CentOS6.x网络基础及相关配置
做实验的时候,首先要关闭防火墙和selinux,然后配置好网卡信息。
防火墙临时关闭:iptables �CF
查看防火墙状态:iptables -L
防火墙永久关闭:/etc/init.d/iptables stop
service iptables stop
selinux临时关闭:setenforce 0
永久关闭:sed �Ci“7s/enforcing/disabled/g”/etc/selinux/config
一、名词解释:
CDN 内容分发网络
DDOS 拒绝服务攻击
1、地址的分类
1)网络地址:互联网协议地址(IP地址),IP地址工作在网络层
IP地址的分类:IPV4 IPv6
2)物理地址:物理地址(MAC地址)是每一个设备的固定地址,MAC地址工作在链路层。
2、协议分类:
1、网络层协议:IP协议、ICMP协议、ARP协议等
2、传输层协议:TCP、UDP等
3、应用层协议:DHCP、DNS、FTP、SSH等
3、常见端口:
20 21 ftp服务 文件共享
22 ssh 服务 安全远程网络管理
23 telnet服务
25 smtp 简单邮件传输协议 发信
110 pop3 邮局协议 收信
80 www 网页服务
3306 MysqL 端口
53 DNS 端口
二、网关和路由配置
ifconfig eth0 要设置的IP地址 设置IP地址和子网掩码(临时生效)
例1:ifconfig eth0 192.168.115.102/24
例2:ifconfig eth0 192.168.115.102 netmask 255.255.255.0
例3(给网卡设置子网卡):ifconfig eth0:0 192.168.115.102
注意:子网卡IP不能和其他IP重复
网卡配置:
永久生效(修改配置文件):/etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0 网卡名称
HWADDR=00:0c:29:65:da:3e 网卡的Mac地址(可删)
TYPE=Ethernet 网络类型(可删)
UUID=836c05a4-e78a-424e-8b3b-05cb6c126438 网卡UUID(可删)
ONBOOT=yes 开机是否自启动
NM_CONTROLLED=yes 可忽略
BOOTPROTO=static 网卡获取IP地址的方式
IPADDR=192.168.115.105 IP地址
NETMASK=255.255.255.0 子网掩码
DNS2=8.8.8.8 DNS2
GATEWAY=192.168.115.2 网关
DNS1=114.114.114.114 DNS1
IPV6INIT=no
USERCTL=no
配置文件修改完成后需要重启网络服务:
service network restart 重启所有网络服务
ifup 网卡名 启动指定某个网卡
ifdown 网卡名 关闭指定某个网卡
2、主机名配置
临时修改主机名:hostname 主机名
永久修改主机名:/etc/sysconfig/network
HOSTNAME=主机名(修改这里)
注意:区别 /etc/rc.d/rc.sysint 和 /etc/sysconfig/network
3、网关配置
route -n 查看系统中路由表信息
临时修改:
添加默认网关:route add default gw 网关ip地址
删除默认网关:route del default gw 网关ip地址
指定添加路由:route add -net 连接的目标网段 gw 网关的IP地址
指定删除路由:route del -net 网段
永久生效:
修改网关配置文件:/etc/sysconfig/network-scripts/ifcfg-eth0
路由配置文件:/etc/rc.local
/etc/resolv.conf 保存本机需要使用的DNS服务器的IP地址
开启路由转发配置文件:/etc/sysctl.conf 进入其中将net.ipv4.ip_forward = 0修改为1之后用sysctl -p刷新一下配置文件即可
总结:
网关:没有具体目标
路由:有具体目标,以及到达线路
上图a、c、d为不同网段的电脑,现在需要通过b电脑的配置建立连接,那么:
a和b连接的网卡在同一个网段。
b和c 连接的网卡在同一个网段
b和d 连接的网卡在同一个网段
实验步骤:
(1):创建4个虚拟机,让它们分别在不同网段,都设置成桥接模式
(2):指定其中一个虚拟机为路由器,并为这个虚拟机创建三个网卡
(3):把配置文件/etc/sysconfig/network-scripts/ifcfg-eth0复制三份,分别为ifcfg-eth1 ifcfg-eth2 ifcfg-eth3
(4):分别进入ifcfg-eth1 ifcfg-eth2 ifcfg-eth3三个配置文件里面修改网卡名、删除Mac地址UUID、把三个网卡的IP地址修改成分别对应其他三台虚拟机的网段
(5):把其他三台虚拟机的网关分别修改成ifcfg-eth1 ifcfg-eth2 ifcfg-eth3的IP地址
(6):然后所有的虚拟机都用service network restart重启网卡,接着进入开启路由转发配置文件:/etc/sysctl.conf 将里面的net.ipv4.ip_forward = 0修改为1之后用sysctl -p刷新一下配置文件
(7):使用虚拟机ping ip地址 互相实验看能不能通
4、DNS配置
域名解析测试命令 nslookup
测试DNS域名解析
格式:nslookup 目标主机地址 DNS服务器地址
DNS服务器设置
/etc/sysconfig/network-scripts/ifcfg-eth0
/etc/resolv.conf 保存本机需要使用的DNS服务器的IP地址
nameserver DNS地址
主机映射文件:/etc/hosts
用于保存主机名和ip地址的映射记录
主机映射文件和DNS服务器的比较:
默认情况下,系统首先从hosts文件查找解析记录
hosts文件只对当前的主机有效
hosts文件可减少DNS查询过程,可加快访问速度
三、网络测试命令
(1)netstat -tlun 查看TCP和UDP监听的端口
-antp查看所有TCP的连接并显示PID号
-a:显示所有活动连接
-n:以数字形式显示
-p:显示进程信息
-t:查看TCP协议相关信息
-u:查看UDP协议相关信息
(2)traceroute 测试从当前主机到目的主机之间经过的网络节点,用于追踪数据包在网络上的传输时的全部路径,默认发送数据包大小为40字节,默认使用UDP协议进行传输,返回值为ICMP
-l 使用ICMP协议进行测试,Linux中默认UDP
-p 3 指定测试时发送的数据包个数(即测试次数)
-n 以IP的方式进行连接测试,避开DNS的解析,减少延迟
特殊情况:
当返回值中间出现******时,一般情况是中间节点防火墙封掉了ICMP的返回值。
当返回值从中间到结束都是*******时,一般情况为目标服务器拒绝接收UDP数据包或禁止了ICMP的返回包
(3)ping 测试网络连通性
-i 指定间隔时间
-c 指定ping的次数
-s 指定数据包的大小
(4)arp 地址解析协议,将IP解析成Mac
-a 查看所有
-d ip地址 删除某条ARP记录
-s ip地址 MAC地址 绑定ip地址
(5)nmap 网络探测命令
-sP 探测某网段内有哪些主机是存活的
-sT 探测某主机上开启了哪些TCP端口
-sS 同上,但是是安全扫描,被扫描主机将记录很少的日志
-O 扫描对方操作系统类型
四、远程管理:
1、 Windows用VNC连接Linux
yum -y install tigervnc tigervnc-server
先安装着两个软件
vncpasswd 设置密码
vncserver 启动服务
2、Linux用rdesktop连接Windows
Linux必须安装桌面
yum -y install rdesktop
rdesktop -f -a 16 -u windows用户名 -p windows密码 Windows IP地址
-f 是显示全屏 -a Linux色位16或32
-u 用户名 -p 登录密码
3、Linux用SSH连接Linux
SSH协议
为客户机提供安全的Shell环境,用于远程管理
默认端口:TCP 22
OpenSSH
服务名称:sshd
服务端主程序:/usr/sbin/sshd
客户端主程序:/usr/bin/ssh
服务端配置文件:/etc/ssh/sshd_config
客户端配置文件:/etc/ssh/ssh_config
ssh连接需要用到两个配置文件
(1)/etc/ssh/ssh_config 客户端 (2)/etc/ssh/sshd _config 服务端
SSH 远程登录命令
ssh IP地址 登录Linux系统
ssh 用户名@IP地址 登录Linux系统
指定端口:-p(小)
4、秘钥对验证
加密认证:RSA DSA两个都可使用
(1)在客户机上执行ssh-keygen -t rsa 生成非对称加密秘钥对
Enter file in which to save the key
(/home/test/.ssh/id_rsa)询问是否需要密码验证,不需要就直接回车
(2)在客户机家目录的.ssh/目录下,将id_rsa.pub公钥文件上传给服务机
(3)上传完成后,要在服务机端的家目录下创建一个 .ssh/ 的目录,把id_rsa.pub改名为authorized_keys并剪切到家目录下的.ssh/目录里面。
(4)编辑服务机端的/etc/ssh/sshd_config文件,取消注释
(5)、远程传输工具
(1) scp 进行文件的上传和下载
上传格式:scp 本机文件 用户名@IP地址:目录
下载格式:scp 用户名@IP地址:文件名 本地保存位置
指定端口:-P(大)
(2)sftp 安全的ftp传输协议
登录方法:sftp 用户名@IP地址
指定端口:-oPort=端口
用sftp登录到服务端以后,操作服务端的命令和操作本机相同,如果想在登录服务端的同时操作本机,需要在命令前面加上l,例
如果想让Windows也可以免密码连接到Linux,需要用x-shell工具-新建用户秘钥生成向导生成一个秘钥,然后将秘钥复制到Linux服务端的authorized_keys 文件里面即可
直接下一步、下一步即可生成秘钥,然后根据步骤操作
选择属性
复制里面的秘钥到Linux的authorized_keys 文件里面即可
(6)仅允许秘钥对登录,禁止密码登录
*确保启用ssh公钥认证功能,查看/etc/ssh/sshd_config文件,确保以下两条yes :
*禁止密码安全验证,编辑/etc/ssh/sshd_config文件,确保以下文件出现在文件中:
编辑这个文件完成之后,需要重启sshd服务:service sshd restart即可禁止密码登录,只能用秘钥对登录。
想让其他用户通过秘钥登录,可以直接把可以登录的私钥文件传给某个用户即可。
注意:一定要保护好私钥的安全性。
上面是秘钥的详细生成过程,下面介绍秘钥对的快速生成:
(1)在客户机上输入命令:ssh-keygen -t rsa
(2)上传公钥到服务端:ssh-copy-id 服务端用户名@IP地址
这样即可快速生成并上传,而且不用改名和提前创建.ssh目录
TCP Wrappers(简易防火墙)概述:
如果某个命令调用库文件libwarp.so ,那么这个命令就可以被TCP Wrappers管理。
which 查询某服务命令所在位置
ldd 查询某命令调用的库文件
通过tcpd主程序对其他服务程序进行包装
访问控制策略的配置文件
白名单(允许访问):/etc/hosts.allow
黑名单(拒绝访问):/etc/hosts.deny
白名单比黑名单优先级高
设置访问控制策略
策略格式:服务列表:客户机地址列表
服务列表
多个服务以逗号分隔,ALL 表示所有服务
客户机地址列表
多个地址以逗号分隔,ALL表示所有地址
允许使用通配符 ? 和 *
网段地址,如 192.168.4. 或者 192.168.4.0/255.255.255.0
策略的应用顺序:
先检查hosts.allow,匹配即停止(即允许)
否则再检查hosts.deny,匹配即停止(即拒绝)
若两个文件中均无匹配策略,则默认允许访问