Linux 网络服务

2021-11-30

• Linux网络配置

• 查看及测试网络

• 查看网络设置

• 测试网络连接

• 设置网络地址参数

• 使用网络配置命令

• 修改网络配置文件

• 使用DHCP动态配置主机地址

• 配置DHCP服务器

• 使用DHCP客户端

• 搭建DNS服务器

• 使用远程管理Linux系统

ifconfig命令

用途：查看所有活动网络接口的信息

IP地址、子网掩码、广播地址、MAC地址

语法：ifconfig 网络接口名

临时配置网卡信息，标准格式

ifconfig 网卡名 IP地址/网络位

ifconfig 网卡名 IP地址 netmask 子网掩码

ifconfig 接口名:1 10.0.1.1 # ：为物理网卡设置虚拟接口IP地址。

hostname命令

用途：查看主机名。

语法：hostname

临时修改主机名

hostname 主机名称

运行bash后生效关机就没

route命令

用途：查看或者设置主机中路由表信息（网关地址）

语法：route -n #数字化IP地址信息，*→0.0.0.0

临时设置路由表信息

route add default gw x.x.x.x #临时设置网关地址，向路由表中添加默认网关记录

route add -net 0.0.0.0 gw x.x.x.x #添加到指定网段地址的路由记录

route del default gw IP地址 #删除路由网段的路由记录

route del -net 网段地址 #删除到指定网段的路由记录

什么是路由

路由器中维护的路由条目的集合

路由器根据路由表做路径选择

路由表的形成

直连网段

配置IP地址，端口UP，形成直连路由非直连网段

netstat -anpt/-anpu ：查看当前端口和网络连接状态

-a：查看所有网络接口信息

-n：数字显示

-p：显示进程PID号

-t/-u：tcp和udp连接

ping命令

用途：测试网络连通性

语法：ping [选项] 目标主机

选项：

-c 设置完成要求回应的次数

-f 极限检测

-i 指定收发信息的间隔时间

-l 使用指定的网络接口送出的数据包

-n 只输出数值

-R 记录路由过程

-t 存活数值TTL的大小

-v 详细显示指令的执行过程

ping回显错误：

主机不可达原因：网关信息错误或者网关指路信息不对

网络不可达原因：传输icmp数据包网关没有进行转发或者没有网关

timeout：

tracerroute命令

用途：测试从当前到目标主机的IP地址，路由跟踪命令，自动返回A点到B点之心所有的路由节点信息

nslookup命令

用途：DNS解析查询

语法：nslookup www.xxx.com 206.106.0.20

永久修改IP地址信息。需要编辑配置文件

vim /etc/sysconfig/network-scripts/ifcfg-ens33

主要配置项

TYPE=Ethernet——网卡类型（不用管）

BOOTPROTO=static——获取IP地址手段（dhcp/static）

DEVICE=ens33——设备名称（不用管）

ONBOOT=yes——开机引导（no改为yes）

IPADDR=192.168.4.11——设置IP地址

NATMASK=255.255.255.0——设置子网掩码

GATEWAY=192.168.4.1——设置网关地址

DNS1=202.106.0.20——首选DNS

DNS2=114.114.114.114——备选DNS

验证配置的网卡信息

ifconfig、route -n、cat /etc/resolv.conf

查DNS

cat /etc/resolv.conf

禁用、启用network网络服务

ifdown ens33

ifup en33

直连路由：网卡和路由直连的网段

临时配置 --使用命令调整网络参数

简单、快速，可直接修改运行中的网络参数

一般知识和在调试网络的过程中使用

系统重启后，所做的修改将会失效

固定配置 ——通过修改文件修改网络参数

修改各项网络参数的配置文件

适合对服务器设置固定参数时使用

需要重载网络服务或者重启以后才会生效

配置DHCP服务器（动态IP地址分发服务器）

DHCP工作原理

1. 客户端发出DHCP发现包，寻找DHCP服务器，关键信息，客户端MAC，客户端主机名，源IP地址0.0.0.0,目标IP地址：255.255.255.255

2. 服务器响应请求并且提供可以分配的IP地址。关键信息，目标MAC，目标主机名（客户端），源IP地址时DHCP服务器的IP，目标IP地址：255.255.255.255.可以为客户端提供IP

3. 客户端发出选择某个DHCP服务器提供的IP地址。关键信息，客户端MAC，客户端主机名，源IP地址0.0.0.0,目标IP地址：255.255.255.255，选择服务器提供给客户端的IP地址

4. 服务器发出，确认IP地址租约生效。

特殊IP地址：169.254.xx.xx，如果出现这个IP地址，表示从DHCP服务器获取IP失败了。例如DHCP服务器宕机，网络故障，地址池耗尽攻击。

补充笔记

SSH：加密的远程管理服务，默认监听TCP 22号端口

问客户机提供安全的shell环境，用于远程管理

OpenSSH

服务名：sshd

服务端主程序：/usr/sbin/sshd

服务端配置：/etc/ssh/sshd_config

修改配置文件：

vim /etc/ssh/sshd_config

Port 22——监听端口号

ListenAddress 172.16.3.22——监听IP地址

Protocol 2——ssh协议版本

UseDNS no——不进行DNS反向查询

服务监听选项

端口号、协议版本、协议IP地址

禁用反向解析域名

用户登录控制

禁止root用户、空密码

登录时间、重试次数

AllowUsers、DenyUsers

修改配置：

vim /etc/ssh/sshd_config

LoginGraceTime 2m——登录时间

PermitRootLogin no——禁止root从ssh登录

MaxAuthTries 6——密码重试6次需要重新输入用户名

PermitEmptyPasswords no——禁止空密码登录

AllowUsers jerry [email protected]——只允许使用本地的jerry登录ssh，只允许使用本地的admin从61.23.21.25访问ssh服务

登录验证对象

服务器中的本地用户账号

命令字

密码验证：核对用户名、密码是否匹配

密钥对验证：核对客户的私钥、服务端公钥是否匹配

修改配置：

vim /etc/ssh/sshd_config

PasswordAuthbentication yes——允许密码验证

PubkeyAuthenication yes————允许公钥验证

AuthorizedKeyFile ./ssh/authorized_keys——存放公钥的文件所在位置

ssh命令

用途：用ssh远程连接服务器

语法：ssh user@IP地址

通过ssh远程传输文件（以客户端角度）

下载：scp 用户名@IP地址 ：目录 本地路径

上传：scp file1 user@host:目录/文件

例句：

scp [email protected]:/root/test.txt c:\test

scp c:\用户\1.txt [email protected]:/root/

ssh-copy-id -i /root/.ssh/id_rsa.pub [email protected]

PKI：公钥私钥成对生成，互相可以加解密，无法通过一个密钥算出另一半私钥。

四大功能：身份认证、数据机密性、数据完整性、操作的不可否认性

数字加密：发送发使用接收放的公钥将数据进行加密，接收方用自己的私钥将数据解密

数字签名：发送方将数据进行散列算法，得到摘要值，用自己的私钥将摘要值进行加密，再将明文数据和加密的摘要值交给接收方，接收方用发送方的摘要值解密，并且也对数据进行散列运算，最后对比两个摘要值。

ssh流程

TCP Wrappers:针对各个服务对端口号的筛选

实现保护机制的文件：

/etc/hosts.allow：白名单，允许访问

/etc/hosts.deny：黑名单，不允许访问

先检查白名单再检查黑名单，如果都没有则放行流量。

名单文件中语法：

hosts.allow

服务名:IP地址1,IP地址2,网段

hosts.deny

服务名:ALL

DNS系统的作用及类型

• 作用：分布式且层的域名系统，负责域名与IP地址之间的相互解析（转换）

• 正向解析：根据主机名称（域名）查找对应的IP地址

• 反向解析：根据IP地址查找对应的主机域名

• 类型：

• 高速缓存服务器：用于对外公开查询，没有具体的解析文件，都记录在缓存中，多为首选DNS服务器，如202.106.0.20，114.114.114.114

• 主域名服务器有具体的区域解析文件，被机构管理

• 从域名服务器：用于从主要名称服务器上进行“区域传输”来备份区域解析文件。

• 区域解析文件中的主要信息：解析记录

• A记录：用于主机名→IP地址的正向解析

• CNAME：用于给A记录做个别名。

• MX记录：邮件交换记录，用于指定电子邮件投递时候SMTP服务的位置来实现电子邮件路由。

• NS：名称服务器记录，用于表示维持某域名解析文件的服务器有哪些。比如dadu.com由一台主要和五台次要组成，那每台DNS上dadu.com的NS记录就是6条，分别指向者1主+5从。

• SOA：起始授权机构，用于指出次维护此域名服务器中谁是主服务器。比如1主+5从，每台服务器中会有一条SOA记录，用于执指向1主。

• SRV：用于指出提供某些特殊服务的主机。

• hosts文件

• Linux文件：/root/etc/hosts

• Windows文件：C:\Windwos\System32\drivers\etc\hosts

DNS流程：本地hosts文件→本地缓存→首选DNS（高速缓存服务器）→根域

根域→高速缓存服务器

高速缓存服务器→顶级域

顶级域→高速缓存服务器

高速缓存服务器→二级域

二级域→高速缓存服务器

高速缓存服务器→本地缓存→最终获取解析的IP地址

www .chaitin .com .

最右侧的"."：根域，所有域名起始，默认不需要输入

右侧第二部分：顶级域，用于表示域名所属常见顶级域

右侧第三部分：二级域，真正由域名注册者自由填写的域名信息，只要不重复就可以注册（需要付费，否则域名回收。

右侧第四部分：主机名或三级域

常见顶级域：

组织域

.gov：政府

.net：互联网服务提供商

.com：商业机构

.edu：教育组织

.mil：军事机构

.org：民间组织

国家域

.cn域名是由我国管理的国际顶级域名，是中国自己的互联网标识，cn一般代表中国，它体现了一种文化的认同、自身的价值和定位。

.jp：日本

.hk：美国

.hk：香港

.uk：英国