linux arp命令(linux arp)
如何在我的linux查看我的arp表格?
LinuxArp命令顯示和修改地址解析協議(ARP)使用的“IP到物理”地址轉換表。
ARP-sinet_addreth_addrARP-dinet_addrARP-a-a通過詢問當前協議數據,顯示當前ARP項。
如果指定inet_addr,則只顯示指定計算機的IP地址和物理地址。
如果不止一個網絡接口使用ARP,則顯示每個ARP表的項。-g與-a相同。
-v在詳細模式下顯示當前ARP項。所有無效項和環回接口上的項都將顯示。
inet_addr指定Internet地址(IP地址)。
-Nif_addr顯示if_addr指定的網絡接口的ARP項。
-d刪除inet_addr指定的主機。
inet_addr可以是通配符*,以刪除所有主機。-s添加主機并且將Internet地址inet_addr與物理地址eth_addr相關聯。
物理地址是用連字符分隔的6個十六進制字節。該項是永久的。
eth_addr指定物理地址。
if_addr如果存在,此項指定地址轉換表應修改的接口的Internet地址。如果不存在,則使用第一個適用的接口。
示例:添加靜態項。
這個很有用,特別是局域網中中了arp病毒以后#arp-s123.253.68.20900:19:56:6F:87:D2#arp-a....顯示ARP表。但是arp-s設置的靜態項在用戶登出之后或重起之后會失效,如果想要任何時候都不失效,可以將ip和mac的對應關系寫入arp命令默認的配置文件/etc/ethers中例如:引用root@ubuntu:/#vi/etc/ethers211.144.68.25400:12:D9:32:BF:44寫入之后執行下面的命令就好了引用arp-f/etc/ethers為保證重起之后綁定仍然有效,需要把上述命令寫入/etc/ethersARP(AddressResolutionProtocol),或稱地址解析協議。
本地機向"某個IP地址--目標機IP地址"發送數據時,先查找本地的ARP表,如果在ARP表中找到"目標機IP地址"的ARP表項,(網絡協議)將把"目標機IP地址"對應的"MAC地址"放到MAC包的"目的MAC地址字段"直接發送出去;如果在ARP表沒有找到"目標機IP地址"的ARP表項,則向局域網發送廣播ARP包("目的MAC地址字段"==FF:FF:FF:FF:FF:FF),目標機將向本地機回復ARP包(包含目標機的MAC地址)
linux防火墻發展史?
1. 認識防火墻
從邏輯上講防火墻可以分為主機防火墻和網絡防護墻。
主機防火墻:針對個別主機對出站入站的數據包進行過濾。(操作對象為個體)
網絡防火墻:處于網絡邊緣,針對網絡入口進行防護。(操作對象為整體)
從物理上講防火墻可以分為硬件防火墻和軟件防火墻。
硬件防火墻:通過硬件層面實現防火墻的功能,性能高,成本高。
軟件防火墻:通過應用軟件實現防火墻的功能,性能低,成本低。
2. 系統防火墻發展過程
防火墻的發展史就是從墻到鏈再到表,也是從簡單到復雜的過程。
防火墻工具變化如下:
ipfirewall--->ipchains--->iptables-->nftables(正在推廣)
Linux 2.0版內核中:包過濾機制為ipfw,管理工具是ipfwadm。
Linux 2.2版內核中:包過濾機制為ipchain,管理工具是ipchains。
Linux 2.4,2.6,3.0+版內核中:包過濾機制為netfilter,管理工具是iptables。
Linux 3.1(3.13+)版內核中:包過濾機制為netfilter,中間采取daemon動態管理防火墻,管理工具是firewalld。
# 目前低版本的firewalld通過調用iptables(command),它可以支持老的iptables規則(在firewalld里面叫做直接規則),
# 同時firewalld兼顧了iptables,ebtables,ip6tables的功能。
3. iptables和nftables
nftables
nftables誕生于2008年,2013年底合并到Linux內核,從 Linux 3.13起開始作為iptables的替代品提供給用戶。
它是新的數據包分類框架,新的linux防火墻管理程序,旨在替代現存的 {ip,ip6,arp,eb}_tables,它的用戶空間管理工具是nft。
由于iptables的一些缺陷,目前正在慢慢過渡用nftables替換iptables,同時由于這個新的框架的兼容性,
所以nftables也支持在這個框架上運行直接iptables這個用戶空間的管理工具。
nftables實現了一組被稱為表達式的指令,可通過在寄存器中儲存和加載來交換數據。
也就是說,nftables的核心可視為一個虛擬機,nftables的前端工具nft可以利用內核提供的表達式去模擬舊的iptables匹配,
維持兼容性的同時獲得更大的靈活性。
而未來最新的firewalld(0.8.0)默認使用將使用nftables。詳情可以看www.firewalld.org
iptables、nftables和firewalld之間的區別與聯系
firewalld同時支持iptables和nftables,未來最新版本(0.8.0)默認將使用nftables。
簡單的說firewalld是基于nftfilter防火墻的用戶界面工具。而iptables和nftables是命令行工具。
firewalld引入區域的概念,可以動態配置,讓防火墻配置及使用變得簡便。
準確的說:iptables(command)的最底層是netfilter,它的用戶空間管理工具是iptables
nftables(command)是iptables(command) 的一個替代品并兼容iptables(command),最底層依然是netfilter,它的用戶空間管理工具是nft,
同時未來firewalld最新版(0.8.0)也將默認支持nftables(command)。https://firewalld.org/
iptables會把配置好的防火墻策略交給內核層的netfilter網絡過濾器來處理
firewalld會把配置好的防火墻策略交給內核層的nftables包過濾框架來處理
下圖為iptables、firewalld、nftables之間的關系圖:
?
4. centos6.X到centos7.X
centos6.X:防火墻由netfilter和iptables構成。其中iptables用于制定規則,又被稱為防火墻的用戶態;
而netfilter實現防火墻的具體功能,又被稱為內核態。簡單地講,iptables制定規則,而netfilter執行規則。
centos7.X:防火墻在6.X防火墻的基礎之上提出了新的防火墻管理工具,提出了區域的概念,通過區域定義網絡鏈接以及安全等級。
5.怎樣學好防火墻的配置?
1)OSI7層模型以及不同層對應哪些協議必須很熟悉 # 基礎必備
2)TCP/IP三次握手,四次斷開的過程,TCP HEADER,狀態轉換 # 基礎必備
3)常用的服務端口要非常清楚了解。 # 基礎必備
4)常用服務協議的原理,特別是http協議,icmp協議。 # 基礎必備
5)能夠熟練的利用tcpdump和wireshark進行抓包并分析,這樣會更好 # 拓展
6)對計算機網絡有研究,至少基本路由交換要很熟悉 # 拓展
6、企業中安全配置原則
盡可能不給服務器配置外網IP,可以通過代理轉發或者通過防火墻映射。
并發不是特別大情況有外網IP,可以開啟防火墻服務。
大并發的情況,不能開iptables,影響性能,利用硬件防火墻提升架構安全。
Linux的協議棧是什么呢?
Linux網絡協議棧基于分層的設計思想,總共分為四層,從下往上依次是:物理層,鏈路層,網絡層,應用層。 Linux網絡協議棧其實是源于BSD的協議棧,它向上以及向下的接口以及協議棧本身的軟件分層組織的非常好。 Linux的協議棧基于分層的設計思想,總共分為四層,從下往上依次是:物理層,鏈路層,網絡層,應用層。 物理層主要提供各種連接的物理設備,如各種網卡,串口卡等; 鏈路層主要指的是提供對物理層進行訪問的各種接口卡的驅動程序,如網卡驅動等; 網路層的作用是負責將網絡數據包傳輸到正確的位置,最重要的網絡層協議當然就是IP協議了,其實網絡層還有其他的協議如ICMP,ARP,RARP等,只不過不像IP那樣被多數人所熟悉; 傳輸層的作用主要是提供端到端,說白一點就是提供應用程序之間的通信,傳輸層最著名的協議非TCP與UDP協議末屬了; 應用層,顧名思義,當然就是由應用程序提供的,用來對傳輸數據進行語義解釋的“人機界面”層了,比如HTTP,SMTP,FTP等等,其實應用層還不是人們最終所看到的那一層,最上面的一層應該是“解釋層”,負責將數據以各種不同的表項形式最終呈獻到人們眼前。 Linux網絡核心架構Linux的網絡架構從上往下可以分為三層,分別是: 用戶空間的應用層。 內核空間的網絡協議棧層。 物理硬件層。 其中最重要最核心的當然是內核空間的協議棧層了。 Linux網絡協議棧結構Linux的整個網絡協議棧都構建與Linux Kernel中,整個棧也是嚴格按照分層的思想來設計的,整個棧共分為五層,分別是 :
1,系統調用接口層,實質是一個面向用戶空間應用程序的接口調用庫,向用戶空間應用程序提供使用網絡服務的接口。
2,協議無關的接口層,就是SOCKET層,這一層的目的是屏蔽底層的不同協議(更準確的來說主要是TCP與UDP,當然還包括RAW IP, SCTP等),以便與系統調用層之間的接口可以簡單,統一。簡單的說,不管我們應用層使用什么協議,都要通過系統調用接口來建立一個SOCKET,這個SOCKET其實是一個巨大的sock結構,它和下面一層的網絡協議層聯系起來,屏蔽了不同的網絡協議的不同,只吧數據部分呈獻給應用層(通過系統調用接口來呈獻)。
3,網絡協議實現層,毫無疑問,這是整個協議棧的核心。這一層主要實現各種網絡協議,最主要的當然是IP,ICMP,ARP,RARP,TCP,UDP等。這一層包含了很多設計的技巧與算法,相當的不錯。
4,與具體設備無關的驅動接口層,這一層的目的主要是為了統一不同的接口卡的驅動程序與網絡協議層的接口,它將各種不同的驅動程序的功能統一抽象為幾個特殊的動作,如open,close,init等,這一層可以屏蔽底層不同的驅動程序。
5,驅動程序層,這一層的目的就很簡單了,就是建立與硬件的接口層。 可以看到,Linux網絡協議棧是一個嚴格分層的結構,其中的每一層都執行相對獨立的功能,結構非常清晰。 其中的兩個“無關”層的設計非常棒,通過這兩個“無關”層,其協議棧可以非常輕松的進行擴展。在我們自己的軟件設計中,可以吸收這種設計方法。
總結
以上是生活随笔為你收集整理的linux arp命令(linux arp)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【安卓开发 】Android初级开发(零
- 下一篇: (linux $shell)