linux日常维护(网络相关,防火墙,netfirter介绍,netfirter语法)

1.linux网络相关

ifconfig 查看网卡ip (centos6是默认有的,centos7里没有,需要下载  yum install net-tloos)

关闭网卡:     ifdown +网卡    (关闭后没有ip)

打开网卡      ifup  +网卡

重启指定的网卡。如果网卡正在远程连接,不要直接ifdown网卡,如果服务器不在身边,过程很繁琐,

应该执行 ifdown +网卡 && ifup +网卡

设置一个虚拟网卡的步骤:

1.到网卡配置目录

[[email protected]c ~]# cd /etc/sysconfig/network-scripts/

2.拷贝真实的网卡,注意改名:

[[email protected] network-scripts]# cp ifcfg-ens33 ifcfg-ens33\:0

3.编辑虚拟网卡配置文件:(需要改以下配置)

NAME=ens33:0

DEVICE=ens33:0

IPADDR=192.168.52.50

去掉dns和网关

4.重新启动服务,也可以重新启动网卡

ifdown ens33 && ifup ens33

mii-tool +网卡名字   看看是否为link ok

也可以用ethtool +网卡名  查看最后一行link detected是否为yes

修改hostname

永久修改命令

[[email protected] ~]# hostnamectl set-hostname + 自定义名字

退出当前环境从新登陆即可查看,或者直接查看/etc/hostname

[[email protected] ~]# cat /etc/hostname

litongyao

dns配置文件

[[email protected] network-scripts]# cat /etc/resolv.conf

# Generated by NetworkManager

search abc.com

nameserver 119.29.29.29              (是由网卡配置文件里来的)

/etc/hosts

ip +    域名(可以是多个域名,如果是多个ip的话。以靠文件后的一个为准)

hosts文件的作用相当于DNS,提供IP地址hostname的对应。早期的互联网计算机少,单机hosts文件里足够存放所有联网计算机。不过随着互联网的发展,这就远远不够了。于是就出现了分布式的DNS系统。由DNS服务器来提供类似的IP地址到域名的对应。Linux系统在向DNS服务器发出域名解析请求之前会查询/etc/hosts文件,如果里面有相应的记录,就会使用hosts里面的记录。

2.linux防火墙

selinux临时关闭

getenforce    查看Linux关闭或打开

setenforce 0

##设置SELinux 成为permissive模式,遇到需要阻断的时候,不会真的阻断,而是会提醒并记录

selinux 1

##设置SELinux 成为enforcing模式,打开selinux

永久关闭

[[email protected] network-scripts]# vim /etc/selinux/config

SELINUX=disabled

另外一个防火墙。centos7之前的版本使用netfilter,centos7的时候使用firewalld 内部机制都是-->iptables

一般都处于关闭状态,不会有太大的安全隐患。打开会增加我们的运营成本。在centos7上也可以运行netfilter,需要关闭firewalld并让它开机不启动。

[[email protected] network-scripts]# systemctl disable firewalld

Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.

Removed symlink /etc/systemd/system/basic.target.wants/firewalld.service.

[[email protected] network-scripts]# systemctl stop firewalld

然后安装netfilter

[[email protected] network-scripts]# yum install -y iptables-services

打开netfilter

[[email protected] ~]# systemctl start iptables

3.

netfilter的5个表,

(一)filter表用于过滤包,包含了三个内置链,

  1. INPUT            数据包进来本机的时候要经过的链
  2. FORWARD          目标地址不是本机的话,要经过的链
  3. OUTPUT           在本机的包出去之前要经过的链

(二)nat表用于网络地址转换,也包含了三个链。()

  1. PREROUTING        进来的一刻更改数据包
  2. OUTPUT           在本机的包出去之前要经过的链
  3. PUSTROUTING        出去的一刻更改数据包

(三)mangle表 用于给数据包做标记,几乎用不到

(四)raw表可以实现不追踪某些数据包

(五)security在centos6中没有,用于强制访问控制(MAC)的网络规则

iptables传输数据包的过程

① 当一个数据包进入网卡时,它首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。 
② 如果数据包就是进入本机的,它就会沿着图向下移动,到达INPUT链。数据包到了INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包会经过OUTPUT链,然后到达POSTROUTING链输出。 
③ 如果数据包是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过FORWARD链,然后到达POSTROUTING链输出。

参考文章:http://www.cnblogs.com/metoy/p/4320813.html

4.filter介绍

[[email protected] ~]# iptables -nvL      (查看iptable规则)

默认保存规则在/etc/sysconfig/iptables文件下保存

[[email protected] ~]# iptables -F         (清空规则,但是并不会保存在文件里,重启服务后规则又都回来了)

[[email protected] ~]# service iptables save   (保存新规则到文件里)

iptables -nvL -t //指定表          (查看指定表的规则,如果不指定表,则默认是filter表)

iptables -Z 可以把计数器清零        (可以把计数器清零)

iptables -nvL --line-number       显示规则的序列号(删除规则时直接加序列号即可,不用敲全部命令)

-A   增加规则到最后面  (一般而言,最后一条规则用于丢弃(DROP)所有数据包。)

-I   把规则插入到最前面 (过滤时优先过滤最前面的)

-D   删除规则

-P   默认的规则

-s   源地址,可以是ip地址,网络地址,主机名

-d   目标地址

-j   执行目标

-i   输入接口,指定了处理那个接口的数据包(-i eth0 指定经由eth0进入的数据包)!-i eth0 处理除 eth0以外的数据包

-o   输出接口,(和输入接口规则相同)

-p   指定规则,是tcp还是udp,如果不指定,则默认是all

--sport 源端口 可以指定端口号,或者端口名称,例如“-sport 22”“-sport ssh”

--dport 目的端口

DROP和REJECT都是把IP封掉,区别是:

DROP是数据包过来后看都不看直接扔掉

REJECT是数据包过来后看一下,然后礼貌的告诉你,对不起你不能进入

ACCEPT  允许进入

时间: 2024-11-09 02:50:30

linux日常维护(网络相关,防火墙,netfirter介绍,netfirter语法)的相关文章

linux网络相关 |防火墙 |netfilter5表5链

10.11 linux网络相关 ifconfig 如果没有ifconfig,需要安装包 [[email protected] ~]# yum install net-tools 如果需要显示所有的网卡信息,包括down掉的或者没有IP地址的网络,使用-a命令 [[email protected] ~]# ifconfig -a 有时候会单独针对一个网卡做一些更改(如改网关,或者增加DNS),但是不想把所有的网卡都重启,只需要重启指定的网卡,为了避免down掉后无法启动,我们需要2个命令一起执行

linux日常维护(rsync介绍,常用选项,rsync六种模式)

一.rsync介绍 rsync命令是一个远程数据同步工具,可通过LAN/WAN快速同步多台主机间的文件.rsync使用所谓的"rsync算法"来使本地和远程两个主机之间的文件达到同步,这个算法只传送两个文件的不同部分,而不是每次都整份传送,因此速度相当快. 从字面上的意思你可以理解为remote sync (远程同步)这样可以让你理解的更深刻一些.Rsync不仅可以远程同步数据(类似于scp [1]),当然还可以本地同步数据(类似于cp),但不同于cp或scp的一点是,rsync不像c

netty学习(一)--linux下的网络io模型简单介绍

linux的内核将全部的外部设备都看作一个文件来操作,对一个文件的读写操作会调用内核提供的系统命令 ,返回一个file descriptor(fd.文件描写叙述符).而对一个socket的读写也会有对应的描写叙述符.成为socketfd (socket描写叙述符),描写叙述符就是一个数字,它指向内核中的一个结构体(文件路径.数据区等一些属性). 依据unix编程对I/O模型的分类,unix提供了5种I/O模型.各自是: (1)堵塞I/O模型:最常使用的就是堵塞I/O模型,在默认条件下全部的文件操

LINUX内核参数网络相关

有助于提高网络性能和吞吐量的参数 net.core.somaxconn = 128 已完成连接队列(completed connection queue) (1)三次握手已经完成,但还未被应用层接收(accept),但也处于ESTABLISHED状态. (2)队列长度由listen的backlog参数和内核的 net.core.somaxconn 参数共同决定. (3)当这个队列满了之后,不管未完成连接队列是否已满,是否启用syncookie,都不在接收新的SYN请求.(该特性跟内核版本有关)

Linux日常维护命令

对于程序员来说,掌握一些基本的Linux命令是必不可少的,即使现在用不到,在不久的将来也应该会用到.由于Linux有很多命令,每个命令基本可以用一篇文章介绍,所以本文仅总结一些常用命令的常用用法,如有明显的遗漏或错误,请各位帮忙指出,谢谢! 以下内容基于测试环境:Red Hat 4.5/5 一.服务器硬件配置 1.查看硬盘及分区情况 # fdisk -l 2.查看分区空间使用情况 可以查看各分区大小.已使用.可用.已使用百分比.挂载情况 1)默认单位为K # df 2)可读性更好的显示,如单位M

程序员必备:Linux日常维护命令

一.服务器硬件配置 1.查看硬盘及分区情况 # fdisk -l 2.查看分区空间使用情况 可以查看各分区大小.已使用.可用.已使用百分比.挂载情况 1)默认单位为K # df 2)可读性更好的显示,如单位M.G等 # df -h 3.查看内存信息 1)使用free命令 默认单位为K,可通过结合参数-b.-k.-m分别以单位B.K.M进行显示 # free # free -b # free -k # free -m 2)查看/proc/meminfo文件,可以获得比free命令更详细内存信息 #

Linux日常维护(firewalld的9个zone和service)

一.iptables规则备份和恢复 iptables如果不使用service iptables save命令,则重启之后规则会全部消失. services save命令默认把规则保存在/etc/sysconfig/iptables文件里. 可以用ipables-save > ipt.txt 这个命令把现在的规则保存在文本文件里.然后在恢复默认配置 等到想用的时候再用iptables-restore < ipt.txt这个命令恢复保存的配置. 如果想启动服务就让有规则,就把iptables保存在

Linux日常管理技巧(3):Linux网络相关和防火墙

一.Linux网络相关 1. ifconfig 查看网卡IP ifconfig命令被用于配置和显示Linux内核中网络接口的网络参数.用ifconfig命令配置的网卡信息,在网卡重启后机器重启后,配置就不存在.要想将上述的配置信息永远的存的电脑里,那就要修改网卡的配置文件了. [[email protected] ~]# ifconfig //直接输入该命令即可查看网卡 ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 ine

10.11 Linux网络相关 10.12 firewalld和netfilter 10.13 netfilter5表5链介绍 10.14 iptables语法

10.11 Linux网络相关 10.12 firewalld和netfilter 10.13 netfilter5表5链介绍 10.14 iptables语法 扩展(selinux了解即可) selinux教程 http://os.51cto.com/art/201209/355490.htm selinux pdf电子书 http://pan.baidu.com/s/1jGGdExK 10.11 linux网络相关 -ifconfig 命令在centos7 是没有的,需要安装yum inst