网络相关firewalld和netfilter netfilter5表5链介绍iptables语法

时间：2018-01-24 22:17:45 阅读：254 评论：0 收藏：0 [点我收藏+]

标签：inpu 需要一起 ofo png ddb linux网络 tin pre

10.11 Linux网络相关
技术分享图片

如果使用终端连接服务器，不要直接执行关闭网卡，这样终端就无法连接服务器，可以使用关闭和启动一起执行
技术分享图片

设定虚拟网卡ens33:0
技术分享图片

vi编辑，DNS与网关都可以不要，因为原网卡已经有了
技术分享图片

运行命令
ifdown ens33 && ifup ens33 多出了ens33:0虚拟网卡
技术分享图片

查看网卡是否连接

更改主机名 hostnamectl set-hostname aminglinux
技术分享图片

vi/etc/hosts文件
技术分享图片

也可一行里一个IP多个域名
技术分享图片

如果多行多个ip都有相同一个域名，以最后一个为准
技术分享图片

10.12 firewalld和netfilter
技术分享图片

临时关闭

更改配置文件永久关闭
技术分享图片

开启netfilter防火墙步骤
技术分享图片

10.13 netfilter5表5链介绍
技术分享图片

filter的三个链
INPUT：数据包进来要经过的链，比如从80端口进来的数据包，要检查它的源数据包的ip是什么
当发现可疑的ip就要禁掉
FORWARD：数据包到了机器但不会进入内核，因为它不是给本机处理的，而是要给另一台机器处理
的，就要经过这个链
OUTPUT：要本机产生的包，出去之前要做的操作，比如这个包是发给某一个ip的，而这个ip被禁掉
所有发给这个ip的包也会被禁掉

nat的三个链
PREROUTING:数据包在进来那一刻就要更改
OUTPUT：跟filter的OUTPUT一样
POSTROUTING：数据包在出去那一刻就要更改
10.14 iptables语法
技术分享图片
规则配置文件/etc/systemfig/iptables

如果iptables -F清空后不想保存规则，就重启下服务，规则就恢复回来
systemctl iptables restart
指定查看filter的规则

计数器清零

执行这条命令：从IP192.168.188.1端口1234到ip192.168.188.128端口80的数据包直接扔掉
iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP
技术分享图片
-A（增加)

-I（插入），插入的规则会跑到前面去，是先执行上面的，再执行下面的，如果上面的匹配了，那下面的就不会再匹配了

-D是删除规则

如果规则写的太复杂，忘记怎么写，还有别一种方法删除规则
首先打印出序列号
技术分享图片
删除序列号7的规则

更改默认规则，会导致终端断开连接，因为反馈回来的数据包无法到达xshell
iptables -P OUTPUT DROP

需要到服务上重新放行，这个规则最好不要去动它，保持默认就可以了