2. 程式人生 > >linux網絡相關,iptables語法

linux網絡相關,iptables語法

阿新 發佈:2018-05-09
linux網絡相關iptables語法

linux網絡相關

ifconfig 查看網卡及ip,子網,網關,mac地址

yum install net-tools

重啟指定網卡 ifdown 網卡名字 && ifup 網卡名字

添加虛擬網卡

[root@localhost ~]# cd /etc/sysconfig/network-scripts/
[root@localhost network-scripts]# ls
ifcfg-ens33  ifdown-ib    ifdown-ppp       ifdown-tunnel  ifup-ib    ifup-plusb   ifup-Team         network-functions
ifcfg-lo     ifdown-ippp  ifdown-routes    ifup           ifup-ippp  ifup-post    ifup-TeamPort     network-functions-ipv6
ifdown       ifdown-ipv6  ifdown-sit       ifup-aliases   ifup-ipv6  ifup-ppp     ifup-tunnel
ifdown-bnep  ifdown-isdn  ifdown-Team      ifup-bnep      ifup-isdn  ifup-routes  ifup-wireless
ifdown-eth   ifdown-post  ifdown-TeamPort  ifup-eth       ifup-plip  ifup-sit     init.ipv6-global
[root@localhost network-scripts]# cp ifcfg-ens33 ifcfg-ens33\:0
[root@localhost network-scripts]# vi !$
vi ifcfg-ens33\:0
 
TYPE=Ethernet
BOOTPROTO=static
DEFROUTE=yes
PEERDNS=yes
PEERROUTES=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens33
UUID=c6ff01b6-78d5-462c-b288-7acfafa4f5b5
DEVICE=ens33:
ONBOOT=yes
IPADDR=192.168.245.130
NETMASK=255.255.255.0
~                           
 
[root@localhost network-scripts]# ifdown ens33 && ifup ens33
成功斷開設備 ‘ens33‘。
成功激活的連接(D-Bus 激活路徑:/org/freedesktop/NetworkManager/ActiveConnection/1)
[root@localhost network-scripts]# 

ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.245.128  netmask 255.255.255.0  broadcast 192.168.245.255
        inet6 fe80::dbd:48aa:6994:bf39  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:d6:6f:fa  txqueuelen 1000  (Ethernet)
        RX packets 4396  bytes 330121 (322.3 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1291  bytes 122535 (119.6 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

ens33:: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.245.130  netmask 255.255.255.0  broadcast 192.168.245.255
        ether 00:0c:29:d6:6f:fa  txqueuelen 1000  (Ethernet)

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1  (Local Loopback)
        RX packets 80  bytes 6940 (6.7 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 80  bytes 6940 (6.7 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

虛擬網卡能ping通

  • 查看一個網卡的網線是否連接 mii-tool ens33

[root@localhost network-scripts]# mii-tool ens33
ens33: negotiated 1000baseT-FD flow-control, link ok
[root@localhost network-scripts]#

link ok 代表連接,no link 代表未連接

或者使用ethtool ens33也能查看。

  • 更改計算機名

[root@localhost network-scripts]# hostnamectl set-hostname aminglinux-01
[root@localhost network-scripts]# hostname
aminglinux-01
[root@localhost network-scripts]# bash
[root@aminglinux-01 network-scripts]#

  • 查看DNS

[root@aminglinux-01 network-scripts]# cat /etc/resolv.conf 
# Generated by NetworkManager
nameserver 119.29.29.29
[root@aminglinux-01 network-scripts]#

linux防火墻 netfilter

selinux 臨時關閉 setenforce 0

selinux 永久關閉 vi /etc/selinux/config

在centOS 7之前還有個防火墻是netfilter ,contos7以後改用 firewalld

關閉firewalld : systemctl disable firewalld

[root@aminglinux-01 network-scripts]# systemctl disable firewalld
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
Removed symlink /etc/systemd/system/basic.target.wants/firewalld.service.
[root@aminglinux-01 network-scripts]#

開啟netfilter 

yum install -y iptables-services
[root@aminglinux-01 network-scripts]# systemctl enable iptables
Created symlink from /etc/systemd/system/basic.target.wants/iptables.service to /usr/lib/systemd/system/iptables.service.
[root@aminglinux-01 network-scripts]# systemctl start iptables
[root@aminglinux-01 network-scripts]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    8   576 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
    6   468 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 8 packets, 928 bytes)
 pkts bytes target     prot opt in     out     source               destination         
[root@aminglinux-01 network-scripts]#

netfilter的5個表5個鏈接

  • 五個表

    filter 主要用於過濾包,是系統預設的表,該表內建3個鏈:INPUT,OUTPUT,FORWARD。INPUT鏈作用於進入本機的包,OUTPUT鏈作用於本機送出去的包,FORWARD鏈作用於那些跟本機無關的包。

nat表 主要用於網絡地址轉換,它也有三個鏈。PREROUTING鏈的作用是在包剛剛到達防火墻時改變它的目的地址(如果需要的話),OUTPUT鏈的作用是改變本地產生的包的目的地址,POSTROUTING鏈的作用是在包即將離開防火墻時改變其源地址。

mangle表主要用於給數據包做標記,然後根據標記去操作相應的包。這個表幾乎不怎麽用,除非像稱為一個高級網絡工程師。

raw表 可以實現不追蹤某些數據包,默認系統的數據包都會被追蹤,但追蹤勢必消耗一定的資源,所以可以用raw表來指定某些端口的包不被追蹤。

security表,在centos6中是沒有的,他用於強制訪問控制(MAC)的網絡規則。

  • netfilter的5個鏈

    PREROUTING: 數據包進入路由表之前。

INPUT:通過路由表後目的地為本機。

FORWARDING: 通過路由表後,目的地不為本機。

OUTPUT: 由本機產生,向外轉發。

POSTROUTONG: 發送到網卡接口之前。

iptables 語法

iptables規則的儲存位置

[root@aminglinux-01 network-scripts]# cat /etc/sysconfig/iptables
# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
[root@aminglinux-01 network-scripts]#

清空iptables所有規則iptables -F ,清空之後規則儲存文件裏面還是有配置的。-t 後面可以跟表名字。如果不加-t選項,則打印的是filter表。

[root@aminglinux-01 ~]# iptables -F
[root@aminglinux-01 ~]# ^C
[root@aminglinux-01 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 13 packets, 948 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 12 packets, 1208 bytes)
 pkts bytes target     prot opt in     out     source               destination         
[root@aminglinux-01 ~]#

iptables -nvL --line-number 顯示規則編號

清除包及流量計數器置零:iptables -Z 。

保存規則:service iptables save

-A/-D:表示增加/刪除一條規則

-I: 表示插入一條規則,其實效果跟-A一樣

-p:表示指定協議,可以是tcp,udp,或者icmp

--dport: 跟-p 一起使用,表示指定目標端口。

--sport: 跟-p 一起使用,表示指定端口。

-s:表示指定源IP(可以是一個IP段)。

-j:後面跟動作,其中ACCEPT表示允許包,DROP表示丟掉包,REJECT 表示拒絕包。

-i:指定網卡(不常用:但是偶爾能用到)。

[root@aminglinux-01 ~]# iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP
[root@aminglinux-01 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  440 36272 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
   21  1472 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    2   104 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
   71  7269 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
    0     0 DROP       tcp  --  *      *       192.168.188.1        192.168.188.128      tcp spt:1234 dpt:80

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 15 packets, 1288 bytes)
 pkts bytes target     prot opt in     out     source               destination         
[root@aminglinux-01 ~]# 
按照編號刪除規則
[root@aminglinux-01 ~]# iptables -nvL --line-number
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1      531 42528 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
2        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
3       21  1472 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
4        2   104 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
5       73  7737 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
6        0     0 DROP       tcp  --  *      *       192.168.188.1        192.168.188.128      tcp spt:1234 dpt:80

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 69 packets, 7276 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
[root@aminglinux-01 ~]# iptables -D INPUT 6
[root@aminglinux-01 ~]# iptables -nvL --line-number
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1      585 46272 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
2        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
3       21  1472 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
4        2   104 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
5       73  7737 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 4 packets, 480 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
[root@aminglinux-01 ~]#

linux網絡相關,iptables語法

相關推薦

linux相關iptables語法

linux網絡相關iptables語法linux網絡相關 ifconfig 查看網卡及ip,子網,網關,mac地址 yum install net-tools 重啟指定網卡 ifdown 網卡名字 && ifup 網卡名字 添加虛擬網卡 [root@localhost ~]# cd /et

Linux相關firewalld和netfilternetfilter5表5鏈介紹iptables語法

iptables netfilter linux 筆記內容:l 10.11 Linux網絡相關l 10.12 firewalld和netfilterl 10.13 netfilter5表5鏈介紹l 10.14 iptables語法筆記時間: 10.11 Linux網絡相關ifconfig命令在Ce

linux日常維護(相關防火墻netfirter介紹netfirter語法

linux網絡相關 防火墻 netfirter 1.linux網絡相關ifconfig 查看網卡ip (centos6是默認有的,centos7裏沒有,需要下載 yum install net-tloos)關閉網卡: ifdown +網卡 (關閉後沒有ip)打開網卡 if

相關netfilteriptables

mirror log asi tro ble scripts minimum level seq 網絡相關 1.查看網卡信息: [root@weix01 ~]# ifconfig ens33: flags=4163<UP,BROADCAST,RUNNING,MULTI

Linux相關、防火墻firewalld、netfilter 及iptable的五表五鏈、語法

20180507一、 Linux網絡相關1?ifconfig 查看網卡的ip地址,(yum install net-tools)也可以用ip add-a 斷網的情況下都可以查看2?ifdown /ifup 斷開/連接 網卡。更改配置的時候,用來重啟指定的網卡。如果是遠程的機器不可以單獨用,可以把它們連

iptables基本用法和linux相關

ttl 來源 sts network star odi 設備 進行 設置 ifconfig 命令 ifconfig在centos6中是默認安裝的,centos7版本默認是沒有這個命令的,需要使用yum來進行安裝: yum install net-tools使用ifdown和

linux基礎綜合實戰考試題

linux1.局域網機器無法上網如何解決?面試題:作為企業網管,局域網的某個機器無法上網,請給出詳細排錯思路?(單個機器無法上網,別人可以上網)以windows 62位數客戶的為例:排查方法a ping www.baidu.com高速有沒有修通如果同,但還不能上網:可能是瀏覽器,中毒等問題b ping 網關目

linux 相關

ip層 網絡層 聯網 ip地址 gre 斷開 流量控制 隊列 增加 開放互聯網參考模型 OSI 應用層 表示層 會話層                     傳輸層        亂序重排,重新請求包            網絡層     

linux相關配置

網絡配置相關網絡配置文件IP、MASK、GW、DNS相關配置文件: /etc/sysconfig/network-scripts/ifcfg-IFACEDEVICE:此配置文件應用到的設備,決定設備名HWADDR:對應的設備的MAC地址BOOTPROTO:激活此設備時使用的地址配置協議,常用的dhcp----

linux相關 |防火墻 |netfilter5表5鏈

mov link 應用 ifup 只需要 圖形 print scrip 動作 10.11 linux網絡相關 ifconfig 如果沒有ifconfig,需要安裝包 [root@centos-01 ~]# yum install net-tools 如果需要顯示所有

Linux日常管理技巧(3):Linux相關和防火墻

127.0.0.1 網絡 修改網卡 cal 網卡ip lis oot back col 一、Linux網絡相關 1. ifconfig 查看網卡IP ifconfig命令被用於配置和顯示Linux內核中網絡接口的網絡參數。用ifconfig命令配置的網卡信息,在網卡重啟後機

10.11 Linux相關 10.12 firewalld和netfilter 10.13 ne

netfilter ext pre ble 分享圖片 linu routing wal 1.5 七周三次課10.11 Linux網絡相關10.12 firewalld和netfilter10.13 netfilter5表5鏈介紹10.14 iptables語法10.11 L

linux相關命令

mark netfilter cdc c51 mar proc ext process 圖片 linux網絡相關命令 linux防火墻--netfilter iptables的規則 iptables小案例 linux網絡相關命令

Linux相關、firewalld和netfilter、netfilter5表5鏈介紹和ipta

mct filter 是否 文件 line 目標 過濾 services sport ifconfig查看網卡-a 當網卡當機時或,無ip時不顯示ifup ens33 /ifdown ens33 啟動關閉網卡(ifup/ifdown後跟的是網卡名字,具體網卡名字需要用if

三十一、Linux相關、firewalld和netfilter、netfilter5表5鏈介紹、

Linux網絡 filewalld和netfilter netfilter5表5鏈 iptables語法 三十一、Linux網絡相關、firewalld和netfilter、netfilter5表5鏈介紹、iptables語法一、Linux網絡相關(一)ifconfig:查看網卡IP,若沒有該

linux防火墻-iptables基礎詳解(重要)

lte 目前 targe udp 安全 們的 tina 設計 常見 一:前言   防火墻,其實說白了講,就是用於實現Linux下訪問控制的功能的,它分為硬件的或者軟件的防火墻兩種。無論是在哪個網絡中,防火墻工作的地方一定是在網絡的邊緣。而我們的任務就是需要去定義到底

Linux相關、firewalld和netfilter、netfilter5表5鏈介紹、ipta

LinuxLinux網絡相關 ifconfig查看網卡ip(需要安裝net-tools包)ip add也可以查看網卡ipyum install -y net-tools 當你的網卡沒有ip的時候是不顯示的,但是加上-a就可以查看到。ifconfig -a 關閉指定網卡(如果你正在連接這個網卡使用該命令會斷

Linux相關

Linux網絡相關centos7默認ifconfig命令沒有安裝,需要yum安裝net-tools包#yum install -y net-tools //安裝完之後就可以使用ifconfig命令#ifdown ens33 //關閉ens33網卡,只需要關閉單個網卡可以使用這個,但是遠程機器

Linux 相關命令

www 監聽 roc TP and mman AD ces program https://www.cnblogs.com/wangtao1993/p/6144183.html Linux如何查看端口 lsof -i:端口號 用於查看某一端口的占用情況,比如查看

Linux相關 firewalld和netfilter netfilte5表5鏈介紹 iptab

多個 nat accep cmp one toolbar 高級網絡 reference lld 10.11 Linux網絡相關修改配置網卡配置文件/etc/sysconfig/network-scripts/ifcfg-xxx(網卡) ifconfig 查看網卡的ip,安裝