防火墙的名字叫 netfilter 工具/命令叫iptables 命令:iptables 选项: -t   指定表 -A 在最上面增加一条规则 -I 在最下面增加一条规则 -D 删除一条规则 -A-I-D 后面跟链的名称 INPUT -s 跟源地址 -p 跟协议 (tcp udp icmp) --sport/--dport 后跟源端口/目标端口 -d 跟目的的ip -j 跟动作 (DROP 丢掉  REJECT拒绝  ACCEPT允许) iptables的三个表.  表下有链,链下有规则. fi…

分别是包的数量:26  包的字节:1320  处理方式 tcp协议  opt in out  源ip 目标ip 到80端口的行为. 处理行为处理有REJECT外 还有DROP ACCEPT.分别是看一下丢掉,直接丢掉,和允许通过. 清空包数量 包字节用-Z选项 大写的Z 清空所有规则 -F 大写F 不指定表 则默认filter.指定表加选项 -t 表名 nat 永久保存规则 1.创建规则 2.查看规则 3.重启规则 4.规则不保存. 1.创建规则. 2.保存规则. 3.重启规则. 4.查看规则.…

可以指定chain链的总开关 把链的关掉,针对端口开放,更加安全,但是不建议这么做 实例:filter表INPUT链.INPUT策略改成DROP. 把192.168.0.0/24网段开通22端口.对所有网段开通80端口和21端口. 写脚本执行. 1.用vim写一个脚本后缀.sh 2.然后执行脚本,并查看…

目录 Netfilter Iptables iptables做本地端口转发 Firewalld Netfilter Netfilter是Linux 2.4内核引入的全新的包过滤引擎,位于Linux内核中的包过滤功能体系,基于内核控制,实现防火墙的相关策略.Netfilter 由一些数据包过滤表组成,这些表包含内核用来控制信息包过滤的规则集.Netfilter在数据包必须经过且可以读取规则的位置,设有5个控制关卡.这5个关卡处的检查规则分别放在5个规则链中叫钩子函数(hook functions)…

关闭防火墙 SELINUX=disabled 可以是三种状态 # enforcing - SELinux security policy is enforced.打开# permissive - SELinux prints warnings instead of enforcing.打开不拦截# disabled - No SELinux policy is loaded.关闭,默认 selinux在打开状态下,可以使用下面两个命令 第一个命令是查询selinux的状态,处于关闭状态. 第二个…

抓包工具:查看什么数据占用网卡,把带宽跑满了. 命令:tcpdump 选项:host 指定IP port 指定端口 -c 指定包数量 -w 指定写入文件,不加显示的不是流量包而是流量走向 -nn 作用是让第三列和第四列显示成IP+端口号的形式,不加 -nn 则显示主机称+服务名称 -i 指定设备名称 在当前终端下查看数据流 tcpdump -nn 不加选项 -nn -nn的作用是让第三列和第四列显示成IP+端口号的形式 不加 -nn 则显示主机称+服务名称 可以指定抓包的数量 分别是时间 毫秒…

查看系统有那些进程 命令有ps aux 和命令 ps -elf USER  哪个用户使用了这个进程 PID  进程的id %CPU 占用CPU的百分比 %MEM 占用内存的百分比 VSZ 虚拟内存的大小 RSS 真正内存的大小 TTY 从哪里启动的 tty1 tty2 pts/0 ... STAT 进程的状态 S休眠 s主进程 <优先级高 N 低优先级 +前台运行的状态 R运行的 L内存中被锁 l多线程 X已经杀死的进程 Z僵尸进程 D不能中断的 T暂停的进程 ) START 时间 TIME 一…

/////////////////////////目录///////////////////////////////////////// 一.日常监控指标相关 1.监控系统状态命令 2.查看系统进程 3.网络相关 4.系统活动情况报告 二.日常维护安全相关 1.tcp抓包工具 2.Selinux 3.netfilter------iptables (1)流程 (2)五链三表 (3)iptable规则相关 (4)规则备份与恢复 (5)实例 三.Linux系统相关 1.Linux系统服务管理 2.L…

目录 一.Linux防火墙基础 1.1 ptables的表.链结构 1.2 数据包控制的匹配流程 二.编写防火墙规则 1.iptables的安装 2.1 基本语法.控制类型 一般在生产环境中设置网络型防火墙.主机型防火墙时都要设置默认规则为DROP,并设置白名单 可以是个别端口.端口范围 丢弃SYN请求包,放行其他包 可以是字符串.数字代码 此时其它主机需要配置关于icmp协议的控制类型为 REJECT 禁止转发源地址位于192.168.80.100-192.168.80.200的udp数据包…

curl 在linux命令行中用于访问网站,下载东西, 可以用 curl www.qq.com 访问 出现很多源代码 /////////////////////////////////////////////////////////////////////////////////////// -I 把访问的内容省略掉,只显示状态码,-v可显示详细过程. -x 指定ip和端口,省略写hosts. -u 指定用户名和密码 -O 下载页面或对象 -o 自定义名字 ///////////////////…

查看内存 命令 free  默认是k为单位 也可以指定 m为单位 或者G为单位,这个不精准 total 总容量 used  使用了多少 free  剩余多少 看第二行.第一行是物理内存,加上虚拟内存buffers和cached 等于free第二行实际的剩余内存 buffers 数据将要写入到磁盘里去的 cached 数据从磁盘里取出来,放到内存里存. /////////////////////////////////////////////////////////////////////////…

查看网卡瓶颈 查看网卡流量 默认10分钟一次 查看实时流量  每秒钟显示一次 显示5次 网卡有 lo eth0   主要看eth0外网  rxbyt/s 进网口和 txbyt/s出网口 带宽看txbyt/s ///////////////////////////////////////////////////////////////////////////////////////////// 查看以前的流量 这里还有sar21和sa21  我们查看sa21 ///////////////////…

通过系统日志获得相关信息,出现错误,突发情况可以通过查看日志获得有用的信息.遇到故障,看日志是最常用的方法,在日常工作中一定要养成看日志的习惯. 最核心的日志在这个目录下 日志会无限生成,占用的内存会越来越大,有个配置文件可以限制日志的个数,时间,等信息. 配置文件: weekly 日志每周切割一次 rotate 4 只保留4个 create 生成一个新的 dateext 日期形式命名 #compress  日志没有压缩 include /etc/logrotate.d 在这个目录下还有很多配置…

开机不启动不必要系统服务,节省硬件资源,解决安全隐患 调整服务有两种办法 没有这个命令就安装一下.执行这个命令,出现下面界面 按空格键选择或取消,tab切换选择确定或取消 系统服务留下 crond iptables netwark rsyslog sshd 其他全部取消. 想生效必须重启,不想重启就开通,还有第二中方法. /////////////////////////////////////////////////////////////////////////////////// 查看命令…

1.压缩和解压 tar压缩tar -czf hxl_product.tar.gz ./product tar解压tar -xzvf hxl_app.tar.gz z选项会将该压缩文件直接解压到目录,要是想先解压成tar后缀的文件可以使用如下命令: gunzip hxl_app.tar.gz 查看tar压缩的文件(不解压)tar -ztvf app_backup20190114.tar.gz 2.查看目录占用空间大小 du -h ./standby --max-depth=1…

把本地的数据拷贝到远程 这里是个错误,read only.只允许读,不允许写. 改一下远程机器的配置文件 把read only改为no 拷贝到远程成功 tree一下远程机器的目录 /////////////////////////////////////////////////////////////////////////////////////////// 远程机器创建软连接文件,查看软连接指向. 远程拷贝到本地机器的软连接文件 加了选项-L依然没有拷贝成功,报错. 在远程修改配置文件, u…

rsync的另外一种方式,写一个配置文件,放在etc下,通过一个命令启动他,它会监听一个端口,在客户端和服务端进行通信. 远程机器的配置文件 IP是192.168.1.117 配置文件的名字,写成这个,会自动加载,不用指向. [root@wangshaojun ~]# vim /etc/rsyncd.conf port=8730     端口默认873 可指定 log file=/var/log/rsync.log  日志文件 pid file=/var/run/rsync.pid  每个进程都…

现在我们有两台机器,两台机器都需要安装rsync    yum -y install rsync       一台的主机名是wangshaojun IP是192.168.1.117 ,另一台的主机名是www IP是192.168.1.118. 把117的数据拷贝到118 不小心把117的 838383目录删掉了,可以从118上面拷贝回来 . //////////////////////////////////////////////////////////////////////////////…

-av 同步目录 写法 123/   /tmp/333/ 意思是把123下的文件同步到/tmp/333/下  结尾不加/ 只同步目录 两个目录一样的. ///////////////////////////////////////////////////////////////////////////////////////////////// 同步软连接 1.创建软连接 2.查看软连接文件详细信息 3.同步到/tmp/333/ 4.查看/tmp/333/的软连接文件.如果是远程同步,本地没有软…

rsync支持网络到本地,本地到网络,本地到本地拷贝数据,支持增量拷贝.用作备份. man rsync rsync的两大用法.一种是通过shell,一种是deamon. shell  pull远程机器上的数据到本机 shell push本地机器上的 数据加载到网络上. 与deamon的区别是deamon两个冒号. 用法: 远程到本机 [root@wangshaojun ~]# rsync -av 192.168.11.160:/tmp/1.txt   /tmp/ 目标机器的IP是192.168.…

假如一个任务要执行好几天,为了防止中途中断的情况, 在让后台运行的命令后面加一个 nohup会生成一个 .nohup.out文件,会搜集在运行过程中所产生的日志. 比直接后台运行任务的好处是,万一断电后果是我们不希望看到的 还有一种方法就是 screen yum -y install screen 运行screen 会进入另外一个虚拟的中端下. 运行 top ctrl+a ctrl+d  暂时退出,并不中断 查看后台运行的screen 在进入screen 运行vmstat 1 退出 查看进程 两…

在find搜索到文件之后再进行操作 exec是find的一个选项. {}表示前面搜索到的结果,\:是exec特殊的用法. xarge拥有同样的功能,需用选项 -i 可以用在其他命令的后面…

查看网络链接状况 查看监听端口 查看服务端 客户端链接状况 并发 ////////////////////////////////////////////////////////////////// 总结:没懂…

动态查看负载命令,具体哪个程序,哪个进程造成的系统负载. top 回车查看 3秒更新一次 第一行和uptime和w第一行显示的一样. CPU使用率,us sy 内存相关,Mem 一共多少,使用了多少,还剩多少,有多少buffers %CPU cpu使用率最高达排前面. shift+m %MEM 按内存使用率排序. 按Q键退出 PID 进程的id号,在ls/proc/可以看到,kill+pid杀死进程 等 USER 以哪个用户运行的这个进程 PR [0~39]进程优先级 数值越小优先级越高 NI…

系统负载用w查看.是什么原因造成了系统负载.查看系统负载状态 命令:vmstat vmstat就查看一次 vmstat 1 每秒钟更新一次.按ctrl+c取消. vmstat 1 5 每秒钟更新一次,更新5次,自动取消. procs r 表示一秒钟有多少任务在run状态. b 被堵塞的任务.磁盘比cpu速度慢,带宽跑满,会被阻塞.io阻塞的任务. memory swpd 有多少数据量被交换.单位kb buff cache swap 大于0说明内存不够 si 进入到内存的 so 从内存出来的 io…

查看系统的负载常用命令w 16:32::15是系统时间 up 16 min 是开机使用时间 1 user 是登录的用户数 重要 load average:0.00 0.00 0.00 负载分别表示1分钟之内的平均负载 5分钟  15分钟. 如果是0.10的话就是有10个进程在使用CPU.10个进程在排队或计算.根据CPU核数来决定他的负载能力. 怎么查看CPU核数呢? 如果是0说明是1核,如果是1说明是2核.由于是虚拟机所以配置比较低. 命令:uptime 一样可以查看负载值.查看w命令的第一行…

注:CentOS7之前用来管理防火墙的工具是iptable,7之后使用的是Firewall 样例:在CentOS7上安装tomcat后,在linux本机上可以访问tomcat主页,http://ip:8080, 但是在其他同网段的机器上却不能访问该地址,原因是因为linux在安装之后默认只开放个别端口供外机访问,这个时候我们只需要将8080端口设置为向外机开放即可. 首先尝试iptables,iptables无效后可尝试防火墙firewalld. 方法一.在外部访问CentOS中部署应用时,需要…

主题Linux进程管理之ps工具的使用 一ps工具的介绍 ps: process state  进程状态ps - report a snapshot of the current processesLinux系统各进程的相关信息均保存在/proc/PID目录下的各文件中 默认显示的内容很少 [root@centos65 ~]# ps PID TTY TIME CMD 2018 pts/0 00:00:00 bash 2656 pts/0 00:00:00 ps [root@centos72 ~]…

centos  Linux系统日常管理2  tcpdump,tshark,selinux,strings命令, iptables ,crontab,TCP,UDP,ICMP,FTP网络知识 第十五节课 上半节课 tcpdumptsharkselinux strings命令 下半节课 iptablescrontab Linux抓包工具 tcpdump 没有的话需要安装:  yum install -y tcpdump tcpdump 抓包工具 只有root用户才能使用, 一般只看数据流向 而不会实…

博客地址:http://www.moonxy.com 一.前言 Linux 下的的防火墙功能是非常丰富的,作为 Linux 系统工程师有必要了解一下.防火墙一般分为硬件防火墙和软件防火墙.但是,不管是硬件还是软件防火墙,它们都需要使用硬件来作为联机介质,也需要使用软件来设定安全规则. 二.Linux 的防火墙 2.1 selinux 安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统.S…