT是在本机产生的一些包,在出去之前要做的一些操作,例如有个数据包要发给某个IP,但是这个IP我要禁掉,所以数据包就不会发往这个IP。

nat表用于网络地址转换,有PREROUTING、OUTPUT、POSTROUTING三个链。OUTPUT和filter表的OUTPUT是一样的,PREROUTING用来数据包进来的那一刻进行更改,POSTROUTING则反之,用来数据包出去的那一刻进行更改。

  路由器的原理就是用nat表做的,nat还可以做端口映射:

wKioL1nlzbiQCyTzAAnlQh9yTcc130.png
wKioL1nlzbiQCyTzAAnlQh9yTcc130.png

传输数据包的过程:

wKioL1nlzb6wkxMWAAvtskZij9I500.png
wKioL1nlzb6wkxMWAAvtskZij9I500.png

10.14 iptables语法

wKiom1nl0HvAprRGAA6SRfacq4Q814.png
wKiom1nl0HvAprRGAA6SRfacq4Q814.png

iptables的默认规则在/etc/sysconfig/iptables文件里保存着:

wKioL1nlzcmDOti8AAeOuIuHEj0171.png
wKioL1nlzcmDOti8AAeOuIuHEj0171.png

清除规则使用iptables -F命令:

wKioL1nlzcyS-p6jAAV06pNVh-g344.png
wKioL1nlzcyS-p6jAAV06pNVh-g344.png

这样虽然清空了规则,但是默认规则还会保存在/etc/sysconfig/iptables文件里。

  想要当前的规则保存到/etc/sysconfig/iptables文件里就要使用service iptables save命令:

wKiom1nl0IKhlZKUAAIFcJzZXII357.png
wKiom1nl0IKhlZKUAAIFcJzZXII357.png

  如果没有保存到/etc/sysconfig/iptables文件里的话,重启服务后就会重新加载/etc/sysconfig/iptables文件里的规则:

wKiom1nl0IWz6FpVAAXc_xB1KSw592.png
wKiom1nl0IWz6FpVAAXc_xB1KSw592.png

目前我们做的这些操作都是针对的filter表,这是默认的表。

查看nat表的规则:

wKioL1nlzdLB8a1eAAakjJMsqas392.png
wKioL1nlzdLB8a1eAAakjJMsqas392.png

使用iptables -nvL命令显示的规则里,可以看到第一行是有数字的,加上-Z选项可以将计数器清零:

wKioL1nlzdSTLsXwAAV7Cyda0Og570.png
wKioL1nlzdSTLsXwAAV7Cyda0Og570.png

  清零是为了在某些需求下,可以计算某个时间段某个ip传送过来的数据包数量。

添加规则示例:

wKiom1nl0IzBMTXDAAYZu3sj6U4975.png
wKiom1nl0IzBMTXDAAYZu3sj6U4975.png

命令意义:

wKiom1nl0I6xAx8iAAakjObX4Co801.png
wKiom1nl0I6xAx8iAAakjObX4Co801.png

只写目标端口也可以,意思就是过滤掉给这个端口发送的数据包:

wKiom1nl0JGjobenAAZtgc9tkkk739.png
wKiom1nl0JGjobenAAZtgc9tkkk739.png

命令意义:

wKioL1nlzd3QPAIWAAWHQZ0-Ogw000.png
wKioL1nlzd3QPAIWAAWHQZ0-Ogw000.png

规则在前面和后面区别就是先匹配前面的规则,然后再匹配后面的规则。

使用-D选项删除规则:

wKiom1nl0JSh-sanAAKiu1JW0fw983.png
wKiom1nl0JSh-sanAAKiu1JW0fw983.png
wKiom1nl0JaAnfPTAAXRpsCILgY591.png
wKiom1nl0JaAnfPTAAXRpsCILgY591.png

更方便的删除规则,根据规则的行号来删除:

wKioL1nlzeLw70lqAAW6Ty6tn-U814.png
wKioL1nlzeLw70lqAAW6Ty6tn-U814.png
wKioL1nlzeWCr63fAAWxpiLTY2g120.png
wKioL1nlzeWCr63fAAWxpiLTY2g120.png

链里面没有匹配的规则,就会走默认的策略,-P选项就是用来更改默认策略的:

wKiom1nl0JuyTqUkAAIvYb8gUdU534.png
wKiom1nl0JuyTqUkAAIvYb8gUdU534.png

ACCEPT是接收,DROP是终止,如果使用DROP的话,远程终端就会断开,因为服务器拒绝通信了,所以默认策略一般不用更改。

本文参与 腾讯云自媒体分享计划,分享自作者个人站点/博客。
原始发表:2017-10-17 ,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 10.11 Linux网络相关
  • 10.12 firewalld和netfilter
  • 10.13 netfilter 5表5链介绍
  • 10.14 iptables语法
相关产品与服务
NAT 网关
NAT 网关(NAT Gateway)提供 IP 地址转换服务,为腾讯云内资源提供高性能的 Internet 访问服务。通过 NAT 网关,在腾讯云上的资源可以更安全的访问 Internet,保护私有网络信息不直接暴露公网;您也可以通过 NAT 网关实现海量的公网访问,最大支持1000万以上的并发连接数;NAT 网关还支持 IP 级流量管控,可实时查看流量数据,帮助您快速定位异常流量,排查网络故障。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档