标签:ifconfig iptables netfilter
一 ifconfig 虚拟网卡 DNS查看网卡ip ,子网掩码,mac地址等ifconfig ens33 单独查看某一个网卡信息
当我们修改网络配置后,需要重启网络服务,这个时候我们可以运行如下命令service network restart
centos 7 还可以syctemctl restart network
如果我们只需要重启某个网卡呢?
可以用 ifdown ens33 && ifup ens33
配置虚拟网卡
1.可以用ifonfig ens33:1 192.168.226.131 up
临时配置一个
2若要永久生效,必须通过编辑配置文件实现
cd /etc/sysconfig/network-scripts/
cp ifcfg-ens33 ifcfg-ens33:1
vim ens33:1修改设备名,和ip就可以
重启网卡就会发现多出来一个ens33:1mii-tool ens33可以查看某个网卡的连通情况,link ok 标示连接正常。
no link 标示网卡未正常连接,或者网卡故障。hostname 查看主机名
hostname +名称 更改主机名
要想永久生效的话,编辑配置文件 /etc/sysconfig/network
加入以下内容
NETWORKING=yes
HOSTNAME=lvlinux设置DNS
指定一个DNS服务器,需要编辑配置文件 /etc/resolv.conf,加入指定的DNS就可以,可以添加多个,默认使用第一行的DNS,解析失败后使用第二个。
格式为: nameserver +DNS 地址 (nameserver 为固定写法)
我们也可可以设置临时DNS
编辑 /etc/hosts ,添加格式为
ip + 域名1 域名2
红帽特有的安全机制,由于配置麻烦,限制太多,平时我们都不用它,把他关掉就可以
selinux 有三种状态 enforcing permissive disabledgetenforce 查看状态
enforcing 表示规则开启,限制某些应用 ,状态码为1
permissive 宽容模式, 放行限制,记录异常到日志,状态码为0
如果是 enforce 状态 执行setenforce 0 临时关闭
要想让selinux永久关闭,需要编辑配置文件
/etc/selinux/config,修改enforcing 为disabled,再重启系统。
如果说selinux 太过苛刻和复杂,那么netfilter 和firewall 则比较实用,在
centos7中这两种防火墙机制都存在,我们先来学习netfilter,
netfilter 的原理我是通过下面文章学习的,我觉得写的很到位。
http://www.zsythink.net/archives/1199
接下来我直接提炼出 比较重要的几个知识点,倘若我们还比较陌生,那只能继续读上面的文章加深理解。
iptables 对于数据包的处理,按照功能上的各司其职,划分出raw ,filter,
nat,mangle,security5个表.
从数据包流向的路径上划分出5个链,prerouting ,forward,postrouting,
input,output
先来看下表的功能:
filter : 包过滤,防火墙 ,有input, forwad,output三个链
nat : 网络地址转换,有prerouting , postrouting,output,inputs四个链
raw: 包追踪
mangle :包修改
重点关注前两个即可
根据上图我们总结下数据包的链流向:
流入本机: prerouting ---->intput---->localhost (内核)
流出本机:localhost(内核) ---->output ---->postrouting
转发: prerouting ----->forwad ------>postrouting表的优先级:
raw ---- magele----nat-----filter
匹配条件
source ipaddress 和destination ipaddess
source port 和destination port
处理动作
accept 接受
drop 丢弃
rejiect 拒绝
snat 源地址转换
iptables 具体用法:
centos7 默认使用的是firewalld 防火墙,之前的版本都是netfilter。
因此我们先要关闭firewalld ,打开netfilter
systemctl stop firewalld
systemctl disable firewalld
yum install -y iptables-services
systemctl enable iptables
systemctl start iptablesiptables -nvL 查看所有规则,默认是filter表
iptables -t nat -nvL 可以查看nat表的规则
service iptables save 保存当前规则iptables -F 清空规则iptables -Z 把计数器清零
计数器就是接受或者拒绝了多少个包,policy ACCEPT
-t 指定表
-A 增加到最后, -I插入到最前
-D 删除规则 保持跟设定规则时一致
根据编号删除规则,比较方便
查看编号iptables -nvL --line-number
删除规则
iptables -D 链 编号
按照网卡添加iptables -I INPUT -s 192.168.10.9/24 -i eth0 -j ACCEPT
各段含义为:
1说明要插入一条规则:iptables -I
2.指定要操作的链 : INPUT
3.指定源ip地址: -s 192.168.10.9/24
4.指定网卡: -i eth0
5.指定处理动作:-j ACCEPT-P 更改默认规则iptables -P OUTPUT DROP 数据包进不来,远程将断开
按照端口添加iptables -A INPUT -s 192.168.10.9 -p tcp --sport 80 -d 192.168.11.9 --dport 80 -j REJECT
各段含义为:
1.说明要插入一条规则:iptables -A
2.指定要操作的链:INPUT
3.指定源ip地址:-s 192.168.10.9
4.指定使用的协议:-p tcp
5.指定源端口:--sport 80
6.指定目标ip地址:-d 192.168.11.9
7.指定目标端口:--dport 80
8.指定处理动作:-j REJECT简单配置如下ptables -I INPUT -p tcp --dport 80 -j DROP
标签:ifconfig iptables netfilter
原文地址:http://blog.51cto.com/12606610/2089579
