linux网络基础 1

  1. 网络的重要性
  1. 电脑如何上网?
  • 网卡-(有线)-(无线)
  • 路由器(wifi 2.4g/5.0g)[一般四五个口(接外网&内网但一般还有光猫,得连在光猫上)]
  • 交换机【基本多少口的都有】(连接路由器和网卡[网线太多就串交换机])分主力和其他的,主力的性能好贵点。。。
  • 光猫-连通网络服务商的设备箱 光纤熔纤机(挖到光缆就废废) 再接到服务商机房 【光缆单位为芯】【早先是电话线()符合《计算机网络自上而下》】【电话线接通(现在变为光猫)猫转换模拟信号,远了就听不到了,6m宽带就是电话线极限了】【中兴,华为】【别搞错了千兆口和百兆口,厂商为了省钱一般都只有一个千兆口】【网络运行商之间也会互相连通】
  • wifi 6【802.11ax】【最大速率9.6gbps】(最新技术)
  • WiFi 5【802.11ac】【最大速率866Mbps】
  • wifi 以前【802.11b-a-g-n】【最大速率1& 2-11-54-54-600mbps】
  • wifi 7正在路上今年可能会跳票
  1. osi 7层模型[协议][网络(无数个协议)]
  • 电脑系统 windows linux mac-os unix
    手机 andriod(linux+java垃圾回收机制,碎片化问题 iOS(unix+object-c)苹果没有
  • 【网线标准568b(橙白-橙-绿白-蓝-蓝白-绿-棕白-棕)(【定制】两头都错也能上网)】【四根线一般只能百兆,八根线可以千兆(速度也要协商)】【有双绞线的说法】
  • 通讯介质【网线-双绞线-电信号,wifi 电磁波,光纤 光信号】
    • a.多操作系统
    • b.多介质
    • c.目标(保密)
    • d.多个软件同时网络问题
  • 分层的作用
    • 物理层 信号转换的问题 数字信号 电信号
    • 数据链路层 mac地址[每一块网卡都有唯一的地址] 唯一 物理地址 以太网
    • 网络层 ip地址[公网ip(iana分配ip地址) 内网ip] 公网ip唯一 定位
    • 传输层 端口[] tcp[可靠的,速度慢][长距离传输]/dup[不可靠的,速度快][效率,实时性(直播一般是这样)]【每个服务端启动的时候都会监听一个端口】【vnc协议 5900/http:// 80 /ssh 22 】[例如192.168.19.11:5900]
    • 会话层 会话【在部分协议里最后三层就是一层】
    • 表示层 文件的类型
    • 应用层 http ftp smtp【qq 浏览器】
  • 目前用的最广tcp/ip协议 【4层&5层(以下为五层)】
    • 物理层 信号转换
    • 数据链路层 mac 识别每块网卡的身份
    • 网络层 源ip和目标ip地址 公共 私网 路由器
    • 传输层 tcp&udp 端口port tcp报头+数据/udp报头+数据(源端口和目标端口 还有无数个小数据包的序列号)
    • 应用层 各种应用软件
    • 【抓包来分析的】
  1. 数据的封装与解封装
  • 应用层—》 数据5m
  • 传输层发—》 tcp报文+数据1 tcp报文+数据2 tcp报文+数据3 …
  • 网络层—》ip包+tcp报头+数据1 ip包+tcp报头+数据2 …
  • 数据链路层===》数据帧+ip包+tcp报头+数据1 数据帧+ip包+tcp报头+数据2 …
  • 物理层===》将完整的数据包,由二进制转换成电信号
    ……………………………….
  • 物理层===》 电信号转换成二进制
  • 数据链路层===》 数据帧+ip包+tcp报头+数据1
  • 网络层—》ip包+tcp报头+数据1 ip包+tcp报头+数据2 …
  • 传输层发—》 tcp报文+数据1 tcp报文+数据2 tcp报文+数据3 …
  • 应用层—》 数据5m

linux网络基础 2

  1. ip地址的划分
  • ip地址范围0.0.0.0~255.255.255.255
  • 00000000 00000000 000000000 000000000 ===》 0.0.0.0
  • 11111111 11111111 111111111 111111111 ===》 255.255.255.255
  • 【计算机只能有32位的空间来储存ip地址】【ip地址总数4,294,967,296大约是43亿个】
  • 不够用了nat == network address translation
  • 内网ip网段10.0.0.0~10.255.255.255 (a类)16,777,214
  • &172.16.0.0~172.16.31.255 (b类)1,048,576
  • &192.168.0.0~192.168.255.255 (c类)65,536
    • a类 1.0.0.1~126.255.255.254【128】
    • b类 128.0.0.1~191.255.255.254【64】
    • c类 192.0.0.1~223.255.255.254【32】
    • d类 组播,vrrp协议,keepalive高可用224~239【16】
    • e类 科研240~255
  • 为了缓解ipv4地址不够用的问题 32位

    • 1:ipv6 128位 16进制写法

    • 2:nat 网络地址转换

    • a:节约了大量的公网ip地址

    • b:减少了网络攻击

  • 127.0.0.0~127.255.255.255特殊地址
  1. 子网掩码 【决定一个网段的大小】
  • ip地址192.168.19.11
  • 子网掩码255.255.255.0 === 192.168.19.11/24
    $\quad\quad\quad\quad\quad\quad\quad\quad\quad\quad\quad$ 10.0.0/8
    $\quad\quad\quad\quad\quad\quad\quad\quad\quad\quad\quad$ 172.16.0.0/16
  • 网段里面的ip越多,网段范围越大
  • 192.168.19.11/24

    • 11000000.10101000.00010011.00001011

    • 11111111.11111111.11111111.00000000=255.255.255.0

    • {$\qquad$ $\qquad$网 络 位 $\qquad$ $\qquad$}{主 机 位 }【24位含义】

    • 【2个ip地址的网络位相同,代表他们是同一个网段】

    • 11000000.10101000.00010011.00000000==》192.168.19.0 网络号

    • 11000000.10101000.00010011.00000001==》192.168.19.1 起始ip

    • 11000000.10101000.00010011.11111110==》192.168.19.254 结束ip

    • 11000000.10101000.00010011.00001111==》192.168.19.255 广播地址

    • 【同一个网段,物理线路接通,就可以直接通信!不是同一个网段,就算物理线路接通,也不可以直接通信!!】

    • 192.168.100.126/25===》192.168.100.126 255.255.255.128

    • 192.168.100.129/25===》192.168.100.129 255.255.255.128

    • 不在同一个网段不通【以下为计算网段】

    • 11000000 10101000 01100100 01111110 ===》192.168.100.126

    • 11111111 11111111 11111111 10000000 ===》255.255.255.128

    • 11000000 10101000 01100100 00000000 ===》192.168.100.0

    • 11000000 10101000 01100100 01111111 ===》255.255.255.127

    • 11000000 10101000 01100100 10000001 ===》192.168.100.129

    • 11111111 11111111 11111111 10000000 ===》255.255.255.128

    • 11000000 10101000 01100100 10000000 ===》192.168.100.128

    • 11000000 10101000 01100100 11111111 ===》192.168.100.255

  • 不同网段之间的通讯必须由路由器转发【必须得会算子网掩码】
  • 子网掩码值
    • 11111111 255
    • 11111110 254
    • 11111100 252
    • 11111000 248
    • 11110000 240
    • 11100000 224
    • 11000000 192
    • 10000000 128
    • 00000000 0

  • 体验 路由器

    • 软件路由器:软路由 + 普通pc
    • 硬件路由器:普通路由器
    • 企业路由器:企业级路由器

  • 网络规划【两块网卡】

    • 一块nat模式桥接(外网)ikuai
    • 一块仅主机模式(内网) ikuai
      $\qquad\qquad\qquad$ [初始密码admin 我自己改成了老密码]
    • 安装akuai:-【最后在安装镜像】安装镜像文件 记得给1g内存【后面步骤很简单】
      • 给两个网卡第一个仅主机模式 第二个nat模式
      • 设置LAN(内网)/WAN(外网)地址
      • 先设置LAN(内网是本机win11上看的vm1 ipv4)
      • 上192.168.198.254(ikuai)网络设置
      • 手动配win7虚拟机ipv4地址 建议192.168.198.100 子网掩码自动 网关一定要指向内网ip地址192.168.198.254
      • 然后机器就能上网了
      • 可以通过行为管控 应用协议控制来控制上网直接阻断192.168.198.0/24网段
  1. dns的历史和作用
  • 1.【dns 由来:计算机和计算机之间的通信 ip地址和端口】
  • 2.客户端端口是不固定的 随机的
  • 3.服务端192.168.198.254:80(端口)
  • 4.【ip 180.65.33.218 百度 218.30.13.36 新浪】
  • 5.ip地址多了之后太难记了,而且后期还会更改,所以就有人开发了个程序
  • 6.类似于电话簿 180.65.33.218 baidu (只是一个类比并不代表真的存在)
  • 7.hosts文件 ip地址+备注 太麻烦了
  • 然后就有了dns服务端&dns客户端 把信息录入数据库
  • 【抓包软件A记录address】
  • 【ping的时间是一来一回 ping之前会进行dns解析】
  • 国内的常用dns:
    • 阿里云 223.5.5.5 223.6.6.6
    • 百度 180.76.76.76
    • 腾讯 119.29.29.29
    • 国外 8.8.8.8
    • 南京信风 114.114.114.114(流氓广告)
    • 115.115.115.115
    • 360断网急救箱用了 dns就变成114就毙了
  • dns的作用将域名解析为ip地址 dns配错了上不了网
  1. dns解析流程
  • 【dns的命令】linux上dns相关命令 dig nslookup host
    (世界上有十三台根域名服务器)[九个在美国,欧洲两个位于瑞典和英国,亚洲一个为用户日本]【只有一个位于美国主根服务器】 【目前中国大力推进ipv6】
  • 计算机<——————————————–> 目的网站
    • <–> www.baigui.com
      • <–> $\quad\quad$ 缓存 $\quad\quad$ www.baigui.cloud (“.”就是根域名)
        • <———>dns 代理<———————->十三台根域名服务器
  • 上面过程完了之后十三台根域名服务根找不到,到.colud.去找www.baigui.cloud又会去找腾讯的dns服务器去解析最终找到 dns要找好几次才能找到所以要本地缓存

linux网络基础 3

  1. 文字编码
  • 宽带为什么要除以8 1000mbps==125mb/s
  • 文件编码:
  • 一个英文字母 1字节
  • 一个汉字 在gbk gb2312下 占2字节 256*256=65536
  • $\quad\qquad$在utf-8 3字节
  • 计算机,把现实的东西,转换到计算机的世界—建模
  • ASCII码 【gb是国标的意思 gb2312 1980年发布 gbk 1995年发布兼容gb2312】
  • 万国码 unicode 4字节 00000000 00000000 00000000 00000001
  • 可变成编码 utf-8 00000001 1字节 3字节
  1. linux相关的dns解析命令

  • dns:将域名解析成ip地址

  • 计算机–服务器程序—ip地址+端口 固定

  • 计算机–客户端程序—ip地址+端口 不固定

  • 打开网站:1步 将域名解析成ip 2步 想目标网站的ip+端口

  • linux命令

    • dig www.oldqiang.com / dig @223.5.5.5 www.oldqiang.com
    • nslookup www.oldqiang.com / www.oldqiang.com 119.29.29.29
    • host www.oldqiang.com / host www.oldqiang.com 119.29.29.29
    • 安装 yum install bind-utils

  • http:// 80 明文

  • https:// 443 加密

  1. dns的记录类型
  • A记录 【ipv4】www.oldqiang.com 123.xx.xx.xx
  • CNAME 别名 www.oldqiang.com –>www.qstack.com –>……
  • MX 邮箱专属
  • NS nameserver 授权dns解析
  • AAAA 【ipv6】
  • 域名分为国际顶级域名和国家域名
  • 国际域名:com net org【非营利组织,你忍心吗?】 gov【政府】 edu【大学】 mil【军队,但几乎没人这么做】[后面三个域名需要特殊的机构才可以注册]
  • 国家级域名【.cn(中国域名).jp】
  • 百度竞价排名 美团竞价排名 【都是贼贵】
  • dnspod.cn【腾讯域名售卖网站】
  1. arp广播协议
  • arp数据链路层(ADDRESS RESOLUTION PROTOCOL)
  • 把ip地址解析成mac地址
  • 【数据包想发出去需要ip地址以及mac地址】
  • arp需要注意的
    • a:arp欺骗【win10之上系统本身的防火墙就够应对欺骗了】
    • b:如果局域网规模太大,广播风暴【假如几千万台同时通讯广播就满天飞】
  1. tcp三次握手
  • 【数据包要先发给网关】【tcp和网络攻击有关系】【可靠的协议】
  • 【每发一个数据包,需要确认】
  • tcp 探测 物理线路通不通,tcp的三次握手
  • 【在网络世界里谁先发起请求谁就是客户端(一般来说)】
  • tcp数据包,6钟标识 SYN(握手包) FIN(finish断开连接包)PSH(数据包)
  • ACK(确认包) RESET(重发包)
  • 客户端发第一个包标识SYN 并且带有随机序列号seq=x ack=0
  • 服务端发包回应 标识ack,seq=y,ack=x+1【网线八根线双车道四根上传,四根下载】
  • 服务端再发包 标识SYN,seq=y,ack=x+1
  • 客户端发包回应标识ack,seq=x+1,ack=y+1
  • 【以上是所谓四次握手,但其实中间两步可以融合,变为三次握手】
  • 标识SYN,ACK,seq=Y,ack=x+1
  • 家用宽带和企业级宽带
  • 作为一名普通用户都是下载多上传少一般来说速度是10:1 & 5:1
  • 企业级宽带一般来说是作为服务器的 上下行对等 1:1
  • 1000兆 民用 1000来块/年
  1. tcp四次挥手【快结束时】
  • 客户端发送FIN,seq=x,ack=y
  • 服务端发包回应 标识ACK,seq=y,ack=x
  • 等待服务端数据发送完成………
  • 服务端发送包 标识FIN,seq=y,ack=x+1
  • 客户端回应标识ACK,seq=x+1,ack=y+1
  • 在计算机上进行网络通信时,您的计算机具有一个IP地址,该地址通过网关与其他网络进行通信。当您使用域名访问网站时,DNS服务器将域名解析为IP地址,然后通过该IP地址和特定的端口与目标服务器上的应用程序进行通信

linux网络基础 4

  1. ddos如何防御【denied of service】
  • 利用tcp三次握手,形成的攻击叫dos攻击(有成本的)
    • tcp udp都有端口
    • tcp 0-65535 10000以内都作为服务端常用端口
    • 剩下都是客户端 4kb*5w=2000,000kb
  • 【几乎无解】
  • 防御ddos攻击【拿钱砸就对了】
  • 【客户端 1g/s 服务端 10g/s】
  • 提升带宽 企业宽带太贵了血亏(大公司可取)
  • 买高防ip 要提前买打过来了再买白费….
  • ddos工具【sqlmap 反正就是上github上搜ddos就行了】
  1. tcpdump抓包
  • tcpdump -i eth0 icmp -nn
    • i指定网卡名称
    • nn 不把端口解析成应用层协议
    • c 指定抓包数量
    • s 不把随机序列和确认序列解析成绝对值
    • w 指定数据包保存的位置
  • tcpdump抓的包,wireshark分析
  • tcpdump -i eth0 tcp port 80 -nn -c 10 -w http.cap
  1. linux的网络命令 nmap和tracert的使用
  • yum install nmap
    [过滤filter]
  • nmap -v ip 显示详细的扫描过程
  • nmap -p ip 扫描指定端口
  • nmap -A ip 全面扫描操作系统
  • nmap -sP ip 进行ping扫描主机存活
  • nmap -Pn/-P0 ip 禁ping扫描
  • nmap -sS ip 进行tcp syn扫描 也叫半开放扫描
  • nmap -sT ip 进行tcp连接扫描 (准确性高)
  • nmap -sn ip范围
  • nmap -O
  • tracert -d windows系统
  • traceroute n linux不过会发生各种超时全是***
  • 以上两部分等学到linux系统再学………现在真有点看不明白【nmd被逼的只能虚拟机安装centos7然后再连接xshell同时下载wireshark再用安装命令你安装tcpdump以及sz】【yum install tcpdump & yum install lrzsz】
  1. 手动配置ip地址
  • dhcp服务端-分配ip地址范围 客户端dhcp自动获取
  • dhcp动态获取ip地址【windows IP地址冲突就会检测出冲突】
    • 静态设置ip就容易出现上面【】内的内容【公网ip一般是静态分配】
    • 【centos7网卡配置路径/etc/sysconfig/network-scripts/】

      • cp ifcfg-ens33 ifcfg-ensa36

      • vim ifcfg-ens33 

        1
        2
        3
        4
        5
        6
        7
        8
        9
        10
        11
        12
        13
        14
        15
        16
        17
        18
        19
        20
        21
        22
        23
        24
        25
        26
        27
        28
        29
        30
        31
        32
        TYPE="Ethernet"
        BOOTPROTO="static""
        NAME="ens33"               [配ip]
        DEVICE="ens33"
        ONBOOT="yes"
        IPADDR=192.168.10.100
        NETMASK=255.255.255.0
        GETWAY=192.168.10.2
        DNS1=223.5.5.5
        DNS2=180.76.76.76
        systemctl restart network
        ssh root@192.168.10.100
        [root@localhost network-scripts]# cat ifcfg-ens36
        TYPE="Ethernet"
        BOOTPROTO="static""
        NAME="ens36"
        DEVICE="ens36"
        ONBOOT="yes"
        IPADDR=192.168.8.4
        NETMASK=255.255.255.0
        GETWAY=192.168.8.1
        DNS1=223.5.5.5  
        [root@localhost network-scripts]# cat ifcfg-ens33
        TYPE="Ethernet"
        BOOTPROTO="static""
        NAME="ens33"
        DEVICE="ens33"
        ONBOOT="yes"
        IPADDR=192.168.10.100
        NETMASK=255.255.255.0
        GETWAY=192.168.10.2
        DNS1=223.5.5.5
  1. 上不了网排查思路
  • xshell 连不上的原因
    • 检查虚拟机的网络适配器,是否连接,是否为nat模式
    • 检查vmware network adapter vmnet8是否处于禁用状态
    • vmnet8网卡的ip地址是否和虚拟机同一个网段
    • 检查虚拟机的ip是否正常
      • 【ip addr show】【删除命令rm 】
      • 【桥接模式:在桥接模式下,宿主机和虚拟机之间共享同一个物理网络接口,它们可以通过宿主机的物理网络接口连接到外部网络(如Internet)。宿主机和虚拟机都可以拥有自己的IP地址,它们在同一个子网中,并且可以相互通信。桥接模式使得虚拟机能够像物理主机一样直接与外部网络通信。
      • 【NAT模式:在NAT模式下,虚拟机通过宿主机的网络接口与外部网络通信。宿主机充当了一个网络地址转换(NAT)的角色,为虚拟机提供了一个私有的IP地址,并将虚拟机的网络流量转发到外部网络。虚拟机可以使用宿主机作为网关来访问外部网络,但外部网络无法直接访问虚拟机。NAT模式通常用于需要隔离虚拟机与外部网络的场景。】
      • 【你妈的不得不说这块的内容确实搞人心态】
      • 【nat网卡】
        虚拟机中虚拟网络设置192.168.10.0
        宿主机中vm8设置为192.168.10.1
        网关为192.168.10.2
        广播地址为192.168.10.255
        dhcp自动分配192.168.10.3~254
        第一台centos7 ip 192.168.10.3
        第二胎centos7 ip 192.168.10.100
        【第一台中的地址是dhcp是自动分配的,第二台中的地址是自己分配的】
  • xshell能连,但是上不了网
    • 能ping同公網ip,ping不通域名,dns地址有問題
    • 物理機上不了網
      • 第一步:检查物理是否正常
        第二步:ping网关
        第三步:ping公网ip
        第四步:ping www.baidu.com
        $\qquad\quad$ tracert -d www.qq.com
        第五步:ping自己服务器
        电脑-普通交换机-核心交换机-企业级路由器-光猫-运营商isp
  • 我叼你妈的多少有点离谱了。。。
    这个day4足足学了将近两天,涉及的东西突然之间就变巨多还好坚持下来了
    再有就是不小心输入繁体字是因为ctrl+shift+f会有快速切换的功能,下次别再犯傻了vscode里面使用搜索功能就是ctrl+f

linux网络基础 5

  1. 静态路由的环境准备

  • 世界互联网格局是一个环形结构网络成本低

  • 星形结构网络无法作为世界互联网主要格局的原因是铺线成本太高

  • 但是本地都是星形结构

  • 静态路由:需要人工配置

    • 动态路由:提前配置一些指令,路由器自己学习
      【我就知道还要搞我,又让我下了个思科模拟器呜呜呜呜呜呜呜呜真真是服了】
      网关是优先级最低的静态路由
  1. 静态路由
  • arp能连通的直连路由
    [1:192.168.20.11 2:192.168.20.12&172.16.1.12 3:172.16.1.13]
    【route -n】
    【route add -net 172.16.1.0/24 gw 192.168.20.12 】

  • 您提供的命令 route add -net 172.16.1.0/24 gw 192.168.20.12 是用于在路由表中添加一个静态路由规则。这条命令的意思是将目标网络 172.16.1.0/24 的流量通过网关 192.168.20.12 发送出去。

  • 解释一下命令中的各个部分:

    • route add:添加静态路由的命令。
    • net 172.16.1.0/24:指定目标网络的子网地址和子网掩码。在这种情况下,目标网络是 172.16.1.0/24。
    • gw 192.168.20.12:指定网关的 IP 地址。在这种情况下,网关是 192.168.20.12。
    • 这条命令的目的是告诉操作系统,当要访问的目标 IP 地址属于 172.16.1.0/24 网络时,应将流量发送到 192.168.20.12 这个网关进行转发。

  • 请注意,这是一个示例命令,具体的配置可能因网络环境和需求而有所不同。在实际使用时,请根据您的网络配置和需求相应地调整目标网络和网关的值。另外,这个命令对于不同的操作系统可能会有所不同,因此请确保使用适用于您操作系统的正确命令和语法。

  • tcpdump -i ens33 icmp -nn
  • 配了以上的命令之后只能从1号传输到2号的第二块网卡传不到第三号
  • 所以就需要以下的命令[路由器连通网段必须得有转发功能 计算机不属于自己的包会丢掉]
  • 转发命令:echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
  • cat /etc/sysctl.conf
  • tcpdump -i ens36 -nn
  • 此时可以把包传给3号但是3号无法传包回去,因为没配路由
  • route add -net 192.168.20.0/24 gw 172.16.1.12
  • 3号右端再添加一块网卡分配172.16.2.13
  • 3号右端添加router5配置172.16.2.14
  • 刚刚配置的静态路由只需要输入systemctl restart network就能还原
  1. 数据包发送的原理
  • 原mac【自己的】 目标mac
  • 原ip【写自己的】 目标ip
    反正mac地址会一直变换【仅用于自己网段的通讯】重在理解mac地址变化
  1. 把linux配置成路由器
  • 上面配置的路由只有数据转发的作用,没有共享上网的作用
    路由器:nat地址转换,共享上网的功能
  • route add -net 0.0.0.0/0 gw 192.168.20.2(看虚拟机的网关)
  • 清空at地址规则 iptables -t nat -F
  • iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j MASQUERADE
  • route add -net 0.0.0.0/0 gw 172.16.1.12
  • vim /etc/resolv.conf
  • nameserver 223.5.5.5
  • ttl 是time to live 的缩写,该字段指定ip包被路由器丢弃之前允许通过的最大网段数量【可以通过注册表来修改】
  1. 给linux路由器配置dhcp服务
  • 安装dhcp

    • yum install dhcp -y

    • 修改dhcp服务端的配置文件

    • vim /etc/dhcp/dhcpd.conf

      1
      2
      3
      4
      5
      6
      7
      subnet 172.16.0.0 netmask 255.255.255.0 {
      range 172.16.0.100 172.16.0.250;
      option domain-name-servers 180.76.76.76;
      option drouters 172.16.0.12;
      default-lease-time 600;
      max-lease-time 7200;
      }
  • 不带上网行为管理功能
    • 启动dhcp服务端
    • systemctl start dhcp.service
    • systemctl enable dhcpd.service
  1. linux的系统防火墙firewalld
  • 4层 系统 防火墙【启用systemctl start firewalld.service】
  • 察看防火墙状态systemctl status firewalld.service
  • 查看服务netstat -lntup
  • firewalld查看开放端口
    • firewall -cmd --list-ports
    • firewalld -cmd --list-services
      所有服务定义在
    • /usr/lib/firewalld/services/

  • 以下是一些常用的CentOS 7防火墙(Firewall)命令:

    • 启动防火墙:

      1
      sudo systemctl start firewalld

    • 停止防火墙:

      1
      sudo systemctl stop firewalld

    • 重启防火墙:

      1
      sudo systemctl restart firewalld

    • 查看防火墙状态:

      1
      sudo systemctl status firewalld

    • 设置防火墙开机启动:

      1
      sudo systemctl enable firewalld

    • 禁用防火墙开机启动:

      1
      sudo systemctl disable firewalld

    • 开放端口(临时):

      1
      sudo firewall-cmd --zone=public --add-port=端口号/协议

    • 持久开放端口(永久):

      1
      sudo firewall-cmd --zone=public --add-port=端口号/协议 --permanent

    • 关闭端口:

      1
      sudo firewall-cmd --zone=public --remove-port=端口号/协议

    • 列出开放的端口:

      1
      sudo firewall-cmd --zone=public --list-ports

    • 允许服务:

      1
      sudo firewall-cmd --zone=public --add-service=服务名称

    • 拒绝服务:

      1
      sudo firewall-cmd --zone=public --remove-service=服务名称

    • 列出允许的服务:

      1
      sudo firewall-cmd --zone=public --list-services

  • 这些是一些常用的CentOS 7防火墙命令,用于配置和管理防火墙规则。请确保以root权限或具有sudo权限的用户来运行这些命令。

linux网络基础 6

  1. 端口映射
  • 光猫路由器一般都是rom固定死的
  • 从外网来访问内网的服务
  1. ikuai讲解
  • 32位操作系统 极限内存4gb
  • 64位操作系统 极限大得多17,179,869,184 GB做梦里。。。
  • 大型的无线网络 例如鸟巢
  • 【WiFi】
  • 【ssid:xxxx】
  • 【密码:11111111】
  • ac控制ap 所有ap通过交换机连接ac 自动调度牛的一
  • ac类似于手机漫游
  • 【双机热备】两台路由ikuai中间接一根专线在一台坏的时候迅速切换第二
  • RAID 磁盘阵列 普通家用一般不用 一般是服务器用 提升写入速度
  • 也有风险如果一个硬盘坏了那就全坏了 raid 0 15m 5m 5m 5m【速度提升模式,容量也增加】
    • raid 1 为了保险 会写两份15m 15m如果有一个坏了换上另一个还会进行数据同步
    • raid 5 可以支持n块盘 只会浪费一块盘浪费cpu性能算是一种折中方案
    • raid 1+0 土豪性能兼具性能与安全就是浪费硬盘
  • 看服务器一般上中关村
    • upnp 自动端口映射
    • vlan 虚拟局域网
  1. vlan讲解
  • 傻瓜交换机
  • 网管交换机
  • 程控交换机
  • 二层交换机 mac地址
  • 三层交换机 网络层 ip地址 带路由功能
  • vlan逻辑隔离【一般是物理隔离】可以避免arp欺骗
  1. vpn演示
  • 打通隧道访问内网
    下面是一个简单的VPN(Virtual Private Network,虚拟私人网络)工作原理图示例:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
┌───────────────┐               ┌───────────────┐
│    Internet   │               │    Internet   │
└───────────────┘               └───────────────┘
        │                               │
        │                               │
┌───────────────┐               ┌───────────────┐
│    VPN 客户端   │               │    VPN 服务器   │
└───────────────┘               └───────────────┘
        │                               │
        │                               │
┌───────────────┐               ┌───────────────┐
│  客户端设备   │               │  目标服务器    │
└───────────────┘               └───────────────┘

工作原理说明:

    1. VPN客户端:用户运行在自己设备上的VPN客户端软件,用于与VPN服务器建立连接。
    1. VPN服务器:由VPN服务提供商管理的服务器,用于处理客户端与目标服务器之间的通信。
    1. Internet:公共互联网,作为数据传输的媒介。
    1. 客户端设备:用户的计算机、手机或其他设备,需要通过VPN访问目标服务器。
    1. 目标服务器:用户希望访问的具体资源或服务所在的服务器。

  • VPN的工作原理如下:

      1. 用户在本地设备上运行VPN客户端软件,并输入所需的连接参数,如服务器地址、用户名和密码。
      1. VPN客户端通过Internet连接到VPN服务器。这通常使用加密的通信协议(如OpenVPN、IPsec等)来确保连接的安全性。
      1. 一旦建立了VPN连接,所有通过VPN客户端的流量将被加密并通过Internet传输到VPN服务器。
      1. VPN服务器解密接收到的数据,并将其转发到目标服务器。
      1. 目标服务器将请求的数据返回给VPN服务器。
      1. VPN服务器再次加密响应数据并通过Internet传输回VPN客户端。
      1. VPN客户端解密响应数据,并将其发送到用户的本地设备上进行处理和显示。

  • 通过建立VPN连接,用户可以在公共网络上创建一个安全的隧道,使得他们的网络流量在传输过程中得到加密保护。这样可以实现远程访问内部网络资源、保护隐私和绕过地理限制等功能。

  • 需要注意的是,具体的VPN实现和工作原理可能因使用的协议和技术而有所不同。上述示意图只是一个简单的示例,真实的VPN架构可能更为复杂。

  1. 如何防护WiFi密码
    首先要用到kali系统【渗透测试专用】
  • 开启无线监听模式airmon-ng start wlan0[airmon-ng查看网卡监听状态]【monitor】【信号值大于65别连了】
    【WiFi有ch频道】[wpa2是无线网加密类型]
  • 扫描范围 airodump-ng wlan0mon
  • 抓WiFi握手包airodump-ng --bssid 52:02:05:9D:62:F9 -c 6 -w sxny wlan0mon(wifi密码就在握手包里面)
    手动添加ssid
  • 破解密码aircrack-ng -w top100.txt sxny-02.cap
  • wifi攻击airplay-ng -0 8 -c mac地址 -a mac地址 wlan0mon
  • 终于算是告一段落了。现在时间是2024/3/11 0:34:57