10.12 firewalld和netfilter

10.13 netfilter5表5鏈介紹

10.14 iptables語法

10.11 Linux網絡相關

ifconfig -a ( 當網卡斷掉的時候不會顯示）

ifdown ens33 （斷掉指定網卡） ifup ens33 （開啟網卡），如果再用時不能直接斷開，斷開後遠程鏈接就無法用了。

只能到終端去開啟這個網卡才可以時候。有時候配置了網卡後需要重啟，如果不想重啟可以指定downup網卡，就可以

實現指定網卡的重啟，也就是需要兩個命令一起執行 ifdown ens33 && ifup ens33。

目前有eno16777736和lo兩個網卡，如果還有需要可以設定一個虛擬網卡。

步驟：1.先到網卡配置文件目錄下

2.cp一份ifcfg-ens16777736（這裏的反斜杠是為了脫譯這個冒號），然後編輯它

ip改成141 名字（name和device）改成原有的加：0 配置文件無需脫譯。dns1已經有了可以不要，網關也可以去掉dd一下。

wq保存退出

3重啟網絡服務

然後就有了。

用windows去ping 沒有問題

mii-tool 網卡名（查看網卡是否連接）

如果不行用 ethtool 查看

看最後一項link detected 。 如果是yes就是連接了網線

更改主機名hostnamectl set-hostname （centos6不支持，7才支持）

hostname可以查看主機名，重開會生效。

DNS配置文件在 /etc/resolv.conf

這個是在原來網卡的配置文件裏配置的 /etc/sysconfig/network-scripts/ifcfg-ens16..（更改dns直接去更改網卡配置文件就行）

也可以臨時的更改 vim /etc/resolv.conf 重啟後復原。

/etc/hosts 可以臨時更改域名解析，只在本機生效。

更改配置文件

支持一個ip配多個域名，用空格分割。一個域名配多個ip 只有後面的生效。

10.12 firewalld和netfilter

firewalld 與 netfilter的機制不太一樣。

但是可以通過iptables這個命令來修改。

比如可以通過iptables 開放80端口等。

在7上也可以用6的netfilter

systemctl disable firewalld 先把它停掉，不讓它開機啟動。

systemctl stop firewalld 關掉服務

然後開啟netfiler

先安裝一個包 yum install -y iptables-services

systemctl enable iptables

systemctl start iptables開啟

iptables -nvL可以查看默認規則

這是iptables 服務啟動自帶的一些規則

10.13 netfilter5表5鏈介紹

本機的：經過PREROUTING INPUT OUTPUT POSTROUTING鏈

不是本機的：經過PREGOUTING FORWARD POSTROUTING鏈

iptables傳輸數據包的過程

① 當一個數據包進入網卡時，它首先進入PREROUTING鏈，內核根據數據包目的IP判斷是否需要轉送出去。
② 如果數據包就是進入本機的，它就會沿著圖向下移動，到達INPUT鏈。數據包到了INPUT鏈後，任何進程都會收到它。本機上運行的程序可以發送數據包，這些數據包會經過OUTPUT鏈，然後到達POSTROUTING鏈輸出。
③ 如果數據包是要轉發出去的，且內核允許轉發，數據包就會如圖所示向右移動，經過FORWARD鏈，然後到達POSTROUTING鏈輸出。

規則表：

1.filter表——三個鏈：INPUT、FORWARD、OUTPUT
作用：過濾數據包 內核模塊：iptables_filter.
2.Nat表——三個鏈：PREROUTING、POSTROUTING、OUTPUT
作用：用於網絡地址轉換（IP、端口） 內核模塊：iptable_nat
3.Mangle表——五個鏈：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
作用：修改數據包的服務類型、TTL、並且可以配置路由實現QOS內核模塊：iptable_mangle(別看這個表這麽麻煩，咱們設置策略時幾乎都不會用到它)
4.Raw表——兩個鏈：OUTPUT、PREROUTING
作用：決定數據包是否被狀態跟蹤機制處理 內核模塊：iptable_raw
(這個是REHL4沒有的，不過不用怕，用的不多)

規則鏈：

1.INPUT——進來的數據包應用此規則鏈中的策略
2.OUTPUT——外出的數據包應用此規則鏈中的策略
3.FORWARD——轉發數據包時應用此規則鏈中的策略
4.PREROUTING——對數據包作路由選擇前應用此鏈中的規則
（記住！所有的數據包進來的時侯都先由這個鏈處理）
5.POSTROUTING——對數據包作路由選擇後應用此鏈中的規則
（所有的數據包出來的時侯都先由這個鏈處理）

10.14 iptables語法

命令不加-t 默認為filter表

規則保存地址 /etc/sysconfig/iptables

iptables -F 清空規則 （僅僅是當前內存生效重啟後會復原，因為配置文件不會改變，只有save後配置文件發生改變才會永久生效）

service iptables save 保存規則

-t省略意味著是filter表，-A增加規則（會把規則放到最後），針對input鏈子，指定來源ip -s，指定協議 -p，來源端口 1234，目標ip128，目標端口80，DROP數據包扔掉(類似拒絕）

-I插入規則，會把規則放到最前（一但出現同時匹配，優先前面的規則生效）

-D刪除規則（用增加和插入時一樣的命令刪除)

iptables -nvl --line-numbers 列出規則序號

iptables -D INPUT 編號（利用編號去刪除，這樣更加方便）

也可以針對網卡 比如-i etho

-P更改默認策略（一般不動）

2018-5-8