七周三次课（5月8日）

10.11 Linux网络相关

ifconfig  查看网卡ip(yum install -y net-tools)

#ifconfig  -a   //-a选项是可以显示所有网卡的，即使没有ip

关闭和启动网卡

ifdown 关闭

#ifdown ens33

注意：远程连接时这样操作会断开连接的，只能本地去开启网卡。

ifup 开启

#ifup ens33

重启网卡

#ifdown ens33 && ifup ens33

设置虚拟网卡

到网卡配置文件目录

# cd /etc/sysconfig/network-scripts/

复制一份ens33配置文件

# cp ifcfg-ens33 ifcfg-ens33\:0    //'\'是为了脱义冒号的

修改ens33:0配置文件

#vim ifcfg-ens33:0

重启网卡

# ifdown ens33 && ifup ens33

查看网卡

#ifconfig

查看网卡是否连接

# mii-tool ens33

或

#ethtool ens33

修改主机名

#hostnamectl set-hostname xmlinux-01

主机名文件存放路径 /etc/hostname

DNS文件存放路径 /etc/resolv.conf

可以修改来resolv.conf来临时修改DNS，但重启网卡后会被网卡（本机是ens33）配置文件内容覆盖

修改hosts

#vi /etc/hosts        //以行为单位

ping一下

#ping www.qq.com

10.12 firewalld和netfilter

临时关闭selinux

#setenforce 0

状态为permissive，此时selinux并未关闭，当需要阻断的时候，并不真正的阻断，只是记录警告信息

永久关闭selinux

#vi /etc/selinux/config

centos6是netfilter ，centos7是firewalld

在centos7中使用netfilter

# systemctl disable firewalld          //关闭防火墙开机启动

#systemctl stop  firewalld   //关闭防火墙服务

安装并开启netfilter

# yum install -y iptables-services.x86_64

# systemctl enable iptables

# systemctl start iptables

10.13 netfilter5表5链介绍

#man iptables

filter：就是一个默认的表，包含INPUT,FORWARD,OUTPUT三个内置的链

INPUT:检查进入本机的数据包的源ip，发现可疑的ip会把它禁掉

FORWARD:进入本机但不是发给本机的数据，会经过此链（可能会更改目标地址或转发），

OUTPUT:本机产生的数据包，经过此链处理（比如禁止发到某个ip）之后再发出去

nat:是共享上网时用的，也可以做端口映射,包含PREROUTING,OUTPUT,POSTTOUTING三个链

mangle用于给数据包做标记，不常用

raw可以实现不追踪某些数据包，不常用

security在centos6中没有，用于强制访问控制（MAC）的网络规则

参考文章：http://www.cnblogs.com/metoy/p/4320813.html

10.14 iptables语法

# iptables -nvL   //查看规则

规则存放位置

# cat /etc/sysconfig/iptables

 

# iptables -F    //清空规则

但配置文件未做更改

当前规则要保存的话，需要执行#service iptables save  （因为现在是空白规则，这里不执行操作）

此时，可以通过重启iptables服务加载配置文件来恢复默认规则

# service iptables restart

iptabels默认处理的是filter表   iptables -nvL == iptables -t filter -nvL         //-t 后跟表名来指定表，不加-t默认filter表

查看nat表规则

# iptables -t nat  -nvL

清空计数器 -Z

#iptables -Z ; iptables -nvL  //因为每时每刻都在通信，要一起执行才能看到

增加一条规则

# iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP

-A: 增加一条规则，把该规则放到最后

INPUT:指定input链

-s:指定来源IP

-p:指定协议类型

--sport:指定来源端口

-d:指定目标IP

--dport:目标的端口

-j:指定动作，DROP(扔掉)，REJECT(拒绝)

-I：插入规则，把该规则放到最前面

#iptables -I INPUT  -p tcp  --dport 80 -j DROP

规则执行的顺序是从上到下执行的，层层过滤的，下层只能收到上层过滤出的内容。

-D：删除一条规则

# iptables -D INPUT  -p tcp  --dport 80 -j DROP  //可以看到之前的第一条规则没有了

--line-number   //显示规则编号

删除某个编号的规则

# iptables -D INPUT 6         //删除第6条规则

关于默认策略，当INPUT和OUTPUT链没有设定规则时就执行默认策略，OUTPUT默认没有设置规则的，执行的是默认策略

一般不去改动，保持默认就行

-P:修改默认策略

# iptables -P OUTPUT  DROP   //把所有OUTPUT都扔掉，（执行会断开远程链接，谨慎执行）

恢复需要在本地设置

#  iptables -P OUTPUT  ACCEPT