Linux日常运维--3

摘要: Linux网络相关、
firewalld和netfilter、
netfilter5表5链介绍、
iptables语法

Linux网络相关

ifconfig 查看网卡



ifdown ens33 关闭网卡



ifup ens33 开启网卡



复制一份网卡配置文件



更改新的网卡文件



查看多出了一个网卡



mii-tool ens33 查看网卡是否连接



ethtool 查看网卡是否连接



更改主机名称

firewalld和netfilter

临时关闭SELinux



关闭firewalld





启动iptables



查看iptables规则

netfilter5表5链介绍

netfilter的5个表

filter表用于过滤包，最常用的表，有INPUT、FORWARD、OUTPUT三个链

nat表用于网络地址转换，有PREROUTING、OUTPUT、POSTROUTING三个链

managle表用于给数据包做标记，几乎用不到

raw表可以实现不追踪某些数据包，阿铭从来不用

security表在Centos6中并没有，用于强制访问控制（MAC）的网络规则

netfilter的5个链

PREROUTING：数据包进入路由表之前

INPUT：通过路由表后目的地为本机

FORWARD：通过路由表后，目的地不为本机

OUTPUT：由本机产生，向外发出

POSTROUTING：发送到网卡接口之前

iptables语法

iptables命令是Linux上常用的防火墙软件，是netfilter项目的一部分。可以直接配置，也可以通过许多前端和图形界面配置。

语法： iptables [options] [参数]
Options：
-n：不针对IP反解析主机名
-v：显示更详细的信息
-t：指定表（iptables命令默认作用于filter表）
-L：显示信息
-F：清空所有规则
-A/D：=add/delete，添加/删除一条规则
-I：插入一条规则
-p：指定协议，可以是tcp，udp或icmp --sport：跟-p一起使用，指定源端口
--dport：跟-p一起使用，指定目标端口
-s：指定源IP（可以是一个IP段）
-d：指定目的IP（可以是一个IP段）
-j：后面跟动作（ACCEPT表示允许包；DROP表示丢掉包；REJECT表示拒绝包）
-i：指定网卡
-Z：把包以及流量计数器清零
-P：=pre，预设策略

iptables命令选项输入顺序：

iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作

iptables -nvL 查看规则

iptables -F 清空规则 注： 该命令不会清除配置文件内的规则！当更改规则后需要执行命令‘service iptables save’将其保存到配置文件。


iptables规则配置文件：/etc/sysconfig/iptables
iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP
说明： 增加一条规则，当IP192.168.188.1、协议为tcp、端口为‘1234’的向IP192.168.188.128、端口为80的机器发送包时执行操作：drop（丢掉包）。 注： 该命令也可以把-A换成-I，两者的区别类似于排队和插队，两种方法插入的规则优先级不同。



删除一条规则（-D）

方法1： 知道规则的内容

iptables -D INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP
注： 要删除一条规则时，必须和插入的规则一致，也就是说，两条iptables命令除了-A/I和-D不一样外，其他地方都一样。



方法2： 忘记规则内容
首先所以用以下命令查看规则序号：iptables -nvL --line-number
然后再执行删除命令：iptables -D INPUT [序号]



更改预设策略（-P）

执行命令：iptables -P OUTPUT DROP

注意： 尽量不要随意更改该配置，尤其是在进行远程登录时，一旦执行该命令后将会断开连接。这个策略设定后只能用命令：‘iptables -P OUTPUT ACCEPT’来恢复成原始状态，不能使用-F参数。