Linux基礎與應用實踐 課件 任務三 Linux網(wǎng)絡及防火墻配置

Linux基礎與項目實踐任務三Linux網(wǎng)絡及防火墻配置0203網(wǎng)絡管理命令Linux網(wǎng)絡配置01網(wǎng)絡管理協(xié)議介紹

04防火墻iptables配置05網(wǎng)絡故障排除網(wǎng)絡管理協(xié)議介紹PART01TCP/IP概述3TCP/IP源于ARPANET，其主要目的是提供與底層硬件無關的網(wǎng)絡之間的互連，包括各種物理網(wǎng)絡技術。TCP/IP并不是單純的兩個協(xié)議而是一組通信協(xié)議的集合，所包含的每個協(xié)議都具有特定的功能，完成相應的任務。TCP/IP協(xié)議的特點：開放的協(xié)議標準（與硬件、操作系統(tǒng)無關）。獨立于特定的網(wǎng)絡硬件（運行于LAN、WAN，特別是互聯(lián)網(wǎng)中。統(tǒng)一網(wǎng)絡編址（網(wǎng)絡地址的唯一性）。標準化高層協(xié)議，可提供多種服務。TCP/IP采用四層結構，如圖所示。TCP/IP概述4TCP/IP是一個協(xié)議集，包括的主要協(xié)議有：（1）IP協(xié)議（2）ICMP協(xié)議（3）IGMP協(xié)議（4）ARP和RARP協(xié)議（5）TCP協(xié)議（6）UDP協(xié)議（7）應用層協(xié)議IP地址5IP地址通常由兩部分來組成，分別是網(wǎng)絡號和主機號，根據(jù)網(wǎng)絡號和主機號所占位數(shù)的不同，IP地址可以分為五種類型，如圖所示。IP地址6IP地址通常用點分十進制標記法（dotteddecimalnotation）來書寫，這時IP地址寫成4個十進制數(shù)，相互之間用小數(shù)點隔開，每個十進制數(shù)（從0到255）表示IP地址的一個字節(jié)。例如10000000000010110000001100011111采用點分十進制表示法即為1，其轉換過程如圖所示。IP地址7在IP地址中0和1具有特殊的意義，如圖所示。全0Any全0全1Any全1127任意值（常為1）網(wǎng)絡地址，代表一個網(wǎng)段本機有限廣播（本地網(wǎng)絡）直接廣播（某個網(wǎng)絡）回路子網(wǎng)掩碼8

劃分子網(wǎng)的方法是將主機號部分劃出一定的位數(shù)用作本網(wǎng)的各個子網(wǎng)，其余的主機號作為相應子網(wǎng)的主機號部分。劃分給子網(wǎng)的位數(shù)根據(jù)實際情況而定。這樣IP地址就由網(wǎng)絡號、子網(wǎng)號和主機號3部分組成。子網(wǎng)掩碼有兩大功能：一是用來區(qū)分IP地址中的網(wǎng)絡號和主機號二是將網(wǎng)絡分割成多個子網(wǎng)A、B、C類地址默認子網(wǎng)掩碼地址類型子網(wǎng)掩碼十進制表示ABCIPv6地址9IPv6定義了三種類型的地址。（1）單路傳送地址。它指定的是一個獨立的主機。IPv4的地址被記做“點分十進制表示法”的格式，即4字節(jié)地址的每個字節(jié)都表示成十進制數(shù)，并以點分隔。而IPv6的地址則是由冒號分隔的8個16位地址塊的十六進制串。例如，F(xiàn)F04:19:5:ABD4:187:2C:754:2C1。每個分段的前導0不用寫。（2）任意傳送地址。它指定的是一組主機。發(fā)送給任意地址的分組會被發(fā)送給該地址標識的一組主機中的一臺主機，這臺主機通常是路由協(xié)議定義的最近的一臺主機。IPv6中沒有廣播地址，該功能可由多路傳送地址提供。（3）混合地址。IPv6還定義了一種混合地址格式，以便在IPv6環(huán)境中，方便地表示IPv4地址。在這種方案中，前96位（6組16位塊）表示成規(guī)則的IPv6格式的地址，而剩余的32位則表示成IPv4通常用的“點分十進制表示法”格式。Linux網(wǎng)絡配置PART02Linux網(wǎng)絡相關配置文件11

Linux網(wǎng)絡配置主要有以下目錄或文件。（1）/etc/hostname：主要功能在于修改主機名稱。（2）/etc/NetworkManager/system-connections/（之前的CentOS版本目錄為/etc/sysconfig/network-scripts/）：是設置網(wǎng)卡參數(shù)的文件目錄，比如IP地址、子網(wǎng)掩碼、廣播地址、網(wǎng)關等。（3）/etc/resolv.conf：此文件用于設置DNS相關信息。（4）/etc/hosts：計算機的IP對應的主機名稱或域名對應的IP地址，通過設置/etc/nsswitch.conf中的選項可以選擇是DNS解析優(yōu)先還是本地設置優(yōu)先。（5）/etc/nsswitch.conf：規(guī)定通過哪些途徑，以及按照什么順序通過這此途徑來查找特定類型的信息。配置IP地址12CentOSStream9的網(wǎng)卡配置文件默認為/etc/NetworkManager/system-connections/目錄下，打開對應的網(wǎng)卡配置文件：#vi/etc/NetworkManager/system-connections/ens33.nmconnection配置IP地址13默認的[ipv4]項為“auto”模式，這時需要網(wǎng)絡中有DHCP服務器才可以給這個Linux系統(tǒng)自動分配IP地址。如果想要手動靜態(tài)設置IP地址，需要設置“method=manual”，并且指定相關參數(shù)。配置IP地址14修改完相應的信息需要重新加載網(wǎng)卡配置文件，操作如下：#nmclicreload#nmclicupens33使用ifconfig命令查看網(wǎng)卡配置信息，修改后結果如圖所示。配置IP地址15給一個網(wǎng)卡配置多個IP地址，在配置文件中添加“address2”參數(shù)即可。配置后重啟網(wǎng)絡服務，使用ipaddr命令查看結果如圖所示。設置主機名16主機名是識別某個計算機在網(wǎng)絡中的標識，查看系統(tǒng)當前的主機名可以使用hostname命令，如圖所示。如果想修改主機名，也可以使用hostname，比如將主機名修改為compus，執(zhí)行效果如圖所示。設置主機名17

使用hostname修改的主機名是臨時性的，系統(tǒng)重啟后又會恢復成之前的主機名。如果想要使修改的主機名長期有效，需要修改主機名配置文件/etc/hostname。使用/etc/hostname修改主機名為office。操作過程如圖所示。網(wǎng)絡管理命令PART03ping命令19

ping命令通常用來測試與目標主機或域名是否可達，通過發(fā)送ICMP數(shù)據(jù)包到網(wǎng)絡主機，并顯示響應情況，根據(jù)輸出信息來確定目標主機或域名是否可達。

ping命令常用參數(shù)說明參數(shù)說明-d使用Socket的SO_DEBUG功能-f極限檢測。大量且快速地發(fā)送數(shù)據(jù)包給一臺主機，看其回應-n只輸出數(shù)值-q不顯示任何傳送數(shù)據(jù)包的信息，只顯示最后的結果-r忽略普通的RoutingTable，直接將數(shù)據(jù)包送到遠端主機上-R記錄路由過程-v詳細顯示指令的執(zhí)行過程-c在發(fā)送指定數(shù)量的包后停止-i設定間隔幾秒發(fā)送一個網(wǎng)絡數(shù)據(jù)包給目標主機，預設值是一秒一次-I使用指定的網(wǎng)絡界面發(fā)送出數(shù)據(jù)包-l設置在發(fā)送要求信息之前，先行發(fā)出的數(shù)據(jù)包-p設置填滿數(shù)據(jù)包的范本格式-s指定發(fā)送的數(shù)據(jù)字節(jié)數(shù)-t設置存活數(shù)值TTL的大小ifconfig命令20ifconfig命令可以用于查看、配置、啟用或禁用指定網(wǎng)絡接口，如配置網(wǎng)卡的IP地址、掩碼、廣播地址、網(wǎng)關等，Windows系統(tǒng)下類似的命令是ipconfig。ifconfig命令的語法如下：

#ifconfiginterface[[-net–host]address[parameters]]

其中interface是網(wǎng)絡接口名，address是分配給指定接口的主機名或IP地址。-net和-host參數(shù)分別是指定地址作為網(wǎng)絡號或是主機地址。Linux系統(tǒng)中的網(wǎng)卡lo為本地環(huán)回接口，IP地址固定為，子網(wǎng)掩碼8位，表示本機。route命令21route命令可以用于查看或編輯計算機的IP路由表。route命令的語法如下：route[-f][-p][command][destination][netmask][gateway][metric][[dev]if]參數(shù)說明：lcommand：指定想要進行的操作，如add、change、delete、print等ldestination：指定該路由的網(wǎng)絡目標lnetmask：指定與網(wǎng)絡目標相關的子網(wǎng)掩碼lgateway：指定的網(wǎng)關地址lmetric：為路由指定一個整數(shù)成本指標，當路由表中到達目的網(wǎng)段有多條路由時可以根據(jù)metric值選擇更優(yōu)的路由l[dev]if：為可以訪問目標的網(wǎng)絡接口指定接口索引netstat命令22netstat命令用于監(jiān)控系統(tǒng)網(wǎng)絡配置和工作狀況，可以顯示內核路由表、活動的網(wǎng)絡狀態(tài)以及每個網(wǎng)絡接口的有用的統(tǒng)計數(shù)字。常用的參數(shù)如表所示。參數(shù)說明-a顯示所有連接中的Socket-c持續(xù)列出網(wǎng)絡狀態(tài)-h在線幫助-i顯示網(wǎng)絡接口信息-l顯示監(jiān)控中的服務器的Socket-n直接使用IP地址，而不通過域名服務器-p顯示正在使用Socket的程序名稱-r顯示路由表-s顯示網(wǎng)絡工作信息統(tǒng)計表-t顯示TCP協(xié)議的網(wǎng)絡連接信息-u顯示UDP協(xié)議的網(wǎng)絡連接信息-v顯示命令執(zhí)行過程-V顯示版本信息防火墻iptables配置PART04Linux防火墻工作原理24

Linux內核提供的防火墻功能通過netfilter框架實現(xiàn)，并提供了iptables工具配置和修改防火墻的規(guī)則。

netfilter的通用框架不依賴于具體的協(xié)議，而是為每種網(wǎng)絡協(xié)議定義一套鉤子函數(shù)。這些鉤子函數(shù)在數(shù)據(jù)包經(jīng)過協(xié)議棧的幾個關鍵點時被調用，在這幾個點中，協(xié)議棧將數(shù)據(jù)包及鉤子函數(shù)作為參數(shù)，傳遞給netfilter框架。

對于每種網(wǎng)絡協(xié)議定義的鉤子函數(shù)，任何內核模塊可以對每種協(xié)議的一個或多個鉤子函數(shù)進行注冊，實現(xiàn)掛接。這樣當某個數(shù)據(jù)包被傳遞給netfilter框架時，內核能檢測到是否有有關模塊對該協(xié)議和鉤子函數(shù)進行了注冊。如發(fā)現(xiàn)注冊信息則調用該模塊在注冊時使用的回調函數(shù)，然后對應模塊去檢查、修改、丟棄該數(shù)據(jù)包及指示netfilter將該數(shù)據(jù)包傳入用戶空間的隊列。netfilter體系結構25網(wǎng)絡數(shù)據(jù)包的通信主要經(jīng)過以下相關步驟，對應netfilter定義的鉤子函數(shù)。鉤子函數(shù)是系統(tǒng)在進行消息傳遞處理的時候利用鉤子機制截取消息,可以對一些特定的消息進行處理。數(shù)據(jù)包在通過iptables防火墻時的處理過程包過濾26netfilter定義的每個函數(shù)都可以對數(shù)據(jù)包進行處理，最基本的操作為對數(shù)據(jù)包進行過濾。系統(tǒng)管理員可以通過iptables工具來向內核模塊注冊多個過濾規(guī)則，并且指明過濾規(guī)則的優(yōu)先權。設置完以后每個鉤子按照規(guī)則進行匹配，如果與規(guī)則匹配，函數(shù)就會進行一些過濾操作，這些操作主要是以下幾個：lNF_ACCEPT：繼續(xù)正常地傳遞包lNF_DROP：丟棄包，停止傳送lNF_STOLEN：已經(jīng)接管了包，不要繼續(xù)傳送lNF_QUEUE：排列包lNF_REPEAT：再次使用該鉤子包選擇27在netfilter框架上已經(jīng)創(chuàng)建了一個包選擇系統(tǒng)，這個包選擇工具默認已經(jīng)注冊了3個表，分別是：過濾（filter）表、網(wǎng)絡地址轉換（NAT）表和mangle表。

在調用鉤子函數(shù)時是按照表的順序來調用的。例如在執(zhí)行NF_IP_PRE_ROUTING時，首先檢查filter表，然后檢查Mangle表，最后檢查NAT表。

過濾（filter）表過濾包而不會改變包，僅僅是過濾的作用，由網(wǎng)絡過濾框架來提供NF_IP_FORWARD鉤子的輸出和輸入接口，這使得過濾工作變得非常簡單。網(wǎng)絡地址轉換（NAT）表分別服務于兩套不同的網(wǎng)絡過濾鉤子的包，對于非本地包，NF_IP_PRE_ROUTING和NF_IP_POST_ROUTING鉤子可以完美地解決源地址和目的地址的變更。mangle表被用于真正的改變包的信息，mangle表和所有的5個網(wǎng)絡過濾的鉤子函數(shù)都有關。切換至iptables28Linux系統(tǒng)默認的防火墻是firewalld，要使用iptables，需要先將firewalld停止，并讓系統(tǒng)將iptables作為默認防火墻。#查看firewalld狀態(tài)[root@office~]#systemctlstatusfirewalld#關閉并禁用firewalld[root@office~]#systemctlstopfirewalld[root@office~]#systemctldisablefirewalld#啟動并啟用iptables[root@office~]#systemctlstartiptables[root@office~]#systemctlenableiptables#如果使用了IPv6，還需要開啟ip6tables[root@office~]#systemctlstartip6tables[root@office~]#systemctlenableip6tablesiptables的使用29iptables預定義了5個鏈，分別對應netfilter的5個鉤子函數(shù)，這5個鏈分別是：INPUT鏈、FORWARD鏈、OUTPUT鏈、PREROUTING鏈、POSTROUTING鏈。iptables指令語法如下：iptables[-ttable]command[match][-jtarget/jump]“-ttable”參數(shù)用來指定規(guī)則表，內建的規(guī)則表分別為nat、mangle和filter，當未指定規(guī)則表時，默認為filter。各個規(guī)則表的功能如下：lnat：此規(guī)則表主要針對PREROUTING和POSTROUTING兩個規(guī)則鏈，主要功能為進行源地址或目的地址的網(wǎng)絡轉換工作。lmangle：此規(guī)則表主要針對PREROUTING、FORWARD和POSTROUTING3個規(guī)則鏈，某些特殊應用可以在此規(guī)則表時設定，比如為數(shù)據(jù)包做標記。lfilter：這個規(guī)則表是默認規(guī)則表，針對INPUT、FORWARD和OUTPUT3個規(guī)則鏈，這個規(guī)則表主要用來進行封包過濾的處理動作，如DROP、LOG、ACCEPT或REJECT。網(wǎng)絡故障排除PART0531實驗目標?了解網(wǎng)絡配置的主要流程和參數(shù)?掌握常用網(wǎng)絡測試命令?掌握IP地址、網(wǎng)關、DNS的作用及配置實驗任務描述小張的同事小陸也在VMwareWorkstation中創(chuàng)建一臺CentOS9的虛擬機，并且手動配置了IP地址，可是發(fā)現(xiàn)這臺虛擬機不能與互聯(lián)網(wǎng)通信，就找到小李，讓他幫忙查找一下有哪些故障。實驗環(huán)境要求?Windows桌面操作系統(tǒng)（建議使用Win10）?CentOS9操作系統(tǒng)實驗步驟32第一步：登錄系統(tǒng)，切換為root模式，如圖所示。第二步：查看IP地址，如圖3-14所示。實驗步驟33第三步：因為這個虛擬機是在VMwareWorkstation中創(chuàng)建的，查看一下虛擬機的網(wǎng)絡設置，如圖所