linux网络相关，以及防火墙

• ifconfig查看网卡ip（yum install net-tools）

ifconfig -a 查看全部网卡信息

ifconfig eth0 up 启用网卡eth0

• ip addr

•ip route

• ifup ens33/ifdown ens33

ifdown eth0 && ifdown eth0

ifdown eth0 ; ifup eth0

• 设定虚拟网卡ens33:1

cd /etc/sysconfig/network-scripts

cp ifcfg-eth0 ifcfg-eth0\:1

vim ifcfg-eth0:1

修改name和device为eth0:1，修改ip地址

ifdown eth0 && ifup eth0

ifconfig 查看是否已出现eth0:1

• mii-tool ens33 查看网卡是否链接

提示not supported时能够用ethtool命令

• ethtool ens33 也能够查看网卡是否链接

link detected：yes表示已链接网线

• 更改主机名 hostnamectl set-hostname aminglinux

要退出从新登陆才能够看到修改为功，或者用hostname命令查看

vim /etc/hostname 也能够修改主机名

• DNS配置文件/etc/resolv.conf

cat /etc/resolv.conf 查看dns

在网卡配置文件中定义的

在这里面修改的dns重启后，会被网卡配置文件中的dns覆盖

• /etc/hosts文件

绑定hosts解析

左边ip 右边域名，一行里面能够后面跟多个域名。

• selinux临时关闭 setenforce 0

• selinux永久关闭 vi /etc/selinux/config

getenforce 查看selinux是否关闭

• centos7以前使用netfilter防火墙

• centos7开始使用firewalld防火墙

• 关闭firewalld开启netfilter方法

systemctl stop firewalld

systemctl disable firewalled

yum install -y iptables-services

systemctl enable iptables

systemctl start iptables

iptables -nvL 查看iptables表

Linux防火墙-netfilter

iptables简介：netfilter/iptables（简称为iptables）组成Linux平台下的包过滤防火墙，与大多数的Linux软件同样，这个包过滤防火墙是免费的，它能够代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换（NAT）等功能。

iptables基础：规则（rules）其实就是网络管理员预约义的条件，规则通常的定义为“若是数据包头符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。当数据包与规 则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如放行（accept）、拒绝（reject）和丢弃（drop）等。配置防火墙的 主要工做就是添加、修改和删除这些规则。

iptables和netfilter的关系：这是第一个要说的地方，Iptables和netfilter的关系是一个很容易让人搞不清的问题。不少的知道iptables殊不知道 netfilter。其实iptables只是Linux防火墙的管理工具而已，位于/sbin/iptables。真正实现防火墙功能的是 netfilter，它是Linux内核中实现包过滤的内部结构。

CentOS 7中netfilter的5表：

filter: 这是默认的表（若是没有-t选项），用于过滤包，包含如下3链：

INPUT

FORWARD

OUTPUT

nat: 用于网络地址转换，有如下三个链：

PREROUTING

OUTPUT

POSTROUTING

mangle: 用于给数据包作标记，有如下5链：

PREROUTING

OUTPUT

INPUT

FORWARD

POSTROUTING

raw: 能够实现不追踪某些数据包，有如下2链：

PREROUTING

OUTPUT

security: 用于强制访问控制（MAC）的网络规则，在centos6中并无此表。有如下5链：

SECMARK

CONNSECMARK

INPUT

OUTPUT

FORWARD

1.INPUT——进来的数据包应用此规则链中的策略

2.OUTPUT——外出的数据包应用此规则链中的策略

3.FORWARD——转发数据包时应用此规则链中的策略

4.PREROUTING——对数据包做路由选择前应用此链中的规则

（记住！全部的数据包进来的时侯都先由这个链处理）

5.POSTROUTING——对数据包做路由选择后应用此链中的规则

（全部的数据包出来的时侯都先由这个链处理）

数据包流向与netfilter的5个链：

PREROUTING：数据包进入路由表以前

INPUT：经过路由表后目的地为本机

FORWARD：经过路由表后，目的地不为本机

OUTPUT：由本机产生，向外发出

POSTROUTING：发送到网卡接口以前

iptables语法：

1. 查看iptables规则：iptables -nvL

service iptables restart 从新启动iptables服务

默认规则保存在/etc/sysconfig/iptables

2. iptables -F 清空规则

清空规则后不保存时，重启iptables服务又会自动加载回来。

3. service iptables save 保存规则

4. iptables -t nat //-t指定表

不加-t时默认为filter表。

5. iptables -Z  能够把计数器清零

清除INPUT等链中pkts和bytes。

6. iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP

-A 增长一条规则

INPUT 在INPUT链中加入

-s 指定源ip

-p 指定协议

--sport 指定源端口

-d 指定目的ip

--sport 指定目的端口

-j 处理数据包的方式

ACCEPT 容许数据包经过

DROP 直接丢弃数据包，不给任何回应信息

REJECT 拒绝数据包经过，必要时会给数据发送端一个响应的信息。

LOG在/var/log/messages文件中记录日志信息，而后将数据包传递给下一条规则

7. iptables -I/-A/-D INPUT -s 1.1.1.1 -j DROP

-I 是插入，把这个规则插入到最前面

-A 是增长，把这个规则写入到最后面

-D 删除规则

采用数据流的方式匹配规则，前面规则先匹配。

8. iptables -I INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT

-i eth0表示

9. iptables -nvL --line-numbers

把规则的序列号显示出来，能够根据号码删除规则

10. iptables -D INPUT 1

把INPUT链中第一条规则删除

11. iptables -P INPUT DROP

-P 预设策略，后面跟链名默认是accept

不建议此项操做，输入iptables -P INPUT ACCEPT才能恢复到原始状态。