31.网络相关 firewalld、netfilter 5表5链 iptables语法-白红宇

31.网络相关 firewalld、netfilter 5表5链 iptables语法

阅读量：5895 次

发布时间：2019-06-19

本文共 12653 字，大约阅读时间需要 42 分钟。

10.11 Linux网络相关

10.12 firewalld和netfilter

10.13 netfilter5表5链介绍

10.14 iptables语法

(拓展：末尾有端口映射,jpg)

10.11 Linux网络相关：

~1. ifconfig 查看网卡ip （yum install net-tools）

centos7默认没有ifconfig这个命令，需要安装。ifconfig查看起来更加清爽

但是可以用ip addr 来查看

ifconfig -a 当你的网卡down掉的时候，或者没有ip的时候，ifconfig是不显示的。加上-a就可以显示

~2.ifup ens33/ifdown ens33

ifdown ens33 ens33这个网卡断掉（也叫down掉）

ifup ens33 down掉之后，ifup重新连接

用在增加一个网卡或者更改一个网关，但不想重启全部的网络服务，就可以用ifdown ifup指定一个来用。远程连接的时候不要ifdown掉，但是可以这样用ifdown ens33 && ifup ens33

~3. 设定虚拟网卡ens33：1

后面lvs keepalived的时候，会用到这个虚拟网卡

操作步骤详见实例3.

~4.mii-tool ens33 查看网卡是否连接

我们连接了网线，不在机房（可看灯有没有亮），远程连接的时候，检查是否网卡有没有插入网线

mii-tool ens33 结果是不是link ok

~5. ethtool ens33 也可以查看网卡是否连接

如果没有mii-tool可以用 ethtool ens33 ，检查最后一行是不是Link detected: yes

~6.更改主机名 hostnamectl set-hostname aminglinux

centos7使用的

更改之后，他的配置文件在 /etc/hostname

~7. DNS配置文件 /etc/resolv.conf

如果我们更改DNS，就更改网卡的配置文件就可以了。因为/etc/resolv.conf也是网卡的配置文件（/etc/sysconfig/network-scripts/ens33）定义的。如果在/etc/resolv.conf更改DNS，当然也可以vim，但是重启之后会被网卡的配置文件所覆盖掉，适合临时更改。这个需要注意

~8. /etc/hosts文件

这个文件是linux和windows都有的。后面的lamp做实验，访问一个自定义的域名的时候就用到这个文件，但是在windows上更改的

假如，我们ping www.qq.123.com，他是一个公网IP。但是我想让他在我们的本机不要访问那个公网IP，要让他访问到192.168.159.150来，可以直接vim /etc/hosts，在最下面一行直接写 192.168.159.150 www.qq123.com。我们在ping就会到我们设定这个IP来，立即生效，但只在本机生效。可支持一个IP多个域名。同一个域名设置了多个IP，以最后一次设置的IP为准。以行为单位，左边IP，右边域名，以空格分割

实例：

[root@axinlinux-01 ~]# cd /etc/sysconfig/network-scripts/ 我们先cd进网卡的配置文件

[root@axinlinux-01 network-scripts]# cp ifcfg-ens33 ifcfg-ens33\:1 cp ens33重命名为ens:1。要脱意一下冒号

[root@axinlinux-01 network-scripts]# vim ifcfg-ens33:1 修改一下ens:1的配置

vim ifcfg-ens33\:0

TYPE=Ethernet

BOOTPROTO=static

DEFROUTE=yes

NAME=ens33:0 找到NAME这一行名字改为ens:1（配置文件里不需要脱意）

UUID=d116f724-9bfb-4573-9f5b-7dace5640272

DEVICE=ens33 找到DEVICE这一行名字改为ens:1（配置文件里不需要脱意）

ONBOOT=yes:o

IPADDR=192.168.159.150

NETMASK=255.255.255.0

GATEWAY=192.168.159.2 将网关删掉

DNS33=159.29.29.29 将DNS33删掉，因为已经有一个DNS33了

[root@axinlinux-01 network-scripts]# ifdown ens33:1 && ifup ens33:1 指定重启ens33:1这个网卡

[root@axinlinux-01 network-scripts]# ifconfig 我们在ifconfig一下

ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500

inet 192.168.159.128 netmask 255.255.255.0 broadcast 192.168.159.255

inet6 fe80::20c:29ff:fe87:4224 prefixlen 64 scopeid 0x20<link>

ether 00:0c:29:87:42:24 txqueuelen 1000 (Ethernet)

RX packets 1446 bytes 152000 (148.4 KiB)

RX errors 0 dropped 0 overruns 0 frame 0

TX packets 1168 bytes 161981 (158.1 KiB)

TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

ens33:1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 就发现多了ens33:1了

inet 192.168.159.150 netmask 255.255.255.0 broadcast 192.168.159.255 而且也是可以pin通的

ether 00:0c:29:87:42:24 txqueuelen 1000 (Ethernet)

lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536

inet 127.0.0.1 netmask 255.0.0.0

inet6 ::1 prefixlen 128 scopeid 0x10<host>

loop txqueuelen 1 (Local Loopback)

RX packets 40 bytes 3168 (3.0 KiB)

RX errors 0 dropped 0 overruns 0 frame 0

TX packets 40 bytes 3168 (3.0 KiB)

TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

4.5.

[root@axinlinux-01 network-scripts]# mii-tool ens33

ens33: negotiated 1000baseT-FD flow-control, link ok

[root@axinlinux-01 network-scripts]# ethtool ens33

Settings for ens33:

Supported ports: [ TP ]

Supported link modes: 10baseT/Half 10baseT/Full

100baseT/Half 100baseT/Full

1000baseT/Full

Supported pause frame use: No

Supports auto-negotiation: Yes

Advertised link modes: 10baseT/Half 10baseT/Full

100baseT/Half 100baseT/Full

1000baseT/Full

Advertised pause frame use: No

Advertised auto-negotiation: Yes

Speed: 1000Mb/s

Duplex: Full

Port: Twisted Pair

PHYAD: 0

Transceiver: internal

Auto-negotiation: on

MDI-X: off (auto)

Supports Wake-on: d

Wake-on: d

Current message level: 0x00000007 (7)

drv probe link

Link detected: yes

[root@axinlinux-01 network-scripts]# cat /etc/hostname

axinlinux-01

[root@axinlinux-01 network-scripts]# cat /etc/hosts

127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4

::1 localhost localhost.localdomain localhost6 localhost6.localdomain6

[root@axinlinux-01 network-scripts]# vim !$

vim /etc/hosts

127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4

::1 localhost localhost.localdomain localhost6 localhost6.localdomain6

192.168.159.150

[root@axinlinux-01 network-scripts]# ping www.qq123.com

PING www.qq123.com (192.168.159.150) 56(84) bytes of data.

64 bytes from www.qq123.com (192.168.159.150): icmp_seq=1 ttl=64 time=0.133 ms

[root@axinlinux-01 network-scripts]# vim /etc/hosts

127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4

::1 localhost localhost.localdomain localhost6 localhost6.localdomain6

192.168.159.150 www.qq123.com www.12.com www.wangxin.com

192.168.159.128 www.wangxin.com

[root@axinlinux-01 network-scripts]# ping www.wangxin.com

PING www.qq123.com (192.168.159.128) 56(84) bytes of data.

64 bytes from www.wangxin.com (192.168.159.128): icmp_seq=1 ttl=64 time=0.108 ms

----------------------------------------------------------------------------------------------------------------------------------------------------

10.12 firewalld和netfilter：

linux防火墙-netfilter

~1. selinux临时关闭 setenforce o

我们之前密钥认证的时候就要临时关闭

~2. selinux永久关闭 vi /etc/selinux/config

vi之后，将 SELINUX=enforcing 改为 disabled。getenforce一下显示enforcing。这个时候再setenforce o，再去getenforce一下，发现已经为permissive

permissive表示，虽然selinux已经开启了。但是仅仅是，遇到需要发生阻断的时候，他不需要真正的去阻断，仅仅是有一个提醒。我们不会从屏幕上看到，但是有个地方会去记录

~3. centos7之前使用netfilter防火墙

都是可以用iptables来配置端口的

~4. centos7开始使用firewalld防火墙

都是可以用iptables来配置端口的

我们可以在7上将firewalld关闭，将netfiter打开。是可以在7上使用netfilter的。方法如下：

先执行~6.（把firewalld停掉，不让他开机启动） > 在执行~5.（把这个服务关掉） > 然后再执行~7. 把netfilter开启（实际上就是安装一下） > 再执行~8. （产生这个服务） > 最后执行~9. （开始这个服务）

iptables -nvL可以查看他的规则

iptables是netfilter的工具，而名字是叫netfilter

~5. systemctl stop firewalld

~6. systemctl disable firewallded

~7. yum install -y iptables-services

~8. systemctl enable iptables

~9. systemctl start iptables

实例：

[root@axinlinux-01 network-scripts]# vi /etc/selinux/config

# This file controls the state of SELinux on the system.

# SELINUX= can take one of these three values:

# enforcing - SELinux security policy is enforced.

# permissive - SELinux prints warnings instead of enforcing.

# disabled - No SELinux policy is loaded.

SELINUX=disabled 改为disabled

# SELINUXTYPE= can take one of three two values:

# targeted - Targeted processes are protected,

# minimum - Modification of targeted policy. Only selected processes are protected.

# mls - Multi Level Security protection.

SELINUXTYPE=targeted

[root@axinlinux-01 network-scripts]# getenforce

Enforcing

[root@axinlinux-01 network-scripts]# setenforce 0

[root@axinlinux-01 network-scripts]# getenforce

Permissive

4.（将firewalld关闭，开启netfilter）

[root@axinlinux-01 network-scripts]# systemctl disable firewallded

Failed to execute operation: No such file or directory

[root@axinlinux-01 network-scripts]# systemctl stop firewalld

[root@axinlinux-01 network-scripts]# yum install -y iptables-services

[root@axinlinux-01 network-scripts]# systemctl enable iptables

Created symlink from /etc/systemd/system/basic.target.wants/iptables.service to /usr/lib/systemd/system/iptables.service.

[root@axinlinux-01 network-scripts]# systemctl start iptables

----------------------------------------------------------------------------------------------------------------------------------------------------

10.13 netfilter5表5链介绍：

linux防火墙—netfilter

~1. netfilter的5个表

~2. filter表用于过滤包，最常用的表，有INPUT、PORWARD、OUTPUT三个链

~3. nat表用于网络地址转换，有PREROUTING、OUTPUT、POSTROUTING三个链

~4. managle表用于给数据包表标记，几乎用不到

~5. raw表可以实现不追踪某些数据包，阿明从来不用

~6.security表在centos6中并没有，用于强制访问控制（MAC)的网络规则，阿铭没用过

~7. 参考文章 http:

linux防火墙-netfilter

~1. 数据包流向与netfilter的5个链

~2. PREROUTING：数据包进入路由表之前

~3. INPUT：通过路由表后目的地为本机

~4. FORWARD：通过路由表后，目的地不为本机

~5. OUTPUT：由本机产生，向外发出

~6. POSTROUTING：发送到网卡接口之前

----------------------------------------------------------------------------------------------------------------------------------------------------

10.14 iptables语法:

linux防火墙—netfilter

iptables相关的命令与用法：

~1. 查看iptables规则：iptables -nvL

service iptables restart 重启iptables

/etc/sysconfig/iptables 规则保存位置

详见实例1.

~2. iptables -F 清空规则

感觉规则不合适的时候可全部清除。但需注意即是清除了规则，他的文件里（/etc/sysconfig/iptables)还是有的

~3. service iptables save 保存规则

把当前的规则保存到文件里面去

但是我们刚刚已经删除了，清空规则之后，我们在保存规则保存的仅仅是空规则。我们可以重启他的服务，让他重新加载回来（service iptables restart),

我们写完的规则仅仅只是在内存中生效的，想让他重启后依然生效，就要service iptables save

也就是说，重启服务器或者是重启iptables，他都会重新加载配置文件里的规则

~4. iptables -t nat -t 指定表(不加-t就是默认filter表）

以上1 2 3 针对的都是filter表

写法为 iptables -t nat -nvL

当然net表里面没有规则

~5. iptables -Z 可以把计数器清零

iptables -nvL后，第二行是有数字的。pkts表示的是有多少包，byts表示的是数据量，数据大小（字节）

-Z之后数据清零，再次查看时，又会产生一些数据，是因为每时每刻都是在产生的

~6. iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP

增加DROP的规则，来源IP是某某某IP的，访问我们某一个端口的。或者来源端口是什么的。我们给他DROP（扔掉

）掉

没有加-t，就是默认的filter表

-A 增加一条规则。后面的INPUT就是增加的链是INPUT链。

-s指定一个来源IP

-p指定协议。是tcp还是udp或者icmp

sport 1234 来源的端口是1234

-d目标的IP

dport 80 目标的端口是80

最后操作 -j DROP ，DROP就是把数据直接给扔掉。还有一个 REJECT拒绝（来时会告诉他被拒绝了，比较有礼貌。DORP是看都不看直接扔掉）DORP用的比较多。扔掉和拒绝的效果都是一样的，都是让这个数据过不来。相当于把这个IP给封掉了

~7. iptables -I/-A/-D INPUT -s 1.1.1.1 -j DROP

iptables -I INPUT -p tcp --dport 80 -j DORP （在用-dport或-sport的时候，前面要指定哪个协议）

根据~6. -A为增加一条规则，即排在后面。-I为插入一条规则，即为排在最前面（置顶）。排在最前面，我们在匹配的时候回优先匹配最前面的规则，然后才会一条条的往下执行。如果你的这个规则，这个数据包已经匹配了第一条规则，比如我们访问80端口的并且满足下面的一条规则，这两条规则同时满足。那么同时满足他会匹配第一条，一旦匹配了第一条这个数包就DORP掉了，就不会往下走了。一旦匹配直接执行

-D 删除一条规则，比如iptables -D INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP（删除~6.那条规则）

~8. iptables -IINPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT

指定（-i）网卡为etho的

~9. iptables -nvL --line-numbers

假如，我们很久之间写了一条很长的规则，就像~6.。我们想把它删了，但是又想不起来这条规则是怎么写的。沃恩可以执行这条命令，在前面加上序号，用序号把他删掉。写法为 iptables -D INPUT 7

~10. iptables -D INPUT 1

利用序号，把规则删掉

~11. iptables -P INPUT DROP

-P指定链的默认的规则。像OUTPUT没有任何的规则。那么他就有默认的策略（ACCEPT）来决定。默认的策略就是ACCEPT。所有的数据包，只要是没有具体的规则来匹配，那么就走默认的策略。那么这个默认的策略也可以改，也可以改成DORP。写法为：iptables -P OUTPUT DROP。但是不要这么改默认的规则。一旦这么改了，就会连不上服务器，因为DORP掉了，数据回传不过来，xshell只能掉了。就只能回到服务器在改回来 iptables -P OUTPUT ACCEPT

默认的规则不要改，保持默认就可以了

实例：

[root@axinlinux-01 ~]# iptables -nvL 红色部分是他的规则

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

61 7858 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED

0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0

1 60 INPUT_direct all -- * * 0.0.0.0/0 0.0.0.0/0

1 60 INPUT_ZONES_SOURCE all -- * * 0.0.0.0/0 0.0.0.0/0

1 60 INPUT_ZONES all -- * * 0.0.0.0/0 0.0.0.0/0

0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID

0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

[root@axinlinux-01 ~]# iptables -F 清除规则

[root@axinlinux-01 ~]# iptables -nvL 会发现就没有规则了

Chain INPUT (policy ACCEPT 23 packets, 1924 bytes)

pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 15 packets, 1608 bytes)

pkts bytes target prot opt in out source destination

[root@axinlinux-01 ~]# service iptables restart 重启iptables 在查看规则

Redirecting to /bin/systemctl restart iptables.service 发现已加载回来

[root@axinlinux-01 ~]# iptables -nvL

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

22 1872 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0

0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0

0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22

0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

[root@axinlinux-01 ~]# iptables -t nat -nvL 空规则

Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

[root@axinlinux-01 ~]# iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP

[root@axinlinux-01 ~]# iptables -nvL

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

197 16288 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0

0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0

0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22

2 458 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

0 0 DROP tcp -- * * 192.168.188.1 192.168.188.128 tcp spt:1234 dpt:80

以上-选项相对应的。即为新增加的DORP规则

扩展：

图为端口映射：

转载于:https://my.oschina.net/u/3866149/blog/1853070

你可能感兴趣的文章

python模块--os模块

查看>>

linux下单节点oracle数据库间ogg搭建

谈谈javascript中的prototype与继承

查看>>

时序约束优先级_Vivado工程经验与各种时序约束技巧分享

查看>>

minio 并发数_MinIO 参数解析与限制

查看>>

flash back mysql_mysqlbinlog flashback 使用最佳实践

查看>>

mysql存储引擎模式_MySQL存储引擎

查看>>

python类 del_全面了解Python类的内置方法

查看>>

java jni 原理_使用JNI技术实现Java和C++的交互

查看>>

java 重写system.out_重写System.out.println(String x)方法

查看>>

mysql client命令行选项

查看>>

配置ORACLE 11g绿色版客户端和PLSQL远程连接环境

查看>>

ASP.NET中 DataList(数据列表)的使用前台绑定

查看>>

Linux学习之CentOS(八)--Linux系统的分区概念

查看>>

JavaScript---事件

查看>>

Android NDK入门实例计算斐波那契数列一生成jni头文件

查看>>

c/c++性能优化--I/O优化（上）

查看>>