码迷,mamicode.com
首页 > 其他好文 > 详细

学习笔记第三十节课

时间:2018-05-09 14:48:28      阅读:179      评论:0      收藏:0      [点我收藏+]

标签:作业

linux网络相关

  • 技术分享图片
  • ifconfig 查看网卡ip第一章就用过,在sentos6 默认就有 在7 只能使用 ip addr去查看 之所以没有 是没安装包。
  • ifconfig 有一个选项是 -a 如果终端没有ip的时候 是不显示的。
  • 技术分享图片
  • ifdown 是关闭网卡, ifup 是开启网卡。有时候单独针对一个网卡去更改,改了配置文件要重启服务,不想重启所有网卡 就可以用ifdown。
  • 技术分享图片
  • 技术分享图片
  • 也可以两个命令一起执行。 ifdown +网卡名 && ifup +网卡名 这样就不会出现断掉的过程了。
  • 技术分享图片
  • 还可以给网卡设定虚拟的网卡。先进入网卡的配置文件里。然后cp一份 加个0 反斜杠是脱译冒号的,然后vim cp的文件,修改里面的内容。
  • 技术分享图片
  • 技术分享图片
  • 然后再重启网卡 查看就发现多了个网卡。
  • 技术分享图片
  • 查看网卡是否链接了, 在系统里面用 mii-tool+网卡名。 查看是否link ok 如果这个命令不支持。可以用ethtool +网卡名查看。看最后的一行显示是否是yes
  • 技术分享图片
  • 更改主机名 是hostnamectl set-hostname 更改完后要重启终端才显示,也可以用hostname去查看 或者进入一个子终端就可以显示。
  • 技术分享图片
  • 主机名的配置文件在技术分享图片
  • DNS的配置文件在 etc/resolv.conf 这个是在网卡配置文件里面定义的。 我们也可以临时更改,但是重启终端后,会被之前的配置文件覆盖。
  • 技术分享图片
  • /etc/hosts 这个是linux windows都有的, 去访问自定义的域名时就用到了在windows更改的。
  • 比如 ping www.qq123.com ,这个是公网ip 我们可以指定不访问那个ip 转到别的上面去。
  • 技术分享图片
  • 技术分享图片
  • 可以看到,ip地址换了。 也支持一个ip 配多个域名。
  • 技术分享图片
  • 如果一个域名多个ip 只会生效下面的ip
  • 技术分享图片
  • 技术分享图片

firewalld和netfilter

  • 之前介绍过seliunx 配置密钥的时候要临时关闭,不然无法登录。
  • selinux临时关闭 是 setenforce 0 永久关闭需要配置 vi/etc、selinux/config 把enforcin改为 disabled 就可以永久关闭。(要注意,不能改错,不然启动不了linux, )
  • 技术分享图片
  • 也可以用 getenforce 去查看,状态 。 enforcing是打开, permissive 虽然也开启 但仅仅是遇到需要发生阻断时,不需要真正的阻断,是有个提醒。
  • 技术分享图片
  • 另一个防火墙 是netfilter 在以前 在6和5 用的 。 7用的是firewalld 这两个防火墙 不一样,但是用的工具是一样的。iptables
  • 平时linux 都是关闭,因为开启 增大运维管理成本,好多服务受限于selinux 关闭也不会有太大安全问题。
  • 在7上 默认是开启的firewalld netfilter 是关闭的。
  • 我们先把它停掉。不让他开机启动,然后关闭它
  • 技术分享图片
  • 然后。iptables产生了一个服务,然后开启, 用iptables -nvL 会有写自带的规则。
  • 技术分享图片
  • 技术分享图片

nefilter5表5链介绍。

技术分享图片

  • 开启了之后有五个表。
  • 我们可以man一下 ,6最开始是4个表。 ,
  • 技术分享图片
  • filter就是一个默认的表,下面有三个链,INPUT FORWARD OUTPUT 第一个链就是数据包进来时经过的一个链,查询ip 发现可以ip禁止掉。
  • 第二个链就是判定目标地址是否是不是本机,不是的话会经过这个链。
  • 第三个是在本机产生的一些包,出去之前做的一个操作,比如禁掉某个ip 不发给他。
  • nat 就是共享上网,也有三个链,是PREROUTING OUTPUT POSTROUTING
  • 第一个是更改数据包,即进来的那一个更改。
  • 第三个也是更改,是出去的那一刻。
  • mangle raw 几乎用不到。
  • 如果是本机的 会经过PREROUTING, INPUT, LOCALHOST, OUTPUT ,POSTROUTING
  • 如果不是本机的 就是PREROUTING ,FORWARD,POSTROUTING
  • 技术分享图片
  • 技术分享图片
  • 详细讲解可以查看 https://www.cnblogs.com/metoy/p/4320813.html

iptables语法

  • 技术分享图片
  • 查看规则的命令是 iptables -nvL
  • 技术分享图片
  • 这个是存在 etc sysconfig iptables 里面。
  • 技术分享图片
  • 也可以把规则清空 就是 -F 但是配置文件里还是有的。
  • 技术分享图片
  • 保存现在的规则是 serbice iptables save 但是现在的规则是空的。
  • 再重启下服务,就回到原来的规则了,因为配置文件没有被更改。
  • 技术分享图片
  • 如果我们不加 -t 默认针对的就是 filter表。加了 就可以指定表。
  • 技术分享图片
  • -Z 是清除计数器。可以看到这是有数字的,有多少个包,数据量 单位是字节。
  • 技术分享图片
  • 技术分享图片
  • -A就是增加一个规则。-s 增加一个来源 ip -p指定协议是啥, 来源端口1234 -d 目标的ip 目标的端口,最后-j DROP 丢掉。 还有个REJECT 是拒绝。DROP 是过滤都不过滤就踢掉, REJECT 是查看一下,不合适就丢掉。
    ptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP

  • 技术分享图片
  • 也可以 -I 是插入的意思,就是插队的意思,A是增加。 不写来源ip 不写目标ip 只写端口。
  • 技术分享图片
  • 规则在前 先匹配前面的,如果两条规则一样 也是先匹配第一条。

  • 可以增加 也可以删除。就是-D
  • 技术分享图片
  • 如果写入的规则太繁琐,而且时间久了忘记了,也可以去删除它 、
  • 首先是 排出序列号。 加 -- line-number
  • 然后 针对序列号去删除。
  • 技术分享图片
  • 还有一个-P 是默认的规则 。如果针对数据包没有规则,他会有一个默认的策略 就是ACCEPT 这个是可以改为DORP。iptables -P OUTPUT DROP
  • 但是不能去操作,因为输入这个命令 就被禁掉了。数据包和22端口通讯,返回回来的时候被禁掉了,就没办法接收 就会断掉了。

学习笔记第三十节课

标签:作业

原文地址:http://blog.51cto.com/13645927/2114355

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!