一、Linux網路相關的一些命令 1. 檢視網絡卡的命令 ifconfig -a                     ip addr                                這兩個命令都可以檢視網絡卡，當網絡卡down掉的時候是看不到的，使用 -a可以檢視到 ifdown   ifup +網絡卡名        可以關閉和開啟網絡卡 hostnamectl set-hostname lx003       更改主機名為lx003 /etc/hostname                             hostname 的配置檔案存放地址 /etc/resolv.conf                           檢視DNS的配置檔案 2. 單獨針對網絡卡進行操作，最好是兩條命令一起用，避免出錯 [[email protected] ~]# ifdown ens33 && ifup ens33 成功斷開裝置 'ens33'。 連線已成功啟用（D-Bus 活動路徑：/org/freedesktop/NetworkManager/ActiveConnection/24） 3.設定虛擬網絡卡 1.[[email protected] ~]# cd /etc/sysconfig/network-scripts/                   #進入網絡卡配置的目錄 2.[[email protected]

network-scripts]# cp ifcfg-ens33 ifcfg-ens33\:1     # 複製一份網絡卡的配置檔案，更名為ens33：1    反斜槓表示脫義 3.[[email protected] network-scripts]# vi ifcfg-ens33:1                             #編輯配置檔案    NAME=ens33:1              DEVICE=ens33:1    可以刪除閘道器和DNS    重新設定ip在一個網段 4.[[email protected] network-scripts]# ifdown ens33:1 && ifup ens33:1   #重啟網絡卡配置生效 4. mii-tool      ethtool      這兩個命令都可以檢視網絡卡是否連線成功， mii-tool 不能使用的時候可以用  ethtool [[email protected] network-scripts]# mii-tool ens33 SIOCGMIIPHY on 'ens33' failed: Operation not supported     #提示不支援 [[email protected] network-scripts]# ethtool ens33                   #使用ethtool命令 Settings for ens33:     Current message level: 0x00000007 (7)                    drv probe link     Link detected: yes                                         #Link detected為yes表示連線成功，no為位連線 5.編輯 /etc/hosts 檔案，新增IP和域名，實現域名跳轉 1. [[email protected] network-scripts]# ping www.qq.com                                           #ping www.qq.com   可以正常ping     PING www.qq.com (14.17.42.40) 56(84) bytes of data.     64 bytes from 14.17.42.40 (14.17.42.40): icmp_seq=1 ttl=128 time=11.0 ms     --- www.qq.com ping statistics ---     3 packets transmitted, 3 received, 0% packet loss, time 11028ms     rtt min/avg/max/mdev = 7.342/42.114/107.962/46.586 ms 2. [[email protected] network-scripts]# vim /etc/hosts            #編輯配置檔案，將域名跳轉到192.168.177.66     在配置檔案裡新增以下行：     192.168.177.66 www.qq.com 3.[[email protected] network-scripts]# ping www.qq.com    PING www.qq.com (192.168.177.66) 56(84) bytes of data.    64 bytes from www.qq.com (192.168.177.66): icmp_seq=1 ttl=64 time=0.049 ms          #可以看到ping www.qq.com 時跳轉到192.168.177.66    --- www.qq.com ping statistics ---   3 packets transmitted, 3 received, 0% packet loss, time 2002ms   rtt min/avg/max/mdev = 0.049/0.094/0.179/0.060 ms 二、firewalld和netfilter 1.永久關閉selinux防火牆 [[email protected] ~]# vi /etc/selinux/config    #編輯配置檔案 將SELINUX=enforcing更改為 disabled 2. getenforce 和 setenforce 0 1. [[email protected] ~]# getenforce #使用getenforce可以檢視selinux的狀態，Enforcing 是開啟的意思     Enforcing 2. [[email protected] ~]# setenforce 0     #使用setenforce 0  臨時關閉selinux， 3. [[email protected] ~]# getenforce     Permissive                  # 臨時關閉selinux後，狀態變更為Permissive，要到阻斷的時候，不會去阻攔，會警告和記錄 3. netfilter和firewalld都是linux的防火牆，在centos7之前使用的是netfilter，之後使用的是firewalld。     今天學習的是netfilter，所以要先關閉firewalld，再開啟netfilter。 1.[[email protected] ~]# systemctl disable firewalld                    ##暫停 firewalld服務    Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service.    Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service. 2.[[email protected] ~]# systemctl stop firewalld                         ##停止程序 3.[[email protected] ~]# yum install -y iptables-services             ##安裝iptables-services   4.[[email protected] ~]# systemctl enable iptables                      ##啟動服務    Created symlink from /etc/systemd/system/basic.target.wants/iptables.service to /usr/lib/systemd/system/iptables.service. 5.[[email protected] ~]# systemctl start iptables                         ##啟動程序 4. iptables -nvl 檢視iptables的規則 [[email protected] ~]# iptables -nvL Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes   target     prot   opt  in     out     source            destination             60  3952 ACCEPT     all       --   *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED     0     0      ACCEPT     icmp  --   *      *       0.0.0.0/0            0.0.0.0/0                0     0      ACCEPT     all       --   lo     *       0.0.0.0/0            0.0.0.0/0                0     0      ACCEPT     tcp     --    *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22     0     0       REJECT     all       --    *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target     prot     opt  in     out     source               destination              0     0      REJECT     all        --    *      *       0.0.0.0/0              0.0.0.0/0            reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT 38 packets, 5864 bytes) pkts bytes target     prot opt in     out     source               destination 三、netfilter5表5鏈介紹 1.netfilter的5個表 filter       ： INPUT                 FORWARD           OUTPUT nat         ： PREROUTING      POSTROUTING    OUTPUT    mangle  ： PREROUTING      INPUT                  OUTPUT    POSTROUTING raw        ： PREROUTING      OUTPUT security  :   SECMARK and CONNSECMARK      INPUT      OUTPUT        FORWARD iptables的基礎知識（表->鏈->規則）  1、規則（rules）  它其實就是網路管理員預定義的條件，規則一般的定義為“如果資料包頭符合這樣的條件，就這樣處理這個資料包”。規則儲存在核心空間的資訊包過濾表中，這些規 則分別指定了源地址、目的地址、傳輸協議（如TCP、UDP、ICMP）和服務型別（如HTTP、FTP和SMTP）等。當資料包與規則匹配 時，iptables就根據規則所定義的方法來處理這些資料包，如放行（accept）、拒絕（reject）和丟棄（drop）等。配置防火牆的主要工 作就是新增、修改和刪除這些規則  2、鏈（chains）  它是資料包傳播的路徑，每一條鏈其實就是眾多規則中的一個檢查清單，每一條鏈中可以有一條或數條規則。當一個數據包到達一個鏈時，iptables就會從鏈中第一條規則開始檢查（即：檢查的順序：從上到下），看該資料包是否滿足規則所定義的條件。如果滿足，系統就會根據該條規則所定義的方法處理該資料包；否則iptables將繼續檢查 下一條規則，如果該資料包不符合鏈中任一條規則，iptables就會根據該鏈預先定義的預設策略來處理資料包  3、表（tables）  它提供特定的功能，iptables內建了5個表，即filter表、nat表、mangle表、raw表、security表，分別用於實現包過濾，網路地址轉換、包重構(修改)，資料跟蹤處理、強制訪問控制(MAC)的網路規則  鏈的作用：input（進入）、output（出去）、forward（轉發），而prerouting與postrouting用於網路地址轉換（NAT） 
四、iptables語法 1. iptables的一些選項： /etc/sysconfig/iptables                #iptables的配置檔案儲存在這裡 iptables -F                                     #清空iptables的規則，但是不會更改配置檔案 service iptables save                     #如果要使規則儲存到配置檔案，那麼執行這個命令 service iptables restart                 #如果不想儲存到配置檔案，那麼重啟服務即可，規則會重新載入 iptables -t                                      #指定表，如果指定表，那麼預設更改的為filter表 -t<表>：指定要操縱的表； -A：向規則鏈中新增條目； -D：從規則鏈中刪除條目； -I：向規則鏈中插入條目； -R：替換規則鏈中的條目； -L：顯示規則鏈中已有的條目； -F：清楚規則鏈中已有的條目； -Z：清空規則鏈中的資料包計算器和位元組計數器； -N：建立新的使用者自定義規則鏈； -P：定義規則鏈中的預設目標； -h：顯示幫助資訊； -p：指定要匹配的資料包協議型別； -s：指定要匹配的資料包源ip地址； -j<目標>：指定要跳轉的目標； -i<網路介面>：指定資料包進入本機的網路介面； -o<網路介面>：指定資料包要離開本機所使用的網路介面 2. iptables的一些示例    1. 增加一條規則 iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP -A 為增加，指定鏈為 INPUT鏈，-s 指定來源IP    -p 指定協議tcp ，--sport 指定埠 ，-d 指定目標IP，--dport 指定目標埠，-j 指定動作，DROP為扔掉  REJECT拒絕    2.插入一條規則 [[email protected] ~]# iptables -I INPUT -p tcp --dport 80 -j DROP 這種用法也可以，當使用dport時，一定要使用-p指定協議，-I和-A的區別時i為insetr插入的意思，A為ADD增加的意思，使用i的時候規則會在最上面    3.刪除一條規則 iptables -D INPUT -p tcp --dport 80 -j DROP 使用-D即可刪除    4. 使用編號刪除規則 當我們檢視規則的時候可以加上    --line-number   ，這樣可以顯示規則的編號，紅色加粗的部分就編號 [[email protected] ~]# iptables -nvL --line-number Chain INPUT (policy ACCEPT 289 packets, 21662 bytes) num   pkts bytes target     prot opt in     out     source               destination          1      0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 2        0     0 DROP       tcp  --  *      *       192.168.188.1        192.168.188.128      tcp spt:1234 dpt:80 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num   pkts bytes target     prot opt in     out     source               destination          Chain OUTPUT (policy ACCEPT 215 packets, 19040 bytes) num   pkts bytes target     prot opt in     out     source               destination 那我們刪除規則的時候就可以使用ID號 [[email protected] ~]# iptables -D INPUT 1             #  指定INPUT鏈，刪除ID號為1的規則 3. 當我們不設定規則的時候，那麼就會走預設的策略，預設的策略一般為ACCEPT， Chain INPUT (policy ACCEPT 45 packets, 3120 bytes) pkts bytes target     prot opt in     out     source               destination              0     0 DROP       tcp  --  *      *       192.168.188.1        192.168.188.128      tcp spt:1234 dpt:80 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target     prot opt in     out     source               destination          Chain OUTPUT (policy ACCEPT 30 packets, 2464 bytes) pkts bytes target     prot opt in     out     source               destination 那我們是可以更改預設規則的 [[email protected] ~]# iptables -P OUTPUT DROP          更改OUTPUT鏈的預設規則為DROP，但是最好不要更改，因為OUTPUT全部DROP後就不能聯網了