ipconfig、selinux、netfilter、iptables、netfilter5表5链

10.11 Linux网络相关

1. ifconfig 查看网卡ip(yum install net-tools)
2. ip add
3. ifconfig -a 能够查看到全部的网卡信息
4. ifup ens33/ifdown ens33
5. ifdown ens33 && ifup ens33能够down掉网卡，再重启网卡
6. 增长虚拟网卡
   1. cd /etc/sysconfig/network-scripts
   2. cp ifcfg-ens33 ifcfg-ens33/:0
   3. vi !$
   4. 修改NAME=ens33:0
   5. 修改DEVICE=ens33:0
   6. 修改Ip
7. mii-tool ens33 查看网卡是否插着网线，查看是否link ok
8. ethtool ens33 查看网卡是否链接网线，查看最后一段的link detected：yes
9. hostnamectl set-hostname aminglinux-001修改主机名
   1. cat /etc/hostname 主机名的配置文件
10. DNS配置文件在/etc/resolv.conf
11. linux，windows都有的一个文件，访问自定义域名的时候访问的是这个文件/etc/hosts

10.12 firewalld和netfilter

1. selinux临时关闭命令为：setenforce 0
2. 永久关闭须要编辑配置文件，vim /etc/selinux/conifg 中的，SELINUX-disabled
3. getenforce 查看selinux的状态
4. 临时关闭后，遇到阻断时，不会真正的阻断，会经过
5. CentOs7 以前防火墙叫netfilter；CentOs 7的防火墙叫firewalld；都支持iptables命令
6. 开启CentOs 7以前的防火墙netfilter
   1. systemctl disable firewalld
   2. systemctl stop firewalld
   3. yum install -y iptables-services
   4. systemctl enable iptables
   5. systemctl start iptables
   6. iptables -nvL
7. 防火墙叫netfilter，iptables只是netfilter的工具。

10.13 netfilter5表5链介绍

1. netfilter的5个表centos6只有前4个表，没有security表 2. filter表用于过滤包，最经常使用的表，有INPUT、FORWARD、OUTPUT三个链 1. INPUT:数据包进本机的数据包，检查源IP，发现可疑IP能够禁掉 2. FORWARD:判断目标地址是不是本机，若是不是本机，须要通过FORWARD链，进行操做，进行转发 3. 本机的包，出去的包，通过OUTPUT链 3. nat表用于网络地址转换，有PREROUTING、OUTPUT、POSTROUTING三个链 1. PREROUTING:用来更改数据包，进来的一刻，须要更改 2. OUTPUT:出去的包那一刻须要更改 3. POSTROUTING: 4. managle表用于给数据包作标记，几乎用不到 5. raw表能够实现不追踪某些数据包，阿铭历来不用 6. security表在centos6中并无，用于强制访问控制（MAC）的网络规则，阿铭没用过
2. 参考文章：http://www.cnblogs.com/metoy/p/4320813.html

10.14 iptables语法

1. linux防火墙 --netfilter
   1. 数据包流向与netfilter的5个练
   2. PREROUTING:数据包进入路由表以前
   3. INPUT：经过路由表后目的地为本机
   4. FORWARD:经过路由表后，目的地不为本机
   5. OUTPUT：由本机产生，向外发出
   6. POSTTOUTING:发送到网卡接口以前
2. iptables相关的命令和用法
   1. iptables -nvL 默认规则
   2. 重启命令为：# service iptables restart
   3. # cat /etc/sysconfig/iptables保存了默认规则
   4. # iptables -F临时清空规则，文件中依然保存这这些规则，若是想保存当前规则保存到配置文件中去，须要执行# service iptables save 若是未保存，重启后又会加载这些规则
   5. # iptables -t filter -nvL等同于# iptables -nvL不加参数默认查看的是filter表规则
   6. # iptables -t nat -nvL查看nat表规则
   7. # iptables -Z 将计数器清零。实例：监控脚本，封IP，若是一段时间内没有超过一个量，再将此IP解封。
   8. 增长规则：# iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP 不加-t 默认为filter表；-A表示增长一条规则，INPUT链；-s来源，IP；-p指定协议，tcp等；--sport来源端口，端口值；-d目标IP，IP；-dport目标端口，端口值；-j操做，DROP扔掉，REJECT拒绝，DROP，看都不看直接扔掉，REJECT须要检查，再判断是否拒绝
   9. 插入规则：# iptables -I INPUT -p tcp --dport 80 -j DROP
   10. -I插入规则会插入到链表的第一行，-A增长规则会增长到链表的最后一行
   11. 过滤的时候是从第一条规则开始过滤，因此优先过滤第一条规则
   12. 删除规则：# iptables -D INPUT -p tcp --dport 80 -j DROP-D删除规则
   13. 若是记得当时规则的命令能够直接-D，可是若是忘记了当时的命令能够经过如下方式删除：首先执行# iptables -nvL --line-number打印出来表的行数，再执行# iptables -D INPUT 行数
   14. # iptables -I INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT能够针对网卡进行设置规则
   15. # iptables -P OUTPUT DROP修改表的默认规则，OUTPUT表的DROP谨慎使用，若是将OUTPUT表的默认规则修改成DROP，这样从服务器中的数据就不能发出去，经过xshell就不能接收到任何数据，就会马上断开。

10.15 iptables filter表小案例

扩展（selinux了解便可）

1. selinux教程 http://os.51cto.com/art/201209/355490.htm
2. selinux pdf电子书 http://pan.baidu.com/s/1jGGdExK