网络相关、firewall和netfilter、netfilter5表5链、iptables语法

本文涉及的产品
云防火墙,500元 1000GB
简介:

网络相关
ifconfig查看网卡ip(yum install net-tools)

ifup ens33/ifdown ens33
远程ifdown会无法连接,因为已经宕了,在主机端ifconfig也看不到ip地址,要在主机ifup重新连接
ifdown eno16777728 && ifup eno16777728 //一起执行
ifdown eno16777728;ifup eno16777728 //重启指定的网卡。什么时候用(使用场景单独针对一个网卡,如增加一个DNS,网关,只需要重启指定的网卡)

设定虚拟网卡ens33:1 (lvs keepalived)
[root@lsx-02 ~]# cd /etc/sysconfig/network-scripts/
[root@lsx-02 network-scripts]# ls
ifcfg-eno16777736 ifdown-ppp ifup-eth ifup-sit
[root@lsx-02 network-scripts]# cp ifcfg-eno16777736 ifcfg-eno16777736\:0 \脱义
[root@lsx-02 network-scripts]# ls
ifcfg-eno16777736 ifdown-post ifup-bnep ifup-routes
ifcfg-eno16777736:0 ifdown-ppp ifup-eth ifup-sit
[root@lsx-02 network-scripts]# vi !$

GATEWAY和DNS都可以不要
ifdown eno16777728 && ifup eno16777728
Ifconfig

mii-tool ens33 查看网卡是否连接
ethtool ens33 也可以查看网卡是否连接

更改主机名 
[root@lsx02 ~]# hostname lsx02
hostnamectl set-hostname aminglinux
[root@lsx02 ~]# cat /etc/hostname //配置文件

DNS配置文件/etc/resolv.conf 可以临时设置,但是网卡配置文件更改,会被覆盖

/etc/hosts文件
本地存放ip、域名
同样的域名、不同的ip以后面那个为主

[root@lsx-02 network-scripts]# mii-tool eno16777736 查看网卡是否连着网线
eno16777736: negotiated 1000baseT-FD flow-control, link ok

[root@lsx-02 network-scripts]# hostnamectl set-hostname lsx-001 更改主机名hostnamectl Centos7生效
[root@lsx-02 network-scripts]# hostname
lsx-001
[root@lsx-02 network-scripts]# bash
[root@lsx-001 network-scripts]#

[root@lsx-001 network-scripts]# cat /etc/hostname 主机名配置文件
lsx-001

firewalld(Os7)和netfilter
selinux临时关闭 setenforce 0
selinux永久关闭 vi /etc/selinux/config

centos7之前使用netfilter防火墙
centos7开始使用firewalld防火墙

关闭firewalld开启netfilter方法
systemctl stop firewalld
systemctl disable firewalled //不让开机启动
yum install -y iptables-services
systemctl enable iptables
systemctl start iptables

iptables -nvL //查看默认规则

 netfilter5表5链介绍
netfilter的5个表
Filter默认表用于过滤包,最常用的表,有INPUT、FORWARD、OUTPUT三个链
INPUT:数据包进入本机的一个链(比如访问我的80端口,我要检查一下它的源ip是什么。禁可疑ip)
FORWARD:虽然到了主机但是不到内核。因为是给其他机器处理的,所以要判断目标地址是不是本机,不是本机就需经过此链。经过此链也会做一些操作,比如把目标地址做一个更改或者转发。
OUTPUT:本机的包出去之前做的一些操作。比如到某个ip的。我已经把那ip禁掉,凡是到那ip的数据包都给它禁掉

nat表用于网络地址转换,有PREROUTING、OUTPUT、POSTROUTING三个链
Nat表使用场景路由器共享上网,有很多设备手机、电脑等都要去连路由器,都是由nat实现的。
还可以做端口映射。比如两台机器A、B,A是可以直接上网的,有个网卡a直接连互联网这个就是公网ip。B的b网卡也是公网ip,同时还要个c网卡,私网ip。C机器有一个D网卡私网。如果A要和C通信,必须借助B。B就要设置nat规则。比如要访问C的80端口,A借助B的公网做端口映射,B的8088端口映射到C的80端口
PREROUTING:在数据包进来的那一刻要更改的操作
POSTROUTING:数据包离开防火墙时,改变数据包源地址

managle表用于给数据包做标记,几乎用不到
raw表可以实现不追踪某些数据包,阿铭从来不用
security表在centos6中并没有,用于强制访问控制(MAC)的网络规则,

 iptables语法
查看iptables规则:iptables -nvL
iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination 
6 428 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- 0.0.0.0/0 
cat /etc/sysconfig/iptables //规则保存位置
iptables -F 清空规则(但是默认规则还在文件里,没有清空、服务重启规则又回来了。要想文件里保存的是清空之后的内容执行)
service iptables save 保存规则
iptables -t nat //-t指定表
iptables -Z 可以把计数器清零
iptables -Z;iptables -nvL

封ip使用-I封
使用-I和-A的顺序,防火墙的过滤根据规则顺序的。
-A 是添加规则到指定链的结尾,最后一条。
-I是添加规则到执行链的开头,第一条。

iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP //默认表 -A增加规则到指定链的结尾,最后一条 -s来源ip -p指定协议 --sport端口 -d目标ip -j操作
iptables -I INPUT -p tcp --dport 80 -jDROP //封目标端口为80
iptables -I/-A/-D INPUT -s 1.1.1.1 -j DROP
iptables -I INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT //-i指定网卡
iptables -nvL --line-numbers //列出规则序号
iptables -D INPUT 1 //-D 删除 INPUT 后面的数字是指定序号
iptables -P INPUT DROP //-P 指定链的默认规则



本文转自 虾米的春天 51CTO博客,原文链接:http://blog.51cto.com/lsxme/2045911,如需转载请自行联系原作者

相关文章
|
开发框架 网络协议 Ubuntu
【Linux】配置网络和firewall防火墙(超详细介绍+实战)
【Linux】配置网络和firewall防火墙(超详细介绍+实战)
3258 0
|
23天前
|
机器学习/深度学习 自然语言处理 算法
神经网络算法以及应用场景和基本语法
神经网络算法以及应用场景和基本语法
30 0
|
27天前
|
存储 搜索推荐 生物认证
信息搜集:网络空间搜索引擎语法及API的应用(一)
信息搜集:网络空间搜索引擎语法及API的应用(一)
34 0
|
27天前
|
JSON 搜索推荐 IDE
信息搜集:网络空间搜索引擎语法及API的应用(二)
信息搜集:网络空间搜索引擎语法及API的应用(二)
39 0
|
3月前
|
SQL 网络协议 安全
【Azure API 管理】APIM集成内网虚拟网络后,启用自定义路由管理外出流量经过防火墙(Firewall),遇见APIs加载不出来问题
【Azure API 管理】APIM集成内网虚拟网络后,启用自定义路由管理外出流量经过防火墙(Firewall),遇见APIs加载不出来问题
|
4月前
|
Linux
linux网络统计信息和端口占用情况基本语法
linux网络统计信息和端口占用情况基本语法
|
6月前
|
网络协议 网络安全
【网络安全 | HTTP】 gopher协议原理、语法及利用总结
【网络安全 | HTTP】 gopher协议原理、语法及利用总结
320 0
|
6月前
|
机器学习/深度学习 算法 搜索推荐
SPSS大学生网络购物行为研究:因子分析、主成分、聚类、交叉表和卡方检验
SPSS大学生网络购物行为研究:因子分析、主成分、聚类、交叉表和卡方检验
|
6月前
|
SQL 存储 分布式计算
Hive【基础 01】核心概念+体系架构+数据类型+内容格式+存储格式+内外部表(部分图片来源于网络)
【4月更文挑战第6天】Hive【基础 01】核心概念+体系架构+数据类型+内容格式+存储格式+内外部表(部分图片来源于网络)
120 1
|
6月前
|
Linux 网络安全 网络架构
百度搜索:蓝易云【强大的iptables:解锁Linux网络安全的神器】
总结: iptables是Linux系统中的强大防火墙工具,通过管理网络流量和实施安全策略来保护系统的网络安全。通过配置iptables规则,可以防止未经授权的访问、过滤恶意流量、实现端口转发和网络地址转换等功能。合理使用iptables,可以加强系统的网络安全性和灵活性。
56 0