网络相关、firewall和netfilter、netfilter5表5链、iptables语法

网络相关
ifconfig查看网卡ip（yum install net-tools）

ifup ens33/ifdown ens33
远程ifdown会无法连接，因为已经宕了，在主机端ifconfig也看不到ip地址，要在主机ifup重新连接
ifdown eno16777728 && ifup eno16777728 //一起执行
ifdown eno16777728;ifup eno16777728 //重启指定的网卡。什么时候用（使用场景单独针对一个网卡，如增加一个DNS，网关，只需要重启指定的网卡）

设定虚拟网卡ens33:1 (lvs keepalived)
[root@lsx-02 ~]# cd /etc/sysconfig/network-scripts/
[root@lsx-02 network-scripts]# ls
ifcfg-eno16777736 ifdown-ppp ifup-eth ifup-sit
[root@lsx-02 network-scripts]# cp ifcfg-eno16777736 ifcfg-eno16777736\:0 \脱义
[root@lsx-02 network-scripts]# ls
ifcfg-eno16777736 ifdown-post ifup-bnep ifup-routes
ifcfg-eno16777736:0 ifdown-ppp ifup-eth ifup-sit
[root@lsx-02 network-scripts]# vi !$

GATEWAY和DNS都可以不要
ifdown eno16777728 && ifup eno16777728
Ifconfig

mii-tool ens33 查看网卡是否连接
ethtool ens33 也可以查看网卡是否连接

更改主机名 
[root@lsx02 ~]# hostname lsx02
hostnamectl set-hostname aminglinux
[root@lsx02 ~]# cat /etc/hostname //配置文件

DNS配置文件/etc/resolv.conf 可以临时设置，但是网卡配置文件更改，会被覆盖

/etc/hosts文件
本地存放ip、域名
同样的域名、不同的ip以后面那个为主

[root@lsx-02 network-scripts]# mii-tool eno16777736 查看网卡是否连着网线
eno16777736: negotiated 1000baseT-FD flow-control, link ok

[root@lsx-02 network-scripts]# hostnamectl set-hostname lsx-001 更改主机名hostnamectl Centos7生效
[root@lsx-02 network-scripts]# hostname
lsx-001
[root@lsx-02 network-scripts]# bash
[root@lsx-001 network-scripts]#

[root@lsx-001 network-scripts]# cat /etc/hostname 主机名配置文件
lsx-001

firewalld(Os7)和netfilter
selinux临时关闭 setenforce 0
selinux永久关闭 vi /etc/selinux/config

centos7之前使用netfilter防火墙
centos7开始使用firewalld防火墙

关闭firewalld开启netfilter方法
systemctl stop firewalld
systemctl disable firewalled //不让开机启动
yum install -y iptables-services
systemctl enable iptables
systemctl start iptables

iptables -nvL //查看默认规则

 netfilter5表5链介绍
netfilter的5个表
Filter默认表用于过滤包，最常用的表，有INPUT、FORWARD、OUTPUT三个链
INPUT：数据包进入本机的一个链（比如访问我的80端口，我要检查一下它的源ip是什么。禁可疑ip）
FORWARD：虽然到了主机但是不到内核。因为是给其他机器处理的，所以要判断目标地址是不是本机，不是本机就需经过此链。经过此链也会做一些操作，比如把目标地址做一个更改或者转发。
OUTPUT：本机的包出去之前做的一些操作。比如到某个ip的。我已经把那ip禁掉，凡是到那ip的数据包都给它禁掉

nat表用于网络地址转换，有PREROUTING、OUTPUT、POSTROUTING三个链
Nat表使用场景路由器共享上网，有很多设备手机、电脑等都要去连路由器，都是由nat实现的。
还可以做端口映射。比如两台机器A、B，A是可以直接上网的，有个网卡a直接连互联网这个就是公网ip。B的b网卡也是公网ip，同时还要个c网卡，私网ip。C机器有一个D网卡私网。如果A要和C通信，必须借助B。B就要设置nat规则。比如要访问C的80端口，A借助B的公网做端口映射，B的8088端口映射到C的80端口
PREROUTING：在数据包进来的那一刻要更改的操作
POSTROUTING：数据包离开防火墙时，改变数据包源地址

managle表用于给数据包做标记，几乎用不到
raw表可以实现不追踪某些数据包，阿铭从来不用
security表在centos6中并没有，用于强制访问控制（MAC）的网络规则，

 iptables语法
查看iptables规则：iptables -nvL
iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination 
6 428 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- 0.0.0.0/0 
cat /etc/sysconfig/iptables //规则保存位置
iptables -F 清空规则（但是默认规则还在文件里，没有清空、服务重启规则又回来了。要想文件里保存的是清空之后的内容执行）
service iptables save 保存规则
iptables -t nat //-t指定表
iptables -Z 可以把计数器清零
iptables -Z;iptables -nvL

封ip使用-I封
使用-I和-A的顺序，防火墙的过滤根据规则顺序的。
-A 是添加规则到指定链的结尾，最后一条。
-I是添加规则到执行链的开头，第一条。

iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP //默认表 -A增加规则到指定链的结尾，最后一条 -s来源ip -p指定协议 --sport端口 -d目标ip -j操作
iptables -I INPUT -p tcp --dport 80 -jDROP //封目标端口为80
iptables -I/-A/-D INPUT -s 1.1.1.1 -j DROP
iptables -I INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT //-i指定网卡
iptables -nvL --line-numbers //列出规则序号
iptables -D INPUT 1 //-D 删除 INPUT 后面的数字是指定序号
iptables -P INPUT DROP //-P 指定链的默认规则

本文转自 虾米的春天 51CTO博客，原文链接：http://blog.51cto.com/lsxme/2045911，如需转载请自行联系原作者