10月25號(hào)任務(wù)?
10.11?Linux網(wǎng)絡(luò)相關(guān)
ifconfig #查看網(wǎng)卡ip (yum install net-tools)centos6默認(rèn)有
ifup ens33/ifdown ens33 # 重啟網(wǎng)卡
設(shè)置虛擬網(wǎng)卡?
mii-tool ens33 #查看網(wǎng)卡是否連接
ethool ens33 #也可以查看網(wǎng)卡是否連接
hostnamectl set-hostname aminglinux #更改主機(jī)名
/etc/resolv.conf #dns配置文件
/etc/hosts文件
10.12?firewalld和netfilter
linux防火墻-netfilter
setenforce 0 #selinux臨時(shí)關(guān)閉
vi /etc/selinux/config?selinux=disabled #selinux永久關(guān)閉
getenforce? ?#重啟后啟用selinux
centos7之前使用netfilter防火墻
centos7開始使用firewalld防火墻
關(guān)閉firewalld開啟netfilter方法
systemctl stop firewalld? #關(guān)閉firewalld
systemctl disable firewalld #禁止firewalld 開機(jī)啟動(dòng)
yum install -y iptables-services #開啟netfilter前安裝iptables
systemctl enable iptables #開機(jī)自啟服務(wù)
systemctl start iptables #
iptables -nvl #查看基本規(guī)則
netfilter的5個(gè)表
filter表用于過濾包,最常用的表,有INPUT稚失、FORWARD雨席、OUTPUT三個(gè)鏈nat表用于網(wǎng)絡(luò)地址轉(zhuǎn)換,有PREROUTING逛裤、OUTPUT性锭、POSTROUTING三個(gè)鏈
managle表用于給數(shù)據(jù)包做標(biāo)記入愧,幾乎用不到
raw表可以實(shí)現(xiàn)不追蹤某些數(shù)據(jù)包绝葡,幾乎不用
security表在centos6中并沒有竖独, 用于強(qiáng)制訪問控制(MAC)的網(wǎng)絡(luò)規(guī)則
參考文章?http://www.cnblogs.com/metoy/p/4320813.html?
10.14?iptables語法
linux防火墻
查看iptables規(guī)則:iptables -nvl?
iptables -F #清空規(guī)則
配置文件路徑 /etc/sysconfig/iptables
service iptables save #保存規(guī)則 永久生效 否則配置文件的規(guī)則為未修改前
iptables -t nat? ?#指定表名 不加-t 及表名則默認(rèn)為filter表
iptables -Z #可以把計(jì)數(shù)器清零 (ports bytes)例子:達(dá)到某值后清零并禁止指定IP訪問并且半小時(shí)后重新計(jì)算
iptables -A INPUT -s 192.168.188.1 -p tcp? --sport 1234 -d 192.168.188.128 --dport -j DEOP #-A add -s source 來源 -p 指定協(xié)議 --sport 來源端口 -d?
destination --dport 目標(biāo)端口 -j 操作(drop rejecte)
iptables -I/-A/-D INput -s 1.1.1.1 -j DROP (-I 插入至前 優(yōu)先匹配)(-A 排到最后)(-D 刪除) (-I/-A/-D后緊跟鏈的名字)
iptables -I INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT #-i 指定網(wǎng)卡
iptables -nvL --line-number #打印規(guī)則序列號(hào)
iptables -D INPUT 1 #刪除序列號(hào)為1的規(guī)則
iptables -P INPUT DROP? #-P為默認(rèn)策略 改變默認(rèn)策略為input drop (不建議直接操作)