Linux学习总结(二十四)系统管理3

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Linux学习总结(二十四)系统管理3相关的知识,希望对你有一定的参考价值。

一 ifconfig 虚拟网卡 DNS

查看网卡ip ,子网掩码,mac地址等
ifconfig ens33 单独查看某一个网卡信息
当我们修改网络配置后,需要重启网络服务,这个时候我们可以运行如下命令
service network restart
centos 7 还可以syctemctl restart network
如果我们只需要重启某个网卡呢?
可以用 ifdown ens33 && ifup ens33
配置虚拟网卡
1.可以用ifonfig ens33:1 192.168.226.131 up
临时配置一个
2若要永久生效,必须通过编辑配置文件实现

cd /etc/sysconfig/network-scripts/
cp ifcfg-ens33 ifcfg-ens33:1
vim ens33:1

修改设备名,和ip就可以
重启网卡就会发现多出来一个ens33:1
mii-tool ens33可以查看某个网卡的连通情况,link ok 标示连接正常。
no link 标示网卡未正常连接,或者网卡故障。
hostname 查看主机名
hostname +名称 更改主机名
要想永久生效的话,编辑配置文件 /etc/sysconfig/network
加入以下内容

NETWORKING=yes
HOSTNAME=lvlinux

设置DNS
指定一个DNS服务器,需要编辑配置文件 /etc/resolv.conf,加入指定的DNS就可以,可以添加多个,默认使用第一行的DNS,解析失败后使用第二个。
格式为: nameserver +DNS 地址 (nameserver 为固定写法)
我们也可可以设置临时DNS
编辑 /etc/hosts ,添加格式为
ip + 域名1 域名2

二 selinux

红帽特有的安全机制,由于配置麻烦,限制太多,平时我们都不用它,把他关掉就可以
selinux 有三种状态 enforcing permissive disabled
getenforce 查看状态
enforcing 表示规则开启,限制某些应用 ,状态码为1
permissive 宽容模式, 放行限制,记录异常到日志,状态码为0
如果是 enforce 状态 执行setenforce 0 临时关闭
要想让selinux永久关闭,需要编辑配置文件
/etc/selinux/config,修改enforcing 为disabled,再重启系统。

三 iptables和netfilter

如果说selinux 太过苛刻和复杂,那么netfilter 和firewall 则比较实用,在
centos7中这两种防火墙机制都存在,我们先来学习netfilter,
netfilter 的原理我是通过下面文章学习的,我觉得写的很到位。
http://www.zsythink.net/archives/1199
接下来我直接提炼出 比较重要的几个知识点,倘若我们还比较陌生,那只能继续读上面的文章加深理解。
iptables 对于数据包的处理,按照功能上的各司其职,划分出raw ,filter,
nat,mangle,security5个表.
从数据包流向的路径上划分出5个链,prerouting ,forward,postrouting,
input,output
技术分享图片

先来看下表的功能:
filter : 包过滤,防火墙 ,有input, forwad,output三个链
nat : 网络地址转换,有prerouting , postrouting,output,inputs四个链
raw: 包追踪
mangle :包修改
重点关注前两个即可
根据上图我们总结下数据包的链流向:

流入本机:  prerouting  ---->intput---->localhost (内核)
流出本机:localhost(内核) ---->output ---->postrouting
转发:   prerouting ----->forwad ------>postrouting

表的优先级:
raw ---- magele----nat-----filter
匹配条件
source ipaddress 和destination ipaddess
source port 和destination port
处理动作
accept 接受
drop 丢弃
rejiect 拒绝
snat 源地址转换

iptables 具体用法:
centos7 默认使用的是firewalld 防火墙,之前的版本都是netfilter。
因此我们先要关闭firewalld ,打开netfilter

systemctl stop firewalld
systemctl disable firewalld
yum install -y iptables-services
systemctl enable iptables
systemctl start iptables

iptables -nvL 查看所有规则,默认是filter表
技术分享图片
iptables -t nat -nvL 可以查看nat表的规则
技术分享图片
service iptables save 保存当前规则
iptables -F 清空规则
iptables -Z 把计数器清零
计数器就是接受或者拒绝了多少个包,policy ACCEPT
-t 指定表
-A 增加到最后, -I插入到最前
-D 删除规则 保持跟设定规则时一致
根据编号删除规则,比较方便
查看编号
iptables -nvL --line-number
删除规则
iptables -D 链 编号
按照网卡添加
iptables -I INPUT -s 192.168.10.9/24 -i eth0 -j ACCEPT
各段含义为:

1说明要插入一条规则:iptables  -I
2.指定要操作的链 : INPUT 
3.指定源ip地址: -s 192.168.10.9/24
4.指定网卡: -i eth0
5.指定处理动作:-j ACCEPT

-P 更改默认规则
iptables -P OUTPUT DROP 数据包进不来,远程将断开
按照端口添加
iptables -A INPUT -s 192.168.10.9 -p tcp --sport 80 -d 192.168.11.9 --dport 80 -j REJECT
各段含义为:

1.说明要插入一条规则:iptables -A
2.指定要操作的链:INPUT
3.指定源ip地址:-s 192.168.10.9
4.指定使用的协议:-p tcp
5.指定源端口:--sport 80
6.指定目标ip地址:-d 192.168.11.9
7.指定目标端口:--dport 80
8.指定处理动作:-j REJECT

简单配置如下
ptables -I INPUT -p tcp --dport 80 -j DROP

以上是关于Linux学习总结(二十四)系统管理3的主要内容,如果未能解决你的问题,请参考以下文章

分布式技术追踪 2017年第二十四期

Linux命令(二十四) 磁盘管理命令 mkfs,mount

Linux 学习总结(二十五) 系统管理4

Linux 学习总结(二十二) 系统管理技巧

Linux 学习总结(二十三)系统管理技巧2

Linux学习总结(二十七)任务计划,系统服务管理