Linux日常运维--3
2018-01-24 00:00
204 查看
摘要: Linux网络相关、
firewalld和netfilter、
netfilter5表5链介绍、
iptables语法
ifdown ens33 关闭网卡
ifup ens33 开启网卡
复制一份网卡配置文件
更改新的网卡文件
查看多出了一个网卡
mii-tool ens33 查看网卡是否连接
ethtool 查看网卡是否连接
更改主机名称
临时关闭SELinux
关闭firewalld
启动iptables
查看iptables规则
netfilter的5个表
filter表用于过滤包,最常用的表,有INPUT、FORWARD、OUTPUT三个链
nat表用于网络地址转换,有PREROUTING、OUTPUT、POSTROUTING三个链
managle表用于给数据包做标记,几乎用不到
raw表可以实现不追踪某些数据包,阿铭从来不用
security表在Centos6中并没有,用于强制访问控制(MAC)的网络规则
netfilter的5个链
PREROUTING:数据包进入路由表之前
INPUT:通过路由表后目的地为本机
FORWARD:通过路由表后,目的地不为本机
OUTPUT:由本机产生,向外发出
POSTROUTING:发送到网卡接口之前
iptables命令是Linux上常用的防火墙软件,是netfilter项目的一部分。可以直接配置,也可以通过许多前端和图形界面配置。
语法: iptables [options] [参数]
Options:
-n:不针对IP反解析主机名
-v:显示更详细的信息
-t:指定表(iptables命令默认作用于filter表)
-L:显示信息
-F:清空所有规则
-A/D:=add/delete,添加/删除一条规则
-I:插入一条规则
-p:指定协议,可以是tcp,udp或icmp --sport:跟-p一起使用,指定源端口
--dport:跟-p一起使用,指定目标端口
-s:指定源IP(可以是一个IP段)
-d:指定目的IP(可以是一个IP段)
-j:后面跟动作(ACCEPT表示允许包;DROP表示丢掉包;REJECT表示拒绝包)
-i:指定网卡
-Z:把包以及流量计数器清零
-P:=pre,预设策略
iptables命令选项输入顺序:
iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作
iptables -nvL 查看规则
iptables -F 清空规则 注: 该命令不会清除配置文件内的规则!当更改规则后需要执行命令‘service iptables save’将其保存到配置文件。
iptables规则配置文件:/etc/sysconfig/iptables
iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP
说明: 增加一条规则,当IP192.168.188.1、协议为tcp、端口为‘1234’的向IP192.168.188.128、端口为80的机器发送包时执行操作:drop(丢掉包)。 注: 该命令也可以把-A换成-I,两者的区别类似于排队和插队,两种方法插入的规则优先级不同。
删除一条规则(-D)
方法1: 知道规则的内容
iptables -D INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP
注: 要删除一条规则时,必须和插入的规则一致,也就是说,两条iptables命令除了-A/I和-D不一样外,其他地方都一样。
方法2: 忘记规则内容
首先所以用以下命令查看规则序号:iptables -nvL --line-number
然后再执行删除命令:iptables -D INPUT [序号]
更改预设策略(-P)
执行命令:iptables -P OUTPUT DROP
注意: 尽量不要随意更改该配置,尤其是在进行远程登录时,一旦执行该命令后将会断开连接。这个策略设定后只能用命令:‘iptables -P OUTPUT ACCEPT’来恢复成原始状态,不能使用-F参数。
firewalld和netfilter、
netfilter5表5链介绍、
iptables语法
Linux网络相关
ifconfig 查看网卡ifdown ens33 关闭网卡
ifup ens33 开启网卡
复制一份网卡配置文件
更改新的网卡文件
查看多出了一个网卡
mii-tool ens33 查看网卡是否连接
ethtool 查看网卡是否连接
更改主机名称
firewalld和netfilter
临时关闭SELinux关闭firewalld
启动iptables
查看iptables规则
netfilter5表5链介绍
netfilter的5个表filter表用于过滤包,最常用的表,有INPUT、FORWARD、OUTPUT三个链
nat表用于网络地址转换,有PREROUTING、OUTPUT、POSTROUTING三个链
managle表用于给数据包做标记,几乎用不到
raw表可以实现不追踪某些数据包,阿铭从来不用
security表在Centos6中并没有,用于强制访问控制(MAC)的网络规则
netfilter的5个链
PREROUTING:数据包进入路由表之前
INPUT:通过路由表后目的地为本机
FORWARD:通过路由表后,目的地不为本机
OUTPUT:由本机产生,向外发出
POSTROUTING:发送到网卡接口之前
iptables语法
iptables命令是Linux上常用的防火墙软件,是netfilter项目的一部分。可以直接配置,也可以通过许多前端和图形界面配置。语法: iptables [options] [参数]
Options:
-n:不针对IP反解析主机名
-v:显示更详细的信息
-t:指定表(iptables命令默认作用于filter表)
-L:显示信息
-F:清空所有规则
-A/D:=add/delete,添加/删除一条规则
-I:插入一条规则
-p:指定协议,可以是tcp,udp或icmp --sport:跟-p一起使用,指定源端口
--dport:跟-p一起使用,指定目标端口
-s:指定源IP(可以是一个IP段)
-d:指定目的IP(可以是一个IP段)
-j:后面跟动作(ACCEPT表示允许包;DROP表示丢掉包;REJECT表示拒绝包)
-i:指定网卡
-Z:把包以及流量计数器清零
-P:=pre,预设策略
iptables命令选项输入顺序:
iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作
iptables -nvL 查看规则
iptables -F 清空规则 注: 该命令不会清除配置文件内的规则!当更改规则后需要执行命令‘service iptables save’将其保存到配置文件。
iptables规则配置文件:/etc/sysconfig/iptables
iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP
说明: 增加一条规则,当IP192.168.188.1、协议为tcp、端口为‘1234’的向IP192.168.188.128、端口为80的机器发送包时执行操作:drop(丢掉包)。 注: 该命令也可以把-A换成-I,两者的区别类似于排队和插队,两种方法插入的规则优先级不同。
删除一条规则(-D)
方法1: 知道规则的内容
iptables -D INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP
注: 要删除一条规则时,必须和插入的规则一致,也就是说,两条iptables命令除了-A/I和-D不一样外,其他地方都一样。
方法2: 忘记规则内容
首先所以用以下命令查看规则序号:iptables -nvL --line-number
然后再执行删除命令:iptables -D INPUT [序号]
更改预设策略(-P)
执行命令:iptables -P OUTPUT DROP
注意: 尽量不要随意更改该配置,尤其是在进行远程登录时,一旦执行该命令后将会断开连接。这个策略设定后只能用命令:‘iptables -P OUTPUT ACCEPT’来恢复成原始状态,不能使用-F参数。
相关文章推荐
- Linux运维笔记-Linux系统日常管理
- Linux日常运维管理基本问题
- Linux日常运维脚本
- linux-日常运维-服务管理-systemd
- 日常积累的一些linux和运维的东西 [转]
- Linux日常运维管理基本问题
- 日常运维工作中如何确保你的linux操作系统安全
- linux-日常运维- unit介绍
- Linux日常运维小结
- linux-日常运维- target介绍
- 笔记8(日常运维w、vmstat、top、sar、nload、free、ps、netstat、tcptump、Linux防火墙)
- linux运维日常操作
- linux基础,日常运维,5
- Linux日常运维--1
- linux基础,日常运维,7
- Linux-日常运维-网络地址转换、端口映射
- 日常运维(七):Linux下的数据备份工具rsync
- 运维日常操作--linux命令
- Linux日常运维管理命令
- Linux日常运维--2