单独针对一个网卡进行更改,对网卡配置文件修改后重启:ifdown ens33 && ifup ens33 。
重启ens33网卡。(ifdown ens33 && ifup ens33)
[root@localhost network-scripts]# ifconfig
ens33: flags=4163
inet 192.168.159.128 netmask 255.255.255.0 broadcast 192.168.159.255
inet6 fe80::cfb6:b956:82de:6f77 prefixlen 64 scopeid 0x20
ether 00:0c:29:43:65:0b txqueuelen 1000 (Ethernet)
RX packets 5138 bytes 445724 (435.2 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 3140 bytes 439420 (429.1 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
ens33:0: flags=4163
inet 192.168.159.130 netmask 255.255.255.0 broadcast 192.168.159.255
ether 00:0c:29:43:65:0b txqueuelen 1000 (Ethernet)
执行ifconfig查看网卡发现ens33:0这个虚拟网卡,可以ping通。lvs和keepalived会用到虚拟网卡。
mii-tool 网卡名
[root@localhost ~]# mii-tool ens33
ens33: negotiated 1000baseT-FD flow-control, link ok
最后那里显示link ok就是连接正常
ethtool 网卡名
[root@localhost ~]# ethtool ens33
Settings for ens33:
Supported ports: [ TP ]
Supported link modes: 10baseT/Half 10baseT/Full
......
Current message level: 0x00000007 (7)
drv probe link
Link detected: yes
最后link detected:yes 说明连接正常,连接不正常为no。
DNS的配置文件为/etc/resolv.conf
[root@localhost ~]# cat /etc/resolv.conf
Generated by NetworkManagernameserver 119.29.29.29
DNS配置文件信息是从网卡配置文件中获取的。更改了DNS配置文件之后,DNS会临时生效。重启网卡,DNS配置文件的内容会和网卡配置文件同步。
这个文件是linux和windows都有的。访问自定义域名时候用到。仅限在本机上使用。
[root@localhost ~]# ping www.baidu.com
PING www.a.shifen.com (115.239.211.112) 56(84) bytes of data.
......
[root@localhost ~]# ping www.qq.com
PING www.qq.com (14.17.42.40) 56(84) bytes of data.
......
ping百度和qq时候都能获取到一个地址。分别为115.239.211.112和14.17.42.40。
修改/etc/hosts文件,自定义IP所对应的域名
[root@localhost ~]# cat /etc/hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.159.2 www.baidu.com www.qq.com
[root@localhost ~]# ping www.baidu.com
PING www.baidu.com (192.168.159.2) 56(84) bytes of data.
[root@localhost ~]# ping www.qq.com
PING www.baidu.com (192.168.159.2) 56(84) bytes of data.
在/etc/hosts配置文件中自定义IP对应的域名后,ping域名会ping自定的IP。一个ip可以对应多个域名,用空格隔开,当一个域名对应多个IP时,以配置文件中靠前的配置为准。
selinux 是一种安全子系统(防火墙)
查看selinux状态
使用命令getenforce可以查看selinux的状态。Enforcing为开启。permissive为关闭。
临时开启和关闭selinux
getenforce 1 使selinux的状态变成Enforcing(开启)
getenforce 0 使selinux的状态变成permissive(关闭)
该操作只能临时更改selinux的状态。
永久关闭selinux
selinux配置文件/etc/selinux/config
永久关闭selinux需要修改配置文件中的SELINUX,将SELINUX=enforcing改成SELINUX=disable。重启系统就生效了。
netfilter防火墙iptables和firewalld都是管理netfilter防火墙的工具,centos7默认使用firewalld来管理netfilter防火墙。
[root@localhost ~]# systemctl disable firewalld #不让它开机启动
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
Removed symlink /etc/systemd/system/basic.target.wants/firewalld.service.
[root@localhost ~]# systemctl stop firewalld #把这个服务停掉
[root@localhost ~]# yum install -y iptables -services #安装iptables包
[root@localhost ~]# systemctl enable iptables #开机启动iptables
Created symlink from /etc/systemd/system/basic.target.wants/iptables.service to /usr/lib/systemd/system/iptables.service.
[root@localhost ~]# systemctl start iptables #启动iptables服务
使用命令iptables -nvL可以查看iptables的默认规则。
[root@localhost ~]# iptables -nvL
netfilter 5表及链的介绍
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
52 3472 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 33 packets, 3096 bytes)
pkts bytes target prot opt in out source destination
filter的三种链
基本语法:
iptables [-t表][操作命令][链][规则匹配器][-j目标动作]
表
常用操作命令
常用的规则匹配器
注意:
iptable -F 清空链规则
[root@centos-01 ~]# iptables -F #清空规则
[root@centos-01 ~]# iptables -nvL #查看规则
Chain INPUT (policy ACCEPT 6 packets, 428 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 4 packets, 448 bytes)
pkts bytes target prot opt in out source destination
iptable -F只是临时清空所有链规则,配置文件中还保存着之前的规则。
想要把当前规则保存到配置文件中需要执行以下命令
[root@centos-01 ~]# service iptables save
使用iptable -F清空规则之后。重启服务,之前的规则还会恢复。
[root@centos-01 ~]# service iptables restart
Redirecting to /bin/systemctl restart iptables.service
重启服务或重启服系统之后,还会加载配置文件中的规则。
之前这些操作都是对filter表进行的。若要对其他表进行,需要加-t参数
[root@centos-01 ~]# iptables -nvL -t nat
查看nat表的规则
iptables -Z 清零计数器
[root@centos-01 ~]# iptables -nvL #查看规则
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
100 7168 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
[root@centos-01 ~]# iptables -Z #清零计数器
[root@centos-01 ~]# iptables -nvL #查看规则
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
6 428 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
清零计数器是把规则表中的pkts(数据包)和bytes(数据量)两列的数字清零。
iptables -A/I 增加一条规则
[root@centos-01 ~]# iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP
不加-t默认是在filter表中增加规则。
-A INPUT 在INPUT链中添加规则。-p tcp 指定协议类型tcp。-s 192.168.188.1 指定源地址为192.168.188.1。--sport 1234 指定源端口为1234。-d 192.168.188.128 指定目标地址为192.168.188.128。--dport 80 指定目标端口为80。-j DROP 指定目标动作为丢弃数据包。
[root@centos-01 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
348 25560 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- lo 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
3 234 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
0 0 DROP tcp -- * 192.168.188.1 192.168.188.128 tcp spt:1234 dpt:80
最后一条就为刚才添加的规则。
[root@centos-01 ~]# iptables -I INPUT -p tcp --dport 80 -j DROP
[root@centos-01 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
484 34780 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
-A 添加的规则在最后一行,-I 添加的规则在第一行。
优先过滤最前面的规则,加入数据包匹配了第一条规则,那么它就会被DROP掉,不会继续往下匹配。
iptables -D删除规则
[root@centos-01 ~]# iptables -nvL --line-numbers
[root@centos-01 ~]# iptables -D INPUT 6
显示出各个规则的行号,然后根据行号删除规则。-D选项后需要说明是哪条链的第几条规则。
规则表中policy后跟的就是默认策略,默认策略为ACCEPT,通过-P命令可以修个各个链的默认策略。
[root@centos-01 ~]# iptables -P OUTPUT DROP
注意 : 尽量不要随意更改该配置,尤其是在进行远程登录时,一旦执行该命令后将会断开连接。这个策略设定后只能用命令:‘iptables -P OUTPUT ACCEPT’来恢复成原始状态,不能使用-F参数。
转:https://blog.51cto.com/754599082/2045857