日常運維3 原

10月25日任務

10.11 Linux網絡相關
10.12 firewalld和netfilter
10.13 netfilter5表5鏈介紹
10.14 iptables語法

一.Linux網絡相關

• #yum install net-tools 安裝ifconfig命令
• #ipconfig 查看網卡ip
• #ifconfig -a 當你的網卡沒有ip的時候，就可顯示網卡信息
• #ifdown ens33 /ifup ens33 開啓關閉網卡
• #ifdown ens33 &&ifup ens33 重啓該網卡
• 設置虛擬網卡

進入網卡配置文件下

拷貝一份網卡配置文件

將下圖箭頭所指三個位置改成下圖所示

重啓網卡

#ifconfig查看網卡

• #mii-tool ens33 查看網卡是否連接
• #ethtool ens33 也可以查看網卡是否連接

主要查看link detected後的內容

• #hostnamectl set-hostname aminglinux-oo1 更改主機名
• #cat /etc/hostname 查看主機名的配置文件
• #cat /etc/resolv.conf 查看DNS配置文件

• #cat /etc/hosts 更改配置域名ip連接到哪，可以讓同樣的網站訪問不同的地址，只在本機生效，

• 設置和刪除IP

#ip addr add 192.168.10.10/24 dev eth0

#ip addr show eth0

#ip addr del 192.168.10.10/24 dev eth0

• 路由器相關設置

#ip route show

#ip route add default via 192.168.10.1

#ip route add 192.168.5.0/24 dev eth0

#ip route del 192.168.10.1

• 另外用route命令來管理路由：

網絡路由：#route add -net 192.168.1.0/24 gw 172.16.1.106

主機路由：#route add -host 192.168.1.110 gw 172.16.1.106

默認路由：#route add default gw 172.16.1.106 或者#route add -net 0.0.0.0 gw 172.16.1.106

刪除路由：#route del -host 192.168.1.110   #route del -net 192.168.1.0/24

• 顯示網絡統計數據

#ip -s link

#ip -s -s link ls eth0

• 停止開啓網卡

#ip link set eth0 down

#ip linke set eth0 up

• 更改網卡名字

#ip link set ens37 name eth1

二.firewalld和netfiler

• #setenforce 0 臨時關閉selinux防火牆，重啓後selinux會自動啓動
• #vi /etc/selinux/config 如下更改，永久關閉防火牆
• 或者執行該命令：sed -i 's/^SELINUX=disabled/g'  /etc/selinux/config 也可以永久關閉selinux，同樣的效果。

• #getenforce 查看防火牆是否打開

實驗一：開啓centos6的netfilter防火牆

• #systemctl disable firewalld 關閉firewalld防火牆開機啓動

• #systemctl stop firewalld 關閉firewalld防火牆

• #yum install -y iptables-services 安裝這個iptables命令包
• #systemctl enable iptables && systemctl start iptables 設置開機自啓動iptables服務，並打開centos6用的netfilter防火牆
• #systemctl status iptables  查看iptables服務是否正常開啓。

• #iptables -nvL 查看它的默認規則

• centos6用netfilter防火牆，centos7用的是firewalld防火牆

 

三.netfilter5表5鏈介紹

• 參考文章：http://www.cnblogs.com/metoy/p/4320813.html

 

四.iptables語法

• #iptables 命令的一般格式爲：iptables [-t table] 命令 [chain][rules][-j target]

• #iptables -nvL 查看iptables規則
• #cat /etc/sysconfig/iptables 該文件存放着這個規則
• #iptables -F 清空規則，不過只會清空當前iptables中設置的規則，文件裏還是保存着原先的保存規則不會被清除。
• #service iptables save 把當前規則保存到/etc/sysconfig/iptables文件裏
• #service iptables restart 重啓iptables服務，會重新加載文件裏保存的規則
• #iptables -t filter -nvL

• #iptables -Z 可以把計數器清零
• #iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP 寫入新的規則，在最後一行，禁止該ip的數據傳輸
• #iptables -I INPUT -p tcp --dport 80 -j DEOP 插入到第一行，不寫ip直接寫端口也是可以的，這是簡寫
• #iptables -D INPUT -p tcp --dport 80 -j DEOP  刪除該規則
• #iptables -nvL --line-number 打印規則序列的編號
• #iptables -D INPUT 7 刪除第七條規則
• #iptables -P OUTPUT DROP 
• 實驗一：添加默認規則，只能訪問22端口

• 擴展（selinux瞭解即可）
  1. selinux教程 http://os.51cto.com/art/201209/355490.htm
  2.selinux pdf電子書 http://pan.baidu.com/s/1jGGdExK