| 第 5 章 网络设置 | ||
|---|---|---|
 |
 |
|
| 第 5 章 网络设置 | ||
|---|---|---|
| |
|
|
目录
![[提示]](images/tip.png)
|
提示 |
|---|---|
|
关于Debian专属的网络手册,请查看Debian管理员手册—网络配置。 |
让我们来回顾一下现代Debian操作系统中的基本网络架构。
表 5.1. 网络配置工具一览表
| 软件包 | 流行度 | 大小 | 类型 | 说明 |
|---|---|---|---|---|
network-manager
|
V:377, I:449 | 15376 | 配置::NM | NetworkManager(守卫进程):自动管理网络 |
network-manager-gnome
|
V:120, I:365 | 5574 | 配置::NM | NetworkManager(GNOME前端) |
ifupdown
|
V:590, I:982 | 199 | 配置::ifupdown | 用来启动/关闭网络的标准工具(Debian特有) |
isc-dhcp-client
|
V:214, I:982 | 2857 | 配置::底层 | DHCP客户端 |
pppoeconf
|
V:0, I:6 | 186 | 配置::辅助 | 配置助手,以便于使用PPPoE连接 |
wpasupplicant
|
V:333, I:505 | 3846 | 同上 | WPA和WPA2客户端支持(IEEE 802.11i) |
wpagui
|
V:0, I:2 | 770 | 同上 | wpa_supplicant Qt 图形界面客户端 |
wireless-tools
|
V:171, I:238 | 292 | 同上 | 操控Linux无线扩展的工具 |
iw
|
V:33, I:470 | 302 | 同上 | 配置 Linux 无线设备的工具 |
iproute2
|
V:713, I:967 | 3599 | 配置::iproute2 | iproute2,
IPv6和其他高级网络配置:ip(8),tc(8)等等 |
iptables
|
V:310, I:769 | 2408 | 配置::Netfilter | 封包过滤和网络地址转换管理工具(Netfilter) |
iputils-ping
|
V:198, I:997 | 120 | 测试 | 测试能否连接远程主机,通过主机名或IP 地址(iproute2) |
iputils-arping
|
V:3, I:44 | 49 | 测试 | 测试能否连接远程主机,通过ARP地址 |
iputils-tracepath
|
V:2, I:33 | 45 | 测试 | 跟踪访问远程主机的路径 |
ethtool
|
V:93, I:267 | 699 | 测试 | 显示或更改以太网设备的设定 |
mtr-tiny
|
V:5, I:48 | 161 | 测试::底层 | 追踪连接远程主机的路径(文本界面) |
mtr
|
V:4, I:42 | 214 | 同上 | 追踪连接远程主机的路径(文本界面和GTK界面) |
gnome-nettool
|
V:0, I:20 | 2492 | 同上 | 获取常见网络信息的工具(GNOME) |
nmap
|
V:24, I:205 | 4450 | 同上 | 网络映射/端口扫描(Nmap,控制台) |
tcpdump
|
V:16, I:180 | 1340 | 同上 | 网络流量分析(Tcpdump,控制台) |
wireshark
|
I:44 | 36 | 同上 | 网络流量分析(Wireshark,GTK) |
tshark
|
V:2, I:26 | 402 | 同上 | 网络流量分析(控制台) |
tcptrace
|
V:0, I:2 | 401 | 同上 | 根据tcpdump的输出生成的连接数据统计 |
snort
|
V:0, I:0 | 2203 | 同上 | 灵活的网络入侵侦测系统(Snort) |
ntopng
|
V:0, I:1 | 15904 | 同上 | 在网页浏览器中展示网络流量 |
dnsutils
|
V:20, I:312 | 263 | 同上 | BIND软件包提供的网络客户端程序:nslookup(8),nsupdate(8),dig(8) |
dlint
|
V:0, I:4 | 53 | 同上 | 利用域名服务器查询来查看DNS域信息 |
dnstracer
|
V:0, I:1 | 61 | 同上 | 跟踪DNS查询直至源头 |
主机名解析,目前也是由 NSS (名字服务转换 Name Service Switch) 机制来支持。这个解析的流程如下。
"/etc/nsswitch.conf" 文件里的 "hosts: files
dns" 这段规定主机名解析顺序。 (代替 "/etc/host.conf"
文件里的"order" 这段原有的功能。)
files 方式首先被调用。如果主机名在 "/etc/hosts"
文件里面发现,则返回所有有效地址并退出。 ( "/etc/host.conf" 文件包含
"multi on".)
dns 方式被调用。如果主机名通过查询 "/etc/resolv.conf"
文件里面写的 互联网域名系统 Domain Name System
(DNS) 来找到,则返回所有有效地址并退出。
例如, "/etc/hosts" 看起来如下。
127.0.0.1 localhost
127.0.1.1 host_name
# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
在这个例子的第二行 127.0.1.1 IP 地址也许不会在其它类 Unix 系统发现。Debian Installer 为没有永久 IP
地址的系统创建这个条目,作为某些软件(如 GNOME)的一个变通方法,见文档 bug
#719621.
host_name 匹配在"/etc/hostname"里定义的主机名。
对于有永久 IP 地址的系统,这个永久 IP 地址应当代替这里的 127.0.1.1。
对于有永久 IP 地址和有 域名系统 Domain Name System (DNS)提供完全资格域名 fully qualified domain name (FQDN) 的系统,规范名 host_name.domain_name 应当被用来代替 host_name.
如果 resolvconf
软件包没有安装,"/etc/resolv.conf"
是一个静态文件。如果安装了,它是一个符号链接。此外,它包含有解析策略的初始化信息。如 DNS 是
IP="192.168.11.1",则包含如下。
nameserver 192.168.11.1
resolvconf 软件包使这个 "/etc/resolv.conf"
文件成为一个符号链接,并通过钩子脚本自动管理其内容。
对于典型 adhoc 局域网环境下的 PC 工作站,除了基本的 files 和
dns 方式之外,主机名还能够通过组播 DNS (mDNS, 零配置网络 Zeroconf)进行解析。
Avahi 提供 Debian 下的组播 DNS 发现框架。
libnss-mdns 插件包提供 mDNS 的主机名解析,GNU C 库 (glibc)的 GNU 名字服务转换
Name Service Switch (NSS) 功能支持 mDNS。
"/etc/nsswitch.conf" 文件应当有像 "hosts: files
mdns4_minimal [NOTFOUND=return] dns mdns4" 这样的一段.
".local"结尾的主机名,使用 pseudo-top-level domain (TLD) 来解析.
mDNS IPv4 本地连接组播地址 "224.0.0.251" 或它相应的 IPv6 地址
"FF02::FB" 被用来作为 ".local" 结尾名字的 DNS
查询。
较老的 Windows 系统安装 winbind 软件包来提供旧的 NETBios over TCP/IP
主机名解析。为启用这个功能,"/etc/nsswitch.conf" 文件应当有这样的一段:
"hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4
wins"。 (现代 Windows 系统通常使用 dns 方式来进行主机名解析。)
![[注意]](images/note.png)
|
注意 |
|---|---|
|
域名系统 Domain Name System 中的扩展通用顶级域名 expansion of generic Top-Level Domains (gTLD) 还在进行中。在局域网内,选择一个域名时,请提防名字冲突 name collision。 |
让我们重新提醒下在 rfc1918 里规定的局域网 local area networks (LANs)IPv4 32 位地址在各类地址的保留范围. 这些地址保证不会与因特网上专有的地址冲突。
|
|
注意 |
|---|---|
|
IP 地址书写中有冒号的是 IPv6
地址,例如," |
表 5.2. 网络地址范围列表
| 类别 | 网络地址 | 子网掩码 | 子网掩码/位数 | number of subnets |
|---|---|---|---|---|
| A | 10.x.x.x | 255.0.0.0 | /8 | 1 |
| B | 172.16.x.x — 172.31.x.x | 255.255.0.0 | /16 | 16 |
| C | 192.168.0.x — 192.168.255.x | 255.255.255.0 | /24 | 256 |
|
|
注意 |
|---|---|
|
如果这些地址分配到一个主机,那么这个主机一定不能够直接访问互联网,必须通过一个作为网关的代理服务或通过 网络地址转换 Network Address Translation (NAT). 消费局域网环境,宽带路由器通常使用 NAT。 |
尽管 Debian 系统支持大多数硬件设备,但依旧有一些网络设备需要 DFSG non-free 固件来支持它们。参见 第 9.10.5 节 “硬件驱动和固件”。
对于使用 systemd 的现代 Debian
桌面系统,网络接口通常由两个服务进行初始化:lo
接口通常在“networking.service”处理,而其它接口则由“NetworkManager.service”处理。
Debian 可以通过后台守护进程(daemon)管理软件来管理网络连接,例如 NetworkManager (NM)(network-manager 和相关软件包)。
它们有自己的 GUI 和命令行程序来作为用户界面。
它们有自己的后台守护进程(daemon)作为它们的系统后端。
它们使你可以简单地将系统连接到网络。
它们使你可以简单地管理有线和无线网络的配置。
它们允许你配置网络而不依赖传统的 ifupdown 软件包。
|
|
注意 |
|---|---|
|
不要在服务器上使用这些自动网络配置工具。它们主要针对于笔记本电脑上的移动桌面用户。 |
这些现代的网络配置工具需要进行适当的配置,以避免与传统 ifupdown 软件包发生冲突,它的配置文件位于
“/etc/network/interfaces”。
Debian 系统 NM 的官方文档位于
“/usr/share/doc/network-manager/README.Debian” 。
本质上,如下操作即可完成桌面的网络配置。
通过下列命令使桌面用户 foo 归属 “netdev” 组(另外,例如
GNOME 和 KDE 这样的现代桌面环境会通过 D-bus 自动完成该操作)。
$ sudo adduser foo netdev
使 “/etc/network/interfaces” 的配置保持下面那样简洁。
auto lo iface lo inet loopback
通过下列命令重新启动 NM。
$ sudo systemctl restart network-manager
通过图形界面配置网络。
|
|
注意 |
|---|---|
|
只有不列在
“ |
|
|
提示 |
|---|---|
|
如果你想扩展 NM 的网络配置功能,请寻找适当的插件模块和补充软件包,例如
|
使用 systemd 的系统中,可以在
/etc/systemd/network/ 里配置网络。参见
systemd-resolved(8)、resolved.conf(5) 和
systemd-networkd(8)。
这个允许在没有图像界面的情况下配置现代网络。
DHCP 客户端的配置可以通过创建 "/etc/systemd/network/dhcp.network"
文件来进行设置。例如:
[Match] Name=en* [Network] DHCP=yes
一个静态网络配置能够通过创建 "/etc/systemd/network/static.network"
来设置.比如:
[Match] Name=en* [Network] Address=192.168.0.15/24 Gateway=192.168.0.1
在 Linux 上的底层网络配置,使用 iproute2 程序
(ip(8), …) .
Iproute2 命令集提供完整的底层网络配置能力。有个从旧的 net-tools 命令集到新的 iproute2 命令集的转换表。
表 5.3. 从旧的 net-tools 命令集到新的 iproute2 命令集转换表
| 旧的 net-tools | 新的 iproute2 | 操作 |
|---|---|---|
ifconfig(8) |
ip addr |
一个设备上的协议(IP 或 IPv6)地址 |
route(8) |
ip route |
路由表条目 |
arp(8) |
ip neigh |
ARP 或 NDISC 缓存条目 |
ipmaddr |
ip maddr |
多播地址 |
iptunnel |
ip tunnel |
IP 隧道 |
nameif(8) |
ifrename(8) |
基于 MAC 地址的网络接口名 |
mii-tool(8) |
ethtool(8) |
以太网设备设置 |
参见 ip(8) 和 IPROUTE2 工具套件 Howto.
你可以按下面的方式安全的使用底层网络命令,这些命令不会改变网络配置。
表 5.4. 底层网络命令列表
| 命令 | 说明 |
|---|---|
ip addr show |
显示活动的网络接口连接和地址状态 |
route -n |
用数字地址显示全部路由表 |
ip route show |
用数字地址显示全部路由表 |
arp |
显示当前 ARP 缓存表的内容 |
ip neigh |
显示当前 ARP 缓存表的内容 |
plog |
显示 ppp 后台守护进程(daemon)日志 |
ping yahoo.com |
检查到 "yahoo.com" 的因特网连接 |
whois yahoo.com |
在域名数据库里面检查谁注册了 "yahoo.com" |
traceroute yahoo.com |
跟踪到 "yahoo.com" 的因特网连接 |
tracepath yahoo.com |
跟踪到 "yahoo.com" 的因特网连接 |
mtr yahoo.com |
跟踪到 "yahoo.com" 的因特网连接(重复的) |
dig [@dns-server.com] example.com [{a|mx|any}] |
查询由 "dns-server.com" 提供服务的
"example.com" 域名的 DNS 记录:
"a", "mx" 或 "any"
记录 |
iptables -L -n |
查看包过滤 |
netstat -a |
找出所有打开的端口 |
netstat -l --inet |
找出监听端口 |
netstat -ln --tcp |
找出 TCP 监听端口(数字的) |
dlint example.com |
查询 "example.com" 的 DNS zone 信息 |
|
|
提示 |
|---|---|
|
部分底层网络配置工具放在 " |
通用的网络优化超出了本文的范围。我提及消费等级连接相关的主题。
表 5.5. 网络优化工具列表
| 软件包 | 流行度 | 大小 | 说明 |
|---|---|---|---|
iftop
|
V:7, I:103 | 93 | 显示一个网络接口上的带宽使用信息 |
iperf
|
V:2, I:45 | 360 | 互联网协议带宽测量工具 |
ifstat
|
V:0, I:7 | 59 | 接口统计监控 |
bmon
|
V:1, I:18 | 144 | 便携式带宽监视器和网速估计工具 |
ethstatus
|
V:0, I:3 | 40 | 快速测量网络设备吞吐的脚本 |
bing
|
V:0, I:1 | 80 | 实验性的随机带宽测试器 |
bwm-ng
|
V:1, I:13 | 95 | 小巧简单的控制台带宽监测器 |
ethstats
|
V:0, I:0 | 23 | 基于控制台的以太网统计监视器 |
ipfm
|
V:0, I:0 | 82 | 带宽分析工具 |
网络管理器通常会自动设置最佳 最大传输单元 (MTU) 。
在一些场景中,在用 ping(8) 加上"-M do"选项发送各种大小的
ICMP 报文数据包进行实验后,你希望可以手动设置 MTU。MTU 是最大可完成没有 IP 分片的数据包大小加上 28 字节(IPv4)或 48
字节(IPv6)。下面的列子,发现 IPv4 连接的 MTU 是 1460,IPv6 连接的 MTU 是 1500。
$ ping -4 -c 1 -s $((1500-28)) -M do www.debian.org PING (149.20.4.15) 1472(1500) bytes of data. ping: local error: message too long, mtu=1460 --- ping statistics --- 1 packets transmitted, 0 received, +1 errors, 100% packet loss, time 0ms $ ping -4 -c 1 -s $((1460-28)) -M do www.debian.org PING (130.89.148.77) 1432(1460) bytes of data. 1440 bytes from klecker-misc.debian.org (130.89.148.77): icmp_seq=1 ttl=50 time=325 ms --- ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 325.318/325.318/325.318/0.000 ms $ ping -6 -c 1 -s $((1500-48)) -M do www.debian.org PING www.debian.org(mirror-csail.debian.org (2603:400a:ffff:bb8::801f:3e)) 1452 data bytes 1460 bytes from mirror-csail.debian.org (2603:400a:ffff:bb8::801f:3e): icmp_seq=1 ttl=47 time=191 ms --- www.debian.org ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 191.332/191.332/191.332/0.000 ms
这个过程是 路径 MTU (PMTU) 发现 (RFC1191) , tracepath(8)
命令能够自动完成这个。
除了这些基本的指引方法外,你还应当知道下面的信息。
使用任何隧道方式(VPN 等.)的最佳 MTU 需要进一步减去它们上面的头部。
MTU 值不应当超过通过实验验证的 PMTU 值。
当遇到其它限制的时候,较大的 MTU 值通常比较好。
最大分片大小 (MSS) 是另外一种衡量包大小的方法。MSS 和 MTU 的关系如下.
对于 IPv4, MSS = MTU - 40
对于 IPv6,MSS = MTU - 60
|
|
注意 |
|---|---|
|
基于 |
TCP 吞吐量能够通过调整 TCP 缓冲大小的参数来最大化,对现代大带宽和高延时的 WAN,在 "TCP Tuning Guide" 和 "TCP tuning"里有描述. 到目前为止,当前 Debian 默认设置能够很好的服务好我的 1G bps 光纤到户 LAN 连接。
Netfilter 使用 Linux 内核 模块 (参见 第 3.8.1 节 “内核模块初始化”) 提供 状态防火墙 和 网络地址转换 (NAT) 框架。
表 5.7. 防火墙工具列表
| 软件包 | 流行度 | 大小 | 说明 |
|---|---|---|---|
iptables
|
V:310, I:769 | 2408 | netfilter
管理工具(iptables(8) 用于 IPv4, ip6tables(8)
用于 IPv6) |
arptables
|
V:0, I:1 | 100 | netfilter
管理工具(arptables(8) 用于 ARP) |
ebtables
|
V:14, I:29 | 264 | netfilter 管理工具
(ebtables(8) 用于以太网桥) |
iptstate
|
V:0, I:2 | 119 | 持续性监控 netfilter 状态 (和
top(1) 相似) |
shorewall-init
|
V:0, I:0 | 85 | Shoreline 防火墙 初始化 |
shorewall
|
V:3, I:9 | 3090 | Shoreline 防火墙, netfilter 配置文件生成器 |
shorewall-lite
|
V:0, I:0 | 71 | Shoreline 防火墙, netfilter 配置文件生成器 (精简版) |
shorewall6
|
V:0, I:1 | 1334 | Shoreline 防火墙, netfilter 配置文件生成器(IPv6 版本) |
shorewall6-lite
|
V:0, I:0 | 71 | Shoreline 防火墙, netfilter 配置文件生成器 (IPv6,精简版) |
netfilter 主要的用户层程序是
iptables(8).你能从 shell 手工交付式的配置 netfilter,使用 iptables-save(8)
保存当前状态,当系统重启时,通过 init 脚本调用 iptables-restore(8) 来恢复。
像 shorewall 这样的配置帮助脚本能够使这个过程变得更简单。
参见 http://www.netfilter.org/documentation/
上的文档(或在 "/usr/share/doc/iptables/html/" 里面的文档).
|
|
提示 |
|---|---|
|
虽然这些是为 Linux 2.4
写的, |
| |
|
|
| 第 4 章 认证和访问控制 |
|
第 6 章 网络应用 |