day 33 iptables_iptables 网卡使能

10.11 Linux网络相关

• ifconfig --#查看网卡，CentOS7默认没有该命令，需运行命令yum install -y net-tools安装相应的包， 若网卡宕掉用ifconfig命令查看时没有ip，加“-a”选项可查看到
• ifup ens33 --#启动指定网卡
• ifdown ens33 --#关闭指定网卡，若远程连接到服务器，需谨慎操作，一旦断开就不能连上
• ifdown ens33 && ifup ens33 --在远程连接到服务器的情况下，可以执行该命令关闭并启动网卡
• mii-tool ens33 --#查看网卡是否连接，结果显示“link ok”表示网卡已连接，若结果显示不支持该命令，需使用命令：ethtool ens33，在结果中查看“Link detected”是否为“yes”
• hostnamectl set-hostname XXX --#更改主机名，改完之后在当前终端下使用命令hostname查看已更改，但前缀提示符依然显示更改之前的主机名，需要登出再登录或者进入一个子shell可查看到已生效,退出子shell后前缀又恢复更改之前的主机名。主机名配置文件：/etc/hostname
• DNS配置文件:/etc/resolv.conf,在网卡配置文件中定义的，如果在该配置文件中增加一个DNS，重启网卡后，查看DNS配置文件会发现新增的DNS server，若编辑/etc/resolv.conf文件更改DNS server，重启网卡后，其依然可以被网卡配置文件的DNS所覆盖
• 域名配置文件：/etc/hosts, 支持一个IP在1行中配多个域名(不能跨行)，用空格分隔，若给一个域名配置多个IP，则以先解析到的ip为主

• cd /etc/sysconfig/network-scripts                       --#进入网卡配置文件的目录
• cp ifcfg-ens33 ifcfg-ens33\:0                              --#复制网卡配置文件，加“\”表脱意
• 编辑虚拟网卡配置文件(ifcfg-ens33:0)，将NAME和DEVICE项改为ens33:0，并修改IP
• 重启网卡ens33，用ifconfig命令再次查看，可查看到新增的虚拟网卡及其ip

10.12 firewalld和netfilter

• setenforce 0                                          --#临时关闭selinux
• vim /etc/selinux/config                           --#运行该命令，将SELINUX=enforced修改为disabled，重启系统，永久关闭selinux ，使用命令getenforce查看selinux的状态，"Enforcing"表示selinux打开，“Permissive”表示虽然selinux也开启，但在遇到需要发生阻断的时候，不会真正去阻断，仅仅会有提醒
• CentOS 7默认将netfilter关闭，使用firewalld， CentOS 6及之前的版本使用netfilter
• systemctl disable firewalld                    --#将firewalld禁能，不让其开机启动
• systemctl stop firewalld                        --#将firewalld服务关掉
• yum install -y iptables-services            --#将netfilter服务开启前需要安装这个包
• systemctl enable iptables                     --#使能iptables
• systemctl start iptables                         --#开启iptables服务

10.13 netfilter 5表5链介绍

• filter                       --#默认的表，iptables规则如果不加“-t”选项指定表时即默认为filter表，主要用于过滤包，包含3个内置链：INPUT、 FORWORD和OUTPUT
• nat                         --#用于网络地址转换，包含3个链：PREROUTING、OUTPUT和POSTROUTING
• mangle                  --#用于给数据包做标记，很少用到
• raw                        --#可实现不追踪某些数据包，几乎用不到
• security                 --#该表在CentOS6中没有，用于强制访问控制的网络规则，很少用到

• INPUT：              进来的数据包应用此规则链中的策略，作用于进入本机的包
• OUTPUT：          外出的数据包应用此规则链中的策略，作用于本机送出的包，改变本地产生的包的目的地址
• FORWARD：      转发数据包时应用此规则链中的策略，作用于跟本机无关的包
• PREROUTING：对数据包作路由选择前应用此链中的规则（所有的数据包进来的时侯都先由这个链处理），作用是当有需要时，在包刚刚到达防火墙时改变它的目的地址
• POSTROUTING：对数据包作路由选择后应用此链中的规则（所有的数据包出来的时侯都先由这个链处理），在包就要离开防火墙之前改变其源地址

10.14 iptables语法

• iptables -nvL                                      --#查看iptables规则，默认iptables规则保存在/etc/sysconfig/iptables文件中，默认查看filter表的iptables规则，若查看nat表的规则，需加“-t nat”选项：iptables -t nat -nvL
• iptables -F                                         --#清除所有的iptables规则，清除是临时的，重启系统或者重启 iptalbes 服务后还会加载已经保存的规则，清除规则后通过命令：iptables -nvL查看没有相关规则了，但/etc/sysconfig/iptables文件中的规则内容并未改变
• service iptables save --将当前规则保存到/etc/sysconfig/iptables文件中，当写完规则后，该规则仅仅在当前内存中生效，若想使其重启后依然生效，需要使用该命令保存规则
• service iptables restart                     --#重启iptables服务，清空iptables规则后，将/etc/sysconfig/iptables文件中的规则重新加载
• iptables -Z --#将所有表的所有链的字节和数据包计数器清零
• iptables -nvL --line-numbers --#查看规则时显示规则的序列号，当删除某条规则时，直接使用序列号进行删除：iptables -D [链名] X ， X代表规则序列号
• iptables -P [链名] [目标动作] --#添加默认规则，比如：iptables -P OUTPUT ACCEPT

• -A 在指定链的末尾添加（append）一条新的规则
• -D 删除（delete）指定链中的某一条规则，可以按规则序号和内容删除
• -I 在指定链中插入（insert）一条新的规则，默认在第一行添加
• -R 修改、替换（replace）指定链中的某一条规则，可以按规则序号和内容替换
• -L 列出（list）指定链中所有的规则进行查看
• -E 重命名用户定义的链，不改变链本身
• -F 清空（flush）
• -N 新建（new-chain）一条用户自己定义的规则链
• -X 删除指定表中用户自定义的规则链（delete-chain）
• -P 设置指定链的默认策略（policy）
• -Z 将所有表的所有链的字节和数据包计数器清零
• -n 使用数字形式（numeric）显示输出结果
• -v 查看规则表详细信息（verbose）的信息
• -V 查看版本(version)
• -h 获取帮助（help）

• ACCEPT --允许数据包通过
• DROP --直接丢弃数据包，不给任何回应信息
• REJECT --拒绝数据包通过，必要时会给数据发送端一个响应的信息