学习笔记第三十节课

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了学习笔记第三十节课相关的知识,希望对你有一定的参考价值。

linux网络相关

  • 技术分享图片
  • ifconfig 查看网卡ip第一章就用过,在sentos6 默认就有 在7 只能使用 ip addr去查看 之所以没有 是没安装包。
  • ifconfig 有一个选项是 -a 如果终端没有ip的时候 是不显示的。
  • 技术分享图片
  • ifdown 是关闭网卡, ifup 是开启网卡。有时候单独针对一个网卡去更改,改了配置文件要重启服务,不想重启所有网卡 就可以用ifdown。
  • 技术分享图片
  • 技术分享图片
  • 也可以两个命令一起执行。 ifdown +网卡名 && ifup +网卡名 这样就不会出现断掉的过程了。
  • 技术分享图片
  • 还可以给网卡设定虚拟的网卡。先进入网卡的配置文件里。然后cp一份 加个0 反斜杠是脱译冒号的,然后vim cp的文件,修改里面的内容。
  • 技术分享图片
  • 技术分享图片
  • 然后再重启网卡 查看就发现多了个网卡。
  • 技术分享图片
  • 查看网卡是否链接了, 在系统里面用 mii-tool+网卡名。 查看是否link ok 如果这个命令不支持。可以用ethtool +网卡名查看。看最后的一行显示是否是yes
  • 技术分享图片
  • 更改主机名 是hostnamectl set-hostname 更改完后要重启终端才显示,也可以用hostname去查看 或者进入一个子终端就可以显示。
  • 技术分享图片
  • 主机名的配置文件在技术分享图片
  • DNS的配置文件在 etc/resolv.conf 这个是在网卡配置文件里面定义的。 我们也可以临时更改,但是重启终端后,会被之前的配置文件覆盖。
  • 技术分享图片
  • /etc/hosts 这个是linux windows都有的, 去访问自定义的域名时就用到了在windows更改的。
  • 比如 ping www.qq123.com ,这个是公网ip 我们可以指定不访问那个ip 转到别的上面去。
  • 技术分享图片
  • 技术分享图片
  • 可以看到,ip地址换了。 也支持一个ip 配多个域名。
  • 技术分享图片
  • 如果一个域名多个ip 只会生效下面的ip
  • 技术分享图片
  • 技术分享图片

firewalld和netfilter

  • 之前介绍过seliunx 配置密钥的时候要临时关闭,不然无法登录。
  • selinux临时关闭 是 setenforce 0 永久关闭需要配置 vi/etc、selinux/config 把enforcin改为 disabled 就可以永久关闭。(要注意,不能改错,不然启动不了linux, )
  • 技术分享图片
  • 也可以用 getenforce 去查看,状态 。 enforcing是打开, permissive 虽然也开启 但仅仅是遇到需要发生阻断时,不需要真正的阻断,是有个提醒。
  • 技术分享图片
  • 另一个防火墙 是netfilter 在以前 在6和5 用的 。 7用的是firewalld 这两个防火墙 不一样,但是用的工具是一样的。iptables
  • 平时linux 都是关闭,因为开启 增大运维管理成本,好多服务受限于selinux 关闭也不会有太大安全问题。
  • 在7上 默认是开启的firewalld netfilter 是关闭的。
  • 我们先把它停掉。不让他开机启动,然后关闭它
  • 技术分享图片
  • 然后。iptables产生了一个服务,然后开启, 用iptables -nvL 会有写自带的规则。
  • 技术分享图片
  • 技术分享图片

nefilter5表5链介绍。

技术分享图片

  • 开启了之后有五个表。
  • 我们可以man一下 ,6最开始是4个表。 ,
  • 技术分享图片
  • filter就是一个默认的表,下面有三个链,INPUT FORWARD OUTPUT 第一个链就是数据包进来时经过的一个链,查询ip 发现可以ip禁止掉。
  • 第二个链就是判定目标地址是否是不是本机,不是的话会经过这个链。
  • 第三个是在本机产生的一些包,出去之前做的一个操作,比如禁掉某个ip 不发给他。
  • nat 就是共享上网,也有三个链,是PREROUTING OUTPUT POSTROUTING
  • 第一个是更改数据包,即进来的那一个更改。
  • 第三个也是更改,是出去的那一刻。
  • mangle raw 几乎用不到。
  • 如果是本机的 会经过PREROUTING, INPUT, LOCALHOST, OUTPUT ,POSTROUTING
  • 如果不是本机的 就是PREROUTING ,FORWARD,POSTROUTING
  • 技术分享图片
  • 技术分享图片
  • 详细讲解可以查看 https://www.cnblogs.com/metoy/p/4320813.html

iptables语法

  • 技术分享图片
  • 查看规则的命令是 iptables -nvL
  • 技术分享图片
  • 这个是存在 etc sysconfig iptables 里面。
  • 技术分享图片
  • 也可以把规则清空 就是 -F 但是配置文件里还是有的。
  • 技术分享图片
  • 保存现在的规则是 serbice iptables save 但是现在的规则是空的。
  • 再重启下服务,就回到原来的规则了,因为配置文件没有被更改。
  • 技术分享图片
  • 如果我们不加 -t 默认针对的就是 filter表。加了 就可以指定表。
  • 技术分享图片
  • -Z 是清除计数器。可以看到这是有数字的,有多少个包,数据量 单位是字节。
  • 技术分享图片
  • 技术分享图片
  • -A就是增加一个规则。-s 增加一个来源 ip -p指定协议是啥, 来源端口1234 -d 目标的ip 目标的端口,最后-j DROP 丢掉。 还有个REJECT 是拒绝。DROP 是过滤都不过滤就踢掉, REJECT 是查看一下,不合适就丢掉。
    ptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP

  • 技术分享图片
  • 也可以 -I 是插入的意思,就是插队的意思,A是增加。 不写来源ip 不写目标ip 只写端口。
  • 技术分享图片
  • 规则在前 先匹配前面的,如果两条规则一样 也是先匹配第一条。

  • 可以增加 也可以删除。就是-D
  • 技术分享图片
  • 如果写入的规则太繁琐,而且时间久了忘记了,也可以去删除它 、
  • 首先是 排出序列号。 加 -- line-number
  • 然后 针对序列号去删除。
  • 技术分享图片
  • 还有一个-P 是默认的规则 。如果针对数据包没有规则,他会有一个默认的策略 就是ACCEPT 这个是可以改为DORP。iptables -P OUTPUT DROP
  • 但是不能去操作,因为输入这个命令 就被禁掉了。数据包和22端口通讯,返回回来的时候被禁掉了,就没办法接收 就会断掉了。

以上是关于学习笔记第三十节课的主要内容,如果未能解决你的问题,请参考以下文章

学习笔记第三十五节课

学习笔记第三十一节课

学习笔记第三十三节课

学习笔记第三十四节课

学习笔记第十节课

学习笔记第二十节课