系统管理

网络服务

组件分类

netplan

• 定义：抽象网络配置描述器，使用 yaml 配置文件描述网络参数，该 yaml 文件会生成 backend config (后端配置项)，再根据指定的网络管理工具生成对应的网络配置文件并加载到内存中
• yaml 配置文件 ：存放到 /etc/netplan 目录

networkmanager

• 定义 ：提供全面且可扩展的图形化/命令行的网络管理工具，支持不同类型的网络连接，如有线、无线、宽带……，适用于桌面操作系统
• 配置方式
  • nm-connection-editor ：图形化界面管理
  • nmtui ：伪图形管理，使用字符组显示
  • nmcli ：命令行管理

networkd

• 定义 ：轻量级网络管理工具，仅支持基本的网络配置，且使用 yaml 配置文件进行网络配置，适用于服务器操作系统
  • networkd 是 systemd 的一个组件

操作命令

netplan

• 常用命令
  • netplan generate ：将 yaml 文件生成 nm/netowrkd 的配置文件
  • netplan apply ：应用配置
  • netplan try ：试用配置是否正确
  • netplan get ：获取当前 netplan 配置

NetworkManager

• nmtui
  • nm伪图形工具，直接输入 nmtui 伪图形视图
• nmcli
  • 语法
    • nmcli [option] [object]
  • 常用命令
    • nmcli general
      • nmcli general status ：显示网络状态，WWAN -> Wireless Wide Area Network、HW -> HardWare
      • nmcli general hostname ：显示主机名
      • nmcli general hostname [new-hostname] ：修改主机名，修改后要重启 nm
    • nmcli connection
      • nmcli connection show ：查看网卡连接信息
• 管理 nm 程序
  • systemctl status NetworkManager ：查看 nm 程序状态
  • systemctl start NetworkManager ：启动 nm
  • systemctl restart NetworkManager ：重启 nm
  • systemctl stop NetworkManager ：关闭 nm
  • systemctl is-enabled NetworkManager ：查看是否开机启动 nm
  • systemctl enable NetworkManager ：开启启动 nm
  • systemctl disable NetworkManager ：禁止开机启动 nm

主机名

• 修改主机名
  • hostnamectl set-hostname [new-hostname]

安全管理

iptables

• 定义 ：用于控制流量的转发策略，类似FW的安全策略

• 四表五链

  • 表

    • 定义 ：将类似相同功能的规则归纳到一个集合中，以用力于维护和设计规则
    • 类型
      • raw ：用于决定报文是否开启状态跟踪机制
      • mangle ：用于修改报文的IP头部，或者标记某个报文，对后续分流做铺垫
      • nat ：用于对报文的IP进行NAT转换
      • filter ：用于允许/拒绝报文通过

  • 链

    • 定义 ：按照报文转发流程分出不同阶段，并在每个阶段上会将多个表按顺序串到一起，并让报文按顺序匹配表内的规则，这样就形成了一条链
    • 类型 ：有内置链、自定义链；内置链表示iptables工具已经自定好的链；自定义链表示用户可自己创建和配置的链，可理解为内置链的副链

      • 内置链

        • PREROUTING ：报文匹配路由表前进行处理，可应用的表有 raw mangle nat
        • FORWARD ：报文经过本地转发时进行处理，可应用的表有 mangle filter
        • POSTROUTING ：报文匹配路由表后进行处理，可应用的表有 mangle nat
        • INPUT ：访问本机的报文进入本机上层程序前进行处理，可应用的表有 mangle filter
        • OUTPUT 本机报文离开本机上层程序后进行处理，可应用的表有 raw mangle nat filter

      • 自定义链

        • 定义 ：用户自定义链作为主链的副链，可对特殊报文在副链中进行处理

• 规则

  • 定义 ：由 条件+动作 组成，配置在表内以处理特定报文
  • 组成
    • 条件 ：基本条件有五元组，扩展条件有标记、DSCP优先级、ipset地址集
    • 动作
      • 终止动作
        • 定义 ：执行动作并停止匹配，继续匹配下一个表内规则
        • ACCEPT DROP REJECT ：允许、丢弃、拒绝
          • ACCEPT ：匹配后允许通过，继续匹配下一个表
          • DROP ：匹配后丢弃报文，不响应
          • REJECT ：匹配后丢弃报文并响应拒绝信息
        • SNAT DNAT MASQUERADE ：SNAPT、DNAPT、easy-ip
        • REDIRECT ：重定向
      • 非终止动作
        • 定义 ：执行动作后，继续匹配规则
        • MARK ：打标记，不会修改报文数据，标记和报文做映射表

• 匹配流程

  • 规则
    • 链
      • 转发本机报文
        • 入站 ：PREROUTING -> 路由表 -> INPUT -> 上层程序
        • 出站 ：上层程序 -> OUTPUT -> 路由表 -> POSTROUTING
      • 转发非本地报文
        • PREROUTING -> 路由表 ->FORWARD -> POSTROUTING -> 下一跳
    • 表 ： raw > mangle > nat > filter
    • 规则
      • 从上到下匹配，匹配成功后立即执行动作并停止匹配，否则一直匹配，直到没有匹配到任何规则，直接执行默认规则
  • 流程图
    !Pasted image 20250321155215.png