一 、 ifconfig
1. Introducción a ifconfig
ifconfig puede simplemente obtener información de configuración de la interfaz de red y también puede modificar la configuración. La información de la tarjeta de red configurada con el comando ifconfig no existirá después de que la máquina se reinicie después de que se reinicie la tarjeta de red.
2. Comando Ifconfig
ifconfig [-v] [-a] [-s] [interface]
ifconfig [-v] interface [aftype] options | addressup: inicia el dispositivo de red / tarjeta de red especificados.
abajo: apaga el dispositivo de red / tarjeta de red especificados. Este parámetro puede bloquear eficazmente el flujo de información IP a través de la interfaz especificada. Si queremos cerrar permanentemente una interfaz, también necesitamos eliminar toda la información de enrutamiento de la interfaz de la tabla de enrutamiento central.
arp: establece si la tarjeta de red especificada admite el protocolo ARP.
-promisc: establece si se admite el modo promiscuo de la tarjeta de red, si seleccionas este parámetro, la tarjeta de red recibirá todos los paquetes de datos que se le envíen en la red
-allmulti: establece si admitirá el modo de multidifusión, si seleccionas este parámetro, la tarjeta de red recibirá todos los datos en la red Paquetes de multidifusión
-a: muestra toda la información de la interfaz
-s: muestra información resumida (similar a netstat -i)
agregar: configura una dirección IPv6 para la tarjeta de red especificada
del: elimina la dirección IPv6 de la tarjeta de red especificada
mtu n: establece la unidad máxima de transmisión de la tarjeta de red ( bytes)
netmask xxx: establece la máscara de subred de la tarjeta de red. La máscara puede ser un número hexadecimal de 32 dígitos con el prefijo 0x, o puede ser 4 números decimales separados por puntos. Si no planea dividir la red en subredes, puede ignorar esta opción; si desea usar subredes, recuerde que todos los sistemas de la red deben tener la misma máscara de subred.
tunel: establecer un túnel
dstaddr: establecer una dirección remota para establecer comunicación punto a punto
-dirección de transmisión : establecer el protocolo de transmisión para la tarjeta de red especificada
-dirección punto a punto: establecer el protocolo de comunicación punto a punto
para la tarjeta de red multidifusión: establecer el indicador de multidifusión
para la dirección de la tarjeta de red: configurar IPv4 para la tarjeta de red Dirección
txqueuelen length: establece la longitud de la cola de transmisión para la tarjeta de red
3. Comandos comunes de ifconfig
ifconfig
Mostrar información de la tarjeta de red activa ifconfig -a
Mostrar toda la información de la tarjeta de red ifconfig eth0 192.168.1.100
Configurar la dirección IP de la ifconfig eth0 192.168.1.100 netmask 255.255.255.0
tarjeta de red eth0 Configurar la dirección IP y la máscara de subred de la tarjeta de red eth0
ifconfig eth0:0 192.168.1.100 netmask 255.255.255.0 up
ifconfig eth0:1 192.168.2.100 netmask 255.255.255.0 upAgregar varias direcciones IP a la ifconfig eth0 del 192.168.1.100
tarjeta de red eth0 Eliminar la dirección IP de la tarjeta de red eth0 ifconfig eth0 hw ether 00:AA:BB:CC:DD:EE
Modificar la dirección MAC de la tarjeta de ifconfig eth0 up
red ifconfig eth0 down
eth Iniciar la tarjeta de red eth0 Apagar la tarjeta de red eth ifconfig eth0 reload
Reiniciar la tarjeta de red eth0 ifconfig eth0 arp
Habilitar ARP ifconfig eth0 -arp
Deshabilitar ARP ifconfig eth0 mtu 1500
Establecer el valor MTU de la tarjeta de red eth ifconfig eth0 allmulti
Habilitar la función de multidifusión de la ifconfig eth0 -allmulti
tarjeta de red eth0 Deshabilitar la tarjeta de red eth0 Función de multidifusión
二 、 ettool
1. Introducción a ethtool
Ethtool es una herramienta de diagnóstico y ajuste para controladores de red Linux. Puede obtener información sobre dispositivos de red, incluido el estado de la conexión, la versión del controlador, la ubicación del bus PCI, etc. Las funciones son las siguientes:
(1) Obtener información de identificación y diagnóstico
(2) Obtener información extendida Estadísticas del dispositivo
(3) Controle la velocidad, el dúplex, la negociación automática y el control de flujo del dispositivo Ethernet
(4) Controle la descarga de suma de verificación y otras funciones de descarga de hardware
(5) Controle el tamaño del anillo DMA y el control de interrupciones
(6) Controle múltiples colas Selección de la cola de recepción del dispositivo
(7) Para actualizar el firmware en la memoria flash,
ethtool necesita privilegios de root para ejecutarse.
2. El comando ethtool
ethtool [ -a | -c | -g | -i | -d | -k | -r | -S |] ethX
ethtool [-A] ethX [autoneg on|off] [rx on|off] [tx on|off]
ethtool [-C] ethX [adaptive-rx on|off] [adaptive-tx on|off] [rx-usecs N] [rx-frames N] [rx-usecs-irq N] [rx-frames-irq N] [tx-usecs N] [tx-frames N] [tx-usecs-irq N] [tx-frames-irq N] [stats-block-usecs N][pkt-rate-low N][rx-usecs-low N] [rx-frames-low N] [tx-usecs-low N] [tx-frames-lowN] [pkt-rate-high N] [rx-usecs-high N] [rx-frames-high N] [tx-usecs-high N] [tx-frames-high N] [sample-interval N]
ethtool [-G] ethX [rx N] [rx-mini N] [rx-jumbo N] [tx N]
ethtool [-e] ethX [raw on|off] [offset N] [length N]
ethtool [-E] ethX [magic N] [offset N] [value N]
ethtool [-K] ethX [rx on|off] [tx on|off] [sg on|off] [tso on|off]
ethtool [-p] ethX [N]
ethtool [-t] ethX [offline|online]
ethtool [-s] ethX [speed 10|100|1000] [duplex half|full] [autoneg on|off] [port tp|aui|bnc|mii] [phyad N] [xcvr internal|external]
[wol p|u|m|b|a|g|s|d...] [sopass xx:yy:zz:aa:bb:cc] [msglvl N]-a: Verifica el estado del módulo receptor RX, módulo de envío TX y módulo de negociación automática en la tarjeta de red: encendido o apagado.
-A: Modifica el estado del módulo receptor RX, módulo de envío TX y módulo de negociación automática en la tarjeta de red: encendido o apagado.
-c: ver información de agregación de la tarjeta de red
-C: configurar la información de agregación de la tarjeta de red
-g: ver la información de los parámetros del anillo
RX / TX de la tarjeta de red -G: modificar la configuración del anillo RX / TX de la
tarjeta de red -i: mostrar información del controlador de la tarjeta de red, como el nombre del controlador , Versión, etc.
-d: muestra información de volcado de registro, algunos controladores de tarjetas de red no lo admiten.
-e: muestra información de volcado de EEPROM, algunos controladores de tarjetas de red no lo admiten.
-E: Modifica el byte EEPROM de la tarjeta de red.
-k: muestra el estado del parámetro de descarga de la tarjeta de red: encendido o apagado, incluyendo rx-checksumming, tx-checksumming, etc.
-K: Modifica el estado del parámetro de descarga de la tarjeta de red.
-p: Se utiliza para distinguir la ubicación física de la tarjeta de red correspondiente a diferentes ethX, el método común es hacer que el led en el puerto de la tarjeta de red parpadee continuamente; N indica la duración del parpadeo de la tarjeta de red, en segundos.
-r: Si el estado del módulo de negociación automática está activado, reinicie el módulo de negociación automática.
-S: muestra parámetros estadísticos específicos del controlador y de la NIC, como el número de bytes recibidos / enviados por la tarjeta de red, el número de paquetes de difusión recibidos / enviados, etc.
-t: Deje que la tarjeta de red realice una autocomprobación, hay dos modos: fuera de línea o en línea.
-s: modifica parte de la configuración de la tarjeta de red, incluida la velocidad de la tarjeta de red, modo simplex / full-duplex, dirección mac, etc.
3. Opción de descarga
rx-checksumming: off|on
El cálculo de la suma de comprobación del hardware en el lado receptor, si se puede activar, significa que la tarjeta de red lo admite. tx-checksumming: off|on
El cálculo de la suma de comprobación del hardware en el lado de envío, si se puede activar, significa que la tarjeta de red admite la scatter-gather: off|on
función Scatter Gather es una de las condiciones necesarias para que la tarjeta de red admita TSO. tcp-segmentation-offload: off|on
TSO es una tecnología que utiliza tarjetas de red para fragmentar paquetes TCP para reducir la carga en la CPU. También se llama LSO (descarga de segmento grande). TSO es para TCP y UFO es para UDP. Si el hardware admite la función TSO, el hardware también debe admitir el cálculo de verificación de TCP y la función Scatter Gather.
En la tarjeta de red que no admite TSO, la capa TCP considerará mss al enviar datos a la capa IP, de modo que los datos enviados por TCP puedan incluirse en un paquete IP sin causar fragmentación. La tarjeta de red utiliza mss cuando TCP establece inicialmente una conexión. La MTU se determina y negocia con el extremo opuesto, por lo que en una tarjeta de red con MTU = 1500, los datos enviados hacia abajo por TCP no serán mayores que min (mss_local, mss_remote) -ip header-tcp header.
Cuando la tarjeta de red es compatible con TSO, la capa TCP aumentará gradualmente mss (siempre aumentará en múltiplos enteros). Cuando la capa TCP envía un gran bloque de datos hacia abajo, solo se calcula el encabezado TCP y la tarjeta de red se reiniciará después de recibir el paquete de datos grande de la capa IP. Divida en varios paquetes de datos IP, agregue encabezados IP, copie encabezados TCP y vuelva a calcular la suma de comprobación y otros datos relacionados, y transfiera parte del trabajo de procesamiento relacionado con la CPU a la tarjeta de red para su procesamiento. udp-fragmentation-offload: off|on
UFO es una tecnología similar a TSO proporcionada por la tarjeta de red a UDP. generic-segmentation-offload: on
GSO retrasa la fragmentación de datos tanto como sea posible hasta que se envía al controlador de la tarjeta de red. En este momento, verificará si la tarjeta de red es compatible con la función de fragmentación (como TSO, UFO), si admite el envío directo a la tarjeta de red; de lo contrario, se fragmentará y luego se enviará a Tarjeta de red. De esta manera, los paquetes de datos grandes solo necesitan pasar por la pila de protocolos una vez, en lugar de dividirse en varios paquetes de datos para ir por separado, lo que mejora la eficiencia. Comando: ethtool -K eth0 gso encendido | apagadolarge-receive-offload: off
LRO agrega múltiples datos TCP recibidos en un paquete de datos grande y luego los pasa a la pila de protocolos de red para su procesamiento a fin de reducir la sobrecarga de procesamiento de la pila de protocolos de capa superior y mejorar la capacidad del sistema para recibir paquetes de datos TCP. generic-receive-offload: on
GRO, la idea básica es similar a LRO, supera algunas deficiencias de LRO y es más versátil. Los controladores posteriores utilizan la interfaz GRO en lugar de LRO.
4. Comandos comunes de ethtool
ethtool ethX
Consultar la configuración básica del ethtool –i ethX
puerto de red ethX Consultar la información relevante del ethtool –d ethX
puerto de red ethX Consultar la información de registro del ethtool –r ethX
puerto de red ethX Restablecer el puerto de red ethX al modo adaptativo ethtool –S ethX
consultar las estadísticas del puerto de red ethX recibir y enviar paquetes ethtool –s ethX [speed 10|100|1000] [duplex half|full] [autoneg on|off] [port tp|aui|bnc|mii]
Establecer la velocidad del puerto de red 10/100 / 1000M, puerto de red medio / Dúplex completo, si el puerto de red es de negociación automática, el tipo de puerto de red ethtool -K eth0 tso on | off
configura la función TSO
Tres, ip
1. Introducción a ip
ip es una poderosa herramienta de configuración de red del paquete de software iproute2, que se utiliza para mostrar o manipular rutas, dispositivos de red, enrutamiento de políticas y túneles.
2. comando ip
ip [OPTIONS] OBJECT COMMAND | help
(1)
Enlace del subcomando OBJECT :
dirección del dispositivo de red : protocolo (IP o IPv6) address
addrlabel: configuración de la etiqueta para la selección de la dirección del protocolo
vecino: ARP o NDISC
ruta de entrada de caché :
regla de entrada de la tabla de enrutamiento : regla en la base de datos de políticas de enrutamiento
maddress: grupo Dirección de transmisión
mroute: caché de enrutamiento de multidifusión
túnel de entrada : túnel IP
xfrm: marco de protocolo IPSec
(2) OPCIONES
-V, -Versión: mostrar información de versión del comando
-s, -stats, estadísticas: información detallada de salida
-h, -human, - legible por humanos: salida de estadísticas legibles y sufijo
-iec: imprime la velocidad de lectura humana en unidades estándar IEC (por ejemplo, 1K = 1024)
-f, -family FAMILY: especifica la familia de protocolos, inet, inet6, ipx, dnet, link.
-4: Use el protocolo IPv4
-6: Use el protocolo IPv6-
0: link
-o, -oneline: envíe cada registro a una línea, reemplace el carácter de nueva línea por el carácter '\'.
-r, -resolve: utiliza el sistema de resolución de nombres para imprimir el nombre DNS en lugar de la dirección del host.
3. Comandos comunes para ip
ip link show
Mostrar información de interfaz de red ip link set eth0 up
Encienda la tarjeta de red ip link set eth0 down
Apague la tarjeta de red ip link set eth0 promisc on
Encienda el modo mixto de la ip link set eth0 promisc off
tarjeta de red Apague el modo mixto de la ip link set eth0 txqueuelen 1200
tarjeta de red Establezca la longitud de la cola de la ip link set eth0 mtu 1400
tarjeta de red Establezca la unidad máxima de transmisión de la ip addr show
tarjeta de red Visualice la información IP de la tarjeta de red Establezca la ip addr add 192.168.0.1/24 dev eth0
dirección IP de la tarjeta de red eth0 192.168.0.1 ip addr del 192.168.0.1/24 dev eth0
Elimine la dirección IP de la tarjeta de red eth0 ip route show
Mostrar la ip route add default via 192.168.1.254
configuración de enrutamiento del sistema ruta ip route list
ver la información de enrutamiento. ip route add 192.168.4.0/24 via 192.168.0.254 dev eth0Set la puerta de entrada del segmento 192.168.4.0 red a 192.168.0.254, y ip route add default via 192.168.0.254 dev eth0
establecer la puerta de enlace predeterminada de la interfaz eth0 a 192.168.0.254. ip route del 192.168.4.0/24
Eliminar la puerta de entrada del segmento 192.168.4.0 red. ip route del default
Eliminar la ruta predeterminada. ip route delete 192.168.1.0/24 dev eth0
Eliminar la ruta.
Cuatro, iptables
1. Introducción a iptables
Iptables es una excelente y completamente gratuita herramienta de firewall basada en filtrado de paquetes que viene con los sistemas Unix y Linux. Tiene funciones muy poderosas y un uso muy flexible. Puede controlar con precisión los paquetes de datos que entran, salen y fluyen a través del servidor.
Iptables es un servicio integrado en los kernels de Linux 2.4 y 2.6, y trabaja en la segunda, tercera y cuarta capas del modelo OSI.
2. iptables transmite paquetes de datos
(1) Cuando un paquete de datos ingresa a la tarjeta de red, primero ingresa a la cadena PREROUTING, y el kernel determina si debe reenviarse de acuerdo con la IP de destino del paquete de datos.
(2) Si el paquete de datos entra en la máquina, llegará a la cadena INPUT. Una vez que el paquete de datos llega a la cadena INPUT, cualquier proceso lo recibirá. El programa que se ejecuta en esta máquina puede enviar paquetes de datos, que pasarán a través de la cadena de SALIDA y luego llegarán a la salida de la cadena de POTROUTING.
(3) Si el paquete de datos necesita ser reenviado y el kernel permite que sea reenviado, el paquete de datos pasará a través de la cadena FORWARD y luego llegará a la salida de la cadena POTROUTING.
3. tabla de reglas de iptables
iptables tiene una tabla de filtros incorporada, una tabla nat, una tabla mangle y una tabla sin procesar, que se utilizan para implementar el filtrado de paquetes, la traducción de direcciones de red, la reconstrucción (modificación) de paquetes y el seguimiento de datos, respectivamente.
Una cadena es la ruta a través de la cual se propagan los paquetes de datos.Cada cadena es una lista de verificación entre muchas reglas, y cada cadena puede tener varias reglas. Cuando un paquete de datos llega en una cadena, iptables comenzará a verificar desde la primera regla en la cadena para ver si el paquete de datos cumple con las condiciones definidas por la regla. Si se cumple, procesará el paquete de acuerdo con el método definido por la regla; de lo contrario, iptables continuará verificando la siguiente regla. Si el paquete no cumple con ninguna regla en la cadena, iptables procesará el paquete de acuerdo con la política predeterminada definida en la cadena.
4. cadena de reglas de iptables
INPUT: aplique la política en la cadena de reglas INPUT a los paquetes que ingresan al firewall.
OUTPUT: aplique la política en la cadena de reglas OUTPUT para los paquetes salientes.
FORWARD: aplique la política en la cadena de reglas FORWARD al reenviar paquetes.
PREROUTING: aplique antes de enrutar los paquetes. Reglas en la cadena PREROUTING
: POSTROUTING: aplique las reglas en la cadena POSTROUTING después de enrutar paquetes de datos
5. comando iptables
iptables [-t table] {-A|-C|-D} chain rule-specification
ip6tables [-t table] {-A|-C|-D} chain rule-specification
iptables [-t table] -I chain [rulenum] rule-specification
iptables [-t table] -R chain rulenum rule-specification
iptables [-t table] -D chain rulenum
iptables [-t table] -S [chain [rulenum]]
iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]
iptables [-t table] -N chain
iptables [-t table] -X [chain]
iptables [-t table] -P chain target
iptables [-t table] -E old-chain-name new-chain-name-h: obtener ayuda (ayuda)
-A: agregar una nueva regla al final de la cadena especificada
-D: eliminar una regla en la cadena especificada, puede eliminarla de acuerdo con el número de regla y el contenido
-I: insertar en la cadena especificada (Insertar) una nueva regla, agregar en la primera línea por defecto
-R: modificar, reemplazar (reemplazar) una regla en la cadena especificada, puede reemplazarla de acuerdo con el número de regla y el contenido
-L: lista (lista) toda la cadena especificada Reglas para ver
-E: cambiar el nombre de la cadena definida por el usuario sin cambiar la cadena en sí
-F: vaciar (vaciar)
-N: crear una cadena de reglas definida por el usuario
-X: eliminar la cadena de reglas definida por el usuario en la tabla especificada
-P : Establece la política predeterminada de la cadena especificada (política)
-Z: borra los contadores de bytes y paquetes de todas las cadenas en todas las tablas
-n: muestra los resultados de salida en formato numérico (numérico)
-v: muestra la información detallada de la tabla de reglas (detallada ) Información-
V: ver versión (versión)
6, ipatbles comandos de uso común
iptables -D INPUT 1
Elimine la primera regla de la cadena de reglas, iptables -I INPUT -p icmp -j REJECT
niegue los paquetes de protocolo ICMP que ingresan al firewall, iptables -A FORWARD -p ! icmp -j ACCEPT
permita que el firewall reenvíe todos los paquetes de red excepto el protocolo ICMP, iptables -A FORWARD -s 192.168.1.11 -j REJECT
rechace reenviar paquetes desde el host 192.168.1.11 y iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
reenvíe paquetes desde el segmento de red 192.168.0.0/24
iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROPDeseche el paquete de datos cuya dirección IP de origen es la dirección privada que ingresa al firewall desde la tarjeta de red eth1
iptables -A INPUT -p tcp --dport 22 -s 202.13.0.0/16 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROPPermitir el inicio de sesión SSH desde el segmento de red 202.13.0.0/16
iptables -A INPUT -p tcp --dport 20:1024 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20:1024 -j ACCEPTPermita que el puerto TCP abierto 20-1024 proporcione servicios de aplicaciones
iptables -I INPUT -p icmp --icmp-type Echo-Request -j DROP
iptables -I INPUT -p icmp --icmp-type Echo-Reply -j ACCEPT
iptables -I INPUT -p icmp --icmp-type destination-Unreachable -j ACCEPTProhibir hacer ping al host del firewall desde otros hosts. Permitir que el host del firewall haga ping a otros hosts. service iptables save
Guarde la configuración del firewall en / etc / sysconfig / iptables. iptables –F
Borre todas las cadenas de reglas en la iptables –X
tabla de filtros. Elimine las cadenas definidas por el usuario en la tabla de filtros.