Linux防火墙、配置、策略、路由表如何实现?(linux配置防火墙策略路由表)

Linux操作系统作为一种开源软件,备受企业用户的青睐。但是,在企业大规模使用Linux系统的同时,数据安全的问题也向企业管理者提出了更高的要求。如何保证Linux系统的安全,成为了企业IT团队必须要面对的问题之一。

创新互联建站专业为企业提供玉树网站建设、玉树做网站、玉树网站设计、玉树网站制作等企业网站建设、网页设计与制作、玉树企业网站模板建站服务,10年玉树做网站经验,不只是建网站,更提供有价值的思路和整体网络服务。

其中防火墙、配置、策略、路由表的实现技巧尤其重要,因为这涉及到企业对Linux系统进行安全防护和数据限制的管理。

Linux防火墙的实现

为了保证企业IT系统中的Linux操作系统安全,防火墙是必不可少的。Linux防火墙的实现需要考虑以下几个方面:

1. 选择适合自己的防火墙软件:Linux系统提供了多种防火墙软件,如iptables、UFW、IPset等。企业管理者可以根据公司需求,选择适合自己的防火墙软件。

2. 配置防火墙规则:防火墙可以通过过滤数据包,阻止非法请求的接入。在配置防火墙规则时,应考虑到不同服务所需的端口和协议,以及数据传输的安全性和完整性等因素,包括允许特定IP地址的访问,限制不同类型的流量,以及在定义规则时,优先级的问题。

3. 配置NAT:网络地址转换(NAT)是保护Linux系统的另一种重要手段。通过使用NAT,企业可以将私有IP地址对外展示,同时可以控制公有IP地址对Linux系统的访问,从而增加Linux系统的安全性。

Linux配置的实现

为了保证企业的Linux系统安全,管理者需要对Linux系统进行适当的配置,确保其性能稳定,并保护数据的安全性。

1. 使用多个用户:企业管理员应该尝试使用多个用户来实现安全管理。用户层级可以限制特定的命令和数据存储。

2. 使用密码策略:Linux系统的管理员还应该实现密码策略。这可以包括要求用户更改密码、使用密码工具和限制登录尝试等。

3. 配置安全选项:另一方面,企业管理员应该在Linux系统中配置安全选项。这可以包括正在运行的设备、文件权限和防病毒软件等。

Linux策略的实现

为确保Linux系统的安全,企业管理员需要在系统中执行一些策略。以下是企业管理员可以考虑实现的一些策略:

1. 完善员工的访问控制:企业管理员应该使用更佳实践来完善员工的访问控制。这可以包括限制特定IP地址的访问、在一个模块上保护另一个模块或数据等。

2. 实施身份验证控制:企业管理员还应该实施身份验证控制,确保员工和关键账户的身份和权限得到精确的保护。

3. 进行统一管理:企业管理员应该进行统一管理。这可以包括提供IT培训和指导、回答常见问题和支持用户等。

Linux路由表的实现

Linux路由表可以帮助企业保护其数据传输。以下是企业管理员可以考虑实现的一些策略:

1. 配置路由表:企业管理员应该配置Linux的路由表,以保护数据通过必要的路径移动,并缩小攻击者的空间。

2. 启用分段:另一方面,企业管理员应该在路由表中启用分段。这可以通过向企业网关添加配置来实现 /32 和 /31 网段,并防止特定的IP地址进入Linux系统。

3. 添加静态路由:企业管理员应该添加静态路由。这可以通过在企业的路由器或防火墙上添加路由表来实现。

Linux防火墙、配置、策略和路由表的实现对于保护企业Linux系统和数据的安全而言至关重要。为了确保系统的安全性,企业管理员应遵循更佳实践和推荐的安全方法,并持续更新Linux系统以避免安全漏洞。

相关问题拓展阅读:

  • linux网络设置
  • linux下配置网络连接

linux网络设置

首先把虚拟机设置为桥接,然后配置ip 地址

首先用虚拟机ping网关192.168.100.100

一般路由器自带拨号功能,如果你真机每次上网都没有进行拨号的举并话,那就是属于路由器自动拨号,那就不需要拨号,反之就需要拨号

linux ping 192.168.100.100 通了 说明IP和网关没问题

不通的话说明IP地址或者网关设置有错误

解决IP和网关问题首先输入 setup 进入 network这项 选择使用的网卡 一般情况下 只有一块网卡就是eth0 下面的自己填 是人都懂

但是记住,里高肆面有一项use dhcp 选中说明启用DHCP 这个时候不能手动设置IP

如果不想更改,需要自己架设DHCP服务器或者打开路由的DHCP功能 要手动设置就要取消这项

修改ip之后要重启网正念迹卡输入ifdown eth0

ifup eth0

但ping

www.baidu.com

不通 说明没有设置DNS或者DNS错误

vi /etc/resolv.conf

输入i进行输入

在里面输入

nameserver 自己城市的dns

nameserver 自己城市的dns

例子:我在成都

nameserver 202.98.96.68

nameserver 61.139.2.69

退出的时候先输入: 然后按x进行保存

不懂的再问

一.安装和配置网络设备

在安装linux时,如果你有网卡,安装程序将会提示你给出tcp/ip网络的配置参数,如本机的 ip地址,缺省网关的ip地址,DNS的ip地址等等.根据这些配置参数,安装程序将会自动把网卡(linux系统首先要支持)驱动程序编译到内核中去. 但是我们一定要了解加载网卡驱动程序的过程,那么在以后改变网卡,使用多个网卡的时候我们就会很容易的操作.网卡的驱动程序是作为模块加载到内核中去的, 所有linux支持的网卡驱动程序都是存放在目录/lib/modules/(linux版本号)/net/ ,例如inter的82559系列10/100M自适应的引导网卡的驱动程序是eepro100.o,3COM的3C509 ISA网卡的驱动程序是3C509.o,DLINK的pci 10网卡的驱动程序是via-rhine.o,NE2023兼容性网卡的驱动程序是ne2k-pci.o和ne.o.在了解了这些基本的驱动程序之后,我们就可以通过修改模块配置文件来更换网卡或者增加网卡数数.

1. 修改/etc/conf.modules 文件

这个配置文件是加载模块的重要参数文件,大家先看一个范例文件

#/etc/conf.modules

alias eth0 eepro100

alias eth1 eepro100

这个文件是一个装有两块inter 82559系列网卡的linux系统中的conf.modules中的内容.alias命令表明以太口(如eth0)所具有的驱动程序的名称,alias eth0 eepro100说明在零号以太网口所要加载的驱动程序是eepro100.o.那么在使用命令 modprobe eth0的时候,系统将自动将eepro100.o加载到内核中.对于pci的网卡来说,由于系统会自动找到网卡的io地址和中断号,所以没有必要在 conf.modules中使用选项options来指定网卡的io地址和中断号.但是对应于ISA网卡,则必须要在conf.modules中指定硬件的io地址或中断号, 如下所示,表明了一块NE的ISA网卡的conf.modules文件.

alias eth0 ne

options ne io=0x300 irq=5

在修改完conf.modules文件之后,就可以使用命令来加载模块,例如要插入inter的第二块网卡:

#inod /lib/modules/2.2.14/net/eepro100.o

这样就可以在以太口加载模块eepro100.o.同时,还可以使用命令来查看当前加载的模块信息:

# lod

Module Size Used by

eepro(autoclean)

返回结果的含义是当前加载的模块是eepro100,大小是15652个字节,使用者两个,方式是自动清除.

2. 修改/etc/lilo.conf文件

在一些比较新的linux版本中,由于操作系统自动检测所有相关的斗培硬件,所以此时不必修改/etc/lilo.conf文件.但是对于ISA网卡和老的版本,为了在系统初始化中对新加的网卡进行初始化,可以修改lilo.conf文件.在/etc/lilo.conf文件中增加如下命令:

append=”ether=5,0×240,eth0 ether=7,0×300,eth1″

这条命令的含义是eth0的io地址是0x240,中断是5,eth1的io地址是0x300,中断是7.

实际上,这条语句来自在系统引导影像文件时传递的参数,

LILO: linux ether=5,0×240,eth0 ether=7,0×300,eth1

这种方法也同样能够使linux系统配置好两个网卡.类似的,在使用三个以上网卡的时候,也可以依照同样的方法.

在配空毕唯置好网卡之后,就应该配置TCP/IP的参数,在一般情况下,在安装linux系统的同时就会提示配置网络参数.但是之后如果我们想要修改网络设置,可以使用如下的命令:

#ifconfig eth0 A.B.C.D netmask E.F.G.H

A.B.C.D 是eth0的IP地址,E.F.G.H是网络掩码.

其实,在linux系统中我们可以给一块网卡设置多个ip地址,例如下面的命令:

#ifconfig eth0:1 202.112.11.218 netmask 255.255.255.192

然后,使用命令#ifconfig -a 就可以看到所有的网络接口的界面:

eth0 Link encap:Ethernet HWaddr 00:90:27:58:AF:1A

inet addr:202.112.13.204 Bcast:202.112.13.255 Mask:255.255.255.192

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:errors:0 dropped:0 overruns:0 frame:2

TX packets:errors:0 dropped:0 overruns:0 carrier:0

collisions:txqueuelen:100

Interrupt:10 Base address:0xc000

eth0:1 Link encap:Ethernet HWaddr 00:90:27:58:AF:1A

inet addr:202.112.11.218 Bcast:202.112.11.255 Mask:255.255.255.192

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

Interrupt:10 Base address:0xc000

lo Link encap:Local Loopback

inet addr:127.0.0.1 Mask:255.0.0.0

UP LOOPBACK RUNNING MTU:3924 Metric:1

RX packets:2023 errors:0 dropped:0 overruns:0 frame:0

TX packets:2023 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:0

看到网络接口有三个,eth0 , eth0:1,lo,eth0是真实的以太网络接口,eth0:1和eth0是同一块网卡,只不过绑定了另外的一个地址,lo是会送地址。

eth0和 eth0:

1可以使用不同网段的ip地址,这在同一个物理网段却使用不同的网络地址的时候十分有用。

另外,网卡有一种模式是混杂模式(prosimc),在这个模式下,网卡将会接收网络中所有的数据包,一些linux下的网络监听工具例如tcpdump,snort等等都是把网卡设置为混杂模式.

ifconfig命令可以在本次运行的时间内改变网卡的ip地址,但是如果系统重新启动,linux仍然按照原来的默认的设置启动网络接口。

这时候,可以使用netconfig或netconf命令来重新设置默认网络参数。netconfig 命令是重新配置基本的tcp/ip参数,参数包括是否配置为动态获得ip地址(dhcpd和bootp),网卡的ip地址,网络掩码,缺省网关和选择的域名服务器地址。

netconf命令可以详细的配置所有网络的参数,分为客户端任务,服务器端任务和其他的配置三个部分,在客户端的配置中,主要包括基本主机的配置(主机名,有效域名,网络别名,对应相应网卡的ip地址,网络掩码,网络设备名,网络设备的内核驱动程序),

DNS地址配置,缺省网关的地址配置,NIS地址配置,ipx接口配置,ppp/slip的配置等等。在服务器端配置中,主要包括NFS的配置,DNS的配置, ApacheWebServer配置,Samba的配置和Wu-ftpd的配置

。在其他的配置选项中,一个是关于/etc/hosts文件中的主机配置,一个是关于/etc/networks文件中的网络配置信息,最后是关于使用linuxconf配置的信息。

在linuxconf命令下,同样也可以配置网络信息,但是大家可以发现,linuxconf程序是调用netconf来进行网络配置的。

另外,在/etc/sysconfig/network-scripts目录下存放着系统关于网络的配置文件,

范例如下:

ifcfg-eth0* ifdown-post* ifup-aliases* ifup-ppp*

ifcfg-eth1* ifdown-ppp* ifup-ipx* ifup-routes*

ifcfg-lo* ifdown-sl* ifup-plip* ifup-sl*

ifdown@ ifup@ ifup-post* network-functions

ifcfg-eth0是以太口eth0的配置信息,

它的内容如下:

DEVICE=”eth0″ /*指明网络设备名称*/

IPADDR=”202.112.13.204″ /*指明网络设备的ip地址*/

NETMASK=”255.255.255.192″ /*指明网络掩码*/

NETWORK=202.112.13.192 /*指明网络地址*/

BROADCAST=202.112.13.255 /*指明广播地址*/

ONBOOT=”yes” /*指明在系统启动时是否激活网卡*/

BOOTPROTO=”none” /*指明是否使用bootp协议*/

所以,也可以修改这个文件来进行linux下网络参数的改变。

二 网络服务的配置

在这一部分,我们并不是详细的介绍具体的网络服务器(DNS,FTP,WWW,SENDMAIL)的配置(那将是巨大的篇幅),而是介绍一下与linux网络服务的配置相关的文件.

1. LILO的配置文件

在linux系统中,有一个系统引导程序,那就是lilo(linux loadin),利用lilo可以实现多操作系统的选择启动.它的配置文件是/etc/lilo.conf.在这个配置文件中,lilo的配置参数主要分为两个部分,一个是全局配置参数,包括设置启动设备等等.另一个是局部配置参数,包括每个引导影像文件的配置参数.

在这里就不详细介绍每个参数,特别的仅仅说明两个重要的参数:password和restricted选项,password选项为每个引导的影像文件加入口令保护. 都知道,在linux系统中有一个运行模式是单用户模式,在这个模式下,用户是以超级用户的身份登录到linux系统中.人们可以通过在lilo引导的时候加入参数(linux single 或linux init 0)就可以不需要口令直接进入单用户模式的超级用户环境中,这将是十分危险的.所以在lilo.conf中增加了password的配置选项来为每个影像文件增加口令保护. 可以在全局模式中使用password选项(对所有影像文件都加入相同的口令),或者为每个单独的影像文件加入口令.

这样一来,在每次系统启动时,都会要求用户输入口令.也许觉得每次都要输入口令很麻烦,可以使用restricted选项,它可以使lilo仅仅在linux启动时输入了参数(例如 linux single)的时候才会检验密码.这两个选项可以极大的增加系统的安全性,建议在lilo.conf文件中设置它们.

由于password在/etc/lilo.conf文件是以明文存放的,所以必须要将/etc/lilo.conf文件的属性改为仅仅root可读(0400).

另外,在lilo的早期版本中,存在着引导扇区必须存放到前1024柱面的限制,在lilo的2.51版本中已经突破了这个限制,同时引导界面也变成了图形界面更加直观.将最新版本下载解压后,使用命令make” 后,使用命令make install即可完成安装.

注意: 物理安全才是最基本的安全,即使在lilo.conf中增加了口令保护,如果没有物理安全,恶意闯入者可以使用启动软盘启动linux系统.

2. 域名服务的配置文件

(1)/etc/HOSTNAME 在这个文件中保存着linux系统的主机名和域名.范例文件

ice.xanet.edu.cn

这个文件表明了主机名ice,域名是xanet.edu.cn

(2)/etc/hosts和/etc/networks文件在域名服务系统中,有着主机表机制,/etc/hosts和/etc/networks就是主机表发展而来在/etc/hosts中存放着你不需要DNS 系统查询而得的主机ip地址和主机名的对应,下面是一个范例文件:

# ip 地址 主机名 别名

127.0.0.1 localhosts loopback

202.117.1.13

www.xjtu.edu.cn

www

202.117.1.24 ftp.xjtu.edu.cn ftp

在/etc/networks 中,存放着网络ip地址和网络名称的一一对应.它的文件格式和/etc/hosts是类似的

(3)/etc/resolv.conf 这个文件是DNS域名解析器的主要配置文件,它的格式十分简单,每一行由一个主关键字组成./etc/resolv.conf的关键字主要有:

domain 指明缺省的本地域名,

search 指明了一系列查找主机名的时候搜索的域名列表,

nameserver 指明了在进行域名解析时域名服务器的ip地址.

下面给出一个范例文件:

#/etc/resolv.conf

domain xjtu.edu.cn

search xjtu.edu.cn edu.cn

nameserver 202.117.0.20

nameserver 202.117.1.9

(4)/etc/host.conf 在系统中同时存在着DNS域名解析和/etc/hosts的主机表机制时,由文件/etc/host.conf来说明了解析器的查询顺序.

范例文件如下

#/etc/host.conf

order

hosts,bind #

解析器查询顺序是文件/etc/hosts,然后是DNS

multi on #允许主机拥有多个ip地址

nospoof on #禁止ip地址欺骗

3. DHCP的配置文件

/etc/dhcpd.conf是DHCPD的配置文件,我们可以通过在/etc/dhcpd.conf文件中的配置来实现在局域网中动态分配ip地址,一台linux主机设置为dhcpd服务器,通过鉴别网卡的MAC地址来动态的分配ip地址.

范例文件如下:

option domain-name “chinapub.com”;

use-host-decl-names off;

subnet 210.27.48.0 netmask 255.255.255.192

{

filename “/tmp/image”;

host dial_server

{

hardware ethernet 00:02:b3:11:f2:30;

fixed-address 210.27.48.8;

filename “/tmp/image”;

}

}

在这个文件中,最主要的是通过设置的硬件地址来鉴别局域网中的主机,并分配给它指定的ip地址,hardware ethernet 00:02:b3:11:f2:30指定要动态分配ip的主机得网卡的MAC地址,fixed-address 210.27.48.8指定分配其ip地址。filename “/tmp/image”是通过tftp服务,主机所要得到的影像文件,可以通过得到的影像文件来引导主机启动

4. 超级守候进程inetd的配置

在linux系统中有一个超级守候进程inetd,inetd监听由文件/etc/services指定的服务的端口,inetd根据网络连接请求,调用相应的服务进程来相应请求.在这里有两个文件十分重要,/etc/inetd.conf和/etc/services,文件/etc/services定义linu系统中所有服务的名称,协议类型,服务的端口等等信息,/etc/inetd.conf是inetd的配置文件,由它来指定那些服务可以由 inetd来监听,以及相应的服务进程的调用命令

.首先介绍一下/etc/services文件,/etc/services文件是一个服务名和服务端口对应的数据库文件,

如下面所示:

/etc/services文件

(实际上,以上仅仅是/etc/services的一部分,限于篇幅没有全部写出)

在这个文件中,为了安全考虑,可以修改一些常用服务的端口地址,

例如可以把telnet服务的端口地址改为52323,www的端口改为8080,ftp端口地址改为2121等等,这样仅仅需要在应用程序中修改相应的端口即可.这样可以提高系统的安全性.

/etc/inetd.conf文件是inetd的配置文件, 首先要了解一下linux服务器到底要提供哪些服务。一个很好的原则是” 禁止所有不需要的服务”,这样黑客就少了一些攻击系统的机会./etc/inetd.conf范例文件

大家看到的这个文件已经修改过的文件,除了telnet 和ftp服务,其他所有的服务都被禁止了.在修改了/etc/inetd.conf之后,使用命令kill -HUP (inetd的进程号),使inetd重新读取配置文件并重新启动即可.

5. ip route的配置

利用linux,一台普通的微机也可以实现高性价比的路由器.

首先了解一下linux的查看路由信息的命令:

# route -n

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface

202.112.13.204 0.0.0.0 255.255.255.255 UHeth0

202.117.48.43 0.0.0.0 255.255.255.255 UHeth1

202.112.13..112.13..255.255.192 UGeth0

202.112.13.192 0.0.0.0 255.255.255.192 Ueth0

202.117.48.0 202.117.48.43 255.255.255.0 UGeth1

202.117.48.0 0.0.0.0 255.255.255.0 Ueth1

127.0.0.0 0.0.0.0 255.0.0.0 Ulo

0.0.0.0 202.117.48.1 0.0.0.0 UGeth1

命令netstat -r n 得到输出结果和route -n是一样的.它们操作的都是linux 内核的路由表.

命令cat /proc/net/route的输出结果是以十六进制表示的路由表

.

# cat /proc/net/route

Iface Destination Gateway Flags RefCnt Use Metric

Mask

eth0 CC0D70CAFFFFFFF

eth1 2B3075CAFFFFFFF

eth0 C00D70CA CC0D70CAC0FFFFF

eth0 C00D70CAC0FFFFF

ethCA 2B3075CAFFFFF

ethCAFFFFF

loFF

eth075CA00000

通过计算可以知道,下面的这个路由表(十六进制)和前面的路由表(十进制)是一致的.

我们还可以通过命令route add (del )来操作路由表,增加和删除路由信息.

除了上面的静态路由,linux还可以通过routed来实现rip协议的动态路由.我们只需要打开linux的路由转发功能,在/proc/sys/net/ipv4/ip_forward文件中增加一个字符

1.

三.网络的安全设置

在这一部分,再次强调一定要修改/etc/inetd.conf,安全的策略是禁止所有不需要的服务.

除此之外,还有以下几个文件和网络安全相关.

(1)./etc/ftpusers ftp服务是一个不太安全的服务,所以/etc/ftpusers限定了不允许通过ftp访问linux主机的用户列表.当一个ftp请求传送到 ftpd,ftpd首先检查用户名,如果用户名在/etc/ftpusers中,则ftpd将不会允许该用户继续连接.范例文件如下:

# /etc/ftpusers – users not allowed to login via ftp

root

bin

daemon

adm

lp

sync

shutdown

halt

mail

news

uucp

operator

games

nobody

nadmin

(2)/etc/securetty 在linux系统中,总共有六个终端控制台,我们可以在/etc/securetty中设置哪个终端允许root登录,所有其他没有写入文件中的终端都不允许root登录.范例文件如下:

# /etc/securetty – tty’s on which root is allowed to login

tty1

tty2

tty3

tty4

(3)tcpd的控制登录文件/etc/hosts.allow和/etc/hosts.deny

在tcpd服务进程中,通过在/etc/hosts.allow和/etc/hosts.deny中的访问控制规则来控制外部对linux主机的访问.它们的格式都是

service-list : hosts-list

服务进程的名称 :

主机列表 可选,当规则满足时的操作

在主机表中可以使用域名或ip地址,ALL表示匹配所有项,EXCEPT表示除了某些项, PARANOID表示当ip地址和域名不匹配时(域名伪装)匹配该项.

范例文件如下:

#

# hosts.allow

This file describes the names of the hosts which are

# allowed to use the local INET services, as decided

# by the ‘/usr/in/tcpd’ server.

#

ALL : 202.112.13.0/255.255.255.0

ftpd: 202.117.13.196

in.telnetd: 202.117.48.33

ALL : 127.0.0.1

在这个文件中,网段202.112.13.0/24可以访问linux系统中所有的网络服务,主机202.117.13.196只能访问ftpd服务,主机202.117.48.33只能访问telnetd服务.本机自身可以访问所有网络服务.

在/etc/hosts.deny文件中禁止所有其他情况:

#/etc/hosts.deny

ALL : DENY : spawn (/usr/bin

linux教程:Linux网络基本网络配置方法介绍

网络信息查看

查看网路接口信息

1.了解linux中的网络接口设备

$/in/ifconfig 查看所有活动网络接口信息,其中包括一个lo环回端口。

2.查看指定网络接口的信息

$/in/ifconfig 查看指定接口信息。

3.查看系统中所有网络接口的信息

$/in/ifconfig –a 查看所有接口信息,包括非活动状态接口。

注:普通用户查看网络接口信息时,需要在命令前加“/in”,而管理员却不用。这是由于命令搜索路径的原因,可以通过“$echo $PATH”查看。

查看网关地址和路由信息

1、查看主机路由信息

#/route

显示当前linux主机中的路由表信息。

#/route |grep default

在route命令的显示结果中以“default”开始的行显示了,主机的默认网关地址,将route命令和grep命令组合,使用过滤route命令的显示结果只显示默认网关地址。

2.测试与其它主机的网络链接

$ping 目的主机地址

使用ping命令测试与其它主机的网络链接。ctrl+C终止。

$ping –c

使用ping命令发送指定数量的数据包进友返行网络链接测试。

$使用ping命令进行网络链接测试的技巧。

注:当ping命令测试不成功时并不能判断当前主机到目标主机的连接是断开的,因为有很多因素,(如网络防火墙等)可以导致网络连接正常时主机之间无法ping通。

3、测试与其它主机的网络链接路径

$traceroute

traceroute命令显示当前主机与目的主机之间经过的所,有网络节点的地址,以及当前主机到每个中间结点的连接状态。

查看主机名称信息

1、查看当前主机名称

$Hostname 查看当前的主机名。

2、使用dns服务器查询域名

$Nslookup

交互模式:通常用于对DNS服务器进行测试

直接模式:用于查询某个域名对应的ip地址

使用网络命令进行网络设置

网络设置的方法

1、DHCP网络配置

$Dhclient 使用dhclient命令可以从DHCP服务器中申请新的网络配置应用到当前主机。

注:DHCP服务器通常提供给DHCP客户端最基本的网络配置信息,包括:接口ip地址,默认网关,DNS

服务器地址。

2、手工网络配置

网络接口ip地址和子网掩码

默认网关地址昌告凯

当前主机名称

DNS服务器地址

Ip地址配置命令

Ifconfig network

例:# ifconfig eth0 192.168.1.222 netmask 255.255.255.0

注:手工配置linux网络只限于临时使用,配置不保存。

扩展:# ifconfig eth0:1 10.0.0.1 netmask 255.0.0.0 一块网卡配置多个子ip地址。

# ifconfig eth0 hw ether MAC地址 修改网卡的mac地址,

路由配置命令

1、删除默认网关路由

$Route del default gw

2、添加默认耐唤网关路由

$Route add default gw

例:#route add default gw 192.168.1.1

主机名称配置命令

# hostname 123

将主机暂时名称改为123。

DNS域名解析

Nslookup

>server

显示linux系统中使用的DNS服务器地址,也可临时设置生效。

修改配置文件进行网络设置

使用工具进行网络设置

# Netconfig 图形界面设置网络,重启network后生效。

界面中需要填写的内容:

主机网络接口的ip地址。

网络接口的子网掩码。

默认网关地址。

主DNS服务器的ip地址。

网络服务启动脚本

/etc/init.d/network 从新启动才能生效

扩展:# /etc/rc.d/init.d/network start 启动network

# /etc/rc.d/init.d/network stop 停止network

# /etc/rc.d/init.d/network restart 重启network

网络接口配置文件

/etc/sysconfig/network-scripts/ifconfg-*

DEVICE=eth0 网卡编号

ONBOOT=yes 开机时是否启动网卡。

BOOTPROTO=static 静态ip或者DHCP动态获取。

IPADDR=192.168.1.163 ip

NETMASK=255.255.255.0 掩码

GATEWAY=192.168.1.1 网关

以下为动态获取方式:

DEVICE=eth0

ONBOOT=yes

BOOTPROTO=dhcp

停止和启动指定的网络接口

单个网络接口的配置进行修改后

Ifdown 网络接口名称 停止某个网络接口。

Ifup 网络接口名称 开启某个网络接口。

注:单个网络接口的配置文件进行修改后,不必每次都从新启动network服务使配置文件生效,可用以上命令。

扩展:对网络接口操作:

# ifconfig eth0 down 停止eth0接口

# ifconfig eth0 up 开启eth0接口

可以连续使用

Ifdown eth0 ; ifup eth0

主机名称配置文件

/etc/sysconfig/network

例:# vi /etc/sysconfig/network 使用vi编辑器打开主机名配置文件。

NETWORKING=yes 网络是否可用。

HOSTNAME=xxxx xxxx为新设置的主机名。

本地主机名称解析文件

/etc/hosts

Hosts 和 DNS具有类似的主机名称解析功能

域名服务器配置文件

/etc/resolv.conf

最多可以设置3行,前面的生效。

希望上面能帮助到您,推荐一个学习的网站 安全防线 百度一下之一位就是了

虚拟机网络配置将NAT改为桥接

然后进虚拟机将档丛红旗的网络配置由DHCP改为手动配置,填写和windows下面一个网段的ip,子网掩码,网行桐关和DNS

linux下配置网络连接

linux 命令配置网络连接首先,先了解传统的网络设置命令:

1. 使用ifconfig命令设置并查看网络接口情况

示例1: 设置eth0的IP,同时激活设备:

# ifconfig eth0 192.168.4.1 netmask 255.255.255.0 up

示例2: 设置eth0别名设备 eth0:1 的IP,并添加路由

# ifconfig eth0:1 192.168.4.2

# route add ?host 192.168.4.2 dev eth0:1

示例3:激活(禁用)设备

# ifconfig eth0:1 up(down)

示例4:查看所有(指定)网络接口设置

# ifconfig (eth0)

2. 使用route 命令设置路由表

示例1:添加到主机路由

# route add ?host 192.168.4.2 dev eth0:1

# route add ?host 192.168.4.1 gw 192.168.4.250

示例2:添加到网络的路由

# route add ?net IP netmask MASK eth0

# route add ?net IP netmask MASK gw IP

# route add ?net IP/24 eth1

示例3:添加默认网关

# route add default gw IP

示例4:删除路由

# route del ?host 192.168.4.1 dev eth0:1

示例5:查看路由信息

# route 或 route -n (-n 表示不解析名字,列出速度会比route 快)

3.ARP 管理命令

示例1:查看ARP缓存

# arp

示例2: 添加

# arp ?s IP MAC

示例3: 删除

# arp ?d IP

4. ip是iproute2软件包里面的一个强大的网络设置工具,他能够替代一些传统的网络管理工具。例如:ifconfig、route等,

上面的示例完万能用下面的ip命令实现,而且ip命令能实现更多的功能.下面介绍一些示例:

4.0 ip命令的语法

  ip命脊模顷令的用法如下:

ip OBJECT >

4.1 ip link set–改动设备的属性. 缩写:set、s

示例1:up/down 起动/关闭设备。

# ip link set dev eth0 up

这个等于传统的 # ifconfig eth0 up(down)

示例2:改动设备传输队列的长度。

参数:txqueuelen NUMBER或txqlen NUMBER

# ip link set dev eth0 txqueuelen 100

示例3:改动网络设备MTU(更大传输单元)的值。

# ip link set dev eth0 mtu 1500

示例4: 修改网络设备的MAC地址。

参数: address LLADDRESS

# ip link set dev eth0 address 00:01:4f:00:15:f1

4.2 ip link show–显示设备属性. 缩写:show、list、lst、sh、ls、l

-s选项出现两次或更多次,ip会输出更为周详的错误信息统计。

示例:

# ip -s -s link ls eth0

eth0: mtu 1500 qdisc cbq qlen 100

link/ether 00:a0:cc:66:18:78 brd ff:ff:ff:ff:ff:ff

RX: bytes packets errors dropped overrun mcast

RX errors: length crc frame fifo missed

TX: bytes packets errors dropped carrier collsns

35172

TX errors: aborted fifo window heartbeat

这个命码举令等樱陆于传统的 ifconfig eth0

5.1 ip address add–添加一个新的协议地址. 缩写:add、a

示例1:为每个地址设置一个字符串作为标签。为了和Linux-2.0的网络别名兼容,这个字符串必须以设备名开头,接着一个冒号,

# ip addr add local 192.168.4.1/28 brd + label eth0:1 dev eth0

示例2: 在以太网接口eth0上增加一个地址192.168.20.0,掩码长度为24位(155.155.155.0),标准广播地址,标签为eth0:Alias:

# ip addr add 192.168.4.2/24 brd + dev eth1 label eth1:1

这个命令等于传统的: ifconfig eth1:1 192.168.4.2

5.2 ip address delete–删除一个协议地址. 缩写:delete、del、d

# ip addr del 192.168.4.1/24 brd + dev eth0 label eth0:Alias1

5.3 ip address show–显示协议地址. 缩写:show、list、lst、sh、ls、l

# ip addr ls eth0

5.4.ip address flush–清除协议地址. 缩写:flush、f

示例1 : 删除属于私网10.0.0.0/8的所有地址:

# ip -s -s a f to 10/8

示例2 : 取消所有以太网卡的IP地址

# ip -4 addr flush label “eth0”

6. ip neighbour–neighbour/arp表管理命令

缩写 neighbour、neighbor、neigh、n

命令 add、change、replace、delete、fulsh、show(或list)

6.1 ip neighbour add — 添加一个新的邻接条目

ip neighbour change–修改一个现有的条目

ip neighbour replace–替换一个已有的条目

缩写:add、a;change、chg;replace、repl

示例1: 在设备eth0上,为地址10.0.0.3添加一个permanent ARP条目:

# ip neigh add 10.0.0.3 lladdr 0:0:0:0:0:1 dev eth0 nud perm

示例2:把状态改为reachable

# ip neigh chg 10.0.0.3 dev eth0 nud reachable

6.2.ip neighbour delete–删除一个邻接条目

示例1:删除设备eth0上的一个ARP条目10.0.0.3

# ip neigh del 10.0.0.3 dev eth0

6.3.ip neighbour show–显示网络邻居的信息. 缩写:show、list、sh、ls

示例1: # ip -s n ls 193.233.7.254

193.233.7.254. dev eth0 lladdr 00:00:0c:76:3f:85 ref 5 used 12/13/20 nud reachable

6.4.ip neighbour flush–清除邻接条目. 缩写:flush、f

示例1: (-s 能显示周详信息)

# ip -s -s n f 193.233.7.254

7. 路由表管理

7.1.缩写 route、ro、r

7.5.路由表

从Linux-2.2开始,内核把路由归纳到许多路由表中,这些表都进行了编号,编号数字的范围是1到255。另外,

为了方便,还能在/etc/iproute2/rt_tables中为路由表命名。

默认情况下,所有的路由都会入到表main(编号254)中。在进行路由查询时,内核只使用路由表main。

7.6.ip route add — 添加新路由

ip route change — 修改路由

ip route replace — 替换已有的路由

缩写:add、a;change、chg;replace、repl

示例1: 设置到网络10.0.0/24的路由经过网关193.233.7.65

# ip route add 10.0.0/24 via 193.233.7.65

示例2: 修改到网络10.0.0/24的直接路由,使其经过设备dummy

# ip route chg 10.0.0/24 dev dummy

示例3: 实现链路负载平衡.加入缺省多路径路由,让ppp0和ppp1分担负载(注意:scope值并非必需,他只不过是告诉内核,

这个路由要经过网关而不是直连的。实际上,如果你知道远程端点的地址,使用via参数来设置就更好了)。

# ip route add default scope global nexthop dev ppp0 nexthop dev ppp1

# ip route replace default scope global nexthop dev ppp0 nexthop dev ppp1

示例4: 设置NAT路由。在转发来自192.203.80.144的数据包之前,先进行网络地址转换,把这个地址转换为193.233.7.83

# ip route add nat 192.203.80.142 via 193.233.7.83

示例5: 实现数据包级负载平衡,允许把数据包随机从多个路由发出。weight 能设置权重.

# ip route replace default equalize nexthop via 211.139.218.145 dev eth0 weight 1 nexthop via 211.139.218.145 dev eth1 weight 1

7.7.ip route delete– 删除路由

缩写:delete、del、d

示例1:删除上一节命令加入的多路径路由

# ip route del default scope global nexthop dev ppp0 nexthop dev ppp1

7.8.ip route show — 列出路由

缩写:show、list、sh、ls、l

示例1: 计算使用gated/bgp协议的路由个数

# ip route ls proto gated/bgp |wc

0

示例2: 计算路由缓存里面的条数,由于被缓存路由的属性可能大于一行,以此需要使用-o选项

# ip -o route ls cloned |wc

示例3: 列出路由表TABLEID里面的路由。缺省设置是table main。TABLEID或是个真正的路由表ID或是/etc/iproute2/rt_tables文件定义的字符串,

或是以下的特别值:

all — 列出所有表的路由;

cache — 列出路由缓存的内容。

ip ro ls 193.233.7.82 tab cache

示例4: 列出某个路由表的内容

# ip route ls table fddi153

示例5: 列出默认路由表的内容

# ip route ls

这个命令等于传统的: route

7.9.ip route flush — 擦除路由表

示例1: 删除路由表main中的所有网关路由(示例:在路由监视程式挂掉之后):

# ip -4 ro flush scope global type unicast

示例2:清除所有被克隆出来的IPv6路由:

# ip -6 -s -s ro flush cache

示例3: 在gated程式挂掉之后,清除所有的BGP路由:

# ip -s ro f proto gated/bgp

示例4: 清除所有ipv4路由cache

# ip route flush cache

*** IPv4 routing cache is flushed.

7.10 ip route get — 获得单个路由 .缩写:get、g

使用这个命令能获得到达目的地址的一个路由及他的确切内容。

ip route get命令和ip route show命令执行的操作是不同的。ip route show命令只是显示现有的路由,而ip route get命令在必要时会派生出新的路由。

示例1: 搜索到193.233.7.82的路由

# ip route get 193.233.7.82

193.233.7.82 dev eth0 src 193.233.7.65 realms inr.ac cache mtu 1500 rtt 300

示例2: 搜索目的地址是193.233.7.82,来自193.233.7.82,从eth0设备到达的路由(这条命令会产生一条非常有意思的路由,这是一条到193.233.7.82的回环路由)

# ip r g 193.233.7.82 from 193.233.7.82 iif eth0

193.233.7.82 from 193.233.7.82 dev eth0 src 193.233.7.65 realms inr.ac/inr.ac

cache mtu 1500 rtt 300 iif eth0

8. ip route — 路由策略数据库管理命令

命令  add、delete、show(或list)

注意:策略路由(policy routing)不等于路由策略(rouing policy)。

在某些情况下,我们不只是需要通过数据包的目的地址决定路由,可能还需要通过其他一些域:源地址、IP协议、传输层端口甚至数据包的负载。

这就叫做:策略路由(policy routing)。

8.5. ip rule add — 插入新的规则

ip rule delete — 删除规则

缩写:add、a;delete、del、d

示例1: 通过路由表inr.ruhep路由来自源地址为192.203.80/24的数据包

ip ru add from 192.203.80/24 table inr.ruhep prio 220

示例2:把源地址为193.233.7.83的数据报的源地址转换为192.203.80.144,并通过表1进行路由

ip ru add from 193.233.7.83 nat 192.203.80.144 table 1 prio 320

示例3:删除无用的缺省规则

ip ru del prio

8.7. ip rule show — 列出路由规则

缩写:show、list、sh、ls、l

示例1: # ip ru ls

0: from all lookup local

32762: from 192.168.4.89 lookup fddi153

32764: from 192.168.4.88 lookup fddi153

32766: from all lookup main

32767: from all lookup 253

9. ip maddress — 多播地址管理

缩写:show、list、sh、ls、l

9.3.ip maddress show — 列出多播地址

示例1: # ip maddr ls dummy

9.4. ip maddress add — 加入多播地址

ip maddress delete — 删除多播地址

缩写:add、a;delete、del、d

使用这两个命令,我们能添加/删除在网络接口上监听的链路层多播地址。这个命令只能管理链路层地址。

示例1: 增加 # ip maddr add 33:33:00:00:00:01 dev dummy

示例2: 查看 # ip -O maddr ls dummy

2: dummy

link 33:33:00:00:00:01 users 2 static

link 01:00:5e:00:00:01

示例3: 删除 # ip maddr del 33:33:00:00:00:01 dev dummy

10.ip mroute — 多播路由缓存管理

10.4. ip mroute show — 列出多播路由缓存条目

缩写:show、list、sh、ls、l

示例1:查看 # ip mroute ls

(193.232.127.6, 224.0.1.39) Iif: unresolved

(193.232.244.34, 224.0.1.40) Iif: unresolved

(193.233.7.65, 224.66.66.66) Iif: eth0 Oifs: pimreg

示例2:查看 # ip -s mr ls 224.66/16

(193.233.7.65, 224.66.66.66) Iif: eth0 Oifs: pimreg

9383 packets,bytes

11. ip tunnel — 通道设置

缩写 tunnel、tunl

11.4.ip tunnel add — 添加新的通道

ip tunnel change — 修改现有的通道

ip tunnel delete — 删除一个通道

缩写:add、a;change、chg;delete、del、d

示例1:建立一个点对点通道,更大TTL是32

# ip tunnel add Cisco mode sit remote 192.31.7.104 local 192.203.80.1 ttl 32

11.4.ip tunnel show — 列出现有的通道

缩写:show、list、sh、ls、l

示例1: # ip -s tunl ls Cisco

12. ip monitor和rtmon — 状态监视

  ip命令能用于连续地监视设备、地址和路由的状态。这个命令选项的格式有点不同,命令选项的名字叫做monitor,接着是操作对象:

ip monitor

示例1: # rtmon file /var/log/rtmon.log

关于linux 配置防火墙策略路由表的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。

创新互联服务器托管拥有成都T3+级标准机房资源,具备完善的安防设施、三线及BGP网络接入带宽达10T,机柜接入千兆交换机,能够有效保证服务器托管业务安全、可靠、稳定、高效运行;创新互联专注于成都服务器托管租用十余年,得到成都等地区行业客户的一致认可。

文章标题:Linux防火墙、配置、策略、路由表如何实现?(linux配置防火墙策略路由表)
URL地址:http://www.gawzjz.com/qtweb2/news6/28956.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联