学习笔记第三十节课

标签：作业

linux网络相关

• 
• ifconfig 查看网卡ip第一章就用过，在sentos6 默认就有 在7 只能使用 ip addr去查看 之所以没有 是没安装包。
• ifconfig 有一个选项是 -a 如果终端没有ip的时候 是不显示的。
• 
• ifdown 是关闭网卡， ifup 是开启网卡。有时候单独针对一个网卡去更改，改了配置文件要重启服务，不想重启所有网卡 就可以用ifdown。
• 
• 
• 也可以两个命令一起执行。 ifdown +网卡名 && ifup +网卡名 这样就不会出现断掉的过程了。
• 
• 还可以给网卡设定虚拟的网卡。先进入网卡的配置文件里。然后cp一份 加个0 反斜杠是脱译冒号的，然后vim cp的文件，修改里面的内容。
• 
• 
• 然后再重启网卡 查看就发现多了个网卡。
• 
• 查看网卡是否链接了， 在系统里面用 mii-tool+网卡名。 查看是否link ok 如果这个命令不支持。可以用ethtool +网卡名查看。看最后的一行显示是否是yes
• 
• 更改主机名 是hostnamectl set-hostname 更改完后要重启终端才显示，也可以用hostname去查看 或者进入一个子终端就可以显示。
• 
• 主机名的配置文件在
• DNS的配置文件在 etc/resolv.conf 这个是在网卡配置文件里面定义的。 我们也可以临时更改，但是重启终端后，会被之前的配置文件覆盖。
• 
• /etc/hosts 这个是linux windows都有的， 去访问自定义的域名时就用到了在windows更改的。
• 比如 ping www.qq123.com ，这个是公网ip 我们可以指定不访问那个ip 转到别的上面去。
• 
• 
• 可以看到，ip地址换了。 也支持一个ip 配多个域名。
• 
• 如果一个域名多个ip 只会生效下面的ip
• 
• 

firewalld和netfilter

• 之前介绍过seliunx 配置密钥的时候要临时关闭，不然无法登录。
• selinux临时关闭 是 setenforce 0 永久关闭需要配置 vi/etc、selinux/config 把enforcin改为 disabled 就可以永久关闭。（要注意，不能改错，不然启动不了linux， ）
• 
• 也可以用 getenforce 去查看，状态 。 enforcing是打开， permissive 虽然也开启 但仅仅是遇到需要发生阻断时，不需要真正的阻断，是有个提醒。
• 
• 另一个防火墙 是netfilter 在以前 在6和5 用的 。 7用的是firewalld 这两个防火墙 不一样，但是用的工具是一样的。iptables
• 平时linux 都是关闭，因为开启 增大运维管理成本，好多服务受限于selinux 关闭也不会有太大安全问题。
• 在7上 默认是开启的firewalld netfilter 是关闭的。
• 我们先把它停掉。不让他开机启动，然后关闭它
• 
• 然后。iptables产生了一个服务，然后开启， 用iptables -nvL 会有写自带的规则。
• 
• 

nefilter5表5链介绍。

• 开启了之后有五个表。
• 我们可以man一下 ，6最开始是4个表。 ，
• 
• filter就是一个默认的表，下面有三个链，INPUT FORWARD OUTPUT 第一个链就是数据包进来时经过的一个链，查询ip 发现可以ip禁止掉。
• 第二个链就是判定目标地址是否是不是本机，不是的话会经过这个链。
• 第三个是在本机产生的一些包，出去之前做的一个操作，比如禁掉某个ip 不发给他。
• nat 就是共享上网，也有三个链，是PREROUTING OUTPUT POSTROUTING
• 第一个是更改数据包，即进来的那一个更改。
• 第三个也是更改，是出去的那一刻。
• mangle raw 几乎用不到。
• 如果是本机的 会经过PREROUTING， INPUT， LOCALHOST， OUTPUT ，POSTROUTING
• 如果不是本机的 就是PREROUTING ，FORWARD，POSTROUTING
• 
• 
• 详细讲解可以查看 https://www.cnblogs.com/metoy/p/4320813.html

iptables语法

• 
• 查看规则的命令是 iptables -nvL
• 
• 这个是存在 etc sysconfig iptables 里面。
• 
• 也可以把规则清空 就是 -F 但是配置文件里还是有的。
• 
• 保存现在的规则是 serbice iptables save 但是现在的规则是空的。
• 再重启下服务，就回到原来的规则了，因为配置文件没有被更改。
• 
• 如果我们不加 -t 默认针对的就是 filter表。加了 就可以指定表。
• 
• -Z 是清除计数器。可以看到这是有数字的，有多少个包，数据量 单位是字节。
• 
• 

• -A就是增加一个规则。-s 增加一个来源 ip -p指定协议是啥， 来源端口1234 -d 目标的ip 目标的端口，最后-j DROP 丢掉。 还有个REJECT 是拒绝。DROP 是过滤都不过滤就踢掉， REJECT 是查看一下，不合适就丢掉。
  ptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP

• 
• 也可以 -I 是插入的意思，就是插队的意思，A是增加。 不写来源ip 不写目标ip 只写端口。
• 

• 规则在前 先匹配前面的，如果两条规则一样 也是先匹配第一条。

• 可以增加 也可以删除。就是-D
• 
• 如果写入的规则太繁琐，而且时间久了忘记了，也可以去删除它 、
• 首先是 排出序列号。 加 -- line-number
• 然后 针对序列号去删除。
• 
• 还有一个-P 是默认的规则 。如果针对数据包没有规则，他会有一个默认的策略 就是ACCEPT 这个是可以改为DORP。iptables -P OUTPUT DROP
• 但是不能去操作，因为输入这个命令 就被禁掉了。数据包和22端口通讯，返回回来的时候被禁掉了，就没办法接收 就会断掉了。

学习笔记第三十节课

标签：作业

原文地址：http://blog.51cto.com/13645927/2114355