linux网络相关，firewalld和netfilter，netfilter5表5链介绍，itptables语法

linux网络相关：如果没有ifconfig命令那么需要安装一个包(yuminstallnet-tools)如果ifconfig命令查看不到网卡的话，那么可以使用ifconfig-a查看(网卡down掉时使用这个命令)down=网卡被关闭ifdown网卡名字关闭网卡ifup网卡名字开启网卡在远程终端上面使用了ifdown关闭了网卡，那么必须在本地机器上面使用ifup启用网卡才可以使用。关闭网卡后ip就会消失，需要在本地机器重启才可以继续使用。ifdown网卡名字&&ifup网卡名字=断开网卡后再重新连接上(自动重启网卡服务)设定一个虚拟网卡，先进入网卡配置目录然后拷贝一份网卡配置文件。配置文件地址/etc/sysconfig/network-scripts/加上托意的内容，更换一个ip，dns，和网关都可以不要。然后重启网卡，就可以查看到设置的虚拟网卡了。mii-tool网卡名字可以查看网线是否连接好linkok=网线正常。如果mii-tool命令不支持，那么可以使用entool网卡名字查看网线是否连接oklinkdetected:yes=网线正常。hostnamectlset-hostname名字(修改主机名)直接打一个bash可以更换新的主机名网卡配置文件里面可以直接更改dns可以更改域名解析(只支持本机)支持一个ip多个域名，用空格分开即可修改完以后马上生效。linux防火墙-netfilter：修改配置文件永久关闭防火墙：vi/etc/selinux/config使用getenforce查看到防火墙的状态为disabled说明防火墙被永久关闭了。netfilter是centos7以前版本的叫法，centos7后改名变更为firewalld。netfiler又叫iptables下面是在centos7上关闭firewalld防火墙，然后在开启netfilter防火墙。先关闭firewalld然后停止firewalld的服务，再安装一个iptables安装包，安装完以后会产生一个新的iptables服务，开始iptables防火墙即可。用iptables-nvl可以查看iptables自带的一些规则。netfilter5表5链介绍：1.netfilter的五个表filter这个表主要用于过滤包的，是系统预设的表，这个表也是阿铭用的最多的。内建三个链input、output以及forward。input作用于进入本机的包;output作用于本机送出的包;forward作用于那些跟本机无关的包。nat主要用处是网络地址转换，也有三个链。prerouting链的作用是在包刚刚到达防火墙时改变它的目的地址，如果需要的话。output链改变本地产生的包的目的地址。postrouting链在包就要离开防火墙之前改变其源地址。mangle这个表主要是用于给数据包打标记，然后根据标记去操作哪些包。raw表可以实现不追踪某些数据包，默认系统的数据包都会被追踪，但追踪势必消耗一定的资源，所以可以用raw表来指定某些端口的包不被追踪。security表在centos6中是没有的，它用于强制访问控制(mac)的网络规则。2.netfilter的五个链prerouting：数据包进入路由表之前input：通过路由表后目的地为本机forwarding：通过路由表后，目的地不为本机output：由本机产生，向外转发postrouting：发送到网卡接口之前3.iptables传输数据包的过程①当一个数据包进入网卡时，它首先进入prerouting链，内核根据数据包目的ip判断是否需要转送出去。②如果数据包就是进入本机的，它就会沿着图向下移动，到达input链。数据包到了input链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包会经过output链，然后到达postrouting链输出。③如果数据包是要转发出去的，且内核允许转发，数据包就会如图所示向右移动，经过forward链，然后到达postrouting链输出。iptables语法：规则配置文件路径：/etc/sysconfig/iptablesiptables-f可以清空规则如果清空规则以后，没有保存新的规则到/etc/sysconfig/iptables里面，那么重启iptables服务就会把原来的规则重新加载。

一般查看两个表：nat和filter当你写完新的规则以后需要使用serviceiptablessave保存规则iptables-z可以归0计数器iptables-ainput-s192.168.188.1-ptcp--sport1234-d192.168.188.128--dport80-jdropiptables(-i/-a/-d)input-s1.1.1.1-jdrop在首部插入规则，如果满足第一条规则那么就会直接执行，如果规则是在尾部那么添加的规则就是按照顺序执行下去直到找到需要的规则。drop=直接执行并且拒绝后面的命令。删除指定的规则：iptables-dinput1dorp=拒绝服务accept=允许服务-p后面跟链名，策略内容或为drop，accept，默认是accept。注意：如果在连接远程服务器，千万不要随便执行这个命令，因为一旦执行，远程连接就会被断开：iptables-poutputdropiptables-nvl--line-numbers把规则前面的编号显示出来，然后可以根据规则的编号进行删除。扩展(selinux了解即可)1.selinux教程http://os.51cto.com/art/201209/355490.htm2.selinuxpdf电子书http://pan.baidu.com/s/1jggdexk