网络新手必读！CentOS 7系统IP配置与防火墙管理攻略_centos 设置 子网掩码

前言

掌握CentOS 7系统的网络配置技能，从IP地址、子网掩码、DNS到防火墙，一篇文章全搞定！无论你是网络新手还是寻求深入了解的高手，这篇文章都为你提供了简单易懂的配置指南，助你轻松驾驭系统网络。摆脱繁琐的配置困扰，一键完成IP、子网掩码、DNS、防火墙的设置，网络管理再也不是难题。赶快来读一读，让你的CentOS 7系统网络配置更得心应手！

网络管理的基础概念

在 Linux 系统中，网络管理是一个重要的技术领域。关于网络管理的一些重要知识点，也是必须要掌握：

• IP 地址和子网掩码：应了解 IP 地址和子网掩码的概念，包括如何分配和配置它们。
• 网络接口配置：应掌握如何配置网络接口，包括设置 IP 地址、子网掩码、网关等。
• 路由表管理：应了解路由表的概念，学会查看和配置路由表，包括添加、删除和修改路由规则。
• DNS 解析配置：应学习如何配置 DNS 解析，包括在 /etc/resolv.conf 文件中设置 DNS 服务器。
• 防火墙管理：应熟悉防火墙的基本知识，并学会使用工具如 iptables 或 firewalld 来配置和管理防火墙规则。
• 网络服务管理：应了解常见的网络服务，如 SSH、FTP、HTTP 等，并学会配置和管理它们。
• 网络故障排除：应学会使用工具如 ping、traceroute、netstat 等来诊断和排除网络故障。
• 网络安全：应了解网络安全的基本原理和概念，学会采取必要的措施来保护网络安全，如使用防火墙、加密通信等。
• 网络监控和性能优化：应学习使用工具如 ifconfig、netstat、tcpdump 等来监控网络流量，识别性能瓶颈，并采取相应的优化措施。
• VLAN 和 VPN 配置：应了解 VLAN（虚拟局域网）和 VPN（虚拟专用网络）的概念，并学会配置和管理它们。

下面的安排是这样：先简单盘一盘这些基础的知识点概念，也就纯理论、概念，如果这部分已经了解过了，在阅读的时候可以直接跳过，然后再从实战应用的角度出发，来分享这些知识技能是如何在实际环境中应用的。

IP地址

IP 地址（Internet Protocol Address）是一个网络设备（例如计算机、路由器）在 Internet 上的唯一标识符。它是一个由 32 位二进制数构成的数字，通常被分成四个 8 位二进制数，每个数之间用点号隔开。例如，192.168.0.1 就是一个常见的 IP 地址。

IP 地址有两个版本，IPv4 和 IPv6。IPv4 使用 32 位二进制数表示，因此最多只能表示约 42 亿个不同的地址，而 IPv6 使用 128 位二进制数表示，可以表示约 340 万亿亿亿亿个不同的地址，远远超过了 IPv4 的数量。

IP 地址的作用是让互联网上的设备相互通信。当一个设备发送数据包到另一个设备时，需要知道目标设备的 IP 地址。因此，在 Internet 上，所有的设备都必须拥有一个唯一的 IP 地址，这样才能实现互相通信和交换信息。

子网掩码

子网掩码（Subnet Mask）是用来划分 IP 地址的网络部分和主机部分的一个二进制数。它与 IP 地址一起使用，用于确定一个 IP 地址属于哪个网络，以及哪些 IP 地址可以直接访问，哪些需要通过路由器进行转发。

子网掩码通常与 IPv4 地址一起使用，它是一个 32 位二进制数，由连续的 1 和 0 组成。其中，1 表示该位属于网络部分，0 表示该位属于主机部分。例如，子网掩码 255.255.255.0 将前三个八位二进制数设为 1，后一个八位二进制数设为 0，表示前三个八位二进制数是网络部分，后一个八位二进制数是主机部分。

使用子网掩码可以将一个大型网络划分成若干个子网，从而实现更有效的管理和控制。在一个子网中，所有的主机可以直接进行通信，而不需要经过路由器的转发。而不同子网的主机之间则需要通过路由器进行通信。子网掩码的设置和使用是网络规划中的一个重要环节，需要根据网络拓扑结构、主机数量以及安全需求等多方面因素进行合理的设计。

DNS

DNS代表域名系统（Domain Name System），它是互联网中的一项基本服务。DNS是一个分布式的命名系统，用于将人类可读的域名转换成计算机可理解的IP地址。

在互联网上，每个设备都有其唯一的IP地址，如192.168.1.1。然而，人们更容易记住有意义的域名，如google.com或facebook.com等。当您在浏览器中输入域名时，浏览器会发送请求到DNS服务器，并获取与该域名相对应的IP地址。这样，浏览器就可以使用该IP地址与目标服务器进行通信和交互。

DNS系统是一个分层的结构，由许多不同的DNS服务器组成。这些服务器按照层次结构进行组织，每个层次都由不同的组织或机构管理。在顶层，有根DNS服务器，它存储了所有顶级域名服务器的信息。下一层是顶级域名服务器，它存储了特定顶级域名（如.com、.org、.cn等）的DNS记录。最后，有权威DNS服务器，它存储了与具体域名相对应的IP地址。

DNS的作用是解析域名，并将其转换为相应的IP地址，以便设备能够准确地定位和访问目标服务器。它是互联网基础设施中不可或缺的一部分，使得我们能够轻松地浏览网站、发送电子邮件、进行网络通信等。

防火墙

在Linux系统中，防火墙是一种网络安全机制，用于保护计算机免受未经授权的网络访问和恶意攻击。它作为网络流量的过滤器，监控和控制数据包在网络上的传输。

防火墙通过配置规则集来管理网络流量。这些规则定义了允许或拒绝哪些类型的数据包通过系统的网络接口。当数据包进入或离开计算机时，防火墙会对其进行检查，并根据规则集决定是否允许通过。

防火墙的主要作用有以下几个方面：

• 访问控制：防火墙可以限制网络流量的源和目标，以确保只有经过授权的设备和服务可以与计算机通信。它可以根据IP地址、端口号、协议等信息进行过滤和筛选。
• 拒绝不信任的连接：防火墙可以检测和拦截恶意的网络连接尝试，例如入侵、端口扫描和DDoS攻击。它可以根据预定义的规则或异常行为来识别和阻止潜在的威胁。
• NAT（网络地址转换）：防火墙可以实现网络地址转换，将内部私有IP地址转换为公共IP地址，以便内部网络与外部网络进行通信。这可以增加网络的安全性，并减少直接暴露在互联网上的风险。
• 日志记录和审计：防火墙可以记录网络流量和连接事件的日志，用于安全审计和故障排除。通过分析这些日志，管理员可以了解网络活动和潜在的安全问题。

网络IP地址配置实战

动态IP配置

在 CentOS 7 中，你可以通过以下步骤配置IP地址和子网掩码：

打开终端并以 root 用户身份登录操作系统。

查看当前网络接口的名称。可以使用以下两个命令任意一个即可：

ip addr show 
ip addr

我在最初安装系统的时候已经配置过网络参数，可以看到网卡的名称是ens33，以太网默认关闭的，需要点一下手动打开，系统安装完成后，可以看到默认是ip是动态获取的；

需要注意的是当时配置的是动态IP，执行ip addr 命令后，可以看到enss33这个网上的网络地址是192.168.174.134

编辑网络配置文件。使用以下命令编辑网卡配置文件：

vi /etc/sysconfig/network-scripts/ifcfg-ens33

ifcfg-ens33内容如下：

TYPE="Ethernet"
PROXY_METHOD="none"
BROWSER_ONLY="no"
BOOTPROTO="dhcp"
DEFROUTE="yes"
IPV4_FAILURE_FATAL="no"
IPV6INIT="yes"
IPV6_AUTOCONF="yes"
IPV6_DEFROUTE="yes"
IPV6_FAILURE_FATAL="no"
IPV6_ADDR_GEN_MODE="stable-privacy"
NAME="ens33"
UUID="a0bf99e7-cf4b-491b-bd5d-45eebe7d62e2"
DEVICE="ens33"
ONBOOT="yes"

解读一下上面的配置信息:

• TYPE="Ethernet"：指定接口类型为以太网。
• PROXY_METHOD="none"：表示不使用代理。
• BROWSER_ONLY="no"：表示网络连接不仅限于浏览器。
• BOOTPROTO="dhcp"：使用 DHCP 获取 IP 地址和其他网络配置信息，可以使系统能够自动接入并配置网络，无需手动设置 IP 地址和子网掩码。而DHCP 是一种通过网络自动分配 IP 地址的协议，原理是使用 DHCP 客户端向 DHCP 服务器请求获取 IP 地址、子网掩码、默认网关等网络配置参数。
• DEFROUTE="yes"：设置默认路由。
• IPV4_FAILURE_FATAL="no"：IPv4 连接失败时不会导致严重错误。
• IPV6INIT="yes"：启用 IPv6。
• IPV6_AUTOCONF="yes"：启用 IPv6 自动配置。
• IPV6_DEFROUTE="yes"：设置 IPv6 默认路由。
• IPV6_FAILURE_FATAL="no"：IPv6 连接失败时不会导致严重错误。
• IPV6_ADDR_GEN_MODE="stable-privacy"：使用稳定的隐私地址生成模式。
• NAME="ens33"：指定接口名称为 ens33。
• UUID="573c2a92-cf2c-45b1-a22c-a1c77cab85a9"：接口的唯一标识符。
• DEVICE="ens33"：指定设备名称为 ens33。
• ONBOOT="yes"：设置接口在系统启动时自动激活。

静态IP配置

动态ip有好处，也有坏处，好处是可以非常方便的接入网络，坏处就是ip经常会变，那么如何配置成静态ip呢?且往下看

配置静态ip、子网掩码、网关、dns、BOOTPROTO：可以使用vi/vimw命令，在ifcfg-ens33中的设置静态ip、子网掩码、网关、dns，修改BOOTPROTO=“static”，其他参数保持不变即可。

BOOTPROTO=“static”
IPADDR=192.168.174.133
NETMASK=255.255.255.0
GATEWAY=192.168.174.1
DNS1=114.114.114.114
DNS2=114.114.115.115

这里特别说明一一下114.114.114.114和114.114.115.115，有的小伙伴可能不了解。

114.114.114.114 是中国电信提供的公共DNS服务器之一，通常用于域名解析服务。这个DNS服务器的IP地址是114.114.114.114，而备用DNS服务器的IP地址是 114.114.115.115。

保存并关闭文件，然后重启网络服务。重启网络服务可以使用以下命令，至此静态 ip配置完成并生效。

systemctl restart network

验证设置是否成功。使用以下命令 ip addr show 来查看当前 IP 地址和子网掩码，可以看到输出的信息中应该包含你刚才设置的 IP 地址和子网掩码。

防火墙管理

在CentOS 7中，防火墙管理工具采用firewalld。以下是一些基本的firewalld命令，可以用于管理防火墙：

查看防火墙状态

sudo firewall-cmd --state

关闭防火墙

systemctl stop firewalld.service

开启防火墙

systemctl start firewalld.service

开机时启动防火墙

systemctl enable firewalld.service

重启防火墙

systemctl restart firewalld.service

查询已开放的端口

sudo firewall-cmd --list-port

开放端口

sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent

• -zone 作用域；
• --add-port 添加端口，格式为：端口/通讯协议
• --permanent 永久生效，没有此参数重启后失效

查询已开放端口列表

firewall-cmd --zone=public --list

写在最后

从IP地址、子网掩码、DNS到防火墙，这篇文章都为你提供了清晰易懂的配置指南，助你轻松执行网络管理的相关任务，不再为网络管理命令遗忘烦恼，如果你觉得这篇文章对你有所帮助，不妨点击点赞按钮，让更多的人看到这篇优质的技术分享。同时，别忘了将这篇文章收藏起来，以备日后查阅。这样，你就能随时回顾和复习文章中的重要知识点，确保你的技术水平始终保持在最高水平。