标签:linux防火墙
10.11 Linux网络相关10.12 firewalld和netfilter
10.13 netfilter5表5链介绍
10.14 iptables语法
10.11 Linux网络相关
ifconfig -a ( 当网卡断掉的时候不会显示)
ifdown ens33 (断掉指定网卡) ifup ens33 (开启网卡),如果再用时不能直接断开,断开后远程链接就无法用了。
只能到终端去开启这个网卡才可以时候。有时候配置了网卡后需要重启,如果不想重启可以指定downup网卡,就可以
实现指定网卡的重启,也就是需要两个命令一起执行 ifdown ens33 && ifup ens33。
目前有eno16777736和lo两个网卡,如果还有需要可以设定一个虚拟网卡。
步骤:1.先到网卡配置文件目录下
2.cp一份ifcfg-ens16777736(这里的反斜杠是为了脱译这个冒号),然后编辑它
ip改成141 名字(name和device)改成原有的加:0 配置文件无需脱译。dns1已经有了可以不要,网关也可以去掉dd一下。
wq保存退出
3重启网络服务
然后就有了。
用windows去ping 没有问题
mii-tool 网卡名(查看网卡是否连接)
如果不行用 ethtool 查看
看最后一项link detected 。 如果是yes就是连接了网线
更改主机名hostnamectl set-hostname (centos6不支持,7才支持)
hostname可以查看主机名,重开会生效。
DNS配置文件在 /etc/resolv.conf
这个是在原来网卡的配置文件里配置的 /etc/sysconfig/network-scripts/ifcfg-ens16..(更改dns直接去更改网卡配置文件就行)
也可以临时的更改 vim /etc/resolv.conf 重启后复原。
/etc/hosts 可以临时更改域名解析,只在本机生效。
更改配置文件
支持一个ip配多个域名,用空格分割。一个域名配多个ip 只有后面的生效。
10.12 firewalld和netfilter
firewalld 与 netfilter的机制不太一样。
但是可以通过iptables这个命令来修改。
比如可以通过iptables 开放80端口等。
在7上也可以用6的netfilter
systemctl disable firewalld 先把它停掉,不让它开机启动。
systemctl stop firewalld 关掉服务
然后开启netfiler
先安装一个包 yum install -y iptables-services
systemctl enable iptables
systemctl start iptables开启
iptables -nvL可以查看默认规则
这是iptables 服务启动自带的一些规则
10.13 netfilter5表5链介绍
本机的:经过PREROUTING INPUT OUTPUT POSTROUTING链
不是本机的:经过PREGOUTING FORWARD POSTROUTING链
iptables传输数据包的过程
① 当一个数据包进入网卡时,它首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。
② 如果数据包就是进入本机的,它就会沿着图向下移动,到达INPUT链。数据包到了INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包会经过OUTPUT链,然后到达POSTROUTING链输出。
③ 如果数据包是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过FORWARD链,然后到达POSTROUTING链输出。
规则表:
1.filter表——三个链:INPUT、FORWARD、OUTPUT
作用:过滤数据包 内核模块:iptables_filter.
2.Nat表——三个链:PREROUTING、POSTROUTING、OUTPUT
作用:用于网络地址转换(IP、端口) 内核模块:iptable_nat
3.Mangle表——五个链:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
作用:修改数据包的服务类型、TTL、并且可以配置路由实现QOS内核模块:iptable_mangle(别看这个表这么麻烦,咱们设置策略时几乎都不会用到它)
4.Raw表——两个链:OUTPUT、PREROUTING
作用:决定数据包是否被状态跟踪机制处理 内核模块:iptable_raw
(这个是REHL4没有的,不过不用怕,用的不多)
规则链:
1.INPUT——进来的数据包应用此规则链中的策略
2.OUTPUT——外出的数据包应用此规则链中的策略
3.FORWARD——转发数据包时应用此规则链中的策略
4.PREROUTING——对数据包作路由选择前应用此链中的规则
(记住!所有的数据包进来的时侯都先由这个链处理)
5.POSTROUTING——对数据包作路由选择后应用此链中的规则
(所有的数据包出来的时侯都先由这个链处理)
10.14 iptables语法
命令不加-t 默认为filter表
规则保存地址 /etc/sysconfig/iptables
iptables -F 清空规则 (仅仅是当前内存生效重启后会复原,因为配置文件不会改变,只有save后配置文件发生改变才会永久生效)
service iptables save 保存规则
-t省略意味着是filter表,-A增加规则(会把规则放到最后),针对input链子,指定来源ip -s,指定协议 -p,来源端口 1234,目标ip128,目标端口80,DROP数据包扔掉(类似拒绝)
-I插入规则,会把规则放到最前(一但出现同时匹配,优先前面的规则生效)
-D删除规则(用增加和插入时一样的命令删除)
iptables -nvl --line-numbers 列出规则序号
iptables -D INPUT 编号(利用编号去删除,这样更加方便)
也可以针对网卡 比如-i etho
-P更改默认策略(一般不动)
标签:linux防火墙
原文地址:http://blog.51cto.com/13646170/2114238