Linux -日常运维-防火墙

selinux临时关闭 :setenforce 0
selinux永久关闭 : vi /etc/selinux/config #设置完成之后,重启一下系统
SELINUX=disabled(关) enforcing(开)

firewalld #centos7开始使用firewalld防火墙
netfilter #centos7之前使用netfilter防火墙
##一般防火墙关闭

centos 7 上可以关闭firewalld,开启netfilter

centos 7 关闭防火墙firewalld
步骤;
systemctl disable firewalld #关闭开机启动
systemctl stop firewalld #关闭firewalld服务
开启netfilter
步骤;
yum install -y iptables #首先安装netfilter 包
安装完成之后,则会产生一个服务
systemctl enable iptables
systemctl start iptables #开启iptables服务
iptables -nvL #开启默认规则

netfilter5表5链介绍
filter #默认表, filter表用于过滤包,有三个内置的链(INPUT、FORWARD、OUTPUT)
INPUT :数据包进来时,经过的链,进入本机。
FORWARD :不会进入内核。判断目标地址是不是本机。可能会出现转发
OUTPUT :本机的包出去之前,所做的操作 比如:发给某个ip,需要禁止。

nat表用于网络地址转换,可以做端口映射
PREROUTING、OUTPUT、POSTROUTING三个链
ouput 与上面一样。
PREROUTING :进来时更改数据包
POSTROUTING :出去时更改数据包

iptables传输数据包的过程

① 当一个数据包进入网卡时,它首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。
② 如果数据包就是进入本机的,它就会沿着图向下移动,到达INPUT链。数据包到了INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包会经过OUTPUT链,然后到达POSTROUTING链输出。
③ 如果数据包是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过FORWARD链,然后到达POSTROUTING链输出。

数据包流向与netfilter的5个链
PREROUTING:数据包进入路由表之前
INPUT:通过路由表后目的地为本机
FORWARD:通过路由表后,目的地不为本机
OUTPUT:由本机产生,向外发出
POSTROUTING:发送到网卡接口之前

主机A到主机B,数据是由A开始进行数据封装,由网络设备将封装后的数据传送给主机B。主机B开始解封装,得到数据。

由主机B到主机A,依旧是数据封装和解封装的过程。

数据是一个A-B,B-A是以一应一答的过程进行传输的。A与B之间的通信路径是通过路由表及网络设备上的规则制定的。

其包含OSI七层协议模型、tcp/ip协议及网络设备访问控制列表等相关要点。

原文地址:http://blog.51cto.com/13451715/2309084

时间: 2024-10-30 00:40:25

Linux -日常运维-防火墙的相关文章

linux日常运维命令

修改系统时间 [[email protected] ~]# date -s "2012-11-16 10:16:00" [[email protected] ~]# clock -w 2.查看系统的内核 [[email protected] ~]#  uname–a 3.查看linux服务器物理CPU的个数 [[email protected] ~]# cat /proc/cpuinfo | grep "physicalid" | sort | uniq  | wc

linux日常运维管理

1.查看系统负载命令 w命令:主要查看cpu负载 load average:一分钟内负载 五分钟内负载 十五分钟内负载 负载跟cpu核心数有关,查看cpu核心数: # cat /proc/cpuinfo | grep 'processor' | wc -l uptime也可以显示cpu负载 2.vmstat命令 # vmstat 1 5 1代表每一秒显示一次,5代表显示五次 r列:表示一秒内运行的进程 b列:被阻塞的进程 swpd列:有多少数据被交换,单位是kb free列:剩余内存 buff列

Linux日常运维(rsync通过服务连接,linux日志,screen)

一.rsync通过服务同步 分为服务端(server1) 和客户端(server2) 服务端(server1): [[email protected] ~]# vim /etc/rsyncd.conf port=873                                   (指定哪个端口启动rsync服务,不写的话默认是873) log file=/var/log/rsync.log                      (指定日志文件) pid file=/var/run/r

linux日常运维基础命令

查看系统负载情况 1.w    (使用w命令查看负载情况) 查看load average 行查看1分钟负载情况 5分钟负载情况 15分钟负载情况,如果数值超过CPU核数,则说明现在CPU使用过程中有排队现象,核数不够 2.uptime    (查看当前系统负载情况) 同w命令 vmstat    (查看) 使用方法: vmstat 1 5    (每隔一秒显示linux的负载状态,一共显示5次) r:一秒内平均进程 b:有多少任务被磁盘IO,网络阻塞 swpd:有多少数据量被交换,如果swpd值

Linux日常运维小结

1. 如何看当前Linux系统有几颗物理CPU和每颗CPU的核数? 物理cpu个数:cat /proc/cpuinfo |grep -c 'physical id'CPU一共有多少核:grep -c processor /proc/cpuinfo将CPU的总核数除以物理CPU的个数,得到每颗CPU的核数. 2. 查看系统负载有两个常用的命令,是哪两个?这三个数值表示什么含义呢?两个命令分别是 w 和 uptime这三个系统负载值分别表示在1分钟.5分钟和15分钟内平均有多少个任务处于活动状态.

linux日常运维(crond,systemd,chkconfing,unit,target)

1.任务计划:crond [[email protected] ~]# cat /etc/crontab                             (crontab配置文件) SHELL=/bin/bash PATH=/sbin:/bin:/usr/sbin:/usr/bin                                 (命令的路径) MAILTO=root                                               (发送邮件给

Linux -日常运维-监控io性能

安装: yum install -y sysstatiostat #磁盘Linux 3.10.0-514.16.1.el7.x86_64 (mdzz) 2018年10月24日 _x8664 (1 CPU)系统版本.主机名和日期avg-cpu: 总体cpu使用情况统计信息,对于多核cpu,这里为所有cpu的平均值Device: 各磁盘设备的IO统计信息kB_read/s :读的速度kB_read/s :写的速度 iostat 1 5 #每一秒钟显示一次,一共显示5次 iostat -xiostat

Linux -日常运维- iptables语法

iptables -nvL #列出规则cat /etc/sysconfig/iptables #若提示无此文件, yum install iptables-servicesiptables -F #清空规则 service iptables save #将刚才设置的规则保存到配置文件里 #所有操作,默认filter 表iptables -t nat -nvL //-t指定表pkts #多少个数据包bytes #数据包的字节iptables -Z 可以把计数器清零 #就是清空上面的两个值 设置防火

Linux -日常运维-ps

ps 查看系统进程用法: ps -elf ps auxps aux 显示所有的进程ps aux | grep nginxps -elf 和 aux差不多 USER :进程所有者PID :进程pid,杀掉进程时使用.START :启动时间TIME: 运行时间COMMAND : 进程名 STAT :进程状态D:不能中断的进程R: run状态的进程,某个时间段内使用cpuS: sleep状态的进程T: 暂停的进程 ctrl zZ: 僵尸进程<: 高优先级进程 N: 低优先级进程L: 内存中被所了内存分