網絡相關、firewalld和netfilter、netfilter5表5鏈介紹、iptables語
ifconfig命令,如果沒有,用下列命令安裝一下
yum install -y net-tools
如果想禁用一個網卡:
ifdown ens33
啟用網卡
ifup ens33
重啟網卡
ifdown ens33 && ifup ens33
設定虛擬網卡ens33:0
cd /etc/sysconfig/network-scripts/
cp ifcfg-ens33 ifcfg-ens33\:0
vi !$
修改NAME和 DEVICE為ens33:0
修改ipaddr
查看網卡連接狀態
mii-tool ens33
ethtool ens33
更改主機名
hostnamectl set-hostname leewill
DNS配置文件
cat /etc/resolv.conf
域名配置文件
cat /etc/hosts
同一個域名配置了不同的ip,以最後的為準
二:firewalld和netfilter
關閉selinux的辦法
臨時:setenforce 0
永久:vim /etc/selinux/config
將selinux=enforcing改為selinux=disabled
保存,重啟即可
獲取selinux狀態:getenforce
firewalld和netfilter都是用iptables命令來實現防火墻功能
centos7用firewalld,centos6用netfilter
在centos7上關閉firewalld,並開啟netfilter
systemctl stop firewalld
yum install -y iptables-services
systemctl enable iptables
systemctl start iptables
三:netfilter5表5鏈介紹
man iptables
● filter表
主要用來過濾包,是系統預設的表。內建三個表鏈,INPUT、OUTPUT、FORWARD。
INPUT為進入本機的包,OUTPUT為本機送出的包,FORWARD作用於跟本機無關的包。
● nat表
主要用處是網絡地址轉換,也有三個鏈。PREROUTING作用是包在剛剛到達防火墻時改變他的目的地址。OUTPUT改變本地產生的包的目的地址。POSTROUTING在包就要離開防火墻之前改變其源地址。
主要用於給數據包打標記,然後根據標記去操作包。
● raw表
可以實現不追蹤某些數據包
● security表
centos6中沒有,用於強制訪問控制mac的網絡規則
四:iptables語法
iptables基本語法:
- 查看規則以及清除規則
iptables -t nat -nvL
-t 後面跟表名,不加則打印filter表的信息。
-nvL 即查看該表的規則
-n 表示不針對IP反解析主機名
-L 表示列出的意思
-v 列出的信息更加詳細
清除filter表所有規則:iptables -F
把包以及流量計數器置零:iptables -Z - 增加、刪除一條規則
增加:iptables -A INPUT -s 192.168.1.1 -p tcp --sport 1234 -d 192.168.1.2 --dport 80 -j DROP
-A 增加一條規則
-I 插入一條規則
-D 刪除一條規則
INPUT 即鏈名稱
-s 後跟源IP(可以是一個IP段)
-p 協議(tcp,udp,icmp)
--sport/--dport 後跟源端口/目標端口(必須跟-p一起使用,否則會出錯)
-d 後跟目的IP(可以是一個IP段)
-j 後跟動作(DROP把包丟掉,REJECT包拒絕,ACCEPT允許包)
-i 指定網卡
-Z 可以把計數器清零
-P 預設策略,後跟鏈名,策略內容為DROP或者ACCEPT,默認是ACCEPT。(遠程禁用!)
插入規則:iptables -I INPUT -s 10.10.10.1 -j DROP
把來自10.10.10.1的所有數據包丟掉
刪除:iptables -D INPUT -s 10.10.10.1 -j DROP
刪除剛剛插入的規則(刪除規則時,必須跟插入的規則一致,除了-I和-D不同,其他完全一樣)
-A和-I的區別:
增加的規則排在規則列表的最後,而插入的規則排在規則列表的最前面,優先生效。
當規則過多時,如何簡單有效的刪除一條規則。
查看規則的序列:iptables -nvL --line-numbers
然後再刪除:iptables -D INPUT 序列號
備份和恢復規則:
拷貝一下/etc/sysconfig/iptables文件。
或者iptables-save - > 1.ipt
iptables-restore < 1.ipt
修改完規則後,只是臨時生效,想要永久生效,必須進行保存。
service iptables save
網絡相關、firewalld和netfilter、netfilter5表5鏈介紹、iptables語