码迷,mamicode.com
首页 > 其他好文 > 详细

2018-5-8

时间:2018-05-09 10:14:28      阅读:202      评论:0      收藏:0      [点我收藏+]

标签:linux防火墙

10.11 Linux网络相关

10.12 firewalld和netfilter

10.13 netfilter5表5链介绍

10.14 iptables语法







10.11 Linux网络相关

技术分享图片


ifconfig -a ( 当网卡断掉的时候不会显示)


ifdown ens33 (断掉指定网卡) ifup ens33 (开启网卡),如果再用时不能直接断开,断开后远程链接就无法用了。

只能到终端去开启这个网卡才可以时候。有时候配置了网卡后需要重启,如果不想重启可以指定downup网卡,就可以

实现指定网卡的重启,也就是需要两个命令一起执行 ifdown ens33 && ifup ens33。



技术分享图片

目前有eno16777736和lo两个网卡,如果还有需要可以设定一个虚拟网卡。

步骤:1.先到网卡配置文件目录下

技术分享图片

2.cp一份ifcfg-ens16777736(这里的反斜杠是为了脱译这个冒号),然后编辑它

   技术分享图片

   技术分享图片

ip改成141 名字(name和device)改成原有的加:0 配置文件无需脱译。dns1已经有了可以不要,网关也可以去掉dd一下。技术分享图片

wq保存退出


3重启网络服务

技术分享图片

然后就有了。

技术分享图片


用windows去ping 没有问题

技术分享图片


mii-tool 网卡名(查看网卡是否连接)

技术分享图片

如果不行用 ethtool 查看

技术分享图片 

看最后一项link detected 。 如果是yes就是连接了网线


更改主机名hostnamectl set-hostname (centos6不支持,7才支持)

hostname可以查看主机名,重开会生效。


DNS配置文件在 /etc/resolv.conf

技术分享图片

这个是在原来网卡的配置文件里配置的  /etc/sysconfig/network-scripts/ifcfg-ens16..(更改dns直接去更改网卡配置文件就行)

也可以临时的更改 vim /etc/resolv.conf  重启后复原。


 /etc/hosts 可以临时更改域名解析,只在本机生效。

技术分享图片

更改配置文件

技术分享图片

技术分享图片

支持一个ip配多个域名,用空格分割。一个域名配多个ip 只有后面的生效。








10.12 firewalld和netfilter

技术分享图片

firewalld 与 netfilter的机制不太一样。

但是可以通过iptables这个命令来修改。

比如可以通过iptables 开放80端口等。


在7上也可以用6的netfilter

systemctl disable firewalld 先把它停掉,不让它开机启动。

systemctl stop firewalld 关掉服务

然后开启netfiler

先安装一个包 yum install -y iptables-services

systemctl enable iptables

systemctl start iptables开启


iptables -nvL可以查看默认规则

技术分享图片

这是iptables 服务启动自带的一些规则







10.13 netfilter5表5链介绍


技术分享图片

本机的:经过PREROUTING INPUT OUTPUT POSTROUTING链

不是本机的:经过PREGOUTING FORWARD POSTROUTING链


iptables传输数据包的过程

① 当一个数据包进入网卡时,它首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。 
② 如果数据包就是进入本机的,它就会沿着图向下移动,到达INPUT链。数据包到了INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包会经过OUTPUT链,然后到达POSTROUTING链输出。 
③ 如果数据包是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过FORWARD链,然后到达POSTROUTING链输出。

技术分享图片


规则表:

1.filter表——三个链:INPUT、FORWARD、OUTPUT
作用:过滤数据包  内核模块:iptables_filter.
2.Nat表——三个链:PREROUTING、POSTROUTING、OUTPUT
作用:用于网络地址转换(IP、端口) 内核模块:iptable_nat
3.Mangle表——五个链:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
作用:修改数据包的服务类型、TTL、并且可以配置路由实现QOS内核模块:iptable_mangle(别看这个表这么麻烦,咱们设置策略时几乎都不会用到它)
4.Raw表——两个链:OUTPUT、PREROUTING
作用:决定数据包是否被状态跟踪机制处理  内核模块:iptable_raw
(这个是REHL4没有的,不过不用怕,用的不多)

 

规则链:


1.INPUT——进来的数据包应用此规则链中的策略
2.OUTPUT——外出的数据包应用此规则链中的策略
3.FORWARD——转发数据包时应用此规则链中的策略
4.PREROUTING——对数据包作路由选择前应用此链中的规则
(记住!所有的数据包进来的时侯都先由这个链处理)
5.POSTROUTING——对数据包作路由选择后应用此链中的规则
(所有的数据包出来的时侯都先由这个链处理)






10.14 iptables语法

技术分享图片

命令不加-t 默认为filter表

规则保存地址 /etc/sysconfig/iptables

技术分享图片


iptables -F 清空规则 (仅仅是当前内存生效重启后会复原,因为配置文件不会改变,只有save后配置文件发生改变才会永久生效)

service iptables save 保存规则


技术分享图片

-t省略意味着是filter表,-A增加规则(会把规则放到最后),针对input链子,指定来源ip -s,指定协议 -p,来源端口 1234,目标ip128,目标端口80,DROP数据包扔掉(类似拒绝)


-I插入规则,会把规则放到最前(一但出现同时匹配,优先前面的规则生效)

-D删除规则(用增加和插入时一样的命令删除)

iptables -nvl --line-numbers 列出规则序号

iptables -D INPUT 编号(利用编号去删除,这样更加方便)


也可以针对网卡 比如-i etho


-P更改默认策略(一般不动)







2018-5-8

标签:linux防火墙

原文地址:http://blog.51cto.com/13646170/2114238

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!