ifconfig查看网卡ip
在centos6系统中默认是存在的,而在centos7中是没有的,只能使用ip addr来查看ip。如需要安装,使用命令 yum install -y net-tools来安装
当网卡没有ip地址时,使用ifconfig是不会显示网卡的信息。加上-a选项后,也能查看到网卡的信息。
ifdown ens33(网卡名)用来停用网卡。这里需要知道,如果是远程登录服务器,使用ifdown 来关闭网卡,那么开启网卡只能是在终端去开启。
ifup ens33表示启动网卡。尽量使用systemctl restart network来重启网卡
ifdown 与ifup命令的使用一般使用在单独一个网卡做了更改,配置文件被修改后,需要重启服务。重启网络服务会重启所有的网卡,那指定某个网卡的命令这样执行:ifdown ens33 && ifup ens33
设置虚拟网卡
1 . 先进入到网卡配置文件所在的目录里
cd /etc/sysconfig/network-scripts/
2 . 拷贝需要设置的网卡名
使用\是为了脱意:
3 .编辑 保存退出
2个地方更改网卡名 IPADDR改为142。
4 . 重启网卡后查看
5 .测试windown中使用cmd
- 查看网卡连接状态
– mii-tool 跟网卡名
link ok 表示已连接
–mii-tool命令不能使用,也可以使用ethtool跟网卡名
- 更改主机名
—安装系统后,默认名为localhost.localdomain,可使用hostname查看主机名
只支持centos7
—hostnamectl set-hostname 跟自定义主机名 ,该命名会自动的修改相关的配置文件/etc/hostname。
设置DNS
-DNS是用来解析域名的,比如我们访问网址都是直接输入一个网址,而DNS把这个网址解析到一个IP-设置非常简单,将DNS地址写入到配置文件/etc/resolv.conf中即可
-临时修改DNS IP地址,就直接修改/etc/resolv.conf
永久生效 就修改网卡配置文件。
- /etc/hosts
-该文件linux与Windows都存在的,访问自定义域名时会使用到该文件
仅在本机生效
支持一个IP 配多个域名
10.12 firewalld和netfilter
selinux 临时关闭 使用命令setenforce 0
-永久关闭需要更改配置文件/etc/selinux/config ,将SELINUX后面的enforcing改为disabled ,重启系统后方可生效。
-使用getenforce命令获取当前SELinux的状态。
在之前的centos版本(5、6)的防火墙为netfilter ,而在centos7中为firewalld
- 它们2个中的iptables是一个工具,可以通过该命令去添加一些规则,开启或关闭某些端口。
- 在centons7中关闭firewalld
— 第一条命令是停掉firewalld ,不让它开机启动
— 第二条命令是关闭该服务
— 1.开启netfilter前需要安装包
yum install -y iptables-services
2.安装完成后会产生一个服务 然后在开启
3.iptables -nvL 查看启动后自带的规则
10.13 netfilter5表5链介绍
1 netfilter的5个表
在centos6中只有4个表,没有最后一个表
1 · filter 表示一个默认表 ,包含3个内置的链
INPUT 数据包进来的时候要经过的一个链(进入本机)
FORWARD 数据包进入本机但不会进入内核,因为数据包是给另一机器处理的,判断目标地址是不是本机,不是本机也会做一个转发
OUTPUT 本机产生一些包,出去之前进行了一些操作
2 · nat 3个链
PREROUTING 用于修改包当它们进来时。
POSTROUTING 为了改变数据包,当它们将要出去的时候
OUTPUT 用于改变本地生成的数据包路由
- 下面3个表基本不会用到
3 · mangle
此表用于专门的包更改。直到内核2.4.17
有两个内置的链:预发布(用于在崩溃前改变传入的包?
ing)和输出(在路由之前改变本地生成的数据包)。自
内核2.4.18,也支持其他三种内置链:输入(用于包?
ets自己进入这个盒子本身),向前(用于改变被路由的数据包
通过盒子)和postr郊游(为了改变它们即将要去的数据包
出)。
4 · raw
此表主要用于对连接跟踪的豁免权进行配置
与NOTRACK目标相结合。它在netfilter钩子上注册
具有更高的优先级,因此在ipconntrack或任何其他IP之前调用
表格。它提供以下内置的链:预发布(用于包
通过任何网络接口到达)输出(对于由本地专业人员生成的数据包流程)
5 · security
此表用于强制访问控制(MAC)网络规则,例如
由SECMARK和CONNSECMARK实现的目标。强制访问控制
是由诸如SELinux这样的Linux安全模块实现的。安全表
在过滤表之后调用,允许任意的访问控制
(DAC)规则在过滤表中,在MAC规则之前生效。这个表
提供以下内置的链:输入(用于进入盒内的信息包
它本身),输出(在路由之前改变本地生成的数据包),
转发(用于更改通过该框路由的数据包)。
10.14 iptables语法
1 查看默认规则
保存在/etc/sysconfig/iptables中
2 iptables -F 清空规则
/etc/sysconfig/iptables该文件还是保存着规则 ,如果想把当前的规则保存到配置文件里面,需要执行service iptables save
重启加载回来 使用命令service iptables restart
重启服务器或者iptables规则,都会去加载配置文件里面的规则。
以上这些操作默认针对的是filter表
查看nat表的规则
-iptables -t nat -nvL
里面并无内容
iptables -Z 可以把计数器清零
第一个数字表示 多少包
第二个数字表示多少字节增加一条规则,针对filter表
iptables -A INPUT -s 192.168.188.1 -p tcp –sport 1234 -d 192.168.188.128 –dport 80 -j DROP
没有加-t 指定表名 默认就是filter表
-A 增加一条规则 操作INPUT链
-s 指定来源IP
-p 指定协议
–sport 来源端口
-d 目标IP
-dport 目标端口
-j 后面跟动作 其中ACCEPT表示允许包 ,DROP表示丢弃包,REJECT表示拒绝包
丢失包与拒绝包实现的效果相同,都是让数据包过不来,把该IP封掉。
-I 选项表示插入一条规则,效果与A一样
规则插入到最前列
-A 规则排在后面
过滤时优先过滤前面的
-D 删除一条规则 后面可以跟序列号
iptables -nvL –line-number 查看规则的序列号
- 链有一个默认的策略
没有规矩来匹配默认规则 一般是不要改动
扫一扫
1009
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
