当前位置:   article > 正文

day 33 iptables_iptables 网卡使能

iptables 网卡使能

10.11 Linux网络相关

1、网络相关常用命令
  • ifconfig --#查看网卡,CentOS7默认没有该命令,需运行命令yum install -y net-tools安装相应的包, 若网卡宕掉用ifconfig命令查看时没有ip,加“-a”选项可查看到
  • ifup ens33 --#启动指定网卡
  • ifdown ens33 --#关闭指定网卡,若远程连接到服务器,需谨慎操作,一旦断开就不能连上
  • ifdown ens33 && ifup ens33 --在远程连接到服务器的情况下,可以执行该命令关闭并启动网卡
  • mii-tool ens33 --#查看网卡是否连接,结果显示“link ok”表示网卡已连接,若结果显示不支持该命令,需使用命令:ethtool ens33,在结果中查看“Link detected”是否为“yes”
  • hostnamectl set-hostname XXX --#更改主机名,改完之后在当前终端下使用命令hostname查看已更改,但前缀提示符依然显示更改之前的主机名,需要登出再登录或者进入一个子shell可查看到已生效,退出子shell后前缀又恢复更改之前的主机名。主机名配置文件:/etc/hostname
  • DNS配置文件:/etc/resolv.conf,在网卡配置文件中定义的,如果在该配置文件中增加一个DNS,重启网卡后,查看DNS配置文件会发现新增的DNS server,若编辑/etc/resolv.conf文件更改DNS server,重启网卡后,其依然可以被网卡配置文件的DNS所覆盖
  • 域名配置文件:/etc/hosts, 支持一个IP在1行中配多个域名(不能跨行),用空格分隔,若给一个域名配置多个IP,则以先解析到的ip为主
2、给系统增加虚拟网卡
  • cd /etc/sysconfig/network-scripts                       --#进入网卡配置文件的目录
  • cp ifcfg-ens33 ifcfg-ens33\:0                              --#复制网卡配置文件,加“\”表脱意
  • 编辑虚拟网卡配置文件(ifcfg-ens33:0),将NAMEDEVICE项改为ens33:0,并修改IP
  • 重启网卡ens33,用ifconfig命令再次查看,可查看到新增的虚拟网卡及其ip
10.12 firewalld和netfilter

  • setenforce 0                                          --#临时关闭selinux
  • vim /etc/selinux/config                           --#运行该命令,将SELINUX=enforced修改为disabled,重启系统,永久关闭selinux ,使用命令getenforce查看selinux的状态,"Enforcing"表示selinux打开,“Permissive”表示虽然selinux也开启,但在遇到需要发生阻断的时候,不会真正去阻断,仅仅会有提醒
  • CentOS 7默认将netfilter关闭,使用firewalld, CentOS 6及之前的版本使用netfilter
  • systemctl disable firewalld                    --#将firewalld禁能,不让其开机启动
  • systemctl stop firewalld                        --#将firewalld服务关掉
  • yum install -y iptables-services            --#将netfilter服务开启前需要安装这个包
  • systemctl enable iptables                     --#使能iptables
  • systemctl start iptables                         --#开启iptables服务
10.13 netfilter 5表5链介绍

1、5个表
  • filter                       --#默认的表,iptables规则如果不加“-t”选项指定表时即默认为filter表,主要用于过滤包,包含3个内置链:INPUT、 FORWORD和OUTPUT
  • nat                         --#用于网络地址转换,包含3个链:PREROUTING、OUTPUT和POSTROUTING
  • mangle                  --#用于给数据包做标记,很少用到
  • raw                        --#可实现不追踪某些数据包,几乎用不到
  • security                 --#该表在CentOS6中没有,用于强制访问控制的网络规则,很少用到
2、5个链
  • INPUT:              进来的数据包应用此规则链中的策略,作用于进入本机的包
  • OUTPUT:          外出的数据包应用此规则链中的策略,作用于本机送出的包,改变本地产生的包的目的地址
  • FORWARD:      转发数据包时应用此规则链中的策略,作用于跟本机无关的包
  • PREROUTING:对数据包作路由选择前应用此链中的规则(所有的数据包进来的时侯都先由这个链处理),作用是当有需要时,在包刚刚到达防火墙时改变它的目的地址
  • POSTROUTING:对数据包作路由选择后应用此链中的规则(所有的数据包出来的时侯都先由这个链处理),在包就要离开防火墙之前改变其源地址
10.14 iptables语法

1、iptables常用命令
  • iptables -nvL                                      --#查看iptables规则,默认iptables规则保存在/etc/sysconfig/iptables文件中,默认查看filter表的iptables规则,若查看nat表的规则,需加“-t nat”选项:iptables -t nat -nvL
  • iptables -F                                         --#清除所有的iptables规则,清除是临时的,重启系统或者重启 iptalbes 服务后还会加载已经保存的规则,清除规则后通过命令:iptables -nvL查看没有相关规则了,但/etc/sysconfig/iptables文件中的规则内容并未改变
  • service iptables save --将当前规则保存到/etc/sysconfig/iptables文件中,当写完规则后,该规则仅仅在当前内存中生效,若想使其重启后依然生效,需要使用该命令保存规则
  • service iptables restart                     --#重启iptables服务,清空iptables规则后,将/etc/sysconfig/iptables文件中的规则重新加载
  • iptables -Z --#将所有表的所有链的字节和数据包计数器清零
  • iptables -nvL --line-numbers --#查看规则时显示规则的序列号,当删除某条规则时,直接使用序列号进行删除:iptables -D [链名] X , X代表规则序列号
  • iptables -P [链名] [目标动作] --#添加默认规则,比如:iptables -P OUTPUT ACCEPT
2、iptables的用法
iptables [-t 表名] 命令选项 [链名] [条件匹配] [-j 目标动作或跳转]
说明:表名、链名用于指定 iptables命令所操作的表和链,命令选项用于指定管理iptables规则的方式(比如:插入、增加、删除、查看等;条件匹配用于指定对符合什么样条件的数据包进行处理;目标动作或跳转用于指定数据包的处理方式(比如允许通过ACCEPT、拒绝REJECT、丢弃DROP、跳转(Jump)给其它链处理),命令选项如下:
  • -A 在指定链的末尾添加(append)一条新的规则
  • -D 删除(delete)指定链中的某一条规则,可以按规则序号和内容删除
  • -I 在指定链中插入(insert)一条新的规则,默认在第一行添加
  • -R 修改、替换(replace)指定链中的某一条规则,可以按规则序号和内容替换
  • -L 列出(list)指定链中所有的规则进行查看
  • -E 重命名用户定义的链,不改变链本身
  • -F 清空(flush)
  • -N 新建(new-chain)一条用户自己定义的规则链
  • -X 删除指定表中用户自定义的规则链(delete-chain)
  • -P 设置指定链的默认策略(policy)
  • -Z 将所有表的所有链的字节和数据包计数器清零
  • -n 使用数字形式(numeric)显示输出结果
  • -v 查看规则表详细信息(verbose)的信息
  • -V 查看版本(version)
  • -h 获取帮助(help)
常用的防火墙处理数据包的 目标动作
  • ACCEPT --允许数据包通过
  • DROP --直接丢弃数据包,不给任何回应信息
  • REJECT --拒绝数据包通过,必要时会给数据发送端一个响应的信息

本文内容由网友自发贡献,转载请注明出处:https://www.wpsshop.cn/w/寸_铁/article/detail/769569
推荐阅读
相关标签
  

闽ICP备14008679号