本文共 2858 字,大约阅读时间需要 9 分钟。
查看网卡ip ,子网掩码,mac地址等
ifconfig ens33
单独查看某一个网卡信息当我们修改网络配置后,需要重启网络服务,这个时候我们可以运行如下命令service network restart
centos 7 还可以syctemctl restart network
如果我们只需要重启某个网卡呢?可以用 ifdown ens33 && ifup ens33
配置虚拟网卡1.可以用ifonfig ens33:1 192.168.226.131 up
临时配置一个2若要永久生效,必须通过编辑配置文件实现 cd /etc/sysconfig/network-scripts/cp ifcfg-ens33 ifcfg-ens33:1vim ens33:1
修改设备名,和ip就可以
重启网卡就会发现多出来一个ens33:1mii-tool ens33
可以查看某个网卡的连通情况,link ok 标示连接正常。no link 标示网卡未正常连接,或者网卡故障。hostname 查看主机名
hostname +名称 更改主机名要想永久生效的话hostnamectl set-hostname 主机名设置DNS指定一个DNS服务器,需要编辑配置文件 /etc/resolv.conf,加入指定的DNS就可以,可以添加多个,默认使用第一行的DNS,解析失败后使用第二个。格式为: nameserver +DNS 地址 (nameserver 为固定写法)我们也可可以设置临时DNS编辑 /etc/hosts ,添加格式为ip + 域名1 域名2 红帽特有的安全机制,由于配置麻烦,限制太多,平时我们都不用它,把他关掉就可以
selinux 有三种状态 enforcing permissive disabledgetenforce
查看状态 enforcing 表示规则开启,限制某些应用 ,状态码为1permissive 宽容模式, 放行限制,记录异常到日志,状态码为0如果是 enforce 状态 执行setenforce 0
临时关闭要想让selinux永久关闭,需要编辑配置文件/etc/selinux/config,修改enforcing 为disabled,再重启系统。 如果说selinux 太过苛刻和复杂,那么netfilter 和firewall 则比较实用,在
centos7中这两种防火墙机制都存在,我们先来学习netfilter,netfilter 的原理我是通过下面文章学习的,我觉得写的很到位。接下来我直接提炼出 比较重要的几个知识点,倘若我们还比较陌生,那只能继续读上面的文章加深理解。iptables 对于数据包的处理,按照功能上的各司其职,划分出raw ,filter,nat,mangle,security5个表.从数据包流向的路径上划分出5个链,prerouting ,forward,postrouting,input,output先来看下表的功能:
filter : 包过滤,防火墙 ,有input, forwad,output三个链nat : 网络地址转换,有prerouting , postrouting,output,inputs四个链raw: 包追踪mangle :包修改重点关注前两个即可根据上图我们总结下数据包的链流向:流入本机: prerouting ---->intput---->localhost (内核)流出本机:localhost(内核) ---->output ---->postrouting转发: prerouting ----->forwad ------>postrouting
表的优先级:
raw ---- magele----nat-----filter匹配条件source ipaddress 和destination ipaddesssource port 和destination port处理动作accept 接受drop 丢弃rejiect 拒绝snat 源地址转换iptables 具体用法:
centos7 默认使用的是firewalld 防火墙,之前的版本都是netfilter。因此我们先要关闭firewalld ,打开netfiltersystemctl stop firewalldsystemctl disable firewalldyum install -y iptables-servicessystemctl enable iptablessystemctl start iptables
iptables -nvL 查看所有规则,默认是filter表
iptables -t nat -nvL 可以查看nat表的规则service iptables save
保存当前规则iptables -F
清空规则iptables -Z
把计数器清零计数器就是接受或者拒绝了多少个包,policy ACCEPT -t 指定表-A 增加到最后, -I插入到最前-D 删除规则 保持跟设定规则时一致根据编号删除规则,比较方便查看编号iptables -nvL --line-number
删除规则iptables -D 链 编号 按照网卡添加iptables -I INPUT -s 192.168.10.9/24 -i eth0 -j ACCEPT
各段含义为: 1说明要插入一条规则:iptables -I2.指定要操作的链 : INPUT 3.指定源ip地址: -s 192.168.10.9/244.指定网卡: -i eth05.指定处理动作:-j ACCEPT
-P 更改默认规则
iptables -P OUTPUT DROP
数据包进不来,远程将断开按照端口添加iptables -A INPUT -s 192.168.10.9 -p tcp --sport 80 -d 192.168.11.9 --dport 80 -j REJECT
各段含义为: 1.说明要插入一条规则:iptables -A2.指定要操作的链:INPUT3.指定源ip地址:-s 192.168.10.94.指定使用的协议:-p tcp5.指定源端口:--sport 806.指定目标ip地址:-d 192.168.11.97.指定目标端口:--dport 808.指定处理动作:-j REJECT
简单配置如下
ptables -I INPUT -p tcp --dport 80 -j DROP
转载于:https://blog.51cto.com/12606610/2089579