solaris学习2:网络、路由、防火墙、包监控

  1. 云栖社区>
  2. 博客>
  3. 正文

solaris学习2:网络、路由、防火墙、包监控

技术小胖子 2017-11-02 17:42:00 浏览999
展开阅读全文
 
1、 网卡驱动

安装solaris后就是如何确定网卡有没有安装驱动和配置启用。对于初步接触solaris的人来说这确实是个问题,我就是如此,所以分两个问题来说明。
确认驱动问题
以下两种方法确认:方法一:安装时有没有提示进行网络配置,有说明驱动已安装,没有可能是内核没有该网卡驱动(但有时可能是内核没有正确识别)。  方法二:如果安装时没有提示网络配置,用以下三种方式尝试:
  • #touch /reconfigure 重启
  • devfsadm命令重新检测硬件
  • sys-unconfig重新配置环境

如何查看网卡的实例名是比较头疼的事,solaris对不同网卡型号的实例名不一样,有brg、eri等等,就算你内核有网卡驱动,如何获得网卡的实例名对初步接触solaris的人来说也有不小困难,当然大家可以查看/etc/path_to_inst 、prtconf、kstat命令、modinfo命令等。不过我个人发现了一个好方法:dmesg | grep -i ether 或 grep -i ether /var/adm/messages可以很好的查看到网卡实例名,至少我碰到的情况我是这么搞定的。

如果上面的方法还不行,那就是没有驱动了,需要手动安装驱动。


2、 单网卡的dhcp、固定IP(临时IP、永久IP配置启用)、dns
单网卡的dhcp client,dhcp server不在说明内。
命令方式:

ifconfig 下dhcp是auto-dhcp的别名。这是登录os后手动启动,如果想开机自动可以设置脚本/etc/rc3.d/S100dhcp开机启动。

dhcp配置文件方式:
touch /etc/hostname.rtls0  启动网卡的作用,内容可以为空,相当于ifconfig rtls0 plumb。如果内容为主机名,则启动该网卡,如果为IP地址,则相当于启动网卡并配置为该IP。和dhcp.rtls0配合用时为空
touch /etc/dhcp.rtls0  文件内容可以为空,启动dhcp客户端。

查看dhcp




固定IP--临时IP
临时IP通过命令方式配置,重启后IP消失。

永久IP配置--配置文件
/etc/hostname.rtls0   rtls0为网卡实例名,这个文件如果没有就手动创建,有几个网卡,就有几个hostname.<接口名> 文件,该文件内容可以为空,也可以为主机名或IP,如果一个网卡多个IP,则该网卡其它IP地址为/etc/hostname.rtls0:1,其内容为一个IP地址。
/etc/inet/hosts   指定ip地址与别名的对应关系,如果以后要修改ip地址,修改这个文件的ip就可以
/etc/inet/netmasks   子网掩码配置,在我安装的版本中/etc/netmasks 、/etc/hosts是软连接。其内容可以是一个IP地址和netmask,也可以是一个网段和netmask,如192.168.1.1 255.255.255.0 或192.168.1.0 255.255.255.0
/etc/defaultrouter   网关
/etc/nsswitch.conf    将hosts: files 改为hosts: files dns ,作用是启用dns客户端,即系统名称解析首先查找/etc/inet/hosts文件,找不到就到/etc/resolv.conf中指定的dns中去找。
/etc/resolv.conf   该文件有三个选项:domain 相当于windows的域名后缀(host.maoye.cn格式中的maoye.cn),这里是本地域名。 nameserver就不说了,serach 指定域名搜索列表,最多6个。
还有一个文件:/etc/defaultdomain 本地主机域名,域名与主机的DNS域名是两个概念。这是基于管理的需要而设,与实际DNS可不相同

多配置一个IP,配置文件后需重启才能生效。

该IP地址:修改hosts、hostname.rtls0、netmasks三个文件,前两个必须改的,netmasks如果是网段就不需要改。ipnodes会随hosts文件改变而变化。

改计算机名:修改nodename、hosts、hostname.rtls0三个文件,前两个必须改的,hostname.rtls0如果是IP地址就不需要改,如果是主机名就需要改。


路由

命令:route  和windows、linux是一样的,比如-p 参数是永久路由。比如

route add default 100.100.100.1 或 route delete default 100.100.100.1 ,这里不啰嗦了。

 

Dns client

这里不讨论DNS服务器。先说下名称服务,常用的名称服务有dns、ldap、nis、nis+等。名称服务使用“域”的概念,即网络节点和地址的集合。常用的dns采用层次结构。如 “.” 点表示根域实际使用中通常省略。cn/net/com/org等一级域名,baidu/sohu等二级域名,www/mail等三级域名。

在solaris的名称服务模版文件有:nsswitch.files nsswitch.dns  nsswitch.nis  nsswitch.nisplus  nsswitch.ldap,solaris根据安装时的配置从上述模版文件生成nsswitch.conf(简单理解就是copy)。

hosts:files  dns 这行的解析(个人理解):对于主机hosts的解析,内核名称解析程序会首先查询files(/etc/hosts的本地文件),再查询dns。还可以有如下形式:

hosts:  files dns ldap nis nisplus user   即对主机的解析依次调用files、dns、ldap、nis等解析。

另外注意的名称解析的缓存守护进程nscd,其配置文件为:/etc/nscd.conf。每一条缓存的名称数据都有一个生存时间。更新dns缓存就是停止启用nscd服务进程。

nscd的服务:

/etc/init.d/nscd  

online         16:21:19 svc:/system/name-service-cache:default
 

dns 客户端的服务为:

disabled      svc:/network/dns/client:default   默认禁用。 

 

3、 防火墙

 防火墙是指“包过滤”,不是应用代理、状态检测等防火墙技术。与liunx的Iptables不同,solaris采用IPFilter第三方免费软件。IPFilter也支持BSD、UX、AIX等平台。

对IPFilter关键会编写ipfilter的规则

action    in/out   option   keyword.....

 action:  block、pass、log、count、skip n(数字)、auth、preauth。log只是记录日志,skip n 使过滤器跳过n个过滤规则。

option: log、quick、on 网络接口、dup-to 网络接口、to 网络接口。 log 如果规则是最后一个匹配规则,则记录 , quick 一旦有规则匹配,则停止后面的规则匹配,默认是匹配所有规则最后的规则生效。on 网络接口---当包进或出该接口时才应用规则, dup-to 网络接口---复制包并将该接口上的副本向外发送到指定IP,to 网络接口----将包发送到该接口发送。

keyword: tos 、ttl、proto、from、to、all、any、with、flags、icmp-type icmp、keep state/frags、head n、group n。  常用的有from 、proto、to、any、all、with。any通常用在from(src)、to(dst)端,all通常用在默认动作,如在规则文件最后加pass out all表示本机访问外部的默认规则为pass。

IPFilter有两个服务:ipfiltler 、pfil,默认ipfilter是禁用的。

disabled       16:21:06 svc:/network/ipfilter:default
online         16:21:06 svc:/network/pfil:default
 

修改/etc/ipf/pfil.ap文件(没有此文件就手动创建),该文件的作用是启用对网络接口的网络通信流量进行过滤(个人理解呵呵!)

使配置文件生效,不过我没启用该文件IPFilter也可以用。

autopush   -f    /etc/ipf/pfil.ap  

IPFilter的规则配置文件/etc/ipf/ipf.conf,在此文件添加过滤规则。

 命令:ipf 、ipfstat、ipmon

ipf对匹配规则控制的命令:-D 内核中删除活动规则集 -E 启用规则集  -F 取消所有规则,有a/i/o/s等,-f 加载规则文件,重启OS后该命令的配置无效。-l 规则类型。

ipfstat -io 显示in、out活动规则 -I 非活动规则 -D、-P 、-S表示目的、协议、源查看。

ipmon  S 状态日志文件 N nat日志 I 常规IP日志文件 -a 所有状态日志文件 -F清除日志文件。

 

4、 包过滤

snoop命令,和linux的tcpdump相识,是solaris自带的工具。

一些参数说明如下:-V 半详细  -v 最详细显示 -D 扑获期间丢失多少包 -N 根据扑获的文件创建一个ip-to-name文件  -P 非混杂模式下抓包 -S 抓包是包大小 -t 显示时间戳

常用表达式

snoop x.x.x.x   表示dst 或 src为该ip的包

snoop x.x.x.x  x.x.x.x  表示ip1和ip2间的包

snoop from x.x.x.x 或 src x.x.x.x 根据源方向扑获包

snoop to x.x.x.x 或 to x.x.x.x 根据目的方向扑获包

其他的关键词有:ip、arp、ip6、rarp、pppoe、pppoed、pppoes、broadcast、multicast、apple、decnet、udp、tcp、icmp、icmp6、net、port等,条件表达式:greater length n :如果包大小比指定数值大条件为真。less length n :如果包大小比指定数值小条件为真。

如:snoop from net 192.168.10.0 或 to net 192.168.10.0 抓取网段192.168.10.0为源或目的的包

snoop to udp and port 53 抓去udp协议端口为53的包(包括src和dst)

snoop -d rtls0(网络接口)port 53  抓取端口rtlso的53端口的包(in和out的包都抓取)
 




================================================================
sccm2007客户端安装无显示
在sccm配置过程中,对于AD 的架构扩展和sccm服务器对AD的操作权限问题,弄了好久,才算明白点,也就是在相应容器的安全 里,加入sccm计算机,要勾选计算机

,安装客户端时,在sccm端推,总是没显示,后来在分发点、发现方法等配置了一下,就正常了



      本文转自fuhaixiong 51CTO博客,原文链接:http://blog.51cto.com/heliy/172888,如需转载请自行联系原作者





网友评论

登录后评论
0/500
评论
技术小胖子
+ 关注