RHEL7版-項(xiàng)目07 網(wǎng)絡(luò)配置與Firewalld防火墻的管理

1、第第1 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日Red Hat Enterprise Linux 7.3（RHEL 7.3）l課程標(biāo)準(zhǔn)課程標(biāo)準(zhǔn)( (教學(xué)大綱教學(xué)大綱) )l教學(xué)設(shè)計(jì)方案教學(xué)設(shè)計(jì)方案( (教案教案) )lPPTPPT電子課件電子課件l教材習(xí)題參考答案教材習(xí)題參考答案l模擬試卷及參考答案模擬試卷及參考答案(4(4套套) )l紅帽認(rèn)證紅帽認(rèn)證+ +全國(guó)技能大賽資料全國(guó)技能大賽資料l知識(shí)拓展知識(shí)拓展& &網(wǎng)絡(luò)工程解決方案網(wǎng)絡(luò)工程解決方案附贈(zèng)光盤附贈(zèng)光盤第第2 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與

2、管理2022年年4月月3日星期日日星期日第第3 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日網(wǎng)絡(luò)主機(jī)網(wǎng)絡(luò)主機(jī)(終端節(jié)點(diǎn)終端節(jié)點(diǎn))的連網(wǎng)配置的連網(wǎng)配置:對(duì)網(wǎng)絡(luò)中所有計(jì)算機(jī)或服務(wù)器的主機(jī)名、網(wǎng)絡(luò)接口(網(wǎng)卡)的配置(包括IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)、DNS服務(wù)器的IP地址等),以便使同一子網(wǎng)中的主機(jī)之間能相互連通。網(wǎng)絡(luò)互連設(shè)備的配置網(wǎng)絡(luò)互連設(shè)備的配置:對(duì)內(nèi)部網(wǎng)絡(luò)中連接各子網(wǎng)的路由器和交換機(jī)的配置。其目的是實(shí)現(xiàn)不同子網(wǎng)中的主機(jī)之間能夠相互連通,主要是路由信息的配置。網(wǎng)關(guān)設(shè)備的配置網(wǎng)關(guān)設(shè)備的配置:是指在校園網(wǎng)與外部互聯(lián)網(wǎng)的交界處的設(shè)備上所實(shí)施的

3、配置。主要包括防火墻和NAT服務(wù)的配置。通過防火墻規(guī)則設(shè)置以保護(hù)校園內(nèi)部網(wǎng)絡(luò)中的主機(jī)(主要是服務(wù)器);通過NAT服務(wù)的配置以允許校園網(wǎng)內(nèi)所有配置私網(wǎng)IP地址的主機(jī)能訪問外部互聯(lián)網(wǎng),同時(shí),外網(wǎng)的用戶也可以訪問校園網(wǎng)內(nèi)的某些服務(wù)器。7.1 項(xiàng)目項(xiàng)目描述描述第第4 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日7.2 項(xiàng)目知識(shí)準(zhǔn)備項(xiàng)目知識(shí)準(zhǔn)備 1.網(wǎng)絡(luò)配置的主要文件及目錄網(wǎng)絡(luò)配置的主要文件及目錄路徑及文件名功能/etc/hostname用于設(shè)置和保存靜態(tài)主機(jī)名/etc/machine-info用于設(shè)置和保存靈活主機(jī)名/etc/hosts用于設(shè)

4、置主機(jī)名映射為IP地址,從而實(shí)現(xiàn)主機(jī)名的解析/etc/sysconfig/network-scripts/網(wǎng)絡(luò)接口(網(wǎng)卡)配置文件的存放目錄/etc/resolv.conf用于對(duì)主機(jī)的DNS服務(wù)器IP地址進(jìn)行配置/etc/nsswitch.conf用于指定域名解析順序/etc/services用于設(shè)置主機(jī)的不同端口對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)(一般無需修改)/usr/lib/sysctl.d/00-system.conf用于開啟或關(guān)閉路由轉(zhuǎn)發(fā)功能,從而使數(shù)據(jù)包能在不同子網(wǎng)之間轉(zhuǎn)發(fā)/etc/sysconfig/network-scripts/route-ensXX用于設(shè)置并保存靜態(tài)路由信息,從而將Linux服

5、務(wù)器構(gòu)建為軟路由器 第第5 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口是指網(wǎng)絡(luò)中的計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備與其他設(shè)備實(shí)現(xiàn)通訊的進(jìn)出口。這里,主要是指計(jì)算機(jī)的網(wǎng)絡(luò)接口即網(wǎng)卡設(shè)備。從RHEL7開始引入了一種新的“一致網(wǎng)絡(luò)設(shè)備命名”的方式為網(wǎng)絡(luò)接口命名,該方式可以根據(jù)固件、設(shè)備拓?fù)?、設(shè)備類型和位置信息分配固定的名字。網(wǎng)絡(luò)接口的名稱的前兩個(gè)字符為網(wǎng)絡(luò)類型符號(hào)。如:len示以太網(wǎng)(Ethernet)、wl表示無線局域網(wǎng)(wlan)、ww表示無線廣域網(wǎng)(wwan);接下來的字符根據(jù)設(shè)備類型或位置選擇,如: lo表示內(nèi)置(onboard)

6、于主板上的集成設(shè)備(即集成網(wǎng)卡)及索引號(hào);ls表示是插在可以熱拔插的插槽上的獨(dú)立設(shè)備及索引號(hào);lx表示基于MAC地址命名的設(shè)備;lp表示PCI插槽的物理位置及編號(hào)。則是為網(wǎng)絡(luò)接口實(shí)施配置的設(shè)置集合。在同一個(gè)網(wǎng)絡(luò)接口上,可以有多套不同的設(shè)置方案,即一個(gè)網(wǎng)絡(luò)接口可以有多個(gè)網(wǎng)絡(luò)連接,但同一時(shí)間只能有一個(gè)網(wǎng)絡(luò)連接處于活動(dòng)狀態(tài)。 第第6 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日第第7 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日第第8 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理

7、網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日第第9 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日Console口4個(gè)10/100/1000口 CheckPoint UTM-1 570 第第10 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日1Linux防火墻的歷史防火墻的歷史在在3.10之后的內(nèi)核中之后的內(nèi)核中,包過濾機(jī)制是包過濾機(jī)制是netfilter,管理防火墻管理防火墻的工具有的工具有firewalld、iptables等。等。firewalld的官網(wǎng)：的官

8、網(wǎng)：第第11 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日2Linux防火墻的架構(gòu)防火墻的架構(gòu)Linux防火墻系統(tǒng)由以下三層架構(gòu)的三個(gè)子系統(tǒng)組成防火墻系統(tǒng)由以下三層架構(gòu)的三個(gè)子系統(tǒng)組成:內(nèi)核層的內(nèi)核層的中間層服務(wù)程序中間層服務(wù)程序:是連接內(nèi)核和用戶的與內(nèi)核直接交互是連接內(nèi)核和用戶的與內(nèi)核直接交互的監(jiān)控防火墻規(guī)則的服務(wù)程序或守護(hù)進(jìn)程的監(jiān)控防火墻規(guī)則的服務(wù)程序或守護(hù)進(jìn)程,它將用戶配置它將用戶配置的規(guī)則交由內(nèi)核中的的規(guī)則交由內(nèi)核中的netfilter來讀取來讀取,從而調(diào)整防火墻規(guī)從而調(diào)整防火墻規(guī)則。則。用戶層工具用戶層工具:是是Linux系

9、統(tǒng)為用戶提供的用來定義和配系統(tǒng)為用戶提供的用來定義和配置防火墻規(guī)則的工具軟件。置防火墻規(guī)則的工具軟件。第第12 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日表表鏈鏈規(guī)則規(guī)則的結(jié)構(gòu)來組織規(guī)則的結(jié)構(gòu)來組織規(guī)則第第13 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日第第14 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日在在RHEL7中用戶層的配置中用戶層的配置firewalld防火墻規(guī)則防火墻規(guī)則的工具有以下三種的工具有以下

10、三種:圖形工具圖形工具firewall-config。命令行工具命令行工具firewall-cmd。直接編輯直接編輯/etc/firewalld/目錄中擴(kuò)展名為目錄中擴(kuò)展名為.xml的一系列的一系列配置文件。配置文件。為了簡(jiǎn)化防火墻管理為了簡(jiǎn)化防火墻管理,firewalld將所有網(wǎng)絡(luò)流量將所有網(wǎng)絡(luò)流量劃分為多個(gè)區(qū)域。根據(jù)數(shù)據(jù)包源劃分為多個(gè)區(qū)域。根據(jù)數(shù)據(jù)包源IP地址或傳入網(wǎng)地址或傳入網(wǎng)絡(luò)接口等條件絡(luò)接口等條件,流量將轉(zhuǎn)入相應(yīng)區(qū)域的防火墻規(guī)流量將轉(zhuǎn)入相應(yīng)區(qū)域的防火墻規(guī)則則,firewalld提供的幾種預(yù)定義的區(qū)域及防火墻提供的幾種預(yù)定義的區(qū)域及防火墻初始規(guī)則見表初始規(guī)則見表7-2。第第15 頁(yè)頁(yè)L

11、inuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日區(qū)域(zone)區(qū)域中包含的初始規(guī)則trusted (受信任的)允許所有流入的數(shù)據(jù)包。home (家庭)拒絕流入的數(shù)據(jù)包,允許外出及服務(wù)ssh,mdns,ipp-client,samba-client與ernal (內(nèi)部)拒絕流入的數(shù)據(jù)包,允許外出及服務(wù)ssh、mdns、ipp-client、samba-client、dhcpv6-client。work (工作)拒絕流入的數(shù)據(jù)包,除非與輸出流量數(shù)據(jù)包相關(guān)或是ssh,ipp-client與dhcpv6-client

12、服務(wù)則允許。public (公開)拒絕流入的數(shù)據(jù)包,允許外出及服務(wù)ssh、dhcpv6-client,新添加的網(wǎng)絡(luò)接口缺省的默認(rèn)區(qū)域。external (外部)拒絕流入的數(shù)據(jù)包,除非與輸出流量數(shù)據(jù)包相關(guān),允許外出及服務(wù)ssh、mdns、ipp-client、samba-client、dhcpv6-client,默認(rèn)啟用了偽裝。dmz (隔離區(qū))拒絕流入的數(shù)據(jù)包,除非與輸出流量數(shù)據(jù)包相關(guān) ,允許外出及服務(wù)ssh。block (阻塞)拒絕流入的數(shù)據(jù)包,除非與輸出流量數(shù)據(jù)包相關(guān)。drop (丟棄)任何流入網(wǎng)絡(luò)的包都被丟棄,不作出任何響應(yīng),除非與輸出流量數(shù)據(jù)包相關(guān)。只允許流出的網(wǎng)絡(luò)連接。第第16 頁(yè)頁(yè)

13、LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日數(shù)據(jù)包要進(jìn)入到內(nèi)核必須要通過這些區(qū)域數(shù)據(jù)包要進(jìn)入到內(nèi)核必須要通過這些區(qū)域(zone)中的一個(gè)中的一個(gè),不同的區(qū)域里預(yù)定義的防火墻規(guī)則不一樣不同的區(qū)域里預(yù)定義的防火墻規(guī)則不一樣(即信任度或過濾即信任度或過濾的強(qiáng)度不一樣的強(qiáng)度不一樣),人們可以根據(jù)計(jì)算機(jī)所處的不同的網(wǎng)絡(luò)環(huán)境人們可以根據(jù)計(jì)算機(jī)所處的不同的網(wǎng)絡(luò)環(huán)境和安全需求將網(wǎng)卡連接到相應(yīng)區(qū)域和安全需求將網(wǎng)卡連接到相應(yīng)區(qū)域(默認(rèn)區(qū)域是默認(rèn)區(qū)域是public),并對(duì)并對(duì)區(qū)域中現(xiàn)有規(guī)則進(jìn)行補(bǔ)充完善區(qū)域中現(xiàn)有規(guī)則進(jìn)行補(bǔ)充完善,進(jìn)而制定出更為精細(xì)的防火進(jìn)而制定

14、出更為精細(xì)的防火墻規(guī)則來滿足網(wǎng)絡(luò)安全的要求。一塊物理網(wǎng)卡可以有多個(gè)網(wǎng)墻規(guī)則來滿足網(wǎng)絡(luò)安全的要求。一塊物理網(wǎng)卡可以有多個(gè)網(wǎng)絡(luò)連接絡(luò)連接(邏輯連接邏輯連接),一個(gè)網(wǎng)絡(luò)連接只能連接一個(gè)區(qū)域一個(gè)網(wǎng)絡(luò)連接只能連接一個(gè)區(qū)域,而一個(gè)而一個(gè)區(qū)域可以接收多個(gè)網(wǎng)絡(luò)連接。區(qū)域可以接收多個(gè)網(wǎng)絡(luò)連接。根據(jù)不同的語(yǔ)法來源根據(jù)不同的語(yǔ)法來源,firewalld包含的規(guī)則有以下三種：包含的規(guī)則有以下三種：標(biāo)準(zhǔn)規(guī)則標(biāo)準(zhǔn)規(guī)則:利利用用firewalld的基本語(yǔ)法規(guī)范所制定或添加的的基本語(yǔ)法規(guī)范所制定或添加的防火墻規(guī)則。防火墻規(guī)則。直接規(guī)則直接規(guī)則:當(dāng)當(dāng)firewalld的基本語(yǔ)法表達(dá)不夠用時(shí)的基本語(yǔ)法表達(dá)不夠用時(shí),通過手動(dòng)通過手

15、動(dòng)編碼的方式直接利用其底層的編碼的方式直接利用其底層的iptables或或ebtables的語(yǔ)法的語(yǔ)法規(guī)則所制定的防火墻規(guī)則。規(guī)則所制定的防火墻規(guī)則。富規(guī)則富規(guī)則: firewalld的基本語(yǔ)法未能涵蓋的的基本語(yǔ)法未能涵蓋的,通過富規(guī)則語(yǔ)通過富規(guī)則語(yǔ)法制定的復(fù)雜防火墻規(guī)則。法制定的復(fù)雜防火墻規(guī)則。第第17 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日第第18 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日1NAT服務(wù)的概念及分類服務(wù)的概念及分類根據(jù)根據(jù)NAT替換數(shù)據(jù)包頭部中地址

16、的不同替換數(shù)據(jù)包頭部中地址的不同,NAT分為源分為源地址轉(zhuǎn)換地址轉(zhuǎn)換SNAT(Source NAT)(IP偽裝偽裝)和目的地址和目的地址轉(zhuǎn)換轉(zhuǎn)換DNAT(Destination NAT)兩類。兩類。SNAT技術(shù)技術(shù)主要應(yīng)用于在企事業(yè)單位內(nèi)部使用私網(wǎng)主要應(yīng)用于在企事業(yè)單位內(nèi)部使用私網(wǎng)IP地址地址的所有計(jì)算機(jī)能夠訪問互聯(lián)網(wǎng)上服務(wù)器的所有計(jì)算機(jī)能夠訪問互聯(lián)網(wǎng)上服務(wù)器,實(shí)現(xiàn)共享上網(wǎng)實(shí)現(xiàn)共享上網(wǎng),并并且能隱藏內(nèi)部網(wǎng)絡(luò)的且能隱藏內(nèi)部網(wǎng)絡(luò)的IP地址。在地址。在RHEL7系統(tǒng)內(nèi)置的防火系統(tǒng)內(nèi)置的防火墻中的墻中的IP偽裝功能就是偽裝功能就是SNAT技術(shù)具體實(shí)現(xiàn)方式。技術(shù)具體實(shí)現(xiàn)方式。DNAT技術(shù)技術(shù)則能讓互聯(lián)網(wǎng)

17、中用戶穿透到企事業(yè)的內(nèi)部網(wǎng)絡(luò)則能讓互聯(lián)網(wǎng)中用戶穿透到企事業(yè)的內(nèi)部網(wǎng)絡(luò),訪問使用私網(wǎng)訪問使用私網(wǎng)IP地址的服務(wù)器地址的服務(wù)器,即無公網(wǎng)即無公網(wǎng)IP的內(nèi)網(wǎng)服務(wù)器的內(nèi)網(wǎng)服務(wù)器發(fā)布到互聯(lián)網(wǎng)發(fā)布到互聯(lián)網(wǎng)(如發(fā)布如發(fā)布Web網(wǎng)站和網(wǎng)站和FTP站點(diǎn)等站點(diǎn)等)。第第19 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日2NAT服務(wù)器的工作過程服務(wù)器的工作過程N(yùn)AT服務(wù)器的工作過程如圖服務(wù)器的工作過程如圖7-3所示。所示。第第20 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日在RHEL7中,引入了

18、靜態(tài)(static)、瞬態(tài)(transient)和靈活(pretty)三種主機(jī)名?！八矐B(tài)瞬態(tài)”主機(jī)名主機(jī)名第第21 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日選項(xiàng)說明如下：選項(xiàng)說明如下：status可同時(shí)查看靜態(tài)、瞬態(tài)和靈活三種主機(jī)名及其相關(guān)的設(shè)置信息。-static僅查看靜態(tài)(永久)主機(jī)名。-transient僅查看瞬態(tài)(臨時(shí))主機(jī)名。-pretty僅查看靈活主機(jī)名。hostnamectl status -static|-transient|-pretty 查看主機(jī)名的命令一般格式如下查看主機(jī)名的命令一般格式如下:rootdyzx

19、 # hostnamectl status Static hostname: Icon name: computer-vm Chassis: vm Machine ID: ebcaefed3f4d4359a7113ab85ec89629 Boot ID: 76f5e89582ff4e62930bfc2f5ee33aa6 Virtualization: vmware Operating System: Red Hat Enterprise Linux Server 7.3 (Maipo) CPE OS Name: cpe:/o:redhat:enterprise_linux:7.3:GA:ser

20、ver Kernel: Linux 3.10.0-514.el7.x86_64 Architecture: x86-64第第22 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日查看、修改瞬態(tài)查看、修改瞬態(tài)(臨時(shí)臨時(shí))主機(jī)名的命令如下主機(jī)名的命令如下:hostnamectl -static|-transient|-pretty set-hostname 修改主機(jī)名的命令一般格式如下修改主機(jī)名的命令一般格式如下:rootdyzx # hostnamectl -transient/查看修改前的瞬態(tài)主機(jī)名rootdyzx # hostnamec

21、tl -transient set-hostname server1/修改瞬態(tài)主機(jī)名rootdyzx # hostnamectl -transient/查看修改后的瞬態(tài)主機(jī)名server1查看、修改靜態(tài)查看、修改靜態(tài)(永久永久)主機(jī)名的命令如下主機(jī)名的命令如下:root dyzx# hostnamectl -static/查看修改前的靜態(tài)主機(jī)名rootdyzx # hostnamectl -static set-hostname dyzx# hostnamectl -static/查看修改后的靜態(tài)主機(jī)名第第23 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4

22、月月3日星期日日星期日當(dāng)用hostnamectl命令修改靜態(tài)主機(jī)名后,/etc/hostname文件中保存的主機(jī)名會(huì)被自動(dòng)更新,而/etc/hosts文件中的主機(jī)名卻不會(huì)自動(dòng)更新,因此,在每次修改主機(jī)名后,一定要手工更新/etc/hosts文件,在其中添加新的主機(jī)名與IP地址的映射關(guān)系rootdyzx # bash/重新開啟Shellrootserver2#查看在設(shè)置新的靜態(tài)主機(jī)名后查看在設(shè)置新的靜態(tài)主機(jī)名后,會(huì)立即修改內(nèi)核主機(jī)名會(huì)立即修改內(nèi)核主機(jī)名,只是在提示符只是在提示符中中“”后面的主機(jī)名還未自動(dòng)刷新后面的主機(jī)名還未自動(dòng)刷新,此時(shí)此時(shí),只要執(zhí)行重新開啟只要執(zhí)行重新開啟Shell登登錄命令

23、錄命令,便可在提示符中顯示新的主機(jī)名。便可在提示符中顯示新的主機(jī)名。rootserver2#vim /etc/hostslocalhost localhost.localdomain localhost4 localhost4.localdomain4:1localhost localhost.localdomain localhost6 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日由上可見,在修改靜態(tài)/瞬態(tài)主機(jī)名時(shí),任何特殊字符或空白字符會(huì)被移除,并且大寫字母會(huì)自動(dòng)轉(zhuǎn)化為小寫字母,而靈活主機(jī)名則保持了原樣,這正是起

24、名為靈活主機(jī)名的緣由。root server2 # hostnamectl set-hostname Zhang3 s Computerroot server2 # hostnamectl -static/查看靜態(tài)主機(jī)名zhang3scomputerroot server2 # hostnamectl -transient/查看瞬態(tài)主機(jī)名zhang3scomputer root server2# hostnamectl -pretty/查看靈活主機(jī)名Zhang3s Computer 第第25 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期

25、日添加臨時(shí)生效的網(wǎng)絡(luò)連接添加臨時(shí)生效的網(wǎng)絡(luò)連接:該方式適合在調(diào)試網(wǎng)絡(luò)時(shí)臨時(shí)該方式適合在調(diào)試網(wǎng)絡(luò)時(shí)臨時(shí)使用。這種方式雖然在設(shè)置后能馬上生效使用。這種方式雖然在設(shè)置后能馬上生效,但由于是直接但由于是直接修改目前運(yùn)行內(nèi)核中的網(wǎng)絡(luò)參數(shù)修改目前運(yùn)行內(nèi)核中的網(wǎng)絡(luò)參數(shù),并未改動(dòng)網(wǎng)絡(luò)連接配置并未改動(dòng)網(wǎng)絡(luò)連接配置文件中的內(nèi)容文件中的內(nèi)容,因此在系統(tǒng)或網(wǎng)絡(luò)服務(wù)重啟后會(huì)失效。因此在系統(tǒng)或網(wǎng)絡(luò)服務(wù)重啟后會(huì)失效。持久生效的網(wǎng)絡(luò)連接配置持久生效的網(wǎng)絡(luò)連接配置:此方式是對(duì)存放網(wǎng)絡(luò)連接參數(shù)此方式是對(duì)存放網(wǎng)絡(luò)連接參數(shù)的配置文件進(jìn)行修改或設(shè)置的配置文件進(jìn)行修改或設(shè)置,適合在長(zhǎng)期穩(wěn)定運(yùn)行的計(jì)算適合在長(zhǎng)期穩(wěn)定運(yùn)行的計(jì)算機(jī)上使用。其配

26、置工具有機(jī)上使用。其配置工具有vim、nmtui和和nmcli等。等。第第26 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日命令用法功能ip -s addr show 網(wǎng)卡設(shè)備名查看網(wǎng)卡在網(wǎng)絡(luò)層的配置信息,加-s表示增添顯示相關(guān)統(tǒng)計(jì)信息,如接收 (RX) 及傳送 (TX) 的數(shù)據(jù)包數(shù)量等ip -s link show 網(wǎng)卡設(shè)備名查看網(wǎng)卡在鏈路層的配置信息ip -4 addr add|del IP地址/掩碼長(zhǎng)度 dev 網(wǎng)卡連接名ip -6 addr add|del IP地址/掩碼長(zhǎng)度 dev 網(wǎng)卡連接名添加或刪除網(wǎng)卡的臨時(shí)IPv4地址

27、添加或刪除網(wǎng)卡的臨時(shí)IPv6地址ip link set dev 網(wǎng)卡的設(shè)備名 down|up禁用|啟用指定網(wǎng)卡第第27 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日【例例7-1】在RHEL7-1主機(jī)上,為網(wǎng)卡ens33臨時(shí)添加一個(gè)IP地址1/24,并查看其配置結(jié)果。在重啟網(wǎng)卡后再次查看配置的結(jié)果。操作的命令如下:rootRHEL7-1 # ip addr show ens33/查看接口ens33當(dāng)前的IP地址和子網(wǎng)掩碼2: ens33: mtu 1500 qdisc pfifo_fast state UP qlen

28、1000 link/ether 00:0c:29:3d:b8:92 brd ff:ff:ff:ff:ff:ff inet 1/24 brd 55 scope global ens33 valid_lft forever preferred_lft forever inet6 fe80:1671:5718:ea13:ef42/64 scope link valid_lft forever preferred_lft forever已啟用的活動(dòng)接口的狀態(tài)為UP,禁用接口的狀態(tài)為DOWN。link行指定網(wǎng)卡設(shè)備的硬件(MAC)地址。inet行顯示IPv4地址和網(wǎng)絡(luò)

29、前綴(子網(wǎng)掩碼)。廣播地址、作用域和網(wǎng)卡設(shè)備的名稱。inet6行顯示IPv6信息。第第28 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日rootRHEL7-1 #ip addr add 6/24 dev ens33/在接口ens33上添加臨時(shí)IP地址rootRHEL7-1 # ip addr show ens332: ens33: mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:0c:29:3d:b8:92 brd ff:ff:ff:ff:ff:f

30、f inet 1/24 brd 55 scope global ens33 valid_lft forever preferred_lft forever inet 6/24 scope global ens33 valid_lft forever preferred_lft forever inet6 fe80:1671:5718:ea13:ef42/64 scope link valid_lft forever preferred_lft foreverrootRHEL7-1 # ip link set dev ens33 downro

31、otRHEL7-1 # ip link set dev ens33 up rootRHEL7-1 # ip addr show/顯示所有網(wǎng)絡(luò)接口的當(dāng)前IP地址和子網(wǎng)掩碼/省略顯示結(jié)果第第29 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日【例例7-2】在RHEL7-1主機(jī)上,通過編輯網(wǎng)絡(luò)連接配置文件為網(wǎng)卡ens33配置網(wǎng)絡(luò)參數(shù)。其配置方法如下:rootRHEL7-1 # vim /etc/sysconfig/network-scripts/ifcfg-ens33TYPE=Ethernet/指定網(wǎng)絡(luò)類型為以太網(wǎng)模式BOOTPROTO=no

32、ne/指定啟動(dòng)地址協(xié)議的獲取方式(dhcp或bootp為自動(dòng)獲取,none/為放棄自動(dòng)獲取,一般用于網(wǎng)卡綁定時(shí),static為靜態(tài)指定IP DEFROUTE=yes/是否把這個(gè)ens38設(shè)置為默認(rèn)路由IPV4_FAILURE_FATAL=no/如果IPv4配置失敗,設(shè)備是否被禁用IPV6INIT=yes/允許在該網(wǎng)卡上啟動(dòng)IPV6的功能IPV6_AUTOCONF=yes/是否使用IPV6地址的自動(dòng)配置IPV6_DEFROUTE=yesIPV6_FAILURE_FATAL=noIPV6_ADDR_GEN_MODE=stable-privacyNAME=ens33/網(wǎng)絡(luò)連接標(biāo)識(shí)名UUID=00de

33、cbce-3c43-47f1-82a6-627cbd80188f/網(wǎng)卡全球通用唯一識(shí)別碼DEVICE=ens33/網(wǎng)卡設(shè)備名ONBOOT=yes/設(shè)置系統(tǒng)或網(wǎng)絡(luò)服務(wù)在啟動(dòng)時(shí)是否啟動(dòng)該接口IPADDR=1/設(shè)置IP地址PREFIX=24/設(shè)置子網(wǎng)掩碼GATEWAY=54/設(shè)置網(wǎng)關(guān)DNS1=/設(shè)置DNS的IP地址IPV6_PEERDNS=yesIPV6_PEERROUTES=yesHWADDR=00:0C:29:C7:FE:8A/網(wǎng)卡的物理地址(也稱網(wǎng)卡號(hào))rootdyzx network-scripts# systemctl restart ne

34、twork.service /重啟網(wǎng)絡(luò)服務(wù),使配置生效第第30 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日3用用nmtui工具修改網(wǎng)卡配置文件工具修改網(wǎng)卡配置文件【例例7-3】使用nmtui工具,為RHEL7-1主機(jī)的第二塊網(wǎng)卡ens38配置網(wǎng)絡(luò)參數(shù)。其配置步驟如下:檢查nmtui工具相應(yīng)的服務(wù)是否啟用。RHEL7默認(rèn)已安裝,并已開啟了相應(yīng)的服務(wù)(NetworkManager.service)。若nmtui工具的安裝包已卸載可用以下命令進(jìn)行安裝、啟用并檢查啟用狀態(tài)。root RHEL7-1 # yum install Network

35、Manager-tuiroot RHEL7-1 # systemctl start NetworkManager.serviceroot RHEL7-1 # systemctl status NetworkManager.service步驟步驟2:在命令行執(zhí)行以下命令:root rhel7-1 # nmtui步驟步驟3:在打開的【NetworkManag】窗口中按圖7-4所示完成操作。第第31 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日3用用nmtui工具修改網(wǎng)卡配置文件工具修改網(wǎng)卡配置文件系統(tǒng)返回【以太網(wǎng)】窗口,按【Tab】鍵將焦

36、點(diǎn)移至【】按【Enter】鍵在返回的【NetworkManag】窗口中使用光標(biāo)下移鍵將焦點(diǎn)移至【退出】選項(xiàng)按【Enter】鍵后系統(tǒng)退出nmtui工具。步驟步驟5:在命令行下,執(zhí)行重啟網(wǎng)絡(luò)服務(wù)命令,使配置生效。rootRHEL7-1# systemctl restart network.service第第32 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日命令用法功能nmcli dev status顯示所有網(wǎng)卡設(shè)備的狀態(tài)nmcli con show -active 網(wǎng)絡(luò)連接名顯示所有或活動(dòng)的或指定的網(wǎng)絡(luò)連接nmcli con add co

37、n-name 網(wǎng)絡(luò)連接名 type ethernetifname 網(wǎng)絡(luò)接口名稱 ip4 ip地址/前綴 gw4 默認(rèn)網(wǎng)關(guān)為指定的網(wǎng)卡設(shè)備添加網(wǎng)絡(luò)連接,并以“ifcfg-連接名”名稱保存其配置文件nmcli con mod 網(wǎng)絡(luò)連接名 ipv4.add “ip地址/前綴 默認(rèn)網(wǎng)關(guān)”修改并保存指定網(wǎng)絡(luò)連接中的IP地址和網(wǎng)關(guān)nmcli con up 網(wǎng)絡(luò)連接名將綁定到網(wǎng)絡(luò)接口上指定的網(wǎng)絡(luò)連接激活nmcli dev dis 網(wǎng)絡(luò)連接名將綁定到網(wǎng)絡(luò)接口上指定的網(wǎng)絡(luò)連接關(guān)閉nmcli con del 網(wǎng)絡(luò)連接名刪除指定的網(wǎng)絡(luò)連接及其配置文件nmcli con reload重新讀取網(wǎng)絡(luò)連接配置文件,使其修改

38、生效第第33 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日使用nmcli命令完成以下系列操作：查看當(dāng)前主機(jī)中所有網(wǎng)卡設(shè)備的狀態(tài)信息。root rhel7-1 #nmcli dev status設(shè)備類型狀態(tài)CONNECTION Ens33ethernet連接的ens33Ens38ethernet已斷開-Loloopback未管理-查看網(wǎng)絡(luò)連接的信息。rootRHEL7-1 # nmcli con show/查看所有網(wǎng)絡(luò)連接名稱 UUID類型設(shè)備Ens330243e05a-81f0-4671-93e0-55a4be1dcdbe802-3-

39、ethernetens33Ens38e3e26e34-e13c-48d2-bb51-d19caaeb0d15802-3-ethernet-rootRHEL7-1 # nmcli con show ens33/查看指定網(wǎng)絡(luò)連接的詳細(xì)信息connection.id: ens33connection.uuid: 0243e05a-81f0-4671-93e0-55a4be1dcdbeconnection.stable-id: -erface-name: ens33connection.type: 802-3-ethernet/省略若干行第第34 頁(yè)頁(yè)LinuxLinux網(wǎng)

40、絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日在ens33設(shè)備上添加網(wǎng)絡(luò)連接名為ens33-1的新連接。rootRHEL7-1 # nmcli con add con-name ens33-1 ifname ens33 type ethernet ip4 /24 gw4 54成功添加的連接 ens33-1(b926e70b-07c6-4934-b020-9f95a1777f4e)。rootRHEL7-1 # nmcli con show名稱UUID類型設(shè)備Ens330243e05a-81f0-4671-93e0-55a4b

41、e1dcdbe802-3-ethernetens33Ens38e3e26e34-e13c-48d2-bb51-d19caaeb0d15802-3-ethernet-ens33-1b926e70b-07c6-4934-b020-9f95a1777f4e802-3-ethernet-修改ens33-1網(wǎng)絡(luò)連接在其中添加首選DNS的IP地址和輔助DNS的IP地址rootRHEL7-1 # nmcli con modify ens33-1 ipv4.dns rootRHEL7-1 # nmcli con modify ens33-1 +ipv4.dns 修改ens33網(wǎng)

42、絡(luò)連接,使得開機(jī)時(shí)能自動(dòng)啟動(dòng),并將IP地址/前綴修改為21/24。rootRHEL7-1 # nmcli con modi ens33 autoconnect yes ipv4.add 21/24 rootRHEL7-1 # nmcli con up ens33 /激活連接使修改后的配置立即生效刪除網(wǎng)絡(luò)連接ens33-1及其配置文件。rootRHEL7-1 # nmcli connection delete ens33-1第第35 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日【例例7-5】添加主機(jī)名

43、與IP地址7的對(duì)應(yīng)記錄。rootRHEL7-1 # vim /etc/hosts localhost localhost.localdomain localhost4 localhost4.localdomain4:1 localhost localhost.localdomain localhost6 localhost6.localdomain6RHEL7-【例例7-6】為當(dāng)前主機(jī)設(shè)置如下DNS主機(jī)地址: 0、。rootRHEL7-1 # vim /etc/resolv.conf#Gen

44、erated by NetworkManagernameserver 0nameserver 第第36 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日/etc/hosts和/etc/resolv.conf文件均可響應(yīng)域名解析的請(qǐng)求,其響應(yīng)的先后順序可在文件/etc/nsswitch.conf中設(shè)置,其默認(rèn)解析順序?yàn)閔osts文件、resolv.conf文件中的DNS服務(wù)器。rootRHEL7-1 # grep hosts /etc/nsswitch.conf#hosts: db files nis

45、plus nis dnshosts: files dns /其中的files代表用hosts文件來進(jìn)行名稱解析第第37 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日命令一般格式為命令一般格式為:ping 選項(xiàng)選項(xiàng) 常用選項(xiàng)常用選項(xiàng):-c 數(shù)字?jǐn)?shù)字-s 字節(jié)數(shù)字節(jié)數(shù)-i 時(shí)間間隔量時(shí)間間隔量-t【例例7-7】使用ping命令,向百度網(wǎng)站()發(fā)送三個(gè)測(cè)試數(shù)據(jù)包。rootRHEL7-1 # ping -c 3 第第38 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日命令一般格式為命令

46、一般格式為:tracepath 選項(xiàng)選項(xiàng) 常用選項(xiàng)常用選項(xiàng):-n對(duì)沿途各主機(jī)節(jié)點(diǎn), 僅僅獲取并輸出IP地址,不在每個(gè)IP 地址的節(jié)點(diǎn)設(shè)備上通過DNS查找其主機(jī)名,以此來加快測(cè)試速度。-b對(duì)沿途各主機(jī)節(jié)點(diǎn)同時(shí)顯示IP地址和主機(jī)名。-l 包長(zhǎng)度包長(zhǎng)度設(shè)置初始的數(shù)據(jù)包的大小。-p端口號(hào)端口號(hào)設(shè)置UDP傳輸協(xié)議的端口(缺省為33434)?！纠?-8】跟蹤從本主機(jī)到目標(biāo)主機(jī)(如)的路由途徑。rootRHEL7-1 # tracepath 1?: LOCALHOST pmtu 1500 1: no reply 2: 2.957ms /省略若干行 Resume: pmtu 1500 ho

47、ps 10 back 10第第39 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日本任務(wù)針對(duì)圖本任務(wù)針對(duì)圖7-5中中(具有具有3個(gè)子網(wǎng)個(gè)子網(wǎng))各主機(jī)及其網(wǎng)卡各主機(jī)及其網(wǎng)卡(網(wǎng)卡網(wǎng)卡1網(wǎng)卡網(wǎng)卡6)進(jìn)行配置進(jìn)行配置,使得主機(jī)使得主機(jī)PC1與主機(jī)與主機(jī)PC2之間的鏈路能雙向之間的鏈路能雙向連通。連通。其配置步驟如下其配置步驟如下:按任務(wù)7-2中介紹的方法,依據(jù)圖7-5標(biāo)示的IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)等參數(shù)配置各網(wǎng)卡。 第第40 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日在RHEL

48、7-1和RHEL7-2兩臺(tái)主機(jī)上開啟IP轉(zhuǎn)發(fā)功能,以使各主機(jī)中的網(wǎng)卡不僅能收發(fā)數(shù)據(jù)包還能轉(zhuǎn)發(fā)數(shù)據(jù)包。在RHEL7-1主機(jī)上開啟IP轉(zhuǎn)發(fā)功能的過程如下(RHEL7-2上的操作方式相同):rootRHEL7-1 # vim /usr/lib/sysctl.d/00-system.conf/省略若干行net.ipv4.ip_forward=1/添加此行或?qū)⒋诵兄械摹?”改為“1”:wq/保存退出rootRHEL7-1 # sysctl -p /usr/lib/sysctl.d/00-system.conf/使修改生效使修改生效(系統(tǒng)會(huì)顯示配置參數(shù)系統(tǒng)會(huì)顯示配置參數(shù)) 為了實(shí)現(xiàn)子網(wǎng)1與子網(wǎng)3之間永久生

49、效的雙向連通,需要在路由器RHEL7-1的ens38網(wǎng)卡上和RHEL7-2的ens33網(wǎng)卡上分別添加永久生效的靜態(tài)路由記錄:rootRHEL7-1 # vim /etc/sysconfig/network-scripts/route-ens38/24 via dev ens38/添加從子網(wǎng)1到子網(wǎng)3的路由rootRHEL7-1 # systemctl restart network/重啟網(wǎng)絡(luò)服務(wù)使配置生效rootRHEL7-2 # vim /etc/sysconfig/network-scripts/route-ens33/24

50、via dev ens33/添加從子網(wǎng)3到子網(wǎng)1的路由rootRHEL7-2 # systemctl restart network/重啟網(wǎng)絡(luò)服務(wù)使配置生效rootRHEL7-2 # ip route show/查看RHEL7-2上的路由表信息/24 via dev ens33 proto static metric 100 /24 dev ens33 proto kernel scope link src metric 100 /24 dev ens38 pr

51、oto kernel scope link src metric 100第第41 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日在PC1上添加永久生效的能到達(dá)子網(wǎng)2(/24)和子網(wǎng)3(/24)的靜態(tài)路由,在PC2上添加永久生效的能到達(dá)其他子網(wǎng)的默認(rèn)路由,如圖7-6所示。命令功能Linux系統(tǒng)中的命令格式Windows系統(tǒng)中的命令格式顯示路由表ip route showroute print -4|-6添加或刪除ip route add|del 目標(biāo)地址/子網(wǎng)掩碼 via

52、 網(wǎng)關(guān)route -p add|delete 目標(biāo)地址 mask 掩碼 網(wǎng)關(guān) metric 躍點(diǎn)數(shù)添加或刪除默認(rèn)路由ip route add|del default via 網(wǎng)關(guān) dev 網(wǎng)絡(luò)接口route -p add|delete mask 掩碼 網(wǎng)關(guān) metric 躍點(diǎn)數(shù)(-p表示添加或刪除保存到注冊(cè)表中的永久路由記錄) 第第42 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日驗(yàn)證連通性。在PC1和PC2主機(jī)上關(guān)閉各自的防火墻使用ping命令ping對(duì)方的IP地址來測(cè)試連通性.如圖7-7所示使用tracert命令跟

53、蹤并顯示所經(jīng)過的路徑,如圖7-8所示。 第第43 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日 rootRHEL7-1 # rpm -qa |grep firewallrootRHEL7-1 # yum -y install firewalld firewall-configss -nutap | grep firewalld(1)firewalld防火墻的狀態(tài)查看、啟動(dòng)、停止、重啟、重載服務(wù)的命令格式為:systemctl status | start| stop|restart|reload firewalld.service(2

54、)開機(jī)自動(dòng)啟動(dòng)或停止firewalld服務(wù)的命令格式為:systemctl enable |disable firewalld.service (3)檢查firewalld進(jìn)程ps -ef | grep firewalld (4)查看firewalld運(yùn)行的端口第第44 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日第第45 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日標(biāo)簽名稱標(biāo)簽的設(shè)置功能服務(wù)定義哪些區(qū)域的服務(wù)是可信的?？尚诺姆?wù)可以綁定該區(qū)的任意連接、接口和源地址。端口用于

55、添加并設(shè)置允許訪問的主機(jī)或者網(wǎng)絡(luò)的附加端口或端口范圍。協(xié)議用于添加所有主機(jī)或網(wǎng)絡(luò)均可訪問的協(xié)議源端口添加額外的源端口或范圍,它們對(duì)于所有可連接至這臺(tái)主機(jī)的所有主機(jī)或網(wǎng)絡(luò)都需要是可以訪問的。偽裝將本地的私有網(wǎng)絡(luò)的多個(gè)IP地址進(jìn)行隱藏并映射到一個(gè)公網(wǎng)IP,偽裝功能目前只能適用于 ipv4。端口轉(zhuǎn)發(fā)將本地系統(tǒng)的(源)端口映射為本地系統(tǒng)或其他系統(tǒng)的另一個(gè)(目標(biāo))端口,此功能只適應(yīng)于IPv4ICMP過濾器可以選擇Internet 控制報(bào)文協(xié)議的報(bào)文。這些報(bào)文可以是信息請(qǐng)求亦可是對(duì)信息請(qǐng)求或錯(cuò)誤條件創(chuàng)建的響應(yīng)富規(guī)則用于同時(shí)基于服務(wù)、主機(jī)地址、端口號(hào)等多種因素,進(jìn)行更詳細(xì)、更復(fù)雜的規(guī)則設(shè)置,優(yōu)先級(jí)最高。接口

56、用于為所選區(qū)域綁定相應(yīng)的網(wǎng)絡(luò)接口(即網(wǎng)卡)來源用于為所選區(qū)域添加來源地址或地址范圍第第46 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日【例例7-9】允許其他主機(jī)訪問本機(jī)的http服務(wù),僅當(dāng)前生效。第第47 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日【例例7-10】開放本機(jī)的8080-8088端口且重啟后依然生效。第第48 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日【例例7-11】過濾 “echo-reply”的

57、ICMP協(xié)議報(bào)文數(shù)據(jù)包,僅當(dāng)前生效。第第49 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日【例例7-12】?jī)H允許8主機(jī)訪問本機(jī)()的1520端口,當(dāng)前生效。第第50 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日【例例7-13】將本機(jī)的網(wǎng)絡(luò)接口ens38添加到dmz區(qū)域,僅運(yùn)行時(shí)生效。第第51 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日firewall-cmd命令一般格式為

58、命令一般格式為: firewall-cmd 參數(shù)參數(shù)1 參數(shù)參數(shù)2 參數(shù)參數(shù)3 參數(shù)作用-state查詢當(dāng)前防火墻狀態(tài)-panic-on拒絕所有包。-permanent永久生效的設(shè)置。永久選項(xiàng)不直接影響運(yùn)行時(shí)的狀態(tài),僅在重載或者重啟服務(wù)時(shí)可用-reload重新加載“永久”生效的配置規(guī)則,使其立即生效,否則要重啟后才生效-zone=指定區(qū)域,若未指定區(qū)域則為當(dāng)前默認(rèn)區(qū)域-get-service查看當(dāng)前激活 services. 取得當(dāng)前支持service-get-active-zones查看當(dāng)前活動(dòng)區(qū)域(已經(jīng)有網(wǎng)絡(luò)接口連接的區(qū)域)-get-service -permanent查看當(dāng)前服務(wù)配置是否生

59、啟后還是生效-get-default-zone查詢當(dāng)前默認(rèn)的區(qū)域-set-default-zone=將指定區(qū)域設(shè)置為默認(rèn)區(qū)域,。此命令會(huì)改變運(yùn)行時(shí)配置和永久配置-list-ports查看默認(rèn)區(qū)域或指定區(qū)域的端口-list-services查看所有允許的服務(wù)-list-all -zone=顯示指定區(qū)域全部啟用的特性。若省略區(qū)域,將顯示默認(rèn)區(qū)域的信息-list-all-zones顯示所有區(qū)域的特性(網(wǎng)卡配置參數(shù),資源,端口以及服務(wù)等信息。-get-zones顯示所有可用的區(qū)域。列出當(dāng)前有幾個(gè)zone-get-services顯示預(yù)先定義的服務(wù)-get-active-zones顯示當(dāng)前正在使用 (被網(wǎng)卡或源關(guān)聯(lián)) 的所有區(qū)域-add-source=將來源于此IP或子網(wǎng)的流量導(dǎo)向指定的區(qū)域-remove-source=不再將此IP或子網(wǎng)的流量導(dǎo)向某個(gè)指定區(qū)域第第52 頁(yè)頁(yè)LinuxLinux網(wǎng)絡(luò)操作系統(tǒng)配置與管理網(wǎng)絡(luò)操作系統(tǒng)配置與管理2022年年4月月3日星期日日星期日 參數(shù)作用-get-active-zones顯示當(dāng)前正在使用 (被網(wǎng)卡或源關(guān)聯(lián)) 的所有區(qū)域-add-source=將來源于此IP或子網(wǎng)的流量導(dǎo)向指定的區(qū)域-remove-source=不再將此IP或子網(wǎng)的流量導(dǎo)向某個(gè)指定區(qū)域-add-interface=將來自于該網(wǎng)卡的所有流量都導(dǎo)向某個(gè)指定區(qū)域-change-inte