22 Linux-verkkokomentoa Sysadminille


Järjestelmänvalvojan rutiinitehtäviin kuuluu palvelinkeskusten palvelimien ja verkkojen määrittäminen, ylläpito, vianetsintä ja hallinta. Linuxissa on lukuisia hallinnollisiin tarkoituksiin suunniteltuja työkaluja ja apuohjelmia.

Tässä artikkelissa tarkastellaan joitain Linuxin verkonhallinnan eniten käytettyjä komentorivityökaluja ja -apuohjelmia eri luokissa. Selitämme joitain yleisiä käyttöesimerkkejä, jotka tekevät verkonhallinnasta paljon helpompaa Linuxissa.

Tällä sivulla

  • ifconfig-komento
  • ip-komento
  • ifup komento
  • ethtool-komento
  • ping-komento
  • traceroute-komento
  • mtr-komento
  • reitti komento
  • nmcli-komento
  • netstat-komento
  • ss-komento
  • nc komento
  • nmap-komento
  • isäntäkomento
  • kaivaa komento
  • nslookup-komento
  • tcpdump komento
  • Wireshark-apuohjelma
  • bmon työkalu
  • iptables palomuuri
  • palomuuri
  • UFW palomuuri

Tämä luettelo on yhtä hyödyllinen kokopäiväisille Linux-verkkoinsinööreille.

Verkon määritys-, vianmääritys- ja virheenkorjaustyökalut

1. ifconfig-komento

ifconfig on komentoriviliittymätyökalu verkkoliitännän määritykseen, ja sitä käytetään myös liitäntöjen alustamiseen järjestelmän käynnistyksen yhteydessä. Kun palvelin on toiminnassa, sitä voidaan käyttää IP-osoitteen määrittämiseen rajapinnalle ja liittymän käyttöönottoon tai poistamiseen tarvittaessa.

Sitä käytetään myös tällä hetkellä aktiivisten liitäntöjen IP-osoitteen, laitteisto-/MAC-osoitteen sekä MTU-koon (Maximum Transmission Unit) tarkasteluun. ifconfig on siis hyödyllinen virheenkorjauksessa tai järjestelmän virittämisessä.

Tässä on esimerkki kaikkien aktiivisten verkkoliitäntöjen tilan näyttämiseksi.

ifconfig

enp1s0    Link encap:Ethernet  HWaddr 28:d2:44:eb:bd:98  
          inet addr:192.168.0.103  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::8f0c:7825:8057:5eec/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:169854 errors:0 dropped:0 overruns:0 frame:0
          TX packets:125995 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:174146270 (174.1 MB)  TX bytes:21062129 (21.0 MB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:15793 errors:0 dropped:0 overruns:0 frame:0
          TX packets:15793 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1 
          RX bytes:2898946 (2.8 MB)  TX bytes:2898946 (2.8 MB)

Käytä -a-merkkiä, jos haluat luetella kaikki tällä hetkellä saatavilla olevat liitännät, olivatpa ne ylös tai alas.

ifconfig -a 	

Voit määrittää IP-osoitteen rajapinnalle käyttämällä seuraavaa komentoa.

sudo ifconfig eth0 192.168.56.5 netmask 255.255.255.0

Aktivoi verkkoliitäntä kirjoittamalla.

sudo ifconfig up eth0

Jos haluat deaktivoida tai sulkea verkkoliitännän, kirjoita.

sudo ifconfig down eth0

Huomaa: vaikka ifconfig on loistava työkalu, se on nyt vanhentunut (vanhentunut), sen korvaa ip-komento. vahva>, joka selitetään alla.

2. IP-komento

ip-komento on toinen hyödyllinen komentorivin apuohjelma reitityksen, verkkolaitteiden ja liitäntöjen näyttämiseen ja muokkaamiseen. Se korvaa ifconfig- ja monet muut verkkokomennot. (Lue artikkelimme "Mikä on ero ifconfigin ja ip-komennon välillä" saadaksesi lisätietoja siitä.)

Seuraava komento näyttää IP-osoitteen ja muut tiedot verkkoliitännästä.

ip addr show

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 28:d2:44:eb:bd:98 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.103/24 brd 192.168.0.255 scope global dynamic enp1s0
       valid_lft 5772sec preferred_lft 5772sec
    inet6 fe80::8f0c:7825:8057:5eec/64 scope link 
       valid_lft forever preferred_lft forever
3: wlp2s0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether 38:b1:db:7c:78:c7 brd ff:ff:ff:ff:ff:ff
...

Määritä IP-osoite väliaikaisesti tietylle verkkoliittymälle (eth0) kirjoittamalla.

sudo ip addr add 192.168.56.1 dev eth0

Voit poistaa määritetyn IP-osoitteen verkkoliitännästä (eth0) kirjoittamalla.

sudo ip addr del 192.168.56.15/24 dev eth0

Näytä nykyinen naapuritaulukko ytimessä kirjoittamalla.

ip neigh

192.168.0.1 dev enp1s0 lladdr 10:fe:ed:3d:f3:82 REACHABLE

3. ifup-, ifdown- ja ifquery-komento

ifup-komento aktivoi verkkoliitännän, jolloin se voi siirtää ja vastaanottaa tietoja.

sudo ifup eth0

ifdown-komento poistaa verkkoliitännän käytöstä ja pitää sen tilassa, jossa se ei voi siirtää tai vastaanottaa tietoja.

sudo ifdown eth0

ifquery-komento, jota käytetään verkkoliitännän määritysten jäsentämiseen. Sen avulla voit saada vastauksia kyselyihin siitä, miten se on tällä hetkellä määritetty.

sudo ifquery eth0

4. Ethool-komento

ethtool on komentorivityökalu verkkoliitännän ohjaimen parametrien ja laiteajurien kyselyyn ja muokkaamiseen. Alla olevassa esimerkissä näkyy ethtool-työkalun käyttö ja komento verkkoliitännän parametrien tarkastelemiseksi.

sudo ethtool enp0s3

Settings for enp0s3:
	Supported ports: [ TP ]
	Supported link modes:   10baseT/Half 10baseT/Full 
	                        100baseT/Half 100baseT/Full 
	                        1000baseT/Full 
	Supported pause frame use: No
	Supports auto-negotiation: Yes
	Advertised link modes:  10baseT/Half 10baseT/Full 
	                        100baseT/Half 100baseT/Full 
	                        1000baseT/Full 
	Advertised pause frame use: No
	Advertised auto-negotiation: Yes
	Speed: 1000Mb/s
	Duplex: Full
	Port: Twisted Pair
	PHYAD: 0
	Transceiver: internal
	Auto-negotiation: on
	MDI-X: off (auto)
	Supports Wake-on: umbg
	Wake-on: d
	Current message level: 0x00000007 (7)
			       drv probe link
	Link detected: yes

5. Ping-komento

ping (Packet INternet Groper) on apuohjelma, jota käytetään tavallisesti kahden verkossa olevan järjestelmän välisen yhteyden testaamiseen (Local Area Network (LAN) tai Wide Area Network (WAN)). Se käyttää ICMP:tä (Internet Control Message Protocol) viestiäkseen verkon solmuihin.

Jos haluat testata yhteyden toiseen solmuun, anna sen IP tai isäntänimi esimerkiksi.

ping 192.168.0.103

PING 192.168.0.103 (192.168.0.103) 56(84) bytes of data.
64 bytes from 192.168.0.103: icmp_seq=1 ttl=64 time=0.191 ms
64 bytes from 192.168.0.103: icmp_seq=2 ttl=64 time=0.156 ms
64 bytes from 192.168.0.103: icmp_seq=3 ttl=64 time=0.179 ms
64 bytes from 192.168.0.103: icmp_seq=4 ttl=64 time=0.182 ms
64 bytes from 192.168.0.103: icmp_seq=5 ttl=64 time=0.207 ms
64 bytes from 192.168.0.103: icmp_seq=6 ttl=64 time=0.157 ms
^C
--- 192.168.0.103 ping statistics ---
6 packets transmitted, 6 received, 0% packet loss, time 5099ms
rtt min/avg/max/mdev = 0.156/0.178/0.207/0.023 ms

Voit myös käskeä pingin poistumaan tietyn määrän ECHO_REQUEST-paketteja käyttämällä -c-lippua kuvan mukaisesti.

ping -c 4 192.168.0.103

PING 192.168.0.103 (192.168.0.103) 56(84) bytes of data.
64 bytes from 192.168.0.103: icmp_seq=1 ttl=64 time=1.09 ms
64 bytes from 192.168.0.103: icmp_seq=2 ttl=64 time=0.157 ms
64 bytes from 192.168.0.103: icmp_seq=3 ttl=64 time=0.163 ms
64 bytes from 192.168.0.103: icmp_seq=4 ttl=64 time=0.190 ms

--- 192.168.0.103 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3029ms
rtt min/avg/max/mdev = 0.157/0.402/1.098/0.402 ms

6. Traceroute Command

Traceroute on komentorivityökalu, jolla voit jäljittää koko polun paikallisesta järjestelmästä toiseen verkkojärjestelmään. Se tulostaa useita hyppyjä (reitittimen IP-osoitteita) polulla, jota kuljet päästäksesi pääpalvelimeen. Se on helppokäyttöinen verkon vianmääritysapuohjelma ping-komennon jälkeen.

Tässä esimerkissä jäljitämme reittipaketteja, jotka kulkevat paikallisesta järjestelmästä johonkin Googlen palvelimista, joiden IP-osoite on 216.58.204.46.

traceroute 216.58.204.46

traceroute to 216.58.204.46 (216.58.204.46), 30 hops max, 60 byte packets
 1  gateway (192.168.0.1)  0.487 ms  0.277 ms  0.269 ms
 2  5.5.5.215 (5.5.5.215)  1.846 ms  1.631 ms  1.553 ms
 3  * * *
 4  72.14.194.226 (72.14.194.226)  3.762 ms  3.683 ms  3.577 ms
 5  108.170.248.179 (108.170.248.179)  4.666 ms 108.170.248.162 (108.170.248.162)  4.869 ms 108.170.248.194 (108.170.248.194)  4.245 ms
 6  72.14.235.133 (72.14.235.133)  72.443 ms 209.85.241.175 (209.85.241.175)  62.738 ms 72.14.235.133 (72.14.235.133)  65.809 ms
 7  66.249.94.140 (66.249.94.140)  128.726 ms  127.506 ms 209.85.248.5 (209.85.248.5)  127.330 ms
 8  74.125.251.181 (74.125.251.181)  127.219 ms 108.170.236.124 (108.170.236.124)  212.544 ms 74.125.251.181 (74.125.251.181)  127.249 ms
 9  216.239.49.134 (216.239.49.134)  236.906 ms 209.85.242.80 (209.85.242.80)  254.810 ms  254.735 ms
10  209.85.251.138 (209.85.251.138)  252.002 ms 216.239.43.227 (216.239.43.227)  251.975 ms 209.85.242.80 (209.85.242.80)  236.343 ms
11  216.239.43.227 (216.239.43.227)  251.452 ms 72.14.234.8 (72.14.234.8)  279.650 ms  277.492 ms
12  209.85.250.9 (209.85.250.9)  274.521 ms  274.450 ms 209.85.253.249 (209.85.253.249)  270.558 ms
13  209.85.250.9 (209.85.250.9)  269.147 ms 209.85.254.244 (209.85.254.244)  347.046 ms 209.85.250.9 (209.85.250.9)  285.265 ms
14  64.233.175.112 (64.233.175.112)  344.852 ms 216.239.57.236 (216.239.57.236)  343.786 ms 64.233.175.112 (64.233.175.112)  345.273 ms
15  108.170.246.129 (108.170.246.129)  345.054 ms  345.342 ms 64.233.175.112 (64.233.175.112)  343.706 ms
16  108.170.238.119 (108.170.238.119)  345.610 ms 108.170.246.161 (108.170.246.161)  344.726 ms 108.170.238.117 (108.170.238.117)  345.536 ms
17  lhr25s12-in-f46.1e100.net (216.58.204.46)  345.382 ms  345.031 ms  344.884 ms

7. MTR-verkon diagnostiikkatyökalu

MTR on moderni komentorividiagnostiikkatyökalu, joka yhdistää pingin ja tracerouten toiminnot yhdeksi diagnostiikkatyökaluksi. Sen tulos päivitetään reaaliajassa oletusarvoisesti, kunnes poistut ohjelmasta painamalla q.

Helpoin tapa suorittaa mtr on antaa sille isäntänimi tai IP-osoite argumenttina seuraavasti.

mtr google.com
OR
mtr 216.58.223.78
Näytelähtö
linux-console.net (0.0.0.0)                                   Thu Jul 12 08:58:27 2018
First TTL: 1

 Host                                                   Loss%   Snt   Last   Avg  Best  Wrst StDev
 1. 192.168.0.1                                         0.0%    41    0.5   0.6   0.4   1.7   0.2
 2. 5.5.5.215                                           0.0%    40    1.9   1.5   0.8   7.3   1.0
 3. 209.snat-111-91-120.hns.net.in                      23.1%    40    1.9   2.7   1.7  10.5   1.6
 4. 72.14.194.226                                       0.0%    40   89.1   5.2   2.2  89.1  13.7
 5. 108.170.248.193                                     0.0%    40    3.0   4.1   2.4  52.4   7.8
 6. 108.170.237.43                                      0.0%    40    2.9   5.3   2.5  94.1  14.4
 7. bom07s10-in-f174.1e100.net                          0.0%    40    2.6   6.7   2.3  79.7  16.

Voit rajoittaa pingien määrän tiettyyn arvoon ja poistua mtr:stä näiden pingien jälkeen käyttämällä -c-lippua kuvan mukaisesti.

mtr -c 4 google.com

8. Reittikomento

Reitti on komentorivityökalu Linux-järjestelmän IP-reititystaulukon näyttämiseen tai muokkaamiseen. Sitä käytetään pääasiassa staattisten reittien määrittämiseen tiettyihin isäntiin tai verkkoihin rajapinnan kautta.

Voit tarkastella ytimen IP-reititystaulukkoa kirjoittamalla.

route

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         gateway         0.0.0.0         UG    100    0        0 enp0s3
192.168.0.0     0.0.0.0         255.255.255.0   U     100    0        0 enp0s3
192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 virbr0

On olemassa lukuisia komentoja, joiden avulla voit määrittää reitityksen. Tässä on joitain hyödyllisiä:

Lisää oletusyhdyskäytävä reititystaulukkoon.

sudo route add default gw <gateway-ip>

Lisää verkkoreitti reititystaulukkoon.

sudo route add -net <network ip/cidr> gw <gateway ip> <interface>

Poista tietty reittimerkintä reititystaulukosta.

sudo route del -net <network ip/cidr>

9. Nmcli-komento

Nmcli on helppokäyttöinen komentorivityökalu, jolla voi raportoida verkon tilasta, hallita verkkoyhteyksiä ja ohjata NetworkManageria.

Näet kaikki verkkolaitteet kirjoittamalla.

nmcli dev status

DEVICE      TYPE      STATE      CONNECTION         
virbr0      bridge    connected  virbr0             
enp0s3      ethernet  connected  Wired connection 1 

Tarkista järjestelmäsi verkkoyhteydet kirjoittamalla.

nmcli con show

Wired connection 1  bc3638ff-205a-3bbb-8845-5a4b0f7eef91  802-3-ethernet  enp0s3 
virbr0              00f5d53e-fd51-41d3-b069-bdfd2dde062b  bridge          virbr0 

Jos haluat nähdä vain aktiiviset yhteydet, lisää lippu -a.

nmcli con show -a

Verkkoskannaus ja suorituskyvyn analysointityökalut

10. Netstat-komento

netstat on komentorivityökalu, joka näyttää hyödyllistä tietoa, kuten verkkoyhteydet, reititystaulukot, käyttöliittymätilastot ja paljon muuta Linuxin verkkoalijärjestelmään liittyen. Se on hyödyllinen verkon vianmääritykseen ja suorituskyvyn analysointiin.

Lisäksi se on myös perustavanlaatuinen verkkopalvelun virheenkorjaustyökalu, jota käytetään tarkistamaan, mitkä ohjelmat kuuntelevat mitä portteja. Esimerkiksi seuraava komento näyttää kaikki TCP-portit kuuntelutilassa ja mitkä ohjelmat kuuntelevat niitä.

sudo netstat -tnlp

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:587             0.0.0.0:*               LISTEN      1257/master         
tcp        0      0 127.0.0.1:5003          0.0.0.0:*               LISTEN      1/systemd           
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN      1015/dovecot        
tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN      1015/dovecot        
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      1/systemd           
tcp        0      0 0.0.0.0:465             0.0.0.0:*               LISTEN      1257/master         
tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN      1404/pdns_server    
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN      1064/pure-ftpd (SER 
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      972/sshd            
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      975/cupsd           
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      1257/master         
tcp        0      0 0.0.0.0:8090            0.0.0.0:*               LISTEN      636/lscpd (lscpd -  
tcp        0      0 0.0.0.0:993             0.0.0.0:*               LISTEN      1015/dovecot        
tcp        0      0 0.0.0.0:995             0.0.0.0:*               LISTEN      1015/dovecot        
tcp6       0      0 :::3306                 :::*                    LISTEN      1053/mysqld         
tcp6       0      0 :::3307                 :::*                    LISTEN      1211/mysqld         
tcp6       0      0 :::587                  :::*                    LISTEN      1257/master         
tcp6       0      0 :::110                  :::*                    LISTEN      1015/dovecot        
tcp6       0      0 :::143                  :::*                    LISTEN      1015/dovecot        
tcp6       0      0 :::111                  :::*                    LISTEN      1/systemd           
tcp6       0      0 :::80                   :::*                    LISTEN      990/httpd           
tcp6       0      0 :::465                  :::*                    LISTEN      1257/master         
tcp6       0      0 :::53                   :::*                    LISTEN      1404/pdns_server    
tcp6       0      0 :::21                   :::*                    LISTEN      1064/pure-ftpd (SER 
tcp6       0      0 :::22                   :::*                    LISTEN      972/sshd            
tcp6       0      0 ::1:631                 :::*                    LISTEN      975/cupsd           
tcp6       0      0 :::25                   :::*                    LISTEN      1257/master         
tcp6       0      0 :::993                  :::*                    LISTEN      1015/dovecot        
tcp6       0      0 :::995                  :::*                    LISTEN      1015/dovecot        

Voit tarkastella ytimen reititystaulukkoa käyttämällä -r-lippua (joka vastaa yllä olevan route-komennon suorittamista).

netstat -r

Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
default         gateway         0.0.0.0         UG        0 0          0 enp0s3
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 enp0s3
192.168.122.0   0.0.0.0         255.255.255.0   U         0 0          0 virbr0

Huomaa: vaikka Netstat on loistava työkalu, se on nyt vanhentunut (vanhentunut), sen korvaaminen on ss-komento, joka selitetään alla.

11. ss-komento

ss (socket Statistics) on tehokas komentorivityökalu pistokkeiden tutkimiseen. Se tyhjentää pistorasiatilastot ja näyttää netstatin kaltaiset tiedot. Lisäksi se näyttää enemmän TCP- ja tilatietoja verrattuna muihin vastaaviin apuohjelmiin.

Seuraava esimerkki näyttää, kuinka luetellaan kaikki TCP-portit (socketit), jotka ovat avoinna palvelimella.

ss -ta

State      Recv-Q Send-Q                                        Local Address:Port                                                         Peer Address:Port                
LISTEN     0      100                                                       *:submission                                                              *:*                    
LISTEN     0      128                                               127.0.0.1:fmpro-internal                                                          *:*                    
LISTEN     0      100                                                       *:pop3                                                                    *:*                    
LISTEN     0      100                                                       *:imap                                                                    *:*                    
LISTEN     0      128                                                       *:sunrpc                                                                  *:*                    
LISTEN     0      100                                                       *:urd                                                                     *:*                    
LISTEN     0      128                                                       *:domain                                                                  *:*                    
LISTEN     0      9                                                         *:ftp                                                                     *:*                    
LISTEN     0      128                                                       *:ssh                                                                     *:*                    
LISTEN     0      128                                               127.0.0.1:ipp                                                                     *:*                    
LISTEN     0      100                                                       *:smtp                                                                    *:*                    
LISTEN     0      128                                                       *:8090                                                                    *:*                    
LISTEN     0      100                                                       *:imaps                                                                   *:*                    
LISTEN     0      100                                                       *:pop3s                                                                   *:*                    
ESTAB      0      0                                             192.168.0.104:ssh                                                         192.168.0.103:36398                
ESTAB      0      0                                                 127.0.0.1:34642                                                           127.0.0.1:opsession-prxy       
ESTAB      0      0                                                 127.0.0.1:34638                                                           127.0.0.1:opsession-prxy       
ESTAB      0      0                                                 127.0.0.1:34644                                                           127.0.0.1:opsession-prxy       
ESTAB      0      0                                                 127.0.0.1:34640                                                           127.0.0.1:opsession-prxy       
LISTEN     0      80                                                       :::mysql                                                                  :::*             
...

Näytä kaikki aktiiviset TCP-yhteydet ja niiden ajastimet suorittamalla seuraava komento.

ss -to

12. NC-komento

NC (NetCat), jota kutsutaan myös nimellä "Network Swiss Army knife", on tehokas apuohjelma, jota käytetään lähes kaikkiin TCP-, UDP- tai UNIX-verkkoalueen vastakkeisiin liittyviin tehtäviin. Sitä käytetään TCP-yhteyksien avaamiseen, mielivaltaisten TCP- ja UDP-porttien kuunteluun, porttien skannaukseen ja muihin.

Voit käyttää sitä myös yksinkertaisena TCP-välityspalvelimena, verkon demonitestaukseen, etäporttien saavutettavuuden tarkistamiseen ja paljon muuta. Lisäksi voit käyttää nc-komentoa yhdessä pv-komennon kanssa tiedostojen siirtämiseen kahden tietokoneen välillä.

Seuraava esimerkki näyttää, kuinka porttiluettelo tarkistetaan.

nc -zv server2.tecmint.lan 21 22 80 443 3000

Voit myös määrittää porttien alueen kuvan mukaisesti.

nc -zv server2.tecmint.lan 20-90

Seuraava esimerkki näyttää, kuinka nc-komennolla avataan TCP-yhteys porttiin 5000 osoitteessa server2.tecmint.lan portin 3000 avulla. lähdeportiksi 10 sekunnin aikakatkaisulla.

nc -p 3000 -w 10 server2.tecmint.lan 5000 

13. Nmap-komento

Nmap (Network Mapper) on tehokas ja erittäin monipuolinen työkalu Linux-järjestelmän/verkon järjestelmänvalvojille. Sitä käytetään keräämään tietoja yhdestä isännästä tai tutkimaan verkkoja koko verkossa. Nmapia käytetään myös tietoturvatarkistuksia, verkkotarkastuksia ja avoimien porttien etsimiseen etäisännistä ja paljon muuta.

Voit skannata isännän käyttämällä esimerkiksi sen isäntänimeä tai IP-osoitetta.

nmap google.com 

Starting Nmap 6.40 ( http://nmap.org ) at 2018-07-12 09:23 BST
Nmap scan report for google.com (172.217.166.78)
Host is up (0.0036s latency).
rDNS record for 172.217.166.78: bom05s15-in-f14.1e100.net
Not shown: 998 filtered ports
PORT    STATE SERVICE
80/tcp  open  http
443/tcp open  https

Nmap done: 1 IP address (1 host up) scanned in 4.92 seconds

Vaihtoehtoisesti voit käyttää IP-osoitetta kuvan mukaisesti.

nmap 192.168.0.103

Starting Nmap 6.40 ( http://nmap.org ) at 2018-07-12 09:24 BST
Nmap scan report for 192.168.0.103
Host is up (0.000051s latency).
Not shown: 994 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
25/tcp   open  smtp
902/tcp  open  iss-realsecure
4242/tcp open  vrml-multi-use
5900/tcp open  vnc
8080/tcp open  http-proxy
MAC Address: 28:D2:44:EB:BD:98 (Lcfc(hefei) Electronics Technology Co.)

Nmap done: 1 IP address (1 host up) scanned in 0.13 seconds

Lue seuraavat hyödylliset artikkelimme nmap-komennosta.

  1. Nmap Script Engine (NSE) -komentosarjojen käyttäminen Linuxissa
  2. Käytännön opas Nmapiin (Network Security Scanner) Kali Linuxissa
  3. Selvitä kaikki verkkoon yhdistetyt Live Hosts IP-osoitteet Linuxissa

DNS-hakuapuohjelmat

14. isäntäkomento

isäntäkomento on yksinkertainen apuohjelma DNS-hakujen suorittamiseen, se kääntää isäntänimet IP-osoitteiksi ja päinvastoin.

host google.com

google.com has address 172.217.166.78
google.com mail is handled by 20 alt1.aspmx.l.google.com.
google.com mail is handled by 30 alt2.aspmx.l.google.com.
google.com mail is handled by 40 alt3.aspmx.l.google.com.
google.com mail is handled by 50 alt4.aspmx.l.google.com.
google.com mail is handled by 10 aspmx.l.google.com.

15. kaivaa komento

dig (domain information groper) on myös toinen yksinkertainen DNS-hakuapuohjelma, jota käytetään DNS:ään liittyvien tietojen, kuten A Record, CNAME, MX Record jne. kyselyyn, esimerkiksi:

dig google.com

; <<>> DiG 9.9.4-RedHat-9.9.4-51.el7 <<>> google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23083
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 13, ADDITIONAL: 14

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;google.com.			IN	A

;; ANSWER SECTION:
google.com.		72	IN	A	172.217.166.78

;; AUTHORITY SECTION:
com.			13482	IN	NS	c.gtld-servers.net.
com.			13482	IN	NS	d.gtld-servers.net.
com.			13482	IN	NS	e.gtld-servers.net.
com.			13482	IN	NS	f.gtld-servers.net.
com.			13482	IN	NS	g.gtld-servers.net.
com.			13482	IN	NS	h.gtld-servers.net.
com.			13482	IN	NS	i.gtld-servers.net.
com.			13482	IN	NS	j.gtld-servers.net.
com.			13482	IN	NS	k.gtld-servers.net.
com.			13482	IN	NS	l.gtld-servers.net.
com.			13482	IN	NS	m.gtld-servers.net.
com.			13482	IN	NS	a.gtld-servers.net.
com.			13482	IN	NS	b.gtld-servers.net.

;; ADDITIONAL SECTION:
a.gtld-servers.net.	81883	IN	A	192.5.6.30
b.gtld-servers.net.	3999	IN	A	192.33.14.30
c.gtld-servers.net.	14876	IN	A	192.26.92.30
d.gtld-servers.net.	85172	IN	A	192.31.80.30
e.gtld-servers.net.	95861	IN	A	192.12.94.30
f.gtld-servers.net.	78471	IN	A	192.35.51.30
g.gtld-servers.net.	5217	IN	A	192.42.93.30
h.gtld-servers.net.	111531	IN	A	192.54.112.30
i.gtld-servers.net.	93017	IN	A	192.43.172.30
j.gtld-servers.net.	93542	IN	A	192.48.79.30
k.gtld-servers.net.	107218	IN	A	192.52.178.30
l.gtld-servers.net.	6280	IN	A	192.41.162.30
m.gtld-servers.net.	2689	IN	A	192.55.83.30

;; Query time: 4 msec
;; SERVER: 192.168.0.1#53(192.168.0.1)
;; WHEN: Thu Jul 12 09:30:57 BST 2018
;; MSG SIZE  rcvd: 487

16. NSLookup-komento

Nslookup on myös suosittu komentorivityökalu DNS-palvelimien kyselyyn sekä interaktiivisesti että ei-vuorovaikutteisesti. Sitä käytetään DNS-resurssitietueiden (RR) kyselyyn. Voit selvittää verkkotunnuksen "A "-tietueen (IP-osoitteen) kuvan mukaisesti.

nslookup google.com

Server:		192.168.0.1
Address:	192.168.0.1#53

Non-authoritative answer:
Name:	google.com
Address: 172.217.166.78

Voit myös suorittaa käänteisen verkkotunnuksen haun kuvan mukaisesti.

nslookup 216.58.208.174

Server:		192.168.0.1
Address:	192.168.0.1#53

Non-authoritative answer:
174.208.58.216.in-addr.arpa	name = lhr25s09-in-f14.1e100.net.
174.208.58.216.in-addr.arpa	name = lhr25s09-in-f174.1e100.net.

Authoritative answers can be found from:
in-addr.arpa	nameserver = e.in-addr-servers.arpa.
in-addr.arpa	nameserver = f.in-addr-servers.arpa.
in-addr.arpa	nameserver = a.in-addr-servers.arpa.
in-addr.arpa	nameserver = b.in-addr-servers.arpa.
in-addr.arpa	nameserver = c.in-addr-servers.arpa.
in-addr.arpa	nameserver = d.in-addr-servers.arpa.
a.in-addr-servers.arpa	internet address = 199.180.182.53
b.in-addr-servers.arpa	internet address = 199.253.183.183
c.in-addr-servers.arpa	internet address = 196.216.169.10
d.in-addr-servers.arpa	internet address = 200.10.60.53
e.in-addr-servers.arpa	internet address = 203.119.86.101
f.in-addr-servers.arpa	internet address = 193.0.9.1

Linuxin verkkopakettianalysaattorit

17. Tcpdump-komento

Tcpdump on erittäin tehokas ja laajalti käytetty komentorivin verkon haistaja. Sitä käytetään kaappaamaan ja analysoimaan TCP/IP-paketteja, jotka lähetetään tai vastaanotetaan verkon yli tietyllä rajapinnalla.

Jos haluat kaapata paketteja tietystä käyttöliittymästä, määritä se -i-vaihtoehdolla.

tcpdump -i eth1

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes
09:35:40.287439 IP linux-console.net.ssh > 192.168.0.103.36398: Flags [P.], seq 4152360356:4152360552, ack 306922699, win 270, options [nop,nop,TS val 2211778668 ecr 2019055], length 196
09:35:40.287655 IP 192.168.0.103.36398 > linux-console.net.ssh: Flags [.], ack 196, win 5202, options [nop,nop,TS val 2019058 ecr 2211778668], length 0
09:35:40.288269 IP linux-console.net.54899 > gateway.domain: 43760+ PTR? 103.0.168.192.in-addr.arpa. (44)
09:35:40.333763 IP gateway.domain > linux-console.net.54899: 43760 NXDomain* 0/1/0 (94)
09:35:40.335311 IP linux-console.net.52036 > gateway.domain: 44289+ PTR? 1.0.168.192.in-addr.arpa. (42)

Jos haluat kaapata tietyn määrän paketteja, syötä haluamasi numero painamalla -c-vaihtoehtoa.

tcpdump -c 5 -i eth1

Voit myös kaapata ja tallentaa paketteja tiedostoon myöhempää analysointia varten. Käytä -w-lippua tulostiedoston määrittämiseen.

tcpdump -w captured.pacs -i eth1

18. Wireshark-apuohjelma

Wireshark on suosittu, tehokas, monipuolinen ja helppokäyttöinen työkalu pakettien sieppaamiseen ja analysointiin pakettivälitteisessä verkossa reaaliajassa.

Voit myös tallentaa sen tallentamat tiedot tiedostoon myöhempää tarkastelua varten. Järjestelmänvalvojat ja verkkosuunnittelijat käyttävät sitä pakettien valvontaan ja tarkastamiseen turvallisuus- ja vianmääritystarkoituksiin.

19. Bmon-työkalu

bmon on tehokas, komentorivipohjainen verkonvalvonta- ja virheenkorjausapuohjelma Unix-tyyppisille järjestelmille. Se kerää verkkoon liittyviä tilastoja ja tulostaa ne visuaalisesti ihmisystävällisessä muodossa. Se on luotettava ja tehokas reaaliaikainen kaistanleveyden monitori ja nopeusestimaattori.

Linuxin palomuurin hallintatyökalut

20. Iptables-palomuuri

iptables on komentorivityökalu IP-pakettisuodatuksen ja NAT-säännöstön taulukoiden määrittämiseen, ylläpitoon ja tarkastamiseen. Sitä käytetään Linux-palomuurin (Netfilterin) määrittämiseen ja hallintaan. Sen avulla voit luetella olemassa olevat pakettisuodatussäännöt; lisätä, poistaa tai muokata pakettisuodatussääntöjä; luettelo pakettisuodatinsääntöjen sääntökohtaiset laskurit.

Voit oppia käyttämään Iptablesia eri tarkoituksiin yksinkertaisista mutta kattavista oppaistamme.

  1. IPTablesin (Linux Firewall) -vihjeet/komennot perusopas
  2. 25 hyödyllistä IPtable-palomuurisääntöä jokaisen Linux-järjestelmänvalvojan tulisi tietää
  3. Iptables-palomuurin määrittäminen mahdollistamaan palvelujen etäkäyttö
  4. Kuinka estää Ping ICMP -pyynnöt Linux-järjestelmiin

21. Palomuuri

Firewalld on tehokas ja dynaaminen demoni, joka hallitsee Linux-palomuuria (Netfilter), aivan kuten iptables. Se käyttää iptablesissa "verkkoalueita" INPUT-, OUTPUT- ja FORWARD KETJUJEN sijaan. Nykyisissä Linux-jakeluissa, kuten RHEL/CentOS 7 ja Fedora 21+, iptables korvataan aktiivisesti palomuurilla. .

Aloita palomuurin käyttö tutustumalla alla oleviin oppaisiin:

  1. Hyödyllisiä FirewallD-sääntöjä palomuurin määrittämiseen ja hallintaan Linuxissa
  2. FirewallD:n määrittäminen RHEL/CentOS 7:ssä ja Fedora 21:ssä
  3. FirewallD- ja Iptables-palomuurin käynnistäminen/pysäytys ja käyttöönotto/poistaminen käytöstä Linuxissa
  4. Samban määrittäminen ja FirewallD:n ja SELinuxin määrittäminen sallimaan tiedostojen jakaminen Linuxissa/Windowsissa

Tärkeää: Iptables on edelleen tuettu, ja se voidaan asentaa YUM-paketinhallinnan avulla. Et kuitenkaan voi käyttää Palomuuria ja iptablesia samanaikaisesti samalla palvelimella – sinun on valittava yksi.

22. UFW (yksinkertaista palomuuria)

UFW on hyvin tunnettu ja oletusarvoinen palomuurimääritystyökalu Debianin ja Ubuntu Linux-jakeluissa. Sitä käytetään järjestelmän palomuurin käyttöönottoon/poistamiseen, pakettisuodatussääntöjen lisäämiseen/poistamiseen/muokkaamiseen/nollaukseen ja paljon muuta.

Tarkista UFW-palomuurin tila kirjoittamalla.

sudo ufw status

Jos UFW-palomuuri ei ole aktiivinen, voit aktivoida tai ottaa sen käyttöön seuraavalla komennolla.

sudo ufw enable

Voit poistaa UFW-palomuurin käytöstä käyttämällä seuraavaa komentoa.

sudo ufw disable 

Lue artikkeli UFW-palomuurin määrittäminen Ubuntuun ja Debianiin.

Jos haluat löytää lisätietoja tietystä ohjelmasta, voit katsoa sen man-sivuja kuvan mukaisesti.

man programs_name

Tässä kaikki tältä erää! Tässä kattavassa oppaassa tarkastelimme joitain Linuxin verkonhallintaan eniten käytettyjä komentorivityökaluja ja -apuohjelmia eri luokissa, järjestelmänvalvojille ja yhtä hyödyllisiä kokopäiväisille verkonvalvojille/suunnittelijoille.

Voit jakaa ajatuksesi tästä oppaasta alla olevan kommenttilomakkeen kautta. Jos olemme unohtaneet usein käytetyt ja tärkeät Linux-verkkotyökalut/-apuohjelmat tai hyödyllisiä asiaan liittyviä tietoja, kerro myös meille.