Linux网络相关
ifconfig命令
用来查看网卡信息,比ip addr命令清晰直观。
centos7默认不带ifconfig命令,需要安装net-tools包。
yum install -y net-tools
ifconfig -a选项,当网卡没有启动,或断开时用此命令查看,所有网卡信息。
启动指定网卡 ifup ens33
关闭指定网卡 ifdown ens33
ifdown ens33 && ifup ens33 关闭网卡接连启动,
用于远程重启,防止关闭网卡后连接不上服务器
设定虚拟网卡
设定虚拟网卡ens33:0 以后用到 lvs和 keepalived 时会用到虚拟网卡
cd /etc/sysconfig/network-scripts/
cp ifcfg-ens33 ifcfg-ens33\:0 拷贝网卡配置文件,\ 用来脱义:
vim ifcfg-ens33\:0 编辑网卡配置文件
更改NAME=ens33:0
更改DEVICE=ens33:0
更改IPADDR=***.***.***.***
DNS和GETWAY可以省略
删除UUID
保存退出
ifdown ens33 && ifup ens33 关闭并重启网卡
ip addr 查看添加的虚拟网卡信息
查看网卡是否连接
mii-tool ens33
查看网卡是否连接,link ok表示连接,no link表示未连接, no suports表示不支持此命令。
ethtool ens33
查看网卡是否连接,
当mii-tool不支持时,用此命令,link detected:yes表示连接,no表示未连接
更改主机名
hostnamectl set-hostname elon 更改主机名
/etc/hostname 主机名配置文件
/etc/resolv.conf DNS配置文件
此文件只能临时更改DNS,重启网卡后依然会被网卡配置文件ifcfg-ens33里的DNS配置覆盖
访问自定义域名
/etc/hosts 域名配置文件,用来访问自定义域名,指定某个域名对应的ip,仅在本机生效
格式:
*.*.*.* www.baidu.com
左边IP 右边域名,以最后一个解析为主
支持多个域名对应一个IP,域名间用空格分开,语法格式不能换行
不支持一个域名对应多个IP,若一个域名有多个对应ip,仅以最后一个对应关系为准
试ping,查看结果
ping www.baidu.com *.*.*.*
Linux防火墙firewalld和netfilter
关闭SElinux
临时关闭SElinux
setenforce 0 临时关闭
永久关闭SElinux
vim /etc/selinux/config
修改selinux=disabled 永久关闭
重启系统
关闭firewalld开启netfilter
针对centos6之前的系统,从centos7开始默认使用firewalld
关闭firewalld
systemctl stop firewalld
systemctl disable firewalld
开启netfilter
yum install -y iptables-services
systemctl enable iptables
systemctl start iptables
查看默认规则
iptables -nvL
netfilter5表5链介绍
filter表 用于过滤包,是最常用的表,有
INPUT,FORWARD,OUTPUT三个链
nat表 用网络地址转换,有
PREROUTING,OUTPUT,POSTROUTING三个链
managle表 用于给数据包做标记,几乎用不到。
raw表 可以实现不追踪某些数据包。
security表 用于强制访问控制(MAC)的网络规则,在centos6中并没有,
数据包进出网卡原理图
iptables语法
iptables -nvL 查看iptables规则,
不指定表则默认查看filter表规则,-n不针对IP反解析主机名
iptables -F 清空规则,
不指定表默认清空filter表规则
service iptables save 保存规则,保存至/etc/sysconfig/iptables
iptables -t 指定表
iptables -Z 清零计数器
systemctl restart iptables.service 重启iptables服务.需安装iptables-service
iptables -nvL --line-numbers 以编号形式查看规则列表
/etc/sysconfig/iptables iptables配置文件,保存规则,
重启会从此加载规则
iptables -A 增加规则,会将规则增加在最后
iptables -D 删除规则
iptables -I 插入规则(大写 i )
会将规则插入到最前面,不理会后面冲突的规则
iptables -P 预设规则(大写P)
选项:
-s 指定源地址,
可以是一个ip段(第四位为0)
-d 指定目标地址,
可以是一个ip段(第四位为0)
-i 指定网卡
-j 指定动作,
动作:DROP直接丢弃,REJECT查看后拒绝,ACCEPT放行
-p 表示指定协议(小写p),后面跟协议类型,如tcp协议
和-p一起使用的两个选项:
--dport, 指定目标端口,
--sport, 指定源端口
例1:
iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP
针对INPUT链增加规则,指定源地址192.168.188.1 ,协议tcp,端口1234,指定目标地址192.168.188.128,端口80,指定动作,全部丢弃
例2:iptables -I/-A/-D INPUT -s 1.1.1.1 -j DROP
插入/增加/删除规则,针对INPUT链,指定源地址为1.1.1.1,指定动作,全部丢弃
例3:iptables -I INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
插入规则,针对INPUT链,指定源IP段192.168.1.0/24,指定网卡eth0,指定动作,全部放行