linux系统网络配置和逻辑卷.docx

《linux系统网络配置和逻辑卷.docx》由会员分享，可在线阅读，更多相关《linux系统网络配置和逻辑卷.docx（13页珍藏版）》请在第一文库网上搜索。

1、Lxalhocessnetfilter/iptablesnetfilter/iptablesIP信息包过滤系统是一种功能强大的工具，可用于添加、编辑和除去规则，这些规则是在做信息包过滤决定时，防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中，而这些表集成在Linux内核中。在信息包过滤表中，规则被分组放在我们所谓的链(chain)中。我马上会详细讨论这些规则以及如何建立这些规则并将它们分组在链中。虽然netfilter/iptablesIP信息包过滤系统被称为单个实体，但它实际上由两个组件netfilter和iptables组成。netfilter组件也称为内核空间(kernels

2、pace),是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。iptables组件是一种工具，也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。下图简要说明iptables的组成：INPUTfilteroutputFORWARDPREROUTINGiptablesnatPOSTROUTINGOUTPUTPREROUTINGINPUT-mangleforwardOUTPUTPOSTROUTINGiptables由三个表(tabi)组成：filter,nat,mangle.每个表又由多个链(chain)组成。iptables

3、的规则如下图所示:anglenatPREROUTINGfilterINPUT| filter |FORWARDPREROUTINGforwardmangleINPUTlocalprocessROUTINGmangleOUTPUTnatOUTPUTOUTPUTmanglePOSTROUTINGnatPOSTROUTINGpacketsinVpacketsout通过向防火墙提供有关对来自某个源、到某个目的地或具有特定协议类型的信息包要做些什么的指令，规则控制信息包的过滤。通过使用netfilter/iptables系统提供的特殊命令iptables,建立这些规则，并将其添加到内核空间的特定信息包过

4、滤表内的链中。关于添加/除去/编辑规则的命令的一般语法如下：$iptables-ttablecommandmatchtarget表(table)-ttable选项允许使用标准表之外的任何表。表是包含仅处理特定类型信息包的规则和链的信息包过滤表。有三种可用的表选项：filter、nat和mangle。该选项不是必需的，如果未指定，则filter用作缺省表。filter表用于一般的信息包过滤，它包含INPUT、OUTPUT和FORWARD链。nat表用于要转发的信息包，它包含PREROUTING、OUTPUT和POSTROUTING链。如果信息包及其头内进行了任何更改，则使用mangle表。该表包

5、含一些规则来标记用于高级路由的信息包，该表包含PREROUTING和OUTPUT链。注：PREROUTING链由指定信息包一到达防火墙就改变它们的规则所组成，而POSTROUTING链由指定正当信息包打算离开防火墙时改变它们的规则所组成。命令(command)上面这条命令中具有强制性的command部分是iptabls命令的最重要部分。它告诉iptables命令要做什么，例如，插入规则、将规则添加到链的末尾或删除规则。以下是最常用的一些命令：* -A或-append：该命令将一条规则附加到链的末尾。示例：$iptables-AINPUT-s205.168.0.1-jACCEPT该示例命令将一条

6、规则附加到INPUT链的末尾，确定来自源地址205.168.0.1的信息包可以ACCEPTo* -D或-delete：通过用-D指定要匹配的规则或者指定规则在链中的位置编号，该命令从链中删除该规则。下面的示例显示了这两种方法。示例：$iptables-DINPUTdport80-jDROP$iptables-DOUTPUT3第一条命令从INPUT链删除规则，它指定DROP前往端口80的信息包。第二条命令只是从OUTPUT链删除编号为3的规则。*-P或-policy：该命令设置链的缺省目标，即策略。所有与链中任何规则都不匹配的信息包都将被强制使用此链的策略。示例:$iptables-PINPUT

7、DROP该命令将INPUT链的缺省目标指定为DROPo这意味着，将丢弃所有与INPUT链中任何规则都不匹配的信息包。* -N或-new-chain：用命令中所指定的名称创建一个新链。示例：$iptables-Nallowed-chain*-F或-flush：如果指定链名，该命令删除链中的所有规则，如果未指定链名，该命令删除所有链中的所有规则。此参数用于快速清除。示例：$iptables-FFORWARD$iptables-F* -L或-list:列出指定链中的所有规则。示例：$iptables-Lallowed-chain匹配（match）iptables命令的可选match部分指定信息包与规

8、则匹配所应具有的特征（如源和目的地地址、协议等）。匹配分为两大类：通用匹配和特定于协议的匹配。这里，我将研究可用于采用任何协议的信息包的通用匹配。下面是一些重要的且常用的通用匹配及其示例和说明：*-p或-protocol：该通用协议匹配用于检查某些特定协议。协议示例有TCP、UDP、ICMP、用逗号分隔的任何这三种协议的组合列表以及ALL（用于所有协议）。ALL是缺省匹配。可以使用！符号，它表示不与该项匹配。示例：$iptables-AINPUT-pTCP,UDP$iptables-AINPUT-p!TCMP在上述示例中，这两条命令都执行同一任务-它们指定所有TCP和UDP信息包都将与该规则匹

9、配。通过指定！ICMP，我们打算允许所有其它协议（在这种情况下是TCP和UDP）,而将ICMP排除在外。* -s或-source：该源匹配用于根据信息包的源工P地址来与它们匹配。该匹配还允许对某一范围内的工P地址进行匹配，可以使用！符号，表示不与该项匹配。缺省源匹配与所有工P地址匹配。示例：$iptables-AOUTPUT-s192.168.1.1$iptables-AOUTPUT-s192.168.0.0/24$iptables-AOUTPUT-s!203.16.1.89$iptables -A$ iptables -A$ iptables -A第二条命令指定该规则与所有来自192168.

10、0.0到192.168.0.24的工P地址范围的信息包匹配。第三条命令指定该规则将与除来自源地址203.16.1.89外的任何信息包匹配。*-d或-destination：该目的地匹配用于根据信息包的目的地工P地址来与它们匹配。该匹配还允许对某一范围内工P地址进行匹配，可以使用！符号，表示不与该项匹配。示例：INPUT-d192.168.1.1INPUT-d192.168.0.0/24OUTPUT-d!203.16.1.89目标(target)我们已经知道，目标是由规则指定的操作，对与那些规则匹配的信息包执行这些操作。除了允许用户定义的目标之外，还有许多可用的目标选项。下面是常用的一些目标及其

11、示例和说明：* ACCEPT:当信息包与具有ACCEPT目标的规则完全匹配时，会被接受（允许它前往目的地），并且它将停止遍历链（虽然该信息包可能遍历另一个表中的其它链，并且有可能在那里被丢弃）。该目标被指定为-jACCEPTo*DROP:当信息包与具有DROP目标的规则完全匹配时，会阻塞该信息包，并且不对它做进一1步处理。该目标被指定为-jDROPo* REJECT:该目标的工作方式与DROP目标相同，但它比DROP好。和DROP不同，REJECT不会在服务器和客户机上留下死套接字。另外，REJECT将错误消息发回给信息包的发送方。该目标被指定为-jREJECTo示例:$iptables-AF

12、ORWARD-pTCPdport22-jREJECT*RETURN:在规则中设置的RETURN目标让与该规则匹配的信息包停止遍历包含该规则的链。如果链是如INPUT之类的主链，则使用该链的缺省策略处理信息包。它被指定为-jumpRETURNo示例：$iptables-AFORWARD-d203.16.1.89-jumpRETURNLVM管理LVM(LogiclVolumeManager),逻辑卷管理器，通过使用逻辑卷管理器对硬盘存储设备进行管理,可以实现硬盘空间的动态划分和调整。一、基本概念1、物理卷PV(PhysicalVolume)物理卷在逻辑卷管理中处于最底层，它可以是实际物理硬盘上的分

13、区，也可以是整个物理硬盘。2、卷组VG(VolumneGroup)卷组建立在物理卷之上，一个卷组中至少要包括一个物理卷，在卷组建立之后可动态添加物理卷到卷组中。一个逻辑卷管理系统工程中可以只有一个卷组，也可以拥有多个卷组。3、逻辑卷LV(LogicalVolume)逻辑卷建立在卷组之上，卷组中的未分配空间可以用于建立新的逻辑卷，逻辑卷建立后可以动态地扩展和缩小空间。系统中的多个逻辑卷要以属于同一个卷组，也可以属于不同的多个卷组。4、物理区域PE(PhysicalExtent)物理区域是物理卷中可用于分配的最小存储单元，物理区域的大小可根据实际情况在建立物理卷时指定。物理区域大小一旦确定将不能更

14、改，同一卷组中的所有物理卷的物理区域大小需要一致。5、逻辑区域一LE(LogicalExtent)逻辑区域是逻辑卷中可用于分配的最小存储单元，逻辑区域的大小取决于逻辑卷所在卷组中的物理区域的大小。6、卷组描述区域(VolumeGroupDescriptorArea)卷组描述区域存在于每个物理卷中，用于描述物理卷本身、物理卷所属卷组、卷组中的逻辑卷及逻辑卷中物理区域的分配等所有信息，卷组描述区域是在使用pvcreate建立物理卷时建立的。二、LVM的一般操作过程1、在磁盘分区上建立物理卷#fdisk/dev/hdb#pvdisplay/dev/hdbl在已经建立好的分区或硬盘上建立物理卷#pvcreate/dev/hdbl2、使用物理卷建立卷组#vgcreatemyVG/dev/hdbl建立卷组，日后可以根据需要添加新的物理卷到已有卷组中3、在卷组中建立逻辑卷#lvcreate-L10M-nmyLVlmyVG从已有卷组建立逻辑卷，通常只分配部分空间给该逻辑卷4、在逻辑卷上建立文件系统5、将文件系统挂载到Linux系统的目录树中6、在卷组中添加新的物理卷当卷组中没有足够的空间分配给逻辑卷时，可以使用vgextend命令添加新的物理卷到该卷组中，来扩充卷组容量。在一引起特殊的情况下也可以把卷组中现有的物理卷移出卷组。#vgextendmyVG/dev/hdb27、扩充逻辑卷的