{{ v.name }}
{{ v.cls }}类
{{ v.price }} ¥{{ v.price }}
Linux防火墙-SELinux、netfilter、iptables、ifconfig
阅读:573
2019-03-19 15:02:41
来源:新网
10.11linux网络相关ifconfig命令查看网卡ip
如果系统没有该命令可以使用yum安装:
[root@1~]#yuminstall-ynet-tools
查看网卡ip还可以使用命令:ipadd,这个显示有点乱!
显示所有网卡信息(包括down掉的或者没有ip地址的网卡)
应用环境:更改单个指定网卡配置后需要重启才能生效,为了避免关闭或重启所有网卡可以对单个网卡执行该命令。注:如果网卡正在使用中,不要单独使用ifdown命令!!!解决办法:“#ifdownens33&&ifupens33”,使两个命令一起执行!
关闭虚拟机,按如下顺序操作:
点击下一步:在此可以指定网络适配器(网卡)类型,也可以在添加完成后进行选择:
点击“确定”即添加完成!
注:如果以上操作是在开机状态下执行,添加完成后需要重启网络服务!!!
查看新增网卡的配置信息:在此可以查看其所在网段。
配置新增网卡信息:开启虚拟机后进行
查看网络信息:
网卡配置文件位置(复制原有网卡,进行重命名):/etc/sysconfig/network-scripts/[root@localhost~]#cd/etc/sysconfig/network-scripts/创建新增网卡配置文件:[root@localhostnetwork-scripts]#cpifcfg-ens33ifcfg-ens37[root@localhostnetwork-scripts]#vimifcfg-ens37#更改该配置文件下的网卡名为ens37#删除uuid配置完成后重启网络服务:[root@localhostnetwork-scripts]#systemctlrestartnetwork至此,添加完成,之后变可以通过编辑该文件来配置该网卡!!!
注:因本次添加的网卡的网络连接类型是host-only模式,所以其ip和ens33不在同一网段。
1、切换至网卡配置文件[root@1~]#cd/etc/sysconfig/network-scripts/2、复制系统网卡[root@1network-scripts]#cpifcfg-ens33ifcfg-ens33:03、编辑复制的配置文件[root@1network-scripts]#viifcfg-ens33:0type=ethernetbootproto=staticdefroute=yespeerdns=yespeerroutes=yesipv4_failure_fatal=noipv6init=yesipv6_autoconf=yesipv6_defroute=yesipv6_peerdns=yesipv6_peerroutes=yesipv6_failure_fatal=noipv6_addr_gen_mode=stable-privacyname=ens33:0device=ens33:0onboot=yesipaddr=192.168.8.138netmask=255.255.255.0gateway=192.168.8.2dns1=119.29.29.29说明:更改name、device、ipaddr,系统已经设定网关可dns,所以在此可以删除gateway和dns,也可以保留,但是,如果要保留该选项则必须保持其与系统网卡配置一致!4、重启系统网卡[root@1network-scripts]#ifdownens33&&ifupens33成功断开设备'ens33'。成功激活的连接(d-bus激活路径:/org/freedesktop/networkmanager/activeconnection/3)5、查看网卡信息[root@1network-scripts]#ifconfigens33:flags=4163
[root@1~]#mii-toolens33ens33:negotiated1000baset-fdflow-control,linkok
查看:linkok说明网卡连接ok!
[root@1~]#ethtoolens33settingsforens33:supportedports:[tp]supportedlinkmodes:10baset/half10baset/full……currentmessagelevel:0x00000007(7)drvprobelinklinkdetected:yes
查看:linkdetected:yes说明网卡连接ok!
更改:[root@1~]#hostnamectlset-hostname3查看主机名:[root@3~]#hostname3注:更改后的主机名要在系统重启之后才会显示!主机名的配置文件:[root@3~]#cat/etc/hostname3dns配置dns配置文件:/etc/resolv.conf
[root@1~]#cat/etc/resolv.conf#generatedbynetworkmanagernameserver119.29.29.29
注:更改网卡配置即可更改dns配置文件,更改后需要重启网卡(ifdown/ifup)后生效,也可编辑‘/etc/resolv.conf’临时更改dns配置,该办法在重启网卡后会被网卡配置文件中的dns覆盖!
[root@1~]#cat/etc/hosts127.0.0.1localhostlocalhost.localdomainlocalhost4localhost4.localdomain4::1localhostlocalhost.localdomainlocalhost6localhost6.localdomain6
说明:使用vi命令可在该配置文件下可以自定义ip所对应的域名(一个ip对应多个域名或一个域名对应多个ip,用空格隔开,当一个域名对应多个ip时,以配置文件中靠后面的配置为准),但是该域名配置只在本机生效!
[root@1~]#setenforce0永久关闭selinux防火墙:
编辑配置文件‘/etc/selinux/config’
[root@1~]#vim/etc/selinux/config……#disabled-noselinuxpolicyisloaded.selinux=disabled#selinuxtype=cantakeoneofthreetwovalues:……#mls-multilevelsecurityprotection.selinuxtype=targeted
将selinux=enforcing改为disabled保存,重启系统即可!
[root@1~]#getenforcedisablednetfilter(firewalld)
centos7中默认将原来(centos5/6)的防火墙netfileter升级为了firewalld。iptables是它们实现防火墙功能的工具。
为了方便学习,暂时停用firewalld,开启centos6/5的防火墙机制netfilter。
1、关闭firewalld(禁止开机启动)[root@1~]#systemctldisablefirewalldremovedsymlink/etc/systemd/system/dbus-org.fedoraproject.firewalld1.service.removedsymlink/etc/systemd/system/basic.target.wants/firewalld.service.2、停止firewalld服务[root@1~]#systemctlstopfirewalld开启netfilter
开启前先安装iptables工具包:[root@1~]#yuminstall-yiptables-services开启iptables服务:[root@1~]#systemctlenableiptablescreatedsymlinkfrom/etc/systemd/system/basic.target.wants/iptables.serviceto/usr/lib/systemd/system/iptables.service.[root@1~]#systemctlstartiptables
说明:安装完成后默认开启iptables服务。
[root@1~]#iptables-nvlchaininput(policyaccept0packets,0bytes)pktsbytestargetprotoptinoutsourcedestination7536acceptall--**0.0.0.0/00.0.0.0/0staterelated,established00accepticmp--**0.0.0.0/00.0.0.0/000acceptall--lo*0.0.0.0/00.0.0.0/000accepttcp--**0.0.0.0/00.0.0.0/0statenewtcpdpt:2200rejectall--**0.0.0.0/00.0.0.0/0reject-withicmp-host-prohibitedchainforward(policyaccept0packets,0bytes)pktsbytestargetprotoptinoutsourcedestination00rejectall--**0.0.0.0/00.0.0.0/0reject-withicmp-host-prohibitedchainoutput(policyaccept5packets,684bytes)pktsbytestargetprotoptinoutsourcedestination10.13netfilter5表及链的介绍表名filter:包过滤,用于防火墙规则。nat:地址转换,用于网关路由器。mangle:用于给数据包打标记,然后根据标记去操作那些表。(不常用)还有两个不常用的表:raw和security,在此不多讲述。规则链名
filter的三种链:
nat的三种链:
环境:假设有三台机器(a,b,c),a机器上有一块网卡连接公网ip1;b机器上有两块网卡b1、b2,b1、b2分别连接公网和私网ip2,、ip3;c机器上有一块网卡连接私网ip4。很明显此时a&b,b&c之间都分别能互通,但是a和c之间是不能直接连通的,只能借助b做媒介才能连通。那么如何设置才能使得a和c之间互通呢?
方法:
先打开路由转发功能:[root@1~]#echo"1">/proc/sys/net/ipv4_forward然后对nat表做ip转发配置:[root@1~]#iptables-tnat-apostrouting-sip2(此处ip在同一个网段即可)-oensa(a机器的网卡名称)-jmasquerade
说明:-o选项后面跟设备名称,表示出口网卡,masquerade是伪装、冒充的意思。
iptables命令是linux上常用的防火墙软件,是netfilter项目的一部分。可以直接配置,也可以通过许多前端和图形界面配置。
语法:iptables[options][参数]options:-n:不针对ip反解析主机名-v:显示更详细的信息-t:指定表(iptables命令默认作用于filter表)-l:显示信息-f:清空所有规则-a/d:=add/delete,添加/删除一条规则-i:插入一条规则-p:指定协议,可以是tcp,udp或icmp--sport:跟-p一起使用,指定源端口--dport:跟-p一起使用,指定目标端口-s:指定源ip(可以是一个ip段)-d:指定目的ip(可以是一个ip段)-j:后面跟动作(accept表示允许包;drop表示丢掉包;reject表示拒绝包)-i:指定网卡-z:把包以及流量计数器清零-p:=pre,预设策略
iptables-t表名<-a/i/d/r>规则链名[规则号]<-i/o网卡名>-p协议名<-s源ip/源子网>--sport源端口<-d目标ip/目标子网>--dport目标端口-j动作查看规则
[root@1~]#iptables-nvl
iptables规则配置文件:/etc/sysconfig/iptables
[root@1~]#iptables-f
注:该命令不会清除配置文件内的规则!当更改规则后需要执行命令‘serviceiptablessave’将其保存到配置文件。
[root@1~]#iptables-ainput-s192.168.188.1-ptcp--sport1234-d192.168.188.128--dport80-jdrop
说明:增加一条规则,当ip~192.168.188.1、协议为tcp、端口为‘1234’的向ip~192.168.188.128、端口为80的机器发送包时执行操作:drop(丢掉包)。注:该命令也可以把-a换成-i,两者的区别类似于排队和插队,两种方法插入的规则优先级不同。
[root@1~]#iptables-dinput-s192.168.188.1-ptcp--sport1234-d192.168.188.128--dport80-jdrop
注:要删除一条规则时,必须和插入的规则一致,也就是说,两条iptables命令除了-a/i和-d不一样外,其他地方都一样。
方法2:忘记规则内容首先所以用以下命令查看规则序号:
[root@1~]#iptables-nvl--line-number
然后再执行删除命令:
[root@1~]#iptables-dinput[序号]更改预设策略(-p)
执行命令:
#iptables-poutputdrop
结果:
{{ v.title }}