网络相关、firewalld和netfilter、netfilter5表5链介绍、iptables语

一:linux网络相关

ifconfig命令,如果没有,用下列命令安装一下
yum install -y net-tools
如果想禁用一个网卡:
ifdown ens33
启用网卡
ifup ens33
重启网卡
ifdown ens33 && ifup ens33
设定虚拟网卡ens33:0
cd /etc/sysconfig/network-scripts/
cp ifcfg-ens33 ifcfg-ens33\:0
vi !$
修改NAME和 DEVICE为ens33:0
修改ipaddr
查看网卡连接状态
mii-tool ens33
ethtool ens33
更改主机名
hostnamectl set-hostname leewill
即时生效需要重新登陆
DNS配置文件
cat /etc/resolv.conf

域名配置文件
cat /etc/hosts
同一个域名配置了不同的ip,以最后的为准

二:firewalld和netfilter

关闭selinux的办法
临时:setenforce 0
永久:vim /etc/selinux/config
将selinux=enforcing改为selinux=disabled
保存,重启即可
获取selinux状态:getenforce

firewalld和netfilter都是用iptables命令来实现防火墙功能
centos7用firewalld,centos6用netfilter
在centos7上关闭firewalld,并开启netfilter
systemctl disable firewalld
systemctl stop firewalld
yum install -y iptables-services
systemctl enable iptables
systemctl start iptables

三:netfilter5表5链介绍

man iptables

● filter表
主要用来过滤包,是系统预设的表。内建三个表链,INPUT、OUTPUT、FORWARD。
INPUT为进入本机的包,OUTPUT为本机送出的包,FORWARD作用于跟本机无关的包。
● nat表
主要用处是网络地址转换,也有三个链。PREROUTING作用是包在刚刚到达防火墙时改变他的目的地址。OUTPUT改变本地产生的包的目的地址。POSTROUTING在包就要离开防火墙之前改变其源地址。
● mangle表
主要用于给数据包打标记,然后根据标记去操作包。
● raw表
可以实现不追踪某些数据包
● security表
centos6中没有,用于强制访问控制mac的网络规则

四:iptables语法

iptables基本语法:

  1. 查看规则以及清除规则
    iptables -t nat -nvL

    -t 后面跟表名,不加则打印filter表的信息。
    -nvL 即查看该表的规则
    -n 表示不针对IP反解析主机名
    -L 表示列出的意思
    -v 列出的信息更加详细
    清除filter表所有规则:iptables -F
    把包以及流量计数器置零:iptables -Z
  2. 增加、删除一条规则
    增加:iptables -A INPUT -s 192.168.1.1 -p tcp --sport 1234 -d 192.168.1.2 --dport 80 -j DROP
    -A 增加一条规则
    -I 插入一条规则
    -D 删除一条规则
    INPUT 即链名称
    -s 后跟源IP(可以是一个IP段)
    -p 协议(tcp,udp,icmp)
    --sport/--dport 后跟源端口/目标端口(必须跟-p一起使用,否则会出错)
    -d 后跟目的IP(可以是一个IP段)
    -j 后跟动作(DROP把包丢掉,REJECT包拒绝,ACCEPT允许包)
    -i 指定网卡
    -Z 可以把计数器清零
    -P 预设策略,后跟链名,策略内容为DROP或者ACCEPT,默认是ACCEPT。(远程禁用!)
    插入规则:iptables -I INPUT -s 10.10.10.1 -j DROP
    把来自10.10.10.1的所有数据包丢掉
    删除:iptables -D INPUT -s 10.10.10.1 -j DROP
    删除刚刚插入的规则(删除规则时,必须跟插入的规则一致,除了-I和-D不同,其他完全一样)

-A和-I的区别:
增加的规则排在规则列表的最后,而插入的规则排在规则列表的最前面,优先生效。

当规则过多时,如何简单有效的删除一条规则。
查看规则的序列:iptables -nvL --line-numbers
然后再删除:iptables -D INPUT 序列号

备份和恢复规则:
拷贝一下/etc/sysconfig/iptables文件。
或者iptables-save - > 1.ipt
iptables-restore < 1.ipt

修改完规则后,只是临时生效,想要永久生效,必须进行保存。
service iptables save

原文地址:http://blog.51cto.com/10941098/2141213

时间: 2024-10-06 00:10:43

网络相关、firewalld和netfilter、netfilter5表5链介绍、iptables语的相关文章

网络相关firewalld和netfilter netfilter5表5链 介绍iptables语法

10.11 Linux网络相关如果使用终端连接服务器,不要直接执行关闭网卡,这样终端就无法连接服务器,可以使用关闭和启动一起执行设定虚拟网卡ens33:0vi编辑,DNS与网关都可以不要,因为原网卡已经有了运行命令ifdown ens33 && ifup ens33 多出了ens33:0虚拟网卡查看网卡是否连接更改主机名 hostnamectl set-hostname aminglinuxvi/etc/hosts文件也可一行里一个IP多个域名如果多行多个ip都有相同一个域名,以最后一个为

10.11 Linux网络相关 10.12 firewalld和netfilter 10.13 netfilter5表5链介绍 10.14 iptables语法

10.11 Linux网络相关 10.12 firewalld和netfilter 10.13 netfilter5表5链介绍 10.14 iptables语法 扩展(selinux了解即可) selinux教程 http://os.51cto.com/art/201209/355490.htm selinux pdf电子书 http://pan.baidu.com/s/1jGGdExK 10.11 linux网络相关 -ifconfig 命令在centos7 是没有的,需要安装yum inst

Linux网络相关、firewalld和netfilter、netfilter5表5链介绍和ipta

ifconfig查看网卡-a 当网卡当机时或,无ip时不显示ifup ens33 /ifdown ens33 启动关闭网卡(ifup/ifdown后跟的是网卡名字,具体网卡名字需要用ifconfig查看)注:远程连接时,不要关闭你所连接的网卡,要重启你所连接的网卡可执行ifdown ens33 && ifup ens33设定虚拟网卡:1.进入网卡配置文件所在目录cd /etc/sysconfig/network-scripts/2.拷贝网卡配置文件cp ifcfg-ens33 ifcfg-

firewalld、netfilter、 netfilter5表5链、iptables介绍

Linux网络相关 #ifconfig        查看网卡ip(如果没有这个命令请使用yum install net-tools安装) #ifdown ens33 关闭网卡ens33(在使用远程终端连接时不可使用这条命令,否则会断掉网络) #ifup ens33      打开网卡ens33,用这种方式可以单独重启指定的网卡(有几张网卡的情况下),而不是重启整个网络服务. 设定虚拟网卡ens33:1 #ifdown ens33 && ifup ens33     在远程终端可以把两条命

firewalld和netfilter、netfilter5表5链介绍、iptables语法

Linux网络相关 ifconfig命令查看网卡IP刚接触linux系统开始的时候我们学习到查看网卡IP方式是使用ip addr,而ifconfig命令和ip addr命令的结果是相似的,如果系统里没有ifconfig命令,安装即可: [[email protected] ~]# yum install -y net-tools 在linux下修改ip需要进入到/etc/sysconfig/network-scripts/目录下面修改相关的网卡文件即可,比如: [[email protected

netfilter5表5链介绍

#man iptablescentos7之前只有4张表,centos7开始后5张表,加了security表filter是一个默认的表,包含三个内置的链:INPUT.FORWARD.OUTPUTINPUT是进来时需要经过的链,发现原ip是什么,发现可以ip禁用掉:FORWARD是判断目标地址是不是本机,如果不是本机,需要经过FORWARD链,把目标地址做个更改或转发:OUTPUT是在本机产生的一些包,出去之前做的一些操作nat表也包含三个链:PREROUTING.OUTPUT.POSTROUTIN

linux网络相关 |防火墙 |netfilter5表5链

10.11 linux网络相关 ifconfig 如果没有ifconfig,需要安装包 [[email protected] ~]# yum install net-tools 如果需要显示所有的网卡信息,包括down掉的或者没有IP地址的网络,使用-a命令 [[email protected] ~]# ifconfig -a 有时候会单独针对一个网卡做一些更改(如改网关,或者增加DNS),但是不想把所有的网卡都重启,只需要重启指定的网卡,为了避免down掉后无法启动,我们需要2个命令一起执行

10.11-10.14 网络相关 firewall,netfilter,5表5链,iptables

七周三次课(3月21日)10.11 Linux网络相关10.12 firewalld和netfilter10.13 netfilter5表5链介绍10.14 iptables语法扩展(selinux了解即可)1. selinux教程  http://os.51cto.com/art/201209/355490.htm2.selinux pdf电子书  http://pan.baidu.com/s/1jGGdExK 10.11 Linux网络相关 介绍 ifconfig查看网卡ip(yum ins

Linux对外提供服务 网络连接 端口操作 1.开启服务监听端口 2.设置防火墙,放行访问端口的包 iptables&amp;netfilter 四表五链和通堵策略

应用举例: Linux上安装Tomcat后,客户端要能够访问服务器上的Tomcat 操作: 1.网络操作 本机必须能够ping通目标主机(本地虚拟机或者远程主机) 2.端口操作 1.开启服务监听端口 2.设置防火墙,放行访问该端口的数据包 关键iptables和netfilter: iptables中的四表五链和堵通策略 CentOS6.7端口操作最佳实践: 查看iptables命令的帮助: iptables --help 不详细 man iptables 一般详细 手册页 info iptab