Linux基礎(chǔ)與應(yīng)用實(shí)踐 課件 任務(wù)三 Linux網(wǎng)絡(luò)及防火墻配置

Linux基礎(chǔ)與項(xiàng)目實(shí)踐任務(wù)三Linux網(wǎng)絡(luò)及防火墻配置0203網(wǎng)絡(luò)管理命令Linux網(wǎng)絡(luò)配置01網(wǎng)絡(luò)管理協(xié)議介紹

04防火墻iptables配置05網(wǎng)絡(luò)故障排除網(wǎng)絡(luò)管理協(xié)議介紹PART01TCP/IP概述3TCP/IP源于ARPANET，其主要目的是提供與底層硬件無關(guān)的網(wǎng)絡(luò)之間的互連，包括各種物理網(wǎng)絡(luò)技術(shù)。TCP/IP并不是單純的兩個(gè)協(xié)議而是一組通信協(xié)議的集合，所包含的每個(gè)協(xié)議都具有特定的功能，完成相應(yīng)的任務(wù)。TCP/IP協(xié)議的特點(diǎn)：開放的協(xié)議標(biāo)準(zhǔn)（與硬件、操作系統(tǒng)無關(guān)）。獨(dú)立于特定的網(wǎng)絡(luò)硬件（運(yùn)行于LAN、WAN，特別是互聯(lián)網(wǎng)中。統(tǒng)一網(wǎng)絡(luò)編址（網(wǎng)絡(luò)地址的唯一性）。標(biāo)準(zhǔn)化高層協(xié)議，可提供多種服務(wù)。TCP/IP采用四層結(jié)構(gòu)，如圖所示。TCP/IP概述4TCP/IP是一個(gè)協(xié)議集，包括的主要協(xié)議有：（1）IP協(xié)議（2）ICMP協(xié)議（3）IGMP協(xié)議（4）ARP和RARP協(xié)議（5）TCP協(xié)議（6）UDP協(xié)議（7）應(yīng)用層協(xié)議IP地址5IP地址通常由兩部分來組成，分別是網(wǎng)絡(luò)號(hào)和主機(jī)號(hào)，根據(jù)網(wǎng)絡(luò)號(hào)和主機(jī)號(hào)所占位數(shù)的不同，IP地址可以分為五種類型，如圖所示。IP地址6IP地址通常用點(diǎn)分十進(jìn)制標(biāo)記法（dotteddecimalnotation）來書寫，這時(shí)IP地址寫成4個(gè)十進(jìn)制數(shù)，相互之間用小數(shù)點(diǎn)隔開，每個(gè)十進(jìn)制數(shù)（從0到255）表示IP地址的一個(gè)字節(jié)。例如10000000000010110000001100011111采用點(diǎn)分十進(jìn)制表示法即為1，其轉(zhuǎn)換過程如圖所示。IP地址7在IP地址中0和1具有特殊的意義，如圖所示。全0Any全0全1Any全1127任意值（常為1）網(wǎng)絡(luò)地址，代表一個(gè)網(wǎng)段本機(jī)有限廣播（本地網(wǎng)絡(luò)）直接廣播（某個(gè)網(wǎng)絡(luò)）回路子網(wǎng)掩碼8

劃分子網(wǎng)的方法是將主機(jī)號(hào)部分劃出一定的位數(shù)用作本網(wǎng)的各個(gè)子網(wǎng)，其余的主機(jī)號(hào)作為相應(yīng)子網(wǎng)的主機(jī)號(hào)部分。劃分給子網(wǎng)的位數(shù)根據(jù)實(shí)際情況而定。這樣IP地址就由網(wǎng)絡(luò)號(hào)、子網(wǎng)號(hào)和主機(jī)號(hào)3部分組成。子網(wǎng)掩碼有兩大功能：一是用來區(qū)分IP地址中的網(wǎng)絡(luò)號(hào)和主機(jī)號(hào)二是將網(wǎng)絡(luò)分割成多個(gè)子網(wǎng)A、B、C類地址默認(rèn)子網(wǎng)掩碼地址類型子網(wǎng)掩碼十進(jìn)制表示ABCIPv6地址9IPv6定義了三種類型的地址。（1）單路傳送地址。它指定的是一個(gè)獨(dú)立的主機(jī)。IPv4的地址被記做“點(diǎn)分十進(jìn)制表示法”的格式，即4字節(jié)地址的每個(gè)字節(jié)都表示成十進(jìn)制數(shù)，并以點(diǎn)分隔。而IPv6的地址則是由冒號(hào)分隔的8個(gè)16位地址塊的十六進(jìn)制串。例如，F(xiàn)F04:19:5:ABD4:187:2C:754:2C1。每個(gè)分段的前導(dǎo)0不用寫。（2）任意傳送地址。它指定的是一組主機(jī)。發(fā)送給任意地址的分組會(huì)被發(fā)送給該地址標(biāo)識(shí)的一組主機(jī)中的一臺(tái)主機(jī)，這臺(tái)主機(jī)通常是路由協(xié)議定義的最近的一臺(tái)主機(jī)。IPv6中沒有廣播地址，該功能可由多路傳送地址提供。（3）混合地址。IPv6還定義了一種混合地址格式，以便在IPv6環(huán)境中，方便地表示IPv4地址。在這種方案中，前96位（6組16位塊）表示成規(guī)則的IPv6格式的地址，而剩余的32位則表示成IPv4通常用的“點(diǎn)分十進(jìn)制表示法”格式。Linux網(wǎng)絡(luò)配置PART02Linux網(wǎng)絡(luò)相關(guān)配置文件11

Linux網(wǎng)絡(luò)配置主要有以下目錄或文件。（1）/etc/hostname：主要功能在于修改主機(jī)名稱。（2）/etc/NetworkManager/system-connections/（之前的CentOS版本目錄為/etc/sysconfig/network-scripts/）：是設(shè)置網(wǎng)卡參數(shù)的文件目錄，比如IP地址、子網(wǎng)掩碼、廣播地址、網(wǎng)關(guān)等。（3）/etc/resolv.conf：此文件用于設(shè)置DNS相關(guān)信息。（4）/etc/hosts：計(jì)算機(jī)的IP對(duì)應(yīng)的主機(jī)名稱或域名對(duì)應(yīng)的IP地址，通過設(shè)置/etc/nsswitch.conf中的選項(xiàng)可以選擇是DNS解析優(yōu)先還是本地設(shè)置優(yōu)先。（5）/etc/nsswitch.conf：規(guī)定通過哪些途徑，以及按照什么順序通過這此途徑來查找特定類型的信息。配置IP地址12CentOSStream9的網(wǎng)卡配置文件默認(rèn)為/etc/NetworkManager/system-connections/目錄下，打開對(duì)應(yīng)的網(wǎng)卡配置文件：#vi/etc/NetworkManager/system-connections/ens33.nmconnection配置IP地址13默認(rèn)的[ipv4]項(xiàng)為“auto”模式，這時(shí)需要網(wǎng)絡(luò)中有DHCP服務(wù)器才可以給這個(gè)Linux系統(tǒng)自動(dòng)分配IP地址。如果想要手動(dòng)靜態(tài)設(shè)置IP地址，需要設(shè)置“method=manual”，并且指定相關(guān)參數(shù)。配置IP地址14修改完相應(yīng)的信息需要重新加載網(wǎng)卡配置文件，操作如下：#nmclicreload#nmclicupens33使用ifconfig命令查看網(wǎng)卡配置信息，修改后結(jié)果如圖所示。配置IP地址15給一個(gè)網(wǎng)卡配置多個(gè)IP地址，在配置文件中添加“address2”參數(shù)即可。配置后重啟網(wǎng)絡(luò)服務(wù)，使用ipaddr命令查看結(jié)果如圖所示。設(shè)置主機(jī)名16主機(jī)名是識(shí)別某個(gè)計(jì)算機(jī)在網(wǎng)絡(luò)中的標(biāo)識(shí)，查看系統(tǒng)當(dāng)前的主機(jī)名可以使用hostname命令，如圖所示。如果想修改主機(jī)名，也可以使用hostname，比如將主機(jī)名修改為compus，執(zhí)行效果如圖所示。設(shè)置主機(jī)名17

使用hostname修改的主機(jī)名是臨時(shí)性的，系統(tǒng)重啟后又會(huì)恢復(fù)成之前的主機(jī)名。如果想要使修改的主機(jī)名長期有效，需要修改主機(jī)名配置文件/etc/hostname。使用/etc/hostname修改主機(jī)名為office。操作過程如圖所示。網(wǎng)絡(luò)管理命令PART03ping命令19

ping命令通常用來測(cè)試與目標(biāo)主機(jī)或域名是否可達(dá)，通過發(fā)送ICMP數(shù)據(jù)包到網(wǎng)絡(luò)主機(jī)，并顯示響應(yīng)情況，根據(jù)輸出信息來確定目標(biāo)主機(jī)或域名是否可達(dá)。

ping命令常用參數(shù)說明參數(shù)說明-d使用Socket的SO_DEBUG功能-f極限檢測(cè)。大量且快速地發(fā)送數(shù)據(jù)包給一臺(tái)主機(jī)，看其回應(yīng)-n只輸出數(shù)值-q不顯示任何傳送數(shù)據(jù)包的信息，只顯示最后的結(jié)果-r忽略普通的RoutingTable，直接將數(shù)據(jù)包送到遠(yuǎn)端主機(jī)上-R記錄路由過程-v詳細(xì)顯示指令的執(zhí)行過程-c在發(fā)送指定數(shù)量的包后停止-i設(shè)定間隔幾秒發(fā)送一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包給目標(biāo)主機(jī)，預(yù)設(shè)值是一秒一次-I使用指定的網(wǎng)絡(luò)界面發(fā)送出數(shù)據(jù)包-l設(shè)置在發(fā)送要求信息之前，先行發(fā)出的數(shù)據(jù)包-p設(shè)置填滿數(shù)據(jù)包的范本格式-s指定發(fā)送的數(shù)據(jù)字節(jié)數(shù)-t設(shè)置存活數(shù)值TTL的大小ifconfig命令20ifconfig命令可以用于查看、配置、啟用或禁用指定網(wǎng)絡(luò)接口，如配置網(wǎng)卡的IP地址、掩碼、廣播地址、網(wǎng)關(guān)等，Windows系統(tǒng)下類似的命令是ipconfig。ifconfig命令的語法如下：

#ifconfiginterface[[-net–host]address[parameters]]

其中interface是網(wǎng)絡(luò)接口名，address是分配給指定接口的主機(jī)名或IP地址。-net和-host參數(shù)分別是指定地址作為網(wǎng)絡(luò)號(hào)或是主機(jī)地址。Linux系統(tǒng)中的網(wǎng)卡lo為本地環(huán)回接口，IP地址固定為，子網(wǎng)掩碼8位，表示本機(jī)。route命令21route命令可以用于查看或編輯計(jì)算機(jī)的IP路由表。route命令的語法如下：route[-f][-p][command][destination][netmask][gateway][metric][[dev]if]參數(shù)說明：lcommand：指定想要進(jìn)行的操作，如add、change、delete、print等ldestination：指定該路由的網(wǎng)絡(luò)目標(biāo)lnetmask：指定與網(wǎng)絡(luò)目標(biāo)相關(guān)的子網(wǎng)掩碼lgateway：指定的網(wǎng)關(guān)地址lmetric：為路由指定一個(gè)整數(shù)成本指標(biāo)，當(dāng)路由表中到達(dá)目的網(wǎng)段有多條路由時(shí)可以根據(jù)metric值選擇更優(yōu)的路由l[dev]if：為可以訪問目標(biāo)的網(wǎng)絡(luò)接口指定接口索引netstat命令22netstat命令用于監(jiān)控系統(tǒng)網(wǎng)絡(luò)配置和工作狀況，可以顯示內(nèi)核路由表、活動(dòng)的網(wǎng)絡(luò)狀態(tài)以及每個(gè)網(wǎng)絡(luò)接口的有用的統(tǒng)計(jì)數(shù)字。常用的參數(shù)如表所示。參數(shù)說明-a顯示所有連接中的Socket-c持續(xù)列出網(wǎng)絡(luò)狀態(tài)-h在線幫助-i顯示網(wǎng)絡(luò)接口信息-l顯示監(jiān)控中的服務(wù)器的Socket-n直接使用IP地址，而不通過域名服務(wù)器-p顯示正在使用Socket的程序名稱-r顯示路由表-s顯示網(wǎng)絡(luò)工作信息統(tǒng)計(jì)表-t顯示TCP協(xié)議的網(wǎng)絡(luò)連接信息-u顯示UDP協(xié)議的網(wǎng)絡(luò)連接信息-v顯示命令執(zhí)行過程-V顯示版本信息防火墻iptables配置PART04Linux防火墻工作原理24

Linux內(nèi)核提供的防火墻功能通過netfilter框架實(shí)現(xiàn)，并提供了iptables工具配置和修改防火墻的規(guī)則。

netfilter的通用框架不依賴于具體的協(xié)議，而是為每種網(wǎng)絡(luò)協(xié)議定義一套鉤子函數(shù)。這些鉤子函數(shù)在數(shù)據(jù)包經(jīng)過協(xié)議棧的幾個(gè)關(guān)鍵點(diǎn)時(shí)被調(diào)用，在這幾個(gè)點(diǎn)中，協(xié)議棧將數(shù)據(jù)包及鉤子函數(shù)作為參數(shù)，傳遞給netfilter框架。

對(duì)于每種網(wǎng)絡(luò)協(xié)議定義的鉤子函數(shù)，任何內(nèi)核模塊可以對(duì)每種協(xié)議的一個(gè)或多個(gè)鉤子函數(shù)進(jìn)行注冊(cè)，實(shí)現(xiàn)掛接。這樣當(dāng)某個(gè)數(shù)據(jù)包被傳遞給netfilter框架時(shí)，內(nèi)核能檢測(cè)到是否有有關(guān)模塊對(duì)該協(xié)議和鉤子函數(shù)進(jìn)行了注冊(cè)。如發(fā)現(xiàn)注冊(cè)信息則調(diào)用該模塊在注冊(cè)時(shí)使用的回調(diào)函數(shù)，然后對(duì)應(yīng)模塊去檢查、修改、丟棄該數(shù)據(jù)包及指示netfilter將該數(shù)據(jù)包傳入用戶空間的隊(duì)列。netfilter體系結(jié)構(gòu)25網(wǎng)絡(luò)數(shù)據(jù)包的通信主要經(jīng)過以下相關(guān)步驟，對(duì)應(yīng)netfilter定義的鉤子函數(shù)。鉤子函數(shù)是系統(tǒng)在進(jìn)行消息傳遞處理的時(shí)候利用鉤子機(jī)制截取消息,可以對(duì)一些特定的消息進(jìn)行處理。數(shù)據(jù)包在通過iptables防火墻時(shí)的處理過程包過濾26netfilter定義的每個(gè)函數(shù)都可以對(duì)數(shù)據(jù)包進(jìn)行處理，最基本的操作為對(duì)數(shù)據(jù)包進(jìn)行過濾。系統(tǒng)管理員可以通過iptables工具來向內(nèi)核模塊注冊(cè)多個(gè)過濾規(guī)則，并且指明過濾規(guī)則的優(yōu)先權(quán)。設(shè)置完以后每個(gè)鉤子按照規(guī)則進(jìn)行匹配，如果與規(guī)則匹配，函數(shù)就會(huì)進(jìn)行一些過濾操作，這些操作主要是以下幾個(gè)：lNF_ACCEPT：繼續(xù)正常地傳遞包lNF_DROP：丟棄包，停止傳送lNF_STOLEN：已經(jīng)接管了包，不要繼續(xù)傳送lNF_QUEUE：排列包lNF_REPEAT：再次使用該鉤子包選擇27在netfilter框架上已經(jīng)創(chuàng)建了一個(gè)包選擇系統(tǒng)，這個(gè)包選擇工具默認(rèn)已經(jīng)注冊(cè)了3個(gè)表，分別是：過濾（filter）表、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）表和mangle表。

在調(diào)用鉤子函數(shù)時(shí)是按照表的順序來調(diào)用的。例如在執(zhí)行NF_IP_PRE_ROUTING時(shí)，首先檢查filter表，然后檢查Mangle表，最后檢查NAT表。

過濾（filter）表過濾包而不會(huì)改變包，僅僅是過濾的作用，由網(wǎng)絡(luò)過濾框架來提供NF_IP_FORWARD鉤子的輸出和輸入接口，這使得過濾工作變得非常簡(jiǎn)單。網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）表分別服務(wù)于兩套不同的網(wǎng)絡(luò)過濾鉤子的包，對(duì)于非本地包，NF_IP_PRE_ROUTING和NF_IP_POST_ROUTING鉤子可以完美地解決源地址和目的地址的變更。mangle表被用于真正的改變包的信息，mangle表和所有的5個(gè)網(wǎng)絡(luò)過濾的鉤子函數(shù)都有關(guān)。切換至iptables28Linux系統(tǒng)默認(rèn)的防火墻是firewalld，要使用iptables，需要先將firewalld停止，并讓系統(tǒng)將iptables作為默認(rèn)防火墻。#查看firewalld狀態(tài)[root@office~]#systemctlstatusfirewalld#關(guān)閉并禁用firewalld[root@office~]#systemctlstopfirewalld[root@office~]#systemctldisablefirewalld#啟動(dòng)并啟用iptables[root@office~]#systemctlstartiptables[root@office~]#systemctlenableiptables#如果使用了IPv6，還需要開啟ip6tables[root@office~]#systemctlstartip6tables[root@office~]#systemctlenableip6tablesiptables的使用29iptables預(yù)定義了5個(gè)鏈，分別對(duì)應(yīng)netfilter的5個(gè)鉤子函數(shù)，這5個(gè)鏈分別是：INPUT鏈、FORWARD鏈、OUTPUT鏈、PREROUTING鏈、POSTROUTING鏈。iptables指令語法如下：iptables[-ttable]command[match][-jtarget/jump]“-ttable”參數(shù)用來指定規(guī)則表，內(nèi)建的規(guī)則表分別為nat、mangle和filter，當(dāng)未指定規(guī)則表時(shí)，默認(rèn)為filter。各個(gè)規(guī)則表的功能如下：lnat：此規(guī)則表主要針對(duì)PREROUTING和POSTROUTING兩個(gè)規(guī)則鏈，主要功能為進(jìn)行源地址或目的地址的網(wǎng)絡(luò)轉(zhuǎn)換工作。lmangle：此規(guī)則表主要針對(duì)PREROUTING、FORWARD和POSTROUTING3個(gè)規(guī)則鏈，某些特殊應(yīng)用可以在此規(guī)則表時(shí)設(shè)定，比如為數(shù)據(jù)包做標(biāo)記。lfilter：這個(gè)規(guī)則表是默認(rèn)規(guī)則表，針對(duì)INPUT、FORWARD和OUTPUT3個(gè)規(guī)則鏈，這個(gè)規(guī)則表主要用來進(jìn)行封包過濾的處理動(dòng)作，如DROP、LOG、ACCEPT或REJECT。網(wǎng)絡(luò)故障排除PART0531實(shí)驗(yàn)?zāi)繕?biāo)?了解網(wǎng)絡(luò)配置的主要流程和參數(shù)?掌握常用網(wǎng)絡(luò)測(cè)試命令?掌握IP地址、網(wǎng)關(guān)、DNS的作用及配置實(shí)驗(yàn)任務(wù)描述小張的同事小陸也在VMwareWorkstation中創(chuàng)建一臺(tái)CentOS9的虛擬機(jī)，并且手動(dòng)配置了IP地址，可是發(fā)現(xiàn)這臺(tái)虛擬機(jī)不能與互聯(lián)網(wǎng)通信，就找到小李，讓他幫忙查找一下有哪些故障。實(shí)驗(yàn)環(huán)境要求?Windows桌面操作系統(tǒng)（建議使用Win10）?CentOS9操作系統(tǒng)實(shí)驗(yàn)步驟32第一步：登錄系統(tǒng)，切換為root模式，如圖所示。第二步：查看IP地址，如圖3-14所示。實(shí)驗(yàn)步驟33第三步：因?yàn)檫@個(gè)虛擬機(jī)是在VMwareWorkstation中創(chuàng)建的，查看一下虛擬機(jī)的網(wǎng)絡(luò)設(shè)置，如圖所