ifconfig命令在CentOS6是自带有的，但是在CentOS7默认是没有的，需要安装net-tools这个包。

安装命令：yum install -y net-tools

  ifconfig命令比起ipadd命令显示的信息更加直观一些：

ifconfig命令加上-a选项可以在网卡断掉或者没有分配ip的时候能够显示出来：

ifdown命令会将网卡断掉：

将网卡断掉之后使用ifconfig命令就查看不到ip了，远程连接的终端也会断开。

ifup则可以将断掉的网卡up回来：

当针对一个网卡去进行更改的时候，需要重新启动网卡，但是不想全部网卡都重新启动，就需要使用到这些命令。

  如果正在使用远程终端的情况下，不要单独使用ifdown命令，因为网卡被断掉了，远程就无法连接了，要同时使用ifdown和ifup才行：

给网卡设定虚拟的网卡：

  1.使用命令：cd /etc/sysconfig/network-scripts/ 进入到network-scripts目录下，然后拷贝网卡配置文件：

2.编辑拷贝的网卡配置文件：

3.重启网卡，并使用ifconfig命令查看信息：

我们可以打开cmd来ping一下这个虚拟网卡的地址，看看是否能ping通：

能ping通就证明没问题。

mii-tool命令可以查看网卡是否在连接状态：

是link ok则表示是连接状态。

如果mii-tool命令不支持的话，还可以使用ethtool命令查看：

hostnamectl是CentOS7的命令，CentOS6不支持，这个命令可以更改主机名，主机名的配置文件在etc目录下的hostname中：

DNS配置文件在etc目录下的resolv.conf中：

  nameserver行的ip地址来自于网卡配置文件，可以在resolv.conf文件里临时更改DNS。

/etc/hosts文件是Linux、Windows都有的，用于指定域名访问的IP地址：

例如我修改hosts文件指定一个域名的ip：

ping这个域名时就会访问127.0.0.1 IP地址

一个IP可以指定多个域名：

如果有两个同样的域名指定了不同的IP，以第一个的那个IP为准：

10.12 firewalld和netfilter

临时关闭selinux：

永久关闭selinux：

编辑/etc/selinux/config文件，把SELINUX行改为disabled，然后重启操作系统：

使用getenforce命令可以看到selinux的状态，显示Disabled表示关闭了，临时关闭则是显示Permissive：

selinux一般情况下都是关闭的，因为开启的话会有很多服务受限于它，从而增大运维的成本，而且关闭了selinux也不会对安全有什么影响。

netfilter防火墙在CentOS6之前的版本是这个名字，在CentOS7则变成了firewalld，而且机制也变得不太一样，但是内部的工具：iptables的用法是一样的。iptables可以去添加一些规则，比如关闭或开放端口。

在CentOS7上也可以使用netfilter机制的防火墙：

  1.关闭firewalld：

2.安装iptables-services包：

安装完之后就会有一个iptables服务：

3.开启iptables服务：

4.使用iptables -nvL命令查看iptables服务自带的一些规则：

10.13 netfilter 5表5链介绍

使用man命令可以看到关于netfilter的5个表的解释：

比较常用的是filter和nat表，filter是最常用的表，用于过滤数据包，这个表里有INPUT、FORWARD、OUTPUT三个链。INPUT 是数据包进入到本机的时候需要经过的一个链，在数据包经过这个链的时候可以做些操作，例如我要检查这个数据包访问的端口和源IP是什么，发现可疑的IP就可以禁掉。

接收到的数据包会经过一个判断，判断是否是发送到本机的，如果不是发送到本机的就会经过FORWARD这个链，当数据包经过FORWARD链的时候，我们也可以做一些操作，例如更改数据包的目标地址或者进行转发。

OUTPUT是在本机产生的一些包，在出去之前要做的一些操作，例如有个数据包要发给某个IP，但是这个IP我要禁掉，所以数据包就不会发往这个IP。

nat表用于网络地址转换，有PREROUTING、OUTPUT、POSTROUTING三个链。OUTPUT和filter表的OUTPUT是一样的，PREROUTING用来数据包进来的那一刻进行更改，POSTROUTING则反之，用来数据包出去的那一刻进行更改。

  路由器的原理就是用nat表做的，nat还可以做端口映射：

传输数据包的过程：

10.14 iptables语法

iptables的默认规则在/etc/sysconfig/iptables文件里保存着：

清除规则使用iptables -F命令：

这样虽然清空了规则，但是默认规则还会保存在/etc/sysconfig/iptables文件里。

  想要当前的规则保存到/etc/sysconfig/iptables文件里就要使用service iptables save命令：

  如果没有保存到/etc/sysconfig/iptables文件里的话，重启服务后就会重新加载/etc/sysconfig/iptables文件里的规则：

目前我们做的这些操作都是针对的filter表，这是默认的表。

查看nat表的规则：

使用iptables -nvL命令显示的规则里，可以看到第一行是有数字的，加上-Z选项可以将计数器清零：

  清零是为了在某些需求下，可以计算某个时间段某个ip传送过来的数据包数量。

添加规则示例：

命令意义：

只写目标端口也可以，意思就是过滤掉给这个端口发送的数据包：

命令意义：

规则在前面和后面区别就是先匹配前面的规则，然后再匹配后面的规则。

使用-D选项删除规则：

更方便的删除规则，根据规则的行号来删除：

链里面没有匹配的规则，就会走默认的策略，-P选项就是用来更改默认策略的：

ACCEPT是接收，DROP是终止，如果使用DROP的话，远程终端就会断开，因为服务器拒绝通信了，所以默认策略一般不用更改。

本文转自 ZeroOne01 51CTO博客，原文链接：http://blog.51cto.com/zero01/1973416，如需转载请自行联系原作者