Linux基础与应用实践 课件 任务三 Linux网络及防火墙配置

Linux基础与项目实践任务三Linux网络及防火墙配置0203网络管理命令Linux网络配置01网络管理协议介绍

04防火墙iptables配置05网络故障排除网络管理协议介绍PART01TCP/IP概述3TCP/IP源于ARPANET，其主要目的是提供与底层硬件无关的网络之间的互连，包括各种物理网络技术。TCP/IP并不是单纯的两个协议而是一组通信协议的集合，所包含的每个协议都具有特定的功能，完成相应的任务。TCP/IP协议的特点：开放的协议标准（与硬件、操作系统无关）。独立于特定的网络硬件（运行于LAN、WAN，特别是互联网中。统一网络编址（网络地址的唯一性）。标准化高层协议，可提供多种服务。TCP/IP采用四层结构，如图所示。TCP/IP概述4TCP/IP是一个协议集，包括的主要协议有：（1）IP协议（2）ICMP协议（3）IGMP协议（4）ARP和RARP协议（5）TCP协议（6）UDP协议（7）应用层协议IP地址5IP地址通常由两部分来组成，分别是网络号和主机号，根据网络号和主机号所占位数的不同，IP地址可以分为五种类型，如图所示。IP地址6IP地址通常用点分十进制标记法（dotteddecimalnotation）来书写，这时IP地址写成4个十进制数，相互之间用小数点隔开，每个十进制数（从0到255）表示IP地址的一个字节。例如10000000000010110000001100011111采用点分十进制表示法即为1，其转换过程如图所示。IP地址7在IP地址中0和1具有特殊的意义，如图所示。全0Any全0全1Any全1127任意值（常为1）网络地址，代表一个网段本机有限广播（本地网络）直接广播（某个网络）回路子网掩码8

划分子网的方法是将主机号部分划出一定的位数用作本网的各个子网，其余的主机号作为相应子网的主机号部分。划分给子网的位数根据实际情况而定。这样IP地址就由网络号、子网号和主机号3部分组成。子网掩码有两大功能：一是用来区分IP地址中的网络号和主机号二是将网络分割成多个子网A、B、C类地址默认子网掩码地址类型子网掩码十进制表示ABCIPv6地址9IPv6定义了三种类型的地址。（1）单路传送地址。它指定的是一个独立的主机。IPv4的地址被记做“点分十进制表示法”的格式，即4字节地址的每个字节都表示成十进制数，并以点分隔。而IPv6的地址则是由冒号分隔的8个16位地址块的十六进制串。例如，FF04:19:5:ABD4:187:2C:754:2C1。每个分段的前导0不用写。（2）任意传送地址。它指定的是一组主机。发送给任意地址的分组会被发送给该地址标识的一组主机中的一台主机，这台主机通常是路由协议定义的最近的一台主机。IPv6中没有广播地址，该功能可由多路传送地址提供。（3）混合地址。IPv6还定义了一种混合地址格式，以便在IPv6环境中，方便地表示IPv4地址。在这种方案中，前96位（6组16位块）表示成规则的IPv6格式的地址，而剩余的32位则表示成IPv4通常用的“点分十进制表示法”格式。Linux网络配置PART02Linux网络相关配置文件11

Linux网络配置主要有以下目录或文件。（1）/etc/hostname：主要功能在于修改主机名称。（2）/etc/NetworkManager/system-connections/（之前的CentOS版本目录为/etc/sysconfig/network-scripts/）：是设置网卡参数的文件目录，比如IP地址、子网掩码、广播地址、网关等。（3）/etc/resolv.conf：此文件用于设置DNS相关信息。（4）/etc/hosts：计算机的IP对应的主机名称或域名对应的IP地址，通过设置/etc/nsswitch.conf中的选项可以选择是DNS解析优先还是本地设置优先。（5）/etc/nsswitch.conf：规定通过哪些途径，以及按照什么顺序通过这此途径来查找特定类型的信息。配置IP地址12CentOSStream9的网卡配置文件默认为/etc/NetworkManager/system-connections/目录下，打开对应的网卡配置文件：#vi/etc/NetworkManager/system-connections/ens33.nmconnection配置IP地址13默认的[ipv4]项为“auto”模式，这时需要网络中有DHCP服务器才可以给这个Linux系统自动分配IP地址。如果想要手动静态设置IP地址，需要设置“method=manual”，并且指定相关参数。配置IP地址14修改完相应的信息需要重新加载网卡配置文件，操作如下：#nmclicreload#nmclicupens33使用ifconfig命令查看网卡配置信息，修改后结果如图所示。配置IP地址15给一个网卡配置多个IP地址，在配置文件中添加“address2”参数即可。配置后重启网络服务，使用ipaddr命令查看结果如图所示。设置主机名16主机名是识别某个计算机在网络中的标识，查看系统当前的主机名可以使用hostname命令，如图所示。如果想修改主机名，也可以使用hostname，比如将主机名修改为compus，执行效果如图所示。设置主机名17

使用hostname修改的主机名是临时性的，系统重启后又会恢复成之前的主机名。如果想要使修改的主机名长期有效，需要修改主机名配置文件/etc/hostname。使用/etc/hostname修改主机名为office。操作过程如图所示。网络管理命令PART03ping命令19

ping命令通常用来测试与目标主机或域名是否可达，通过发送ICMP数据包到网络主机，并显示响应情况，根据输出信息来确定目标主机或域名是否可达。

ping命令常用参数说明参数说明-d使用Socket的SO_DEBUG功能-f极限检测。大量且快速地发送数据包给一台主机，看其回应-n只输出数值-q不显示任何传送数据包的信息，只显示最后的结果-r忽略普通的RoutingTable，直接将数据包送到远端主机上-R记录路由过程-v详细显示指令的执行过程-c在发送指定数量的包后停止-i设定间隔几秒发送一个网络数据包给目标主机，预设值是一秒一次-I使用指定的网络界面发送出数据包-l设置在发送要求信息之前，先行发出的数据包-p设置填满数据包的范本格式-s指定发送的数据字节数-t设置存活数值TTL的大小ifconfig命令20ifconfig命令可以用于查看、配置、启用或禁用指定网络接口，如配置网卡的IP地址、掩码、广播地址、网关等，Windows系统下类似的命令是ipconfig。ifconfig命令的语法如下：

#ifconfiginterface[[-net–host]address[parameters]]

其中interface是网络接口名，address是分配给指定接口的主机名或IP地址。-net和-host参数分别是指定地址作为网络号或是主机地址。Linux系统中的网卡lo为本地环回接口，IP地址固定为，子网掩码8位，表示本机。route命令21route命令可以用于查看或编辑计算机的IP路由表。route命令的语法如下：route[-f][-p][command][destination][netmask][gateway][metric][[dev]if]参数说明：lcommand：指定想要进行的操作，如add、change、delete、print等ldestination：指定该路由的网络目标lnetmask：指定与网络目标相关的子网掩码lgateway：指定的网关地址lmetric：为路由指定一个整数成本指标，当路由表中到达目的网段有多条路由时可以根据metric值选择更优的路由l[dev]if：为可以访问目标的网络接口指定接口索引netstat命令22netstat命令用于监控系统网络配置和工作状况，可以显示内核路由表、活动的网络状态以及每个网络接口的有用的统计数字。常用的参数如表所示。参数说明-a显示所有连接中的Socket-c持续列出网络状态-h在线帮助-i显示网络接口信息-l显示监控中的服务器的Socket-n直接使用IP地址，而不通过域名服务器-p显示正在使用Socket的程序名称-r显示路由表-s显示网络工作信息统计表-t显示TCP协议的网络连接信息-u显示UDP协议的网络连接信息-v显示命令执行过程-V显示版本信息防火墙iptables配置PART04Linux防火墙工作原理24

Linux内核提供的防火墙功能通过netfilter框架实现，并提供了iptables工具配置和修改防火墙的规则。

netfilter的通用框架不依赖于具体的协议，而是为每种网络协议定义一套钩子函数。这些钩子函数在数据包经过协议栈的几个关键点时被调用，在这几个点中，协议栈将数据包及钩子函数作为参数，传递给netfilter框架。

对于每种网络协议定义的钩子函数，任何内核模块可以对每种协议的一个或多个钩子函数进行注册，实现挂接。这样当某个数据包被传递给netfilter框架时，内核能检测到是否有有关模块对该协议和钩子函数进行了注册。如发现注册信息则调用该模块在注册时使用的回调函数，然后对应模块去检查、修改、丢弃该数据包及指示netfilter将该数据包传入用户空间的队列。netfilter体系结构25网络数据包的通信主要经过以下相关步骤，对应netfilter定义的钩子函数。钩子函数是系统在进行消息传递处理的时候利用钩子机制截取消息,可以对一些特定的消息进行处理。数据包在通过iptables防火墙时的处理过程包过滤26netfilter定义的每个函数都可以对数据包进行处理，最基本的操作为对数据包进行过滤。系统管理员可以通过iptables工具来向内核模块注册多个过滤规则，并且指明过滤规则的优先权。设置完以后每个钩子按照规则进行匹配，如果与规则匹配，函数就会进行一些过滤操作，这些操作主要是以下几个：lNF_ACCEPT：继续正常地传递包lNF_DROP：丢弃包，停止传送lNF_STOLEN：已经接管了包，不要继续传送lNF_QUEUE：排列包lNF_REPEAT：再次使用该钩子包选择27在netfilter框架上已经创建了一个包选择系统，这个包选择工具默认已经注册了3个表，分别是：过滤（filter）表、网络地址转换（NAT）表和mangle表。

在调用钩子函数时是按照表的顺序来调用的。例如在执行NF_IP_PRE_ROUTING时，首先检查filter表，然后检查Mangle表，最后检查NAT表。

过滤（filter）表过滤包而不会改变包，仅仅是过滤的作用，由网络过滤框架来提供NF_IP_FORWARD钩子的输出和输入接口，这使得过滤工作变得非常简单。网络地址转换（NAT）表分别服务于两套不同的网络过滤钩子的包，对于非本地包，NF_IP_PRE_ROUTING和NF_IP_POST_ROUTING钩子可以完美地解决源地址和目的地址的变更。mangle表被用于真正的改变包的信息，mangle表和所有的5个网络过滤的钩子函数都有关。切换至iptables28Linux系统默认的防火墙是firewalld，要使用iptables，需要先将firewalld停止，并让系统将iptables作为默认防火墙。#查看firewalld状态[root@office~]#systemctlstatusfirewalld#关闭并禁用firewalld[root@office~]#systemctlstopfirewalld[root@office~]#systemctldisablefirewalld#启动并启用iptables[root@office~]#systemctlstartiptables[root@office~]#systemctlenableiptables#如果使用了IPv6，还需要开启ip6tables[root@office~]#systemctlstartip6tables[root@office~]#systemctlenableip6tablesiptables的使用29iptables预定义了5个链，分别对应netfilter的5个钩子函数，这5个链分别是：INPUT链、FORWARD链、OUTPUT链、PREROUTING链、POSTROUTING链。iptables指令语法如下：iptables[-ttable]command[match][-jtarget/jump]“-ttable”参数用来指定规则表，内建的规则表分别为nat、mangle和filter，当未指定规则表时，默认为filter。各个规则表的功能如下：lnat：此规则表主要针对PREROUTING和POSTROUTING两个规则链，主要功能为进行源地址或目的地址的网络转换工作。lmangle：此规则表主要针对PREROUTING、FORWARD和POSTROUTING3个规则链，某些特殊应用可以在此规则表时设定，比如为数据包做标记。lfilter：这个规则表是默认规则表，针对INPUT、FORWARD和OUTPUT3个规则链，这个规则表主要用来进行封包过滤的处理动作，如DROP、LOG、ACCEPT或REJECT。网络故障排除PART0531实验目标Ø了解网络配置的主要流程和参数Ø掌握常用网络测试命令Ø掌握IP地址、网关、DNS的作用及配置实验任务描述小张的同事小陆也在VMwareWorkstation中创建一台CentOS9的虚拟机，并且手动配置了IP地址，可是发现这台虚拟机不能与互联网通信，就找到小李，让他帮忙查找一下有哪些故障。实验环境要求ØWindows桌面操作系统（建议使用Win10）ØCentOS9操作系统实验步骤32第一步：登录系统，切换为root模式，如图所示。第二步：查看IP地址，如图3-14所示。实验步骤33第三步：因为这个虚拟机是在VMwareWorkstation中创建的，查看一下虚拟机的网络设置，如图所