日常运维-3

ifconfig查看网卡ip

• 在centos6系统中默认是存在的，而在centos7中是没有的，只能使用ip addr来查看ip。如需要安装,使用命令 yum install -y net-tools来安装
  

• 当网卡没有ip地址时，使用ifconfig是不会显示网卡的信息。加上-a选项后，也能查看到网卡的信息。

• ifdown ens33(网卡名）用来停用网卡。这里需要知道，如果是远程登录服务器，使用ifdown 来关闭网卡，那么开启网卡只能是在终端去开启。
  

• ifup ens33表示启动网卡。尽量使用systemctl restart network来重启网卡

• ifdown 与ifup命令的使用一般使用在单独一个网卡做了更改，配置文件被修改后，需要重启服务。重启网络服务会重启所有的网卡，那指定某个网卡的命令这样执行:ifdown ens33 && ifup ens33
  

• 设置虚拟网卡
  1 . 先进入到网卡配置文件所在的目录里
  cd /etc/sysconfig/network-scripts/
  
  2 . 拷贝需要设置的网卡名
  使用\是为了脱意：

3 .编辑 保存退出

2个地方更改网卡名 IPADDR改为142。

4 . 重启网卡后查看

5 .测试windown中使用cmd

• 查看网卡连接状态
  – mii-tool 跟网卡名
  
  link ok 表示已连接

–mii-tool命令不能使用，也可以使用ethtool跟网卡名
yes表示已连接网线 no表示未连接网线

• 更改主机名
  —安装系统后，默认名为localhost.localdomain，可使用hostname查看主机名
  
  只支持centos7
  —hostnamectl set-hostname 跟自定义主机名 ，该命名会自动的修改相关的配置文件/etc/hostname。
  

• 设置DNS
  -DNS是用来解析域名的，比如我们访问网址都是直接输入一个网址，而DNS把这个网址解析到一个IP

  -设置非常简单，将DNS地址写入到配置文件/etc/resolv.conf中即可
  

-临时修改DNS IP地址，就直接修改/etc/resolv.conf
永久生效 就修改网卡配置文件。

• /etc/hosts
  -该文件linux与Windows都存在的，访问自定义域名时会使用到该文件
  
  仅在本机生效
  支持一个IP 配多个域名

---

10.12 firewalld和netfilter

• selinux 临时关闭 使用命令setenforce 0
  -永久关闭需要更改配置文件/etc/selinux/config ，将SELINUX后面的enforcing改为disabled ，重启系统后方可生效。
  
  -使用getenforce命令获取当前SELinux的状态。
  

• 在之前的centos版本（5、6）的防火墙为netfilter ,而在centos7中为firewalld

• 它们2个中的iptables是一个工具，可以通过该命令去添加一些规则，开启或关闭某些端口。
• 在centons7中关闭firewalld
  
  — 第一条命令是停掉firewalld ，不让它开机启动
  — 第二条命令是关闭该服务

— 1.开启netfilter前需要安装包
yum install -y iptables-services
2.安装完成后会产生一个服务 然后在开启

3.iptables -nvL 查看启动后自带的规则

---

10.13 netfilter5表5链介绍

1 netfilter的5个表
在centos6中只有4个表，没有最后一个表

1 · filter 表示一个默认表 ，包含3个内置的链

INPUT 数据包进来的时候要经过的一个链（进入本机）

FORWARD 数据包进入本机但不会进入内核，因为数据包是给另一机器处理的，判断目标地址是不是本机，不是本机也会做一个转发

OUTPUT 本机产生一些包，出去之前进行了一些操作

2 · nat 3个链

PREROUTING 用于修改包当它们进来时。

POSTROUTING 为了改变数据包，当它们将要出去的时候

OUTPUT 用于改变本地生成的数据包路由

• 下面3个表基本不会用到
  3 · mangle
  此表用于专门的包更改。直到内核2.4.17
  有两个内置的链:预发布(用于在崩溃前改变传入的包?
  ing)和输出(在路由之前改变本地生成的数据包)。自
  内核2.4.18，也支持其他三种内置链:输入(用于包?
  ets自己进入这个盒子本身)，向前(用于改变被路由的数据包
  通过盒子)和postr郊游(为了改变它们即将要去的数据包
  出)。

4 · raw
此表主要用于对连接跟踪的豁免权进行配置
与NOTRACK目标相结合。它在netfilter钩子上注册
具有更高的优先级，因此在ipconntrack或任何其他IP之前调用
表格。它提供以下内置的链:预发布(用于包
通过任何网络接口到达)输出(对于由本地专业人员生成的数据包流程）

5 · security
此表用于强制访问控制(MAC)网络规则，例如
由SECMARK和CONNSECMARK实现的目标。强制访问控制
是由诸如SELinux这样的Linux安全模块实现的。安全表
在过滤表之后调用，允许任意的访问控制
(DAC)规则在过滤表中，在MAC规则之前生效。这个表
提供以下内置的链:输入(用于进入盒内的信息包
它本身)，输出(在路由之前改变本地生成的数据包)，
转发(用于更改通过该框路由的数据包)。

---

---

10.14 iptables语法

1 查看默认规则

保存在/etc/sysconfig/iptables中

2 iptables -F 清空规则

/etc/sysconfig/iptables该文件还是保存着规则 ，如果想把当前的规则保存到配置文件里面，需要执行service iptables save

重启加载回来 使用命令service iptables restart

重启服务器或者iptables规则，都会去加载配置文件里面的规则。

以上这些操作默认针对的是filter表

• 查看nat表的规则
  -iptables -t nat -nvL
  里面并无内容

• iptables -Z 可以把计数器清零
  
  第一个数字表示 多少包
  第二个数字表示多少字节

• 增加一条规则，针对filter表

  iptables -A INPUT -s 192.168.188.1 -p tcp –sport 1234 -d 192.168.188.128 –dport 80 -j DROP

  没有加-t 指定表名 默认就是filter表

  -A 增加一条规则 操作INPUT链

  -s 指定来源IP

-p 指定协议

–sport 来源端口

-d 目标IP

-dport 目标端口

-j 后面跟动作 其中ACCEPT表示允许包 ，DROP表示丢弃包，REJECT表示拒绝包
丢失包与拒绝包实现的效果相同，都是让数据包过不来，把该IP封掉。

-I 选项表示插入一条规则，效果与A一样
规则插入到最前列
-A 规则排在后面
过滤时优先过滤前面的

-D 删除一条规则 后面可以跟***

iptables -nvL –line-number 查看规则的***

• 链有一个默认的策略
• 
  没有规矩来匹配默认规则 一般是不要改动