?

1 控制服務(wù)和守護(hù)進(jìn)程 systemctl

systemctl start **

systemctl restart **

systemctl enable **

systemctl status ** -l

2 管理IPv6網(wǎng)絡(luò) （考點(diǎn)）

理論 略

ipv4 點(diǎn)分十進(jìn)制,32位4組

mac 冒分十六進(jìn)制,48位6組

ipv6 冒分十六進(jìn)制，128位8組 （0123456789ABCDEF）

例如：

CDCD:910A:2222:5498:8475:1111:3900:2020

2001:0410:0000:0001:0000:0000:0000:45ff

2001: 410: 0: 1: :45ff

2001:410:0:1::45FF

:: 配置 IPv6 地址

在您的考試系統(tǒng)上配置接口 eth0 使用下列 IPv6 地址：

server0 上的地址應(yīng)該是 fddb:fe2a:ab1e::c0a8:64/64

desktop0 上的地址應(yīng)該是 fddb:fe2a:ab1e::c0a8:65/64

兩個系統(tǒng)必須能與網(wǎng)絡(luò) fddb:fe2a:ab1e::c0a8:fe 內(nèi)的系統(tǒng)通信。

地址必須在重啟后依舊生效。

兩個系統(tǒng)必須保持當(dāng)前的 IPv4 地址并能通信。

[Server]

# ping6 fe80::5054:ff:fe00:b%eth0

# ping6 -I eth0 fe80::5054:ff:fe00:b

# nmcli con mod 'System eth0' ipv6.addresses fddb:fe2a:ab1e::c0a8:64/64 ipv6.method static connection.autoconnect yes

# ifdown eth0 && ifup eth0

# ip add show eth0

[desktop]

# nmcli con mod "System eth0" ipv6.addresses fddb:fe2a:ab1e::c0a8:65/64 ipv6.method manual connection.autoconnect yes 注釋：manual 和static均表示靜態(tài)IP

# systemctl restart network

# ip add show | grep inet6

# ping6 fddb:fe2a:ab1e::c0a8:fe

顯示路由表：ipv6: ip -6 route ipv4: ip route

?

3 配置鏈路聚合和橋接 (考點(diǎn))

3.1 配置網(wǎng)絡(luò)Team

步驟：

1、創(chuàng)建team接口

2、確定team接口特性

3、分配接口（team網(wǎng)卡與物理網(wǎng)卡的映射）

4、啟用或禁用接口

使用兩個man手冊：

man teamd.conf

man nmcli-examples | grep team | grep \\$

[foundation]查看腳本

# vim /content/courses/rh254/rhel7.0/grading-scripts/lab-teambridge

:: 配置鏈路聚合

在 server0.example.com 和 desktop0.example.com 之間按以下要求配置

此鏈路使用接口 eno1 和 eno2

此鏈路在一個接口失效時仍然能工作

此鏈路在 server0 使用下面的地址 192.168.0.100/255.255.255.0

此鏈路在 desktop0 使用下面的地址 192.168.0.200/255.255.255.0

此鏈路在系統(tǒng)重啟之后依然保持正常狀態(tài)

[Server]

# lab teambridge setup

# man teamd.conf | grep activebackup

# man nmcli-examples | grep team | grep \\$

# nmcli con add type team con-name t1 ifname t1 config '{"runner": {"name": "activebackup"}}'

# nmcli con add type team-slave con-name t1s1 ifname eno1 master t1

# nmcli con add type team-slave con-name t1s2 ifname eno2 master t1

# nmcli con mod t1 connection.autoconnect yes ipv4.method static ipv4.addresses 192.168.0.100/24

# systemctl restart NetworkManager

# ip add show

# ping -c4 192.168.0.100

# teamdctl t1 state

[Desktop類同]

3.2 配置網(wǎng)卡Bridge 自整理 未講

配置software Bridge

– 將物理網(wǎng)卡配置成交換機(jī)；– 配置多個虛擬網(wǎng)卡；– 每塊虛擬網(wǎng)卡對應(yīng)不同網(wǎng)絡(luò)環(huán)境；

Example 8. Adding a bridge and two slave profiles

$ nmcli con add type bridge con-name TowerBridge ifname TowerBridge

$ nmcli con add type bridge-slave con-name br-slave-1 ifname ens3 master TowerBridge

$ nmcli con add type bridge-slave con-name br-slave-2 ifname ens4 master TowerBridge

$ nmcli con modify TowerBridge bridge.stp no

?

brctl show

?

4 網(wǎng)絡(luò)端口安全

– 2.4 版及以后的內(nèi)核中，包過濾機(jī)制是netfilter，管理工具是iptables

– Rhel7為了更好的支持ipv6開始使用firewalld

? netfilter

– 位于Linux內(nèi)核中的包過濾防火墻功能體系

– 稱為Linux防火墻的“內(nèi)核態(tài)”

? iptables

– 位于/sbin/iptables，是用來管理防火墻的命令工具

– 為防火墻體系提供過濾規(guī)則/策略，決定如何過濾或處理到達(dá)防火墻主機(jī)的數(shù)據(jù)包

– 稱為Linux防火墻的“用戶態(tài)”

?

4.1 iptables

? 規(guī)則鏈

– 規(guī)則的作用在于對數(shù)據(jù)包進(jìn)行過濾或處理，根據(jù)處理時機(jī)的不同，各種規(guī)則被組織在不同的“鏈”中

– 規(guī)則鏈?zhǔn)欠阑饓σ?guī)則/策略的集合

? 默認(rèn)的5種規(guī)則鏈

– INPUT：處理入站數(shù)據(jù)包

– OUTPUT：處理出站數(shù)據(jù)包

– FORWARD：處理轉(zhuǎn)發(fā)數(shù)據(jù)包

– POSTROUTING鏈：在進(jìn)行路由選擇后處理數(shù)據(jù)包

– PREROUTING鏈：在進(jìn)行路由選擇前處理數(shù)據(jù)包

iptables命令的語法格式

– iptables [-t 表名] 管理選項(xiàng)[鏈名] [條件匹配] [-j 目標(biāo)動作或跳轉(zhuǎn)]

?

? 幾個注意事項(xiàng)

– 不指定表名時，默認(rèn)表示filter表

– 不指定鏈名時，默認(rèn)表示該表內(nèi)所有鏈

– 除非設(shè)置規(guī)則鏈的缺省策略，否則需要指定匹配條件

iptables命令的管理選項(xiàng)

? 設(shè)置規(guī)則內(nèi)容：

-A：在鏈尾追加一條新的規(guī)則

-I：在指定位置（或鏈?zhǔn)?#xff09;插入一條新的規(guī)則

-R：修改、替換指定位置或內(nèi)容的規(guī)則

-P：設(shè)置指定鏈的默認(rèn)策略

? 列表查看規(guī)則

-L：列表查看各條規(guī)則信息

--line-numbers：查看規(guī)則信息時顯示規(guī)則的行號

-n：以數(shù)字形式顯示IP地址、端口等信息

-v：顯示數(shù)據(jù)包個數(shù)、字節(jié)數(shù)等詳細(xì)信息

? 清除規(guī)則

– -D：刪除指定位置或內(nèi)容的規(guī)則

– -F：清空規(guī)則鏈內(nèi)的所有規(guī)則

? 自定義規(guī)則鏈

– -N：創(chuàng)建一條新的規(guī)則鏈

– -X：刪除自定義的規(guī)則鏈

? 其他

– -h：查看iptables命令的使用幫助

? 通用條件匹配

– 可直接使用，不依賴于其他的條件或擴(kuò)展模塊

– 包括網(wǎng)絡(luò)協(xié)議、IP地址、網(wǎng)絡(luò)接口等匹配方式

? 隱含條件匹配

– 一般需要以特定的協(xié)議匹配作為前提

– 包括端口、TCP標(biāo)記、ICMP類型等匹配方式

? 協(xié)議匹配

– 使用“-p 協(xié)議名”的形式

– 協(xié)議名可使用在“/etc/protocols”文件中定義的名稱

– 常用的協(xié)議包括tcp、udp、icmp等

? 地址匹配

– 使用“-s 源地址”、“-d 目標(biāo)地址”的形式

– 地址可以是單個IP地址、網(wǎng)絡(luò)地址（帶掩碼長度）

? 接口匹配

– 使用“-i 網(wǎng)絡(luò)接口名”、“-o 網(wǎng)絡(luò)接口名”的形式，分別對應(yīng)接收、發(fā)送

數(shù)據(jù)包的網(wǎng)絡(luò)接口

? 端口匹配

– 使用“--sport 源端口”、“--dport 目標(biāo)端口”的形式

– 采用“端口1:端口2”的形式可以指定一個范圍的端口

? ICMP類型匹配

– 使用“--icmp-type ICMP類型”的形式

– ICMP類型可以使用類型字符串或者對應(yīng)的數(shù)值，例如Echo-

Request、Echo-Reply

? 常見的數(shù)據(jù)包處理方式

– ACCEPT：放行數(shù)據(jù)包

– DROP：丟棄數(shù)據(jù)包

– REJECT：拒絕數(shù)據(jù)包

– 用戶自定義鏈名：傳遞給自定義鏈內(nèi)的規(guī)則進(jìn)行處理

– SNAT：修改數(shù)據(jù)包的源地址信息

– DNAT：修改數(shù)據(jù)包的目標(biāo)地址信息

? 導(dǎo)出規(guī)則

– iptables-save

– 結(jié)合重定向輸出“>”符號保存規(guī)則信息

iptables-save > /root/iptables.160924

另一種方式：

--配置保存 service iptables save 可直接保存至配置文件/etc/sysconfig/iptables

? 導(dǎo)入規(guī)則

– iptables-restore

– 結(jié)合重定向輸入“<”符號恢復(fù)規(guī)則信息

iptables-restore < /root/iptables.160924

?

SNAT策略概述

? SNAT策略的典型應(yīng)用環(huán)境

– 局域網(wǎng)主機(jī)共享單個公網(wǎng)IP地址接入Internet

? SNAT策略的原理

– 源地址轉(zhuǎn)換，Source Network Address Translation

– 修改數(shù)據(jù)包的源IP地址

? 推薦實(shí)現(xiàn)步驟

– 1. 開啟網(wǎng)關(guān)主機(jī)的路由轉(zhuǎn)發(fā)功能

– 2. 添加使用SNAT策略的防火墻規(guī)則

– 規(guī)則示例：

iptables -t nat -A POSTROUTING -s 192.168.1.0/24

-o eth0 -j SNAT --to-source 218.29.30.31

iptables -t nat -A POSTROUTING -s 192.168.1.0/24

-o eth0 -j MASQUERADE

? MASQUERADE（地址偽裝）策略

– 只需將“-j SNAT --to-source 218.29.30.31”的形式改為

“-j MASQUERADE”即可

– 如果是通過ADSL撥號方式連接Internet，則外網(wǎng)接口名稱通

常為ppp0、ppp1等

? MASQUERADE策略應(yīng)用示例

?

DNAT策略概述

? DNAT策略的典型應(yīng)用環(huán)境

– 在Internet中發(fā)布位于企業(yè)局域網(wǎng)內(nèi)的服務(wù)器

? DNAT策略的原理

– 目標(biāo)地址轉(zhuǎn)換，Destination Network Address Translation

– 修改數(shù)據(jù)包的目標(biāo)IP地址

? 推薦實(shí)現(xiàn)步驟

– 1. 確認(rèn)已開啟網(wǎng)關(guān)的路由轉(zhuǎn)發(fā)功能

– 2. 添加使用DNAT策略的防火墻規(guī)則

– 規(guī)則示例：

iptables -t nat -A PREROUTING -i eth0 -d 218.29.30.31 -p tcp -

-dport 80 -j DNAT --to-destination 192.168.1.6

?

理解iptables條目

iptables –t filter -A INPUT -p tcp --dport 80 -j ACCPET

?

?

4.2 iptables課程命令：

table filter(default)

chain INPUT | OUTPUT | FORWARD | PRE | POST

rule

# systemctl status iptables

# iptables -L 列出各鏈及其規(guī)則

# iptables -F 清除規(guī)則鏈內(nèi)的規(guī)則

# iptables -X 刪除自定義的規(guī)則鏈

# iptables -A INPUT -s 1.1.1.1 -j DROP 在INPUT鏈尾增加一條規(guī)則，來自1則策略drop

# iptables -R INPUT 3 -s 1.1.1.3 -j ACCEPT 替換指定位置3的規(guī)則（位置從上向下數(shù)）

# iptables -I INPUT 2 -s 1.1.1.4 -j DROP 在位置2插入一條規(guī)則，其他>2規(guī)則位置+1

# iptables -nL --line-number 標(biāo)記各規(guī)則的位置

# iptables -I INPUT -s 1.1.1.5 -j DROP 在鏈?zhǔn)?#xff0c;位置1插入一條規(guī)則

# iptables -P FORWARD ACCEPT 修改FORWARD鏈默認(rèn)策略

# iptables -N cooper 創(chuàng)建自定義鏈

# iptables -E cooper sven 修改自定義鏈名

# iptables -X sven 刪除自定義規(guī)則鏈

# service iptables save 保存規(guī)則鏈至下述配置文件

# vim /etc/sysconfig/iptables

# iptables-save > /root/iptables.160924 保存規(guī)則至指定文件

# iptables -F; iptables -X 刪除全部規(guī)則 全部鏈

# iptables-restore < /root/iptables.160924 恢復(fù)

# iptables -nL

# systemctl status iptables

?

4.3 firewalld （考試：端口轉(zhuǎn)發(fā) rich規(guī)則）

?

轉(zhuǎn)載于:https://www.cnblogs.com/DaweiJ/p/8463370.html

總結(jié)

以上是生活随笔為你收集整理的红帽RHCE培训-课程3笔记内容1的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。