网络相关
ifconfig查看网卡ip(yum install net-tools)

ifup ens33/ifdown ens33
远程ifdown会无法连接,因为已经宕了,在主机端ifconfig也看不到ip地址,要在主机ifup重新连接
ifdown eno16777728 && ifup eno16777728 //一起执行
ifdown eno16777728;ifup eno16777728 //重启指定的网卡。什么时候用(使用场景单独针对一个网卡,如增加一个DNS,网关,只需要重启指定的网卡)

设定虚拟网卡ens33:1 (lvs keepalived)
[root@lsx-02 ~]# cd /etc/sysconfig/network-scripts/
[root@lsx-02 network-scripts]# ls
ifcfg-eno16777736 ifdown-ppp ifup-eth ifup-sit
[root@lsx-02 network-scripts]# cp ifcfg-eno16777736 ifcfg-eno16777736\:0 \脱义
[root@lsx-02 network-scripts]# ls
ifcfg-eno16777736 ifdown-post ifup-bnep ifup-routes
ifcfg-eno16777736:0 ifdown-ppp ifup-eth ifup-sit
[root@lsx-02 network-scripts]# vi !$

GATEWAY和DNS都可以不要
ifdown eno16777728 && ifup eno16777728
Ifconfig

mii-tool ens33 查看网卡是否连接
ethtool ens33 也可以查看网卡是否连接

更改主机名
[root@lsx02 ~]# hostname lsx02
hostnamectl set-hostname aminglinux
[root@lsx02 ~]# cat /etc/hostname //配置文件

DNS配置文件/etc/resolv.conf 可以临时设置,但是网卡配置文件更改,会被覆盖

/etc/hosts文件
本地存放ip、域名
同样的域名、不同的ip以后面那个为主

[root@lsx-02 network-scripts]# mii-tool eno16777736 查看网卡是否连着网线
eno16777736: negotiated 1000baseT-FD flow-control, link ok

[root@lsx-02 network-scripts]# hostnamectl set-hostname lsx-001 更改主机名hostnamectl Centos7生效
[root@lsx-02 network-scripts]# hostname
lsx-001
[root@lsx-02 network-scripts]# bash
[root@lsx-001 network-scripts]#

[root@lsx-001 network-scripts]# cat /etc/hostname 主机名配置文件
lsx-001

firewalld(Os7)和netfilter
selinux临时关闭 setenforce 0
selinux永久关闭 vi /etc/selinux/config

centos7之前使用netfilter防火墙
centos7开始使用firewalld防火墙

关闭firewalld开启netfilter方法
systemctl stop firewalld
systemctl disable firewalled //不让开机启动
yum install -y iptables-services
systemctl enable iptables
systemctl start iptables

iptables -nvL //查看默认规则

 netfilter5表5链介绍
netfilter的5个表
Filter默认表用于过滤包,最常用的表,有INPUT、FORWARD、OUTPUT三个链
INPUT:数据包进入本机的一个链(比如访问我的80端口,我要检查一下它的源ip是什么。禁可疑ip)
FORWARD:虽然到了主机但是不到内核。因为是给其他机器处理的,所以要判断目标地址是不是本机,不是本机就需经过此链。经过此链也会做一些操作,比如把目标地址做一个更改或者转发。
OUTPUT:本机的包出去之前做的一些操作。比如到某个ip的。我已经把那ip禁掉,凡是到那ip的数据包都给它禁掉

nat表用于网络地址转换,有PREROUTING、OUTPUT、POSTROUTING三个链
Nat表使用场景路由器共享上网,有很多设备手机、电脑等都要去连路由器,都是由nat实现的。
还可以做端口映射。比如两台机器A、B,A是可以直接上网的,有个网卡a直接连互联网这个就是公网ip。B的b网卡也是公网ip,同时还要个c网卡,私网ip。C机器有一个D网卡私网。如果A要和C通信,必须借助B。B就要设置nat规则。比如要访问C的80端口,A借助B的公网做端口映射,B的8088端口映射到C的80端口
PREROUTING:在数据包进来的那一刻要更改的操作
POSTROUTING:数据包离开防火墙时,改变数据包源地址

managle表用于给数据包做标记,几乎用不到
raw表可以实现不追踪某些数据包,阿铭从来不用
security表在centos6中并没有,用于强制访问控制(MAC)的网络规则,

 iptables语法
查看iptables规则:iptables -nvL
iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
6 428 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- 0.0.0.0/0
cat /etc/sysconfig/iptables //规则保存位置
iptables -F 清空规则(但是默认规则还在文件里,没有清空、服务重启规则又回来了。要想文件里保存的是清空之后的内容执行)
service iptables save 保存规则
iptables -t nat //-t指定表
iptables -Z 可以把计数器清零
iptables -Z;iptables -nvL

封ip使用-I封
使用-I和-A的顺序,防火墙的过滤根据规则顺序的。
-A 是添加规则到指定链的结尾,最后一条。
-I是添加规则到执行链的开头,第一条。

iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP //默认表 -A增加规则到指定链的结尾,最后一条 -s来源ip -p指定协议 --sport端口 -d目标ip -j操作
iptables -I INPUT -p tcp --dport 80 -jDROP //封目标端口为80
iptables -I/-A/-D INPUT -s 1.1.1.1 -j DROP
iptables -I INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT //-i指定网卡
iptables -nvL --line-numbers //列出规则序号
iptables -D INPUT 1 //-D 删除 INPUT 后面的数字是指定序号
iptables -P INPUT DROP //-P 指定链的默认规则