linux网络相关，firewalld和netfilter，netfilter5表5链介绍，itptables语法

Linux网络相关：

若是没有 ifconfig 命令 那么须要安装一个包（yum install net-tools）

若是 ifconfig 命令查看不到网卡的话，那么可使用 ifconfig -a 查看（网卡down掉时使用这个命令）

down=网卡被关闭

 

ifdown 网卡名字 关闭网卡

ifup 网卡名字 开启网卡

在远程终端上面使用了 ifdown 关闭了网卡，那么必须在本地机器上面使用 ifup 启用网卡才可使用。 关闭网卡后ip就会消失，须要在本地机器重启才能够继续使用。

ifdown 网卡名字 && ifup 网卡名字 =断开网卡后再从新链接上（自动重启网卡服务）

 

 

设定一个虚拟网卡，先进入网卡配置目录而后拷贝一份网卡配置文件。

配置文件地址     /etc/sysconfig/network-scripts/

 

加上托意的内容，更换一个IP，DNS，和网关 均可以不要。

而后重启网卡，就能够查看到设置的虚拟网卡了。

 

 

mii-tool 网卡名字 能够查看网线是否链接好 link ok =网线正常。若是mii-tool 命令不支持，那么可使用 entool 网卡名字 查看网线是否链接OK Link detected:yes =网线正常。

 

 

hostnamectl set-hostname 名字(修改主机名) 直接打一个bash能够更换新的主机名

 

网卡配置文件里面能够直接更改DNS

 

能够更改域名解析（只支持本机）

支持一个IP多个域名，用空格分开便可

 

修改完之后立刻生效。

 

Linux防火墙-netfilter：

 

修改配置文件永久关闭防火墙：vi /etc/selinux/config

 

 

使用getenforce 查看到防火墙的状态为 disabled 说明防火墙被永久关闭了。

 

netfilter 是Centos7之前版本的叫法，Centos7后更名变动为firewalld 。 netfiler 又叫 iptables

下面是在Centos7上关闭 firewalld 防火墙，而后在开启netfilter 防火墙。

先关闭 firewalld 而后中止 firewalld 的服务，再安装一个 iptables 安装包，安装完之后会产生一个新的 iptables 服务，开始 iptables 防火墙便可。用 iptables -nvL 能够查看iptables自带的一些规则。

 

 

netfilter5表5链介绍：

 

1. netfilter的五个表 
filter 这个表主要用于过滤包的，是系统预设的表，这个表也是阿铭用的最多的。内建三个链INPUT、OUTPUT以及FORWARD。INPUT做用于进入本机的包；OUTPUT做用于本机送出的包；FORWARD做用于那些跟本机无关的包。 
nat主要用处是网络地址转换，也有三个链。PREROUTING 链的做用是在包刚刚到达防火墙时改变它的目的地址，若是须要的话。OUTPUT链改变本地产生的包的目的地址。POSTROUTING链在包就要离开防火墙以前改变其源地址。 
mangle 这个表主要是用于给数据包打标记，而后根据标记去操做哪些包。 
raw表能够实现不追踪某些数据包，默认系统的数据包都会被追踪，但追踪势必消耗必定的资源，因此能够用raw表来指定某些端口的包不被追踪。 
security表在Centos6中是没有的，它用于强制访问控制（MAC）的网络规则。

2. netfilter的五个链 
PREROUTING：数据包进入路由表以前 
INPUT：经过路由表后目的地为本机 
FORWARDING：经过路由表后，目的地不为本机 
OUTPUT：由本机产生，向外转发 
POSTROUTING：发送到网卡接口以前

3. iptables传输数据包的过程 
① 当一个数据包进入网卡时，它首先进入PREROUTING链，内核根据数据包目的IP判断是否须要转送出去。 
② 若是数据包就是进入本机的，它就会沿着图向下移动，到达INPUT链。数据包到了INPUT链后，任何进程都会收到它。本机上运行的程序能够发送数据包，这些数据包会通过OUTPUT链，而后到达POSTROUTING链输出。 
③ 若是数据包是要转发出去的，且内核容许转发，数据包就会如图所示向右移动，通过FORWARD链，而后到达POSTROUTING链输出。 

 

iptables语法：

 

规则配置文件路径：/etc/sysconfig/iptables

iptables -F 能够清空规则

若是清空规则之后，没有保存新的规则到 /etc/sysconfig/iptables 里面，那么重启 iptables 服务就会把原来的规则从新加载。

 

 

通常查看两个表：nat 和 filter

当你写完新的规则之后须要使用 service iptables save 保存规则

 

iptables -Z 能够归0计数器

iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP

 

iptables （-I/-A/-D） INPUT -s 1.1.1.1 -j DROP    在首部插入规则 ，若是知足第一条规则那么就会直接执行，若是规则是在尾部那么添加的规则就是按照顺序执行下去直到找到须要的规则。          DROP=直接执行而且拒绝后面的命令。

 

删除指定的规则： iptables -D INPUT 1       DORP=拒绝服务    ACCEPT=容许服务

-P后面跟链名，策略内容或为DROP，ACCEPT，默认是ACCEPT。注意：若是在链接远程服务器，千万不要随便执行这个命令，由于一旦执行，远程链接就会被断开： iptables -P OUTPUT DROP

 

iptables -nvL --line-numbers 把规则前面的编号显示出来，而后能够根据规则的编号进行删除。

 

扩展（selinux了解便可） 
1. selinux教程 http://os.51cto.com/art/201209/355490.htm  
2.selinux pdf电子书 http://pan.baidu.com/s/1jGGdExK