一、 Linux网络相关
1?ifconfig 查看网卡的ip地址,(yum install net-tools)也可以用ip add
-a 断网的情况下都可以查看
2?ifdown /ifup 断开/连接 网卡。更改配置的时候,用来重启指定的网卡。
如果是远程的机器不可以单独用,可以把它们连起来用:ifdown eth0 && ifup eth0
3?想多增加一个ip地址,增加虚拟网卡:进入网卡目录
cd /etc/sysconfig/network-scripts/
拷贝网卡: cp ifcfg-eth0 ifcfg-eth0/:0 反/,是为了托义:号
编辑 ifcfg-eth0/:0 vi ifcfg-eth0/:0 然后改ip
wq保存退出
然后用ifdown eth0/:0 && ifup eth0/:0
就成功了。然后我们可以用22端口去连接它
4?查看网卡有没有插着网线: mii-tool eth0
如果连接就会显示:link ok 如果没有连接是no link
如果显示不支持这个命令,可以用命令:ethtool eth0 然后查最后一项 link detected 是否是yes.
5?更改主机名:hostnamectl -set-hostname riven 然后用hostname查看一下。如果看见没有变你可以重新登录,或者进入一个子shell: bash ,
它的配制文件在: /etc/hostname ,dns的配制文件在:/etc/resolv.conf 只可以临时更改dns,如果要配置要去网卡里面改。
6? 自定义域名的host文件目录: /etc/hosts ,这个文件可以配置自定义域名,更改一个域名的解析: 192.168.1.13 www.baidu.com 只在本机上生效。
支持一个ip配多个域名,用空格分隔: 192.168.1.13 www.baidu.com www.qq.com
如果有多行ip配域名,以最后一个为准。
二、linux的防火墙:firewalld和netfilter
firewalld
1?临时关闭linux的防火墙,setenforce 0
2?永久关闭防火墙: vi /etc/selinux/config 把SELINUX=disabled
3、查看selinux状态: getenforce
4、Enforcing 跟Permissive 的区别
Permissive 在遇到需要阻断的时候,它不会真正的阻断,只会产生一个提醒,会记录到一个文档里面
Enforcing 打开
netfilter
1?是存在于cenos7 以前的版本,像centos6 cenos5等,但与firewalld的内部工具用法是一样的。我们可以通过iptables 加一些规则.
2、在centos7中默认使用,filewalld,netfilter是没有开启的,我们可以关闭filewalld用netfilter :
关闭systemctl disable firewalld
关闭服务:systemctl stop firewalld
开启netfilter :首先安装包:yum install -y iptables-services
安装完成后开启:
开服务:systemctl enable iptables
开启:systemctl start iptables
查看它的默认规则: iptables -nvL
三、netfilter5表5链介绍
1?man iptables
filter包涵三个表:
INPUT 数据包进来的链
FORWARD
OUTPUT 在本机的包,出去之前要进行的操作。
nat 也有三个表链: (路由器共享上网,端口映射,)
PREROUTING数据包进来的时候用来更改数据表
OUTPUT 同上
POSTROUTING 数据包出去的时候用来更改数据包
四、iptables语法
1?iptables -nvL 查看默认规则
2、重启iptalbles : service iptables restart
3?规则保存地址: /etc/sysconfig/iptables
4、清空规则:iptables -F 其实配制文件里面还有,如果想保存,就service iptables save
如果不想保存,重启服务就回来了。
5?我们以上做的操作就是动filter : iptables -t filter -nvL ,默认就是操作filter表。-t指定表
6?查看nat表规则: iptables -t nat -nvL
7?把计数器清零: iptables -Z
8、做一个规则:
iptables -A(and增加一个规则) INPUT -s(指定来源ip) 192.168.1.12 -p(指定网络协议) tcp --sport(指定端口) 1234 -d (目标ip) 192.168.1.13 --dport(目标端口) -j(指定操作)DROP/REJECT (DROP看都不看扔掉,REJECT先看看然后再扔掉)
2?iptables -I INPUT -p tcp --dport 80 -j DROP(如果指定端口,一定要指定网络协议,不然后报错)
I :增加的意思,
区别:-A 插入到最后面, -I 插入到最前面
3?删除一条规则:iptables -D INPUT -p tcp --dport 80 -j DROP
-D 删除规则
4?如果不记得增加的规则了。我们可以直接用编号操作:
iptables -D INPUT 7
5、更改默认OUPUT策略ACCEPT
iptables -P OUTPUT DROP (如果改成DROP,就收不到数据包了,远程连接不了了!!一般不要操作!!!),
如果操作了只能到主机上去操作改回来了iptables -P OUTPUT ACCEPT
原文地址:http://blog.51cto.com/10690709/2114232