網(wǎng)絡(luò)相關(guān)以及防火墻

Linux網(wǎng)絡(luò)相關(guān)

ifconfig查看網(wǎng)卡ip（yum install net-tools）

關(guān)閉啟動(dòng)網(wǎng)卡： ifup ens33/ifdown ens33

設(shè)定虛擬網(wǎng)卡eth0:0

[root@mingming ~]# cd /etc/sysconfig/network-scripts/[root@mingming network-scripts]# lsifcfg-eth0   ifdown-post    ifup-eth    ifup-routes
ifcfg-lo     ifdown-ppp     ifup-ippp   ifup-sit
ifdown       ifdown-routes  ifup-ipv6   ifup-tunnel
ifdown-bnep  ifdown-sit     ifup-isdn   ifup-wireless
ifdown-eth   ifdown-tunnel  ifup-plip   init.ipv6-global
ifdown-ippp  ifup           ifup-plusb  net.hotplug
ifdown-ipv6  ifup-aliases   ifup-post   network-functions
ifdown-isdn  ifup-bnep      ifup-ppp    network-functions-ipv6
[root@mingming network-scripts]# cp ifcfg-eth0 ifcfg-eth0\:0[root@mingming network-scripts]# vim ifcfg-eth0:0DEVICE=eth0:0HWADDR=00:0C:29:0F:AD:09TYPE=Ethernet
UUID=aa6b2038-bad7-4480-87ee-e462f8c6db6b
ONBOOT=yes
NM_CONTROLLED=yes
BOOTPROTO=staticIPADDR=192.168.23.133NETMASK=255.255.255.0GATEWAY=192.168.23.2

DEVICE=eth0:0
IPADDR=192.168.23.133 將這兩行修改再 關(guān)閉啟動(dòng)網(wǎng)卡： ifup eth0 && ifdown eth0

mii-tool ens33 查看網(wǎng)卡是否連接

ethtool ens33 也可以查看網(wǎng)卡是否連接

更改主機(jī)名 hostnamectl set-hostname aminglinux

DNS配置文件/etc/resolv.conf

/etc/hosts文件

firewalld和netfilter

Linux防火墻-netfilter

• selinux臨時(shí)關(guān)閉 setenforce 0

• selinux永久關(guān)閉 vi /etc/selinux/config

• centos7之前使用netfilter防火墻

• centos7開始使用firewalld防火墻

• 關(guān)閉firewalld開啟netfilter方法

• systemctl stop firewalld

• systemctl disable firewalled

• yum install -y iptables-services

• systemctl enable iptables

• systemctl start iptables

Linux防火墻-netfilter

netfilter的5個(gè)表

• filter表用于過濾包，最常用的表，有INPUT、FORWARD、OUTPUT三個(gè)鏈

INPUT :數(shù)據(jù)包進(jìn)來經(jīng)過的鏈

FORWARD:到了機(jī)器但是不進(jìn)去內(nèi)核，轉(zhuǎn)發(fā)出去

OUTPUT:本機(jī)包出去經(jīng)過的鏈

• nat表用于網(wǎng)絡(luò)地址轉(zhuǎn)換，有PREROUTING、OUTPUT、POSTROUTING三個(gè)鏈

PREROUTING:進(jìn)來的時(shí)候更改數(shù)據(jù)包

POSTROUTING：出去的時(shí)候更改數(shù)據(jù)包

數(shù)據(jù)包流向與netfilter的5個(gè)鏈 PREROUTING：數(shù)據(jù)包進(jìn)入路由表之前

INPUT：通過路由表后目的地為本機(jī)

FORWARD：通過路由表后，目的地不為本機(jī)

OUTPUT：由本機(jī)產(chǎn)生，向外發(fā)出

POSTROUTING：發(fā)送到網(wǎng)卡接口之前

• managle表用于給數(shù)據(jù)包做標(biāo)記，幾乎用不到

• raw表可以實(shí)現(xiàn)不追蹤某些數(shù)據(jù)包，阿銘從來不用

• security表在centos6中并沒有，用于強(qiáng)制訪問控制（MAC）的網(wǎng)絡(luò)規(guī)則，阿銘沒用過

• 參考文章 http://www.cnblogs.com/metoy/p/4320813.html

Linux防火墻-netfilter

默認(rèn)規(guī)則在/etc/sysconfig/iptables

• 查看iptables規(guī)則：iptables -nvL

• iptables -F 清空規(guī)則

• service iptables save 保存規(guī)則

• iptables -t nat //-t指定表

• iptables -Z 可以把計(jì)數(shù)器清零

• iptables -A INPUT -s 192.168.188.1 -p tcp - --sport 1234 -d 192.168.188.128 --dport 80 -j DROP

-A 增加規(guī)則

INPUT :INPUT鏈

-s 來源ip

-p ：指定協(xié)議

--sport ：指定來源端口

-d 指定目標(biāo)ip

--dport 目標(biāo)端口

-j 處理方式 DROP:扔掉 REJECT:拒絕 ACCEPT:接受

• iptables -I/-A/-D INPUT -s 1.1.1.1 -j DROP

-I 插入規(guī)則

-D 刪除規(guī)則

• iptables -I INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT

-i 指定網(wǎng)卡

• iptables -nvL --line-numbers

打印規(guī)則的序列號(hào)

• iptables -D INPUT 1

刪除序列1的規(guī)則

• iptables -P INPUT DROP

-P 改變默認(rèn)沒有匹配規(guī)則的

Linux防火墻-netfilter

iptables小案例

vi /usr/local/sbin/iptables.sh //加入如下內(nèi)容

#! /bin/bash

ipt="/usr/sbin/iptables"

$ipt -F

$ipt -P INPUT DROP

$ipt -P OUTPUT ACCEPT

$ipt -P FORWARD ACCEPT

$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT    

$ipt -A INPUT -s 192.168.133.0/24 -p tcp --dport 22 -j ACCEPT

$ipt -A INPUT -p tcp --dport 80 -j ACCEPT

$ipt -A INPUT -p tcp --dport 21 -j ACCEPT  

icmp示例

iptables -I INPUT -p icmp --icmp-type 8 -j DROP

Linux防火墻-netfilter

nat表應(yīng)用

A機(jī)器兩塊網(wǎng)卡eth0(192.168.23.135)、eth2(192.168.100.1)，eth0可以上外網(wǎng)，eth2僅僅是內(nèi)部網(wǎng)絡(luò)，B機(jī)器只有eth2（192.168.100.100），和A機(jī)器eth2可以通信互聯(lián)。

增加內(nèi)網(wǎng) 1 增加網(wǎng)卡

         2 設(shè)置ip ： ifconfig eth2 192.168.100.1

需求1：可以讓B機(jī)器連接外網(wǎng)

A機(jī)器上打開路由轉(zhuǎn)發(fā) echo "1">/proc/sys/net/ipv4/ip_forward

A上執(zhí)行 iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE 

B上設(shè)置網(wǎng)關(guān)為192.168.100.1

route add default gw 192.168.100.1

route -n 查看

需求2：C機(jī)器只能和A通信，讓C機(jī)器可以直接連通B機(jī)器的22端口

上打開路由轉(zhuǎn)發(fā)echo "1">/ proc/sys/net/ipv4/ip_forward

A上執(zhí)行iptables -t nat -A PREROUTING -d 192.168.23.135 -p tcp --dport 1122 -j DNAT --to 192.168.100.100:22

A上執(zhí)行iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 192.168.23.135

B上設(shè)置網(wǎng)關(guān)為192.168.100.1

保存和備份iptables規(guī)則

service iptables save //會(huì)把規(guī)則保存到/etc/sysconfig/iptables

把iptables規(guī)則備份到my.ipt文件中

iptables-save > my.ipt

恢復(fù)剛才備份的規(guī)則

iptables-restore < my.ipt

Linux防火墻-firewalled

firewalld的9個(gè)zone

打開firewalld

systemctl disable iptables

systemctl stop iptables

systemctl enable firewalld

systemctl start firewalld

firewalld默認(rèn)有9個(gè)zone

drop（丟棄）：任何接收的網(wǎng)絡(luò)數(shù)據(jù)包都被丟棄，沒有任何回復(fù)，僅能有發(fā)送出去的網(wǎng)絡(luò)

連接。

block（限制）：任何接收的網(wǎng)絡(luò)連接都被IPv4的icmp-host-prohibited信息和IPv6的

icmp6-adm-prohibited信息所拒絕。

public（公共）：在公共區(qū)域內(nèi)使用，不能相信網(wǎng)絡(luò)內(nèi)其他計(jì)算機(jī)不會(huì)對(duì)您的計(jì)算機(jī)造成

危害，只能接收經(jīng)過選擇的連接。

external（外部）：特別是為路由器啟用了偽裝功能的外部網(wǎng)，您不能信任來自網(wǎng)絡(luò)的其

他計(jì)算機(jī)，不能想他他們不會(huì)對(duì)你的計(jì)算機(jī)造成危害，只能接收經(jīng)過選擇的連接。

dmz（非軍事區(qū)）：用于您的非軍事區(qū)內(nèi)的電腦，此區(qū)域內(nèi)可公開訪問，可以有限的進(jìn)入

你的內(nèi)部網(wǎng)絡(luò)，僅僅接收經(jīng)過選擇的連接。

work（工作）：用于工作區(qū)，你可以基本相信網(wǎng)絡(luò)內(nèi)的其他電腦不會(huì)危害你的電腦，僅僅

接收經(jīng)過選擇的連接。

home（家庭）：用于家庭網(wǎng)絡(luò)，你可以基本相信網(wǎng)絡(luò)內(nèi)的其他計(jì)算機(jī)不會(huì)危害你的計(jì)算機(jī)

，僅僅接收經(jīng)過選擇的連接。

internal（內(nèi)部）：用于內(nèi)部網(wǎng)絡(luò)，你可以基本相信網(wǎng)絡(luò)內(nèi)的其他計(jì)算機(jī)不會(huì)危害你的計(jì)

算機(jī)，僅僅接收經(jīng)過選擇的連接。

trusted（信任）：可接受所有的網(wǎng)絡(luò)連接。

默認(rèn)zone為public

firewall-cmd --get-zones //查看所有zone

firewall-cmd --get-default-zone//查看默認(rèn)zone

firewalld關(guān)于zone的操作

firewall-cmd --set-default-zone=work //設(shè)定默認(rèn)zone

firewall-cmd --get-zone-of-interface=ens33 //查指定網(wǎng)卡

firewall-cmd --zone=public --add-interface=lo //給指定網(wǎng)卡設(shè)置zone 

firewall-cmd --zone=dmz --change-interface=lo //針對(duì)網(wǎng)卡更改zone

firewall-cmd --zone=dmz  --remove-interface=lo  //針對(duì)網(wǎng)卡刪除zone 

firewall-cmd --get-active-zones  //查看系統(tǒng)所有網(wǎng)卡所在的zone

firewalld關(guān)于service的操作

firewall-cmd --get-services  查看所有的servies

firewall-cmd --list-services  //查看當(dāng)前zone下有哪些service

firewall-cmd --zone=public --add-service=http //把http增加到public zone下面

firewall-cmd --zone=public --remove-service=http

ls /usr/lib/firewalld/zones/ //zone的配置文件模板

firewall-cmd --zone=public --add-service=http --permanent //更改配置文件，之后會(huì)在/etc/firewalld/zones目錄下面生成配置文件

需求：ftp服務(wù)自定義端口1121，需要在work zone下面放行ftp

cp /usr/lib/firewalld/services/ftp.xml /etc/firewalld/services

vi /etc/firewalld/services/ftp.xml //把21改為1121

cp /usr/lib/firewalld/zones/work.xml /etc/firewalld/zones/

vi /etc/firewalld/zones/work.xml //增加一行

firewall-cmd --reload //重新加載

firewall-cmd --zone=work --list-services