七周三次课（5月8日）笔记

10.11 Linux网络相关
10.12 firewalld和netfilter
10.13 netfilter5表5链介绍

10.14 iptables语法

Linux网络相关

ifconfig -a： 当网卡down或者没有ip不会显示，加-a可以查看所有网卡信息

当在远程终端上执行ifdown 网卡名命令后，远程连接失效，需要在虚拟机的主机上重新启动网卡服务 ifup 网卡名（在单独对一个网卡进行配置更改时使用）

ifdown,ifup命令一起执行

设定虚拟网卡：

①转到网卡配置文件路径

②拷贝网卡配置文件

③进入到新的网卡配置文件中修改name,device和IP成新的网卡名

扫描二维码关注公众号，回复： 1436061 查看本文章

④保存退出后重启网卡 ifdown 网卡名 && ifup 网卡名

⑤ifconfig查看新的虚拟网卡eno16777736出现，在windows的dos下ping测试通过

查看网卡是否连接

mii-tool 网卡名 / ethtool 网卡名

更改主机名：hostnamectl set-hostname  新主机名 hostname查看已更改主机名 可以通过bash进入子shell看到主机名更新，或者重启主机

hostname的配置文件在/etc/hostname下，dns配置文件在/etc/resolv.conf下

更改DNS：

①到/etc/sysconfig/network-scripts/ifcfg-网卡名中更改，保存后重启网卡再打开/etc/resolv.conf会发现已更新的DNS IP

②临时性更改可以直接编辑/etc/resolv.conf格式为nameserver=  x. x . x . x ，但是重启网卡后会被网卡本身 的DNS配置文件中的DNS所覆盖

/etc/hosts 

可编辑/etc/hosts中相对应的ip和域名，改变原有域名指向（该操作仅限本机生效，如下图在windows中无效）

格式为左边IP，右边域名，支持一个IP有多个域名

如果一个域名指向多个IP时，以后面的IP为准

firewalld和netfilter

临时关闭selinux  setenforce 0 

永久关闭：编辑配置文件 /etc/selinux/conf  找到SELINUX=enforcing改成disabled. :wq 重启即可

（permissive状态不会限制domain/type的存取，但会有警告信息

   disabled完全不限制

 enforcing  完全限制）

netfilter在CentOS6中使用， firewalld 在7中使用， 功能类似，都是可以通过iptables设置端口开放，在7中默认firewalld防火墙开启，netfilter关闭

关闭firewalld： ①systemctl disable firewalld

                         ②systmctl stop firewalld

                         ③yum install -y iptables-services

安装完毕后enable, start，iptables -nvL 命令查看使用规则

总结：在CentOS上关闭firewalld并开启netfilter操作

netfilter5表5链介绍

filter表: INPUT/FORWARD/OUTPUT

nat表: PREROUTING/OUTPUT/POSTROUTING （A连C必须通过B机器，因为公私网不能直接相互通信，如A连B的8088端口 再映射到C的80端口）

mangle表: 5个链 PREROUTING/OUTPUT/INPUT/FORWARD/POSTROUTING

raw表:

security表：

参考： http://www.cnblogs.com/metoy/p/4320813.html  

iptables语法

iptables -nvL 查看默认规则,保存在/etc/sysconfig/ iptables中，重启iptables服务也保持不变

iptables -F 删除当前规则，但是配置文件中的规则依然保留

service iptables save保存当前规则， 如果删除后想恢复直接重启iptables服务即可 （以上这些都是针对filter表）

iptables -t nat -nvL可以查看nat表规则

iptables -Z 清空计数器

iptables -I/-A/-D  INPUT -s 192.168.188.1 -p tcp --sport1234 -d  192.168.188.128 --dport80 -j DROP/REJECT

iptables默认指filter表，定义链，源IP，指定协议类型，源端口，-d 目的IP，目的端口，-j执行 DROP/REJECT操作，两者效果一样，前者数据包不看直接丢弃，后者看了后再拒绝 （可不指定源IP和目的IP，直接指定目的端口进行过滤，链和通信协议一定要加）

插入（第一个执行）-A（末尾增加）-D（删除） 

删除操作的另一种更简便方法，思路：①给iptables 进行编号 iptables -nvL --line-number

                                                          ②删除相应编号行：iptables -D INPUT 行号

指定网卡操作：-i 网卡名

所有的数据包会按照默认的策略执行OUTPUT链，默认为ACCEPT，可修改:

iptables -P OUTPUT DROP （不能直接执行，如果直接执行结果是Xshell客户端会被禁掉，因为规则设定成丢弃数据包无返回值，只能回到主机重新修改成ACCEPT，一般而言规则保持默认不需要更改）

iptables -P OUTPUT ACCPET