网络 · UNIX TOOLBOX - 中文版

## 调试 (也可看[流量分析)](http://cb.vu/unixtoolbox_zh_CN.xhtml#traffic) ## Linux # ethtool eth0 # 显示以太网状态(replaces mii-diag) # ethtool -s eth0 speed 100 duplex full # 把网卡 eth0 速度改为 100兆/秒，采用全双工 # ethtool -s eth0 autoneg off # 禁用自动协商模式 # ethtool -p eth1 # 闪烁网络接口 LED 灯 - 如果支持的话，非常实用 # ip link show # 在 Linux 上显示所有网络接口(同 ifconfig 类似) # ip link set eth0 up # 使设备激活(或Down掉)。同 "ifconfig eth0 up" # ip addr show # 在 Linux 上显示所有 IP 地址(与 ifconfig 类似) # ip neigh show # 与 arp -a 类似 ## 其他系统 # ifconfig fxp0 # 查看 "media" 字段(FreeBSD) # arp -a # 查看路由(或主机) ARP 条目(所有系统) # ping cb.vu # 第一个要试的事情... # traceroute cb.vu # 列印到目的地的路由路径 # ifconfig fxp0 media 100baseTX mediaopt full-duplex # 100兆/秒全双工(FreeBSD) # netstat -s # 对每个网络协议做系统级分析另一些命令，虽然不总是默认安装，但很好找： # arping 192.168.16.254 # 在网络层上 Ping # tcptraceroute -f 5 cb.vu # 使用 tcp 替换 icmp 来跟踪，透过防火墙 ## 路由 ### 列印路由表 # route -n # Linux 或使用 "ip route" # netstat -rn # Linux, BSD 和 UNIX# route print # Windows ### 添加删除路由 #### FreeBSD # route add 212.117.0.0/16 192.168.1.1 # route delete 212.117.0.0/16 # route add default 192.168.1.1 永久的添加路由可在 /etc/rc.conf 配置文件中设置 static_routes="myroute" route_myroute="-net 212.117.0.0/16 192.168.1.1" #### Linux # route add -net 192.168.20.0 netmask 255.255.255.0 gw 192.168.16.254 # ip route add 192.168.20.0/24 via 192.168.16.254 # 等同于上面命令# route add -net 192.168.20.0 netmask 255.255.255.0 dev eth0 # route add default gw 192.168.51.254 # ip route add default via 192.168.51.254 dev eth0 # 等同于上面命令 # route delete -net 192.168.20.0 netmask 255.255.255.0 #### Solaris # route add -net 192.168.20.0 -netmask 255.255.255.0 192.168.16.254 # route add default 192.168.51.254 1 # 1 = 通过此路由跳数减 1 # route change default 192.168.50.254 1 永久条目配置在 `/etc/defaultrouter` 中。 #### Windows # Route add 192.168.50.0 mask 255.255.255.0 192.168.51.253 # Route add 0.0.0.0 mask 0.0.0.0 192.168.51.254 使用 `add -p` 来是路由设置永久有效。 ### 配置额外的 IP 地址 ### Linux # ifconfig eth0 192.168.50.254 netmask 255.255.255.0 # 第一个 IP # ifconfig eth0:0 192.168.51.254 netmask 255.255.255.0 # 第二个 IP # ip addr add 192.168.50.254/24 dev eth0 # 等价命令 # ip addr add 192.168.51.254/24 dev eth0 label eth0:1 ### FreeBSD # ifconfig fxp0 inet 192.168.50.254/24 # 第一个 IP # ifconfig fxp0 alias 192.168.51.254 netmask 255.255.255.0 # 第二个 IP 永久条目设置在 /etc/rc.conf 中 ifconfig_fxp0="inet 192.168.50.254 netmask 255.255.255.0" ifconfig_fxp0_alias0="192.168.51.254 netmask 255.255.255.0" ### Solaris 用 `ifconfig -a` 命令检查设置 # ifconfig hme0 plumb # 启用网卡 # ifconfig hme0 192.168.50.254 netmask 255.255.255.0 up # 第一个 IP # ifconfig hme0:1 192.168.51.254 netmask 255.255.255.0 up # 第二个 IP ## 更改 MAC 地址通常在你更改之前先停下网络接口。不要告诉我为什么你想改变 MAC 地址...... # ifconfig eth0 down # ifconfig eth0 hw ether 00:01:02:03:04:05 # Linux # ifconfig fxp0 link 00:01:02:03:04:05 # FreeBSD # ifconfig hme0 ether 00:01:02:03:04:05 # Solaris # sudo ifconfig en0 ether 00:01:02:03:04:05 # Mac OS X Tiger # sudo ifconfig en0 lladdr 00:01:02:03:04:05 # Mac OS X Leopard 对于 Windows 已经有许多工具了。像 [etherchange](http://ntsecurity.nu/toolbox/etherchange/)。或者看看 "Mac Makeup", "smac"。 ## 使用中的端口监听打开的端口： # netstat -an | grep LISTEN # lsof -i # 列出所有因特网连接(Linux) # socklist # 列出打开的 socket (Linux) # sockstat -4 # 使用 socket 的应用程序列表(FreeBSD) # netstat -anp --udp --tcp | grep LISTEN # Linux # netstat -tup # 列出活跃的连接(Linux) # netstat -tupl # 列出系统中正在监听的端口(Linux) # netstat -ano # Windows ## 防火墙检查正在运行的防火墙(只是典型配置)： ### Linux # iptables -L -n -v # 状态信息Open the iptables firewall # iptables -P INPUT ACCEPT # 打开所有 # iptables -P FORWARD ACCEPT # iptables -P OUTPUT ACCEPT # iptables -Z # 把所有链的包及字节的计数器清空 # iptables -F # 清空所有链 # iptables -X # 删除所有链 ### FreeBSD # ipfw show # 状态信息 # ipfw list 65535 # 如果显示 "65535 deny ip from any to any"，那防火墙已被禁用 # sysctl net.inet.ip.fw.enable=0 # 禁用# sysctl net.inet.ip.fw.enable=1 # 启用 ### 路由 IP 转发 ### Linux 查看然后启用 IP 转发： # cat /proc/sys/net/ipv4/ip_forward # 查看 IP 转发 0=禁用, 1=启用 # echo 1 > /proc/sys/net/ipv4/ip_forward 或者编辑 /etc/sysctl.conf： net.ipv4.ip_forward = 1 ### FreeBSD 查看并启用： # sysctl net.inet.ip.forwarding # 查看 IP 转发 0=禁用, 1=启用 # sysctl net.inet.ip.forwarding=1 # sysctl net.inet.ip.fastforwarding=1 # 专用路由器或防火墙Permanent with entry in /etc/rc.conf: gateway_enable="YES" # 如果主机是网关则设置为 YES。 ### Solaris # ndd -set /dev/ip ip_forwarding 1 # 查看 IP 转发 0=禁用, 1=启用 ### NAT - 网络地址转换 ### Linux # iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # 激活 NAT# iptables -t nat -A PREROUTING -p tcp -d 78.31.70.238 --dport 20022 -j DNAT \ --to 192.168.16.44:22 # 转发端口 20022 到内部 IP 端口(ssh)# iptables -t nat -A PREROUTING -p tcp -d 78.31.70.238 --dport 993:995 -j DNAT \ --to 192.168.16.254:993:995 # 转发 993-995 范围端口 # ip route flush cache # iptables -L -t nat # 查看 NAT 状态信息使用 -D 替换 -A 来删除端口转发。 ### FreeBSD # natd -s -m -u -dynamic -f /etc/natd.conf -n fxp0 Or edit /etc/rc.conf with: firewall_enable="YES" # 设置 YES 来启用防火墙功能firewall_type="open" # 防火墙类型(看 /etc/rc.firewall)natd_enable="YES" # 启用 natd (如果 firewall_enable == YES)。natd_interface="tun0" # 公共的网络接口或要使用的 IP 地址。natd_flags="-s -m -u -dynamic -f /etc/natd.conf" 端口转发： # cat /etc/natd.conf same_ports yes use_sockets yes unregistered_only # redirect_port tcp insideIP:2300-2399 3300-3399 # 端口范围redirect_port udp 192.168.51.103:7777 7777 ### DNS 在 unix 上，对于所有的网络接口的 DNS 条目都存储在 /etc/resolv.conf 文件中。主机域也储存在这个文件中。最小化配置如下： nameserver 78.31.70.238 search sleepyowl.net intern.lab domain sleepyowl.net 检查系统域名： # hostname -d # 等同于 dnsdomainname ### Windows 在 Windows 上，DNS 配置于每个网络接口。要显示配置的 DNS 和清空 DNS 缓存可是使用： # ipconfig /? # 显示帮助 # ipconfig /all # 显示所有信息包括 DNS # ipconfig /flushdns # 清除 DNS 缓存 ### 转发查询 Dig 是你测试 DNS 设置的好朋友。举个例子，用于测试的 DNS 服务器为 `213.133.105.2 ns.second-ns.de`。查看哪个服务器客户端接收应答(简单应答). # dig sleepyowl.net sleepyowl.net. 600 IN A 78.31.70.238 ;; SERVER: 192.168.51.254 #53(192.168.51.254) 路由器 192.168.51.254 应答了，并返回了一条 A 条目(记录)。任何条目都可查询，DNS 服务器可用 @ 来选定： # dig MX google.com # dig @127.0.0.1 NS sun.com # 测试本地服务器# dig @204.97.212.10 NS MX heise.de # 查询外部# dig AXFR @ns1.xname.org cb.vu # 查看区传送(zone transfer) 程式 host 也很强大。 # host -t MX cb.vu # 获取邮件 MX 记录# host -t NS -T sun.com # 通过 TCP 连接获取 NS 记录# host -a sleepyowl.net # 获取所有 ### 反向查询查找属于一个 IP 地址(in-addr.arpa.)的域名。可用 `dig`, `host` 和 `nslookup` 命令查询： # dig -x 78.31.70.238 # host 78.31.70.238 # nslookup 78.31.70.238 ### /etc/hosts 单个主机可以配置于文件 /etc/hosts 来代替本地正在运行的 `named` 反向域名查询。格式很简单，举个例子： 78.31.70.238 sleepyowl.net sleepyowl 对于 hosts 文件和 DNS 查询之间的优先级，可在 `/etc/nsswitch.conf` 和 `/etc/host.conf` 中配置 order 名称解析。这个文件同样存在于 Windows 上，通常在： C:\WINDOWS\SYSTEM32\DRIVERS\ETC ### DHCP ### Linux 一些发行版(SuSE)使用 dhcpcd 作为客户端。默认网络接口是 eth0。 # dhcpcd -n eth0 # 触发更新(并不总是可以工作) # dhcpcd -k eth0 # 释放并关闭租约(lease)的全部信息存储在： /var/lib/dhcpcd/dhcpcd-eth0.info ### FreeBSD FreeBSD (和 Debian) 使用 `dhclient`。要配置一个网络接口(如：bge0)运行： # dhclient bge0 租约(lease)的全部信息存储在： /var/db/dhclient.leases.bge0 使用 /etc/dhclient.conf 设置 prepend 选项或强制不同的选项： # cat /etc/dhclient.conf interface "rl0" { prepend domain-name-servers 127.0.0.1; default domain-name "sleepyowl.net"; supersede domain-name "sleepyowl.net"; } ### Windows dhcp 租约(lease)使用 `ipconfig` 来更新： # ipconfig /renew # 更新所有适配器# ipconfig /renew LAN # 更新名叫 "LAN" 的适配器# ipconfig /release WLAN # 释放名叫 "WLAN" 的适配器是的，这是一个使用简单名称重新命名你的适配器的好主意！ ### 通信量分析(Traffic analysis) [Bmon](http://people.suug.ch/~tgr/bmon/) 是一个小的流量监控控制台，而且可以显示不同的网络接口的流量。 ### 用 tcpdump 嗅探(sniff) # tcpdump -nl -i bge0 not port ssh and src \(192.168.16.121 or 192.168.16.54\) # tcpdump -l > dump && tail -f dump # 缓冲输出# tcpdump -i rl0 -w traffic.rl0 # 把数据报文写入二进制文件 # tcpdump -r traffic.rl0 # 从文件读取数据报文(也可以使用 ethereal) # tcpdump port 80 # 两个经典命令# tcpdump host google.com # tcpdump -i eth0 -X port \(110 or 143\) # 查看端口 110(POP) 或 143(IMAP)的数据报文 # tcpdump -n -i eth0 icmp # 只捕获 ping # tcpdump -i eth0 -s 0 -A port 80 | grep GET # -s 0 为全部包, -A 为 ASCII 另一些重要选项： - `-A` 显示每个包清晰文本(除了报头) - `-X` 显示包的 ASCII 文本 - `-l` 使标准输出变为缓冲行形式 - `-D` 显示所有可用网络接口对于 Windows 可以使用 [www.winpcap.org](http://www.winpcap.org/)。使用 windump -D 来列出网络接口。 ## 用 nmap 扫描 [Nmap](http://insecure.org/nmap/) 是一个用于 OS 探测的端口扫描工具，她通常在许多发行版上有安装，并且同样可用于 Windows。如果你不扫描你的服务器，骇客们会为你做这些... # nmap cb.vu # 扫描主机上所有保留的 TCP 端口 # nmap -sP 192.168.16.0/24 # 找出在 0/24 上主机所使用的 IP # nmap -sS -sV -O cb.vu # 做秘密 SYN 扫描来探测系统和系统服务的版本信息 PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 3.8.1p1 FreeBSD-20060930 (protocol 2.0) 25/tcp open smtp Sendmail smtpd 8.13.6/8.13.6 80/tcp open http Apache httpd 2.0.59 ((FreeBSD) DAV/2 PHP/4. [...] Running: FreeBSD 5.X Uptime 33.120 days (since Fri Aug 31 11:41:04 2007) 其他非标准但好用的工具有 `hping` (www.hping.org)，她是一个 IP 分组组装/分析器，和 `fping` (fping.sourceforge.net)。fping 可以在一个循环队列(round-robin fashion)中扫描多种主机。 ## 流量控制(QoS) 流量控制管理着一个网络的队列、流量监控、调度以及其他流量设置(traffic parameters)。以下简单实用的示例使用 Linux 和 FreeBSD 的能力来更好的利用带宽。 ### 上传限制 DSL 或有线调制解调器有一个很长的列队来提高上传吞吐量(upload throughput)。然而用一个快速的设备(如以太网)填充这个列队将大大减少交互性。这就是限制设备上传速度有用的原因，以匹配调制解调器的实际能力，这可以有效提高交互性。设置大约为 modem 最大速度的 90%。 #### Linux 给 512K 上传速度的 modem。 # tc qdisc add dev eth0 root tbf rate 480kbit latency 50ms burst 1540 # tc -s qdisc ls dev eth0 # 状态 # tc qdisc del dev eth0 root # 删除队列 # tc qdisc change dev eth0 root tbf rate 220kbit latency 50ms burst 1540 #### FreeBSD FreeBSD 使用 `dummynet` 来控制带宽，其配置工具为 ipfw。Pipe 用来设置限制带宽的单位[K|M]{比特/秒|字节/秒}，0 意味着没有限制。使用同样的 pipe 数字可重新配置它。举个例子，限制上传带宽为 500K。 # kldload dummynet # 如有必要加载这个模块# ipfw pipe 1 config bw 500Kbit/s # 创建一个带宽限制的 pipe# ipfw add pipe 1 ip from me to any # 转移所有上传进入这个 pipe ### 服务质量 (Quality of service) #### Linux 使用 `tc` 的优先级队列来优化 VoIP。在 [voip-info.org](http://www.voip-info.org/wiki-QoS+Linux+with+HFS) 或 [www.howtoforge.com](http://www.howtoforge.com/voip_qos_traffic_shaping_iproute2_asterisk) 上可以看到完整的例子。假设 VoIP 使用 UDP 端口 10000:11024 并且使用 eth0 设备(也可为 ppp0 或 so)。下列命令定义了三个队列，并且用 QoS `0x1e`(设置所有位) 强制 VOIP 流量到队列 1。默认流量流入队列 3，Qos _Minimize-Delay_ 流入队列 2。 # tc qdisc add dev eth0 root handle 1: prio priomap 2 2 2 2 2 2 2 2 1 1 1 1 1 1 1 0 # tc qdisc add dev eth0 parent 1:1 handle 10: sfq # tc qdisc add dev eth0 parent 1:2 handle 20: sfq # tc qdisc add dev eth0 parent 1:3 handle 30: sfq # tc filter add dev eth0 protocol ip parent 1: prio 1 u32 \ match ip dport 10000 0x3C00 flowid 1:1 # 使用服务端端口范围 match ip dst 123.23.0.1 flowid 1:1 # 或/和使用服务器 IP 状态和移除： # tc -s qdisc ls dev eth0 # queue status# tc qdisc del dev eth0 root # delete all QoS #### 计算端口范围和掩码 (mask) 用你所计算的端口掩码来定义 tc 过滤器的端口范围。查询 2^N 端口范围结尾，推断范围并转换成十六进制。这就是你的掩码 (mask)。例如 10000 -> 11024，它的范围是 1024。 # 2^13 (8192) < 10000 < 2^14 (16384) # 结尾是 2^14 = 16384# echo "obase=16;(2^14)-1024" | bc # 掩码是 0x3C00 #### FreeBSD 假设最大连接带宽为 500Kbit/s，我们使用优先级 100:10:1 定义 3 个队列给 VoIP:ssh:剩余所有。 # ipfw pipe 1 config bw 500Kbit/s # ipfw queue 1 config pipe 1 weight 100 # ipfw queue 2 config pipe 1 weight 10 # ipfw queue 3 config pipe 1 weight 1 # ipfw add 10 queue 1 proto udp dst-port 10000-11024 # ipfw add 11 queue 1 proto udp dst-ip 123.23.0.1 # 或/和使用服务器 IP# ipfw add 20 queue 2 dsp-port ssh # ipfw add 30 queue 3 from me to any # 剩余所有状态和移除： # ipfw list # 规则信息 # ipfw pipe list # 管道信息 # ipfw flush # 删除除默认外所有规则 ### NIS 调试一些可工作在已配置好的 NIS 客户端上的命令： # ypwhich # 获取提供 NIS 服务的服务器名 # domainname # 已配置的 NIS 域名 # ypcat group # 列印 NIS 映射 group # cd /var/yp && make # 重建 yp 数据库 ypbind 正在运行吗？ # ps auxww | grep ypbind /usr/sbin/ypbind -s -m -S servername1,servername2 # FreeBSD/usr/sbin/ypbind # Linux# yppoll passwd.byname Map passwd.byname has order number 1190635041. Mon Sep 24 13:57:21 2007 The master server is servername.domain.net. ### Linux # cat /etc/yp.conf ypserver servername domain domain.net broadcast