Linux下网络配置问答

引言：Linux凭借其开源、安全性高以及强大的网络功能，在服务器领域占有很大份额。本文介绍了在Linux系统中如何配置网络，使其更加高效安全的工作。

请问如何在Linux系统中，开启“22”这个网络端口？

答：“22”网络端口是系统的ssh服务使用的，所以，只要启动运行ssh服务，就能达到开启目的了，在开启该系统服务时，只要执行命令“/etc/init.d/sshd start”即 可。 之 后，执行“netstat -antulp | grep ssh”命令查看相关信息，就能知道目标端口有没有正常打开了。

Linux系统一般会通过开放网络端口和服务，来实现网络连接。但是为了降低Linux系统的安全隐患，管理员往往会将那些不需要的或无效的系统服务和网络端口关闭掉，以减少黑客攻击后门。请问如何关闭Linux系统中的无关服务？

答：因为所有系统服务的运行状态都受“/etc/inetd.conf”文件控制，只要打开该文件，检查其中有哪些系统服务不需要，通过在对应服务前面添加“#”的方法，取消并反安装目标服务，再通过“sighup”命令对“/etc/inetd.conf”文件进行升级，让上述操作正式生效。一般来说，fingerd、rexec、rlogin、rshd等服务不常使用，我们应该将其取消安装。

为了方便管理网络，我们常常会为局域网主机分配动态IP地址，请问在Ubuntu系统环境下，如何为系统主机分配动态IP地址？

答：很简单！只要执行“dhclient eth0”命令，就能强制eth0以太网端口以DHCP方式获取动态IP地址了。

当在Ubuntu系统中意外遭遇到网络故障时，该如何进行排查解决呢？

答：首先使用ping命令测试局域网网关地址的连通性，要是网关地址可以ping通，那就意味着系统主机到局域网网关之间的网络连接状态是正常的，要是发现这个环节有问题，说明系统主机到局域网网关之间的物理连接可能存在短路或断路现象。继续使用ping命令测试Internet网络中的特定网站域名，比方说ping测试www.baidu.com网站地址，要是无法ping通，那就表示外网的路由存在问题，或者是DNS服务器工作状态有问题。

其次通过“more /etc/resolv.conf”命令，来检查系统主机的DNS服务器地址是否配置正确，要是发现其配置不正确，应该及时重新配置DNS服务器地址。

第三通过“traceroute -n ip”命令来追踪路由状态，以便弄清楚问题发生在哪个环节。如果该命令很长时间没有响应，那多半是路由有问题。总之，经过上面几个步骤的检查，就能排查解决好网络故障了。

笔者打算将Ubuntu系统的默认网关地址修改为10.176.0.1，请问如何进行这项配置操作？

答：在Ubuntu系统环境下，我们可以采用三种方法配置系统主机默认网关地址。

首先可以使用ip命令设置默认网关地址，只要执行“ip route add default gw 10.176.0.1”命令即可。

其次使用route命令来定义默认网关地址，在进行这项操作时，只要执行“route add default gw 10.176.0.1”命令即可。

第三使用视图接口方式定义默认网关地址。逐一点击“系统”、“首选项”、“网络连接”菜单命令，弹出网络连接设置框，在这里如果系统主机使用的是有线连接，那么只要将对应的网卡设备选中，之后按下“编辑”按钮，在弹出的编辑对话框中，点击“IPv4设置”标签，在对应标签页面的“地址”位置处，以修改或添加方式输入合适的网关地址即可。

要提醒大家的是，要是系统主机上同时存在两张网卡，并且它们都连接到相同的网关设备上时，我们只要在一张网卡设备上配置默认网关地址就可以了。

在Linux系统下安装配置好weblogic后，启动运行“startWebLoigc.sh”时，系统返回无法获得本机地址的提示。通过上网搜索了解到，这种故障需要在Linux系统中的“/etc/hosts”文件里，配置静态IP地址和域名。可是我不知道Linux系统的机器名称和域名，我该怎样在“/etc/hosts”文件里配置正确的IP地址、主机名称和域名呢？

答：首先打开Linux系统的终端程序界面，输入“ifconfig -a”命令，就能查看到本地主机使用的IP地址 了，假设这里使用的IP地址为“10.176.12.10”。

继续使用“hostname”命令，查询得到本地系统的主机名称，假设该名称为“111”。

接着使用“nslookup 10.176.12.10”命令，查询得到本地系统使用的域名信息，假设该信息为“xxx.com”。有了这些配置信息后，就能在“/etc/hosts”文件里配置网络参数了。只要打开“/etc/hosts”文件，在文件后面添加上“10.176.12.10 111.xxx.com 111”这一行内容即可。

请问在Ubuntu系统环境下，怎样查询并设置各种无线网络参数？

答 ： 通 过“iwlist scanning”命令，就能查询到附近是否存在可用的无线网络了。当确认存在无线网络时，可以使用“iwlist”命令，来获取无线网络的各项参数，包括无线网络的频率、位率、通道、加密键方式等参数。使用“iwconfig”命令能配置合适的无线网络，比方说，执行“iwconfig wlan0 rate 54M”命令，可以设定无线网络的传输速度为54M。

值得注意的是，要是Ubuntu系统主机中同时存在无线网卡和有线网卡，并且它们使用的是相同工作子网的IP地址和网关，同时没有设置其他控制策略，那么在进行无线上网时，Ubuntu系统主机将优先使用有线网卡建立上网连接，这个时候无线网卡不能同时工作。我们只有使用“ifconfig”命令停用有线上网连接后，无线网卡才能建立无线上网连接。

大家在Linux系统中启动网卡设备，经常会遭遇启动失败的现象，或者是网卡设备无法被激活的现象。那么当我们不幸遇到这类问题时，应该如何解决呢？

答：这时可以依次尝 试 执 行“chkconfig Network Manager on”、“ chkconfig NetworkManager off”、“service network start”命令，或许就能重新激活网卡设备。

在Linux系统中安装网卡设备的驱动程序之前，常常需要弄清楚网卡设备的型号以及机器位数，以便有针对性地从网上下载设备驱动程序，确保网卡设备始终能高效工作。请问如何查看Linux系统下的网卡型号和机器位数？

答：很简单！只要使用“lspci |grep -i eth”命令，就能查看出当前网卡设备的型号信息了。例如，当上述命令返回“06:00.0 Ethernet controller: Realtek Semiconductor Co., Ltd.RTL8111/8168B PCI Express Gigabit Ethernet controller (rev 06)”结果信息时，那就表明当前网卡的型号为“RTL8111/8168B”。使用“uname -a”命令，可以查看到网卡驱动程序位数究竟需要32位还是64位，如果返回的结果信息中包含“i386”、“i686”等字眼，那就表示机器位数是32位，要是包含“x86_64”字眼，那就表示是64位的机器。

在Ubuntu9.10系统环境下，怎样更换新的网卡设备？

答：在该系统环境下，要是操作系统是新安装的，那么安装过程能自动检测到主机中的网卡设备，之后会自动为其加载正确的设备驱动程序和基本网络配置。

倘若在系统运行过程中，更新使用新的网卡设备，不妨通过启动运行自动硬件检测功能来为网卡设备加载合适的驱动程序。

倘若无法自动运行硬件检测功能，还能采取手工方式为网卡设备加载合适的驱动程序。在手工加载网卡设备驱动程序时，可以使用gedit命令，对系统的“/etc/modprobe.conf”文件进行编辑，在这里设置好需要使用的网卡驱动程序即可。当然，在进行该操作时，我们一定要了解清楚网卡设备使用的内核驱动模块名称是什么，比方说，对于realtek型号的新网卡设备来说，它的内核驱动模块名称可能为“8139too.o”，那么我们只要在“/etc/modprobe.conf” 文件中，手工添加一行“alias eth0 8139too”即可。

为了调试Web应用程序，或者测试网站服务器的试验性功能，管理人员有时会想要嗅探HTTP流量，那么在Linux系统环境中该怎样进行HTTP流量嗅探操作呢？

答：大家可以请“httpry”这款专业的HTTP数据包嗅探工具帮忙，该工具不但能捕获网络上的实时HTTP数据包，而且能以一种用户方便阅读的格式，显示HTTP协议层面的内容。

将“httpry”工具成功安装到Linux系统中后，可以执行“sudo httpry -i eth0”命令，对特定网络接口进行侦听，同时实时显示捕获的HTTP请求/回应。可是，在实际侦听的过程中，因为大量数据包频繁进出，大家将会发现快速滚动的输出结果。所以，我们应该存储已捕获的HTTP数据包以便离线分析。这时，大家不妨使用“-b”选项，将原始的HTTP数据包存储到二进制文件中，再使用httpry回放HTTP数据包，或者使用“-o”选项，将“httpry”输出结果存储到文本文件中。

例如，要将“httpry”工具的输出结果存储到文本文件“aaa.txt”中时，只要执行“sudo httpry -i eth0 -o aaa.txt”字符串命令即可。

请问在Ubuntu系统环境下，怎样将eth0以太网接口工作模式设置为混杂模式？

答：很简单！只要执行“ip link set eth0 promisc on”命令，就能将eth0以太网接口工作模式设置为混杂模式。倘若想取消特定接口的混杂模式时，可以输入“ip link set eth0 promisc off”命令。

当然，我们也可以使用ifconfig命令定义网卡设备的工作模式，例如执行“ifconfig eth0 promisc mode on”命令，就能将eth0以太网接口工作模式设置为混杂模式，执行“ifconfig eth0 promisc mode off”命令，就能取消eth0以太网接口的混杂模式。

值得注意的是，要想让Ubuntu系统的网络配置立即生效，可以使用“/etc/init.d/networking restart”命令，强制重新启动所有的网络接口，这样系统就能重新读取网络接口的配置文件，确保网络设置立即生效。

ping命令是系统管理员用来测试主机物理链路是否通畅的一个重要程序，该命令向网络中发送的测试数据包没有经过加密处理，很容易被黑客程序中途拦截，而黑客会利用拦截下来的信息，继续对特定主机进行恶意攻击，所以我们必须要限制普通用户自由使用ping命令。请问如何做到这一点？

答：只要在命令行状态下，输 入“echo 1 /proc/sys/net/ipv4/icmp_echo_igore_all”命令并回车，这样Linux系统日后就不会对icmp数据包进行响应，那么ping命令自然就无法正常运行了。如果日后想恢复运行ping命令时，只要在命令行状态下执行“echo 0 /proc/sys/net/ipv4/icmp_echo_igore_all”命令即可。

大家知道，在大多数情况下，每个网卡只会分配一个IP地址。但是在实际工作中，为了实现某个特殊的应用，我们常常需要在系统中增加虚拟网卡，以达到一卡多址目的。请问在Linux系统环境下，如何增加虚拟网卡设备，并配置好它的地址参数呢？

答：一般来说，网卡设备的配置文件都位于“/etc/network/interfaces”文件中，只要使用“sudo vim /etc/network/interfaces”命令修改该文件，并在文件中增加如下内容再进行保存操作即可：

完成保存操作后，大家还需要执行“sudo /etc/init.d/networking restart”命令，重启网卡设备才能让设置正式生效。

上面的代码表示在eth0网卡上创建一个叫eth0:0的虚拟网卡，将它的IP地址配 置 为“192.168.15.110”，将它的网络掩码地址配置为“255.255.255.0”。

当发现某个陌生用户在偷偷登录连接Linux系统时，该如何阻止它与Linux系统继续建立连接？

答：首先要打开“/etc/passwd”或“/etc/gshadow”文件，从中找到目标用户账号，在对应账号的密码前任意添加一个或几个字符，以锁定目标用户账号。当发现恶意用户已经与Linux系统建立了连接时，需要立即断开Linux系统与网络的连接，防止其对系统进行更严重的破坏，之后将对应该用户账号的所有进程统统杀死，同时将陌生计算机的IP地址添加到“hosts.deny”文件中，限制其继续登录Linux系统。

在Linux系统中，如何查看系统的网络连接状态？

答 ：使用“netstat -t”命令，可以查看TCP协议的网络连接情况，使用“netstat-u”命令，可以查看UDP协议的网络连接状态，使用“netstat -a”命令，可以查看到所有的服务端口连接状态。当发现Linux系统开启了陌生的网络端口，想进一步了解该端口使用了什么程序时，可以执行“lsof -i ：xxx”命令（其中的“xxx”为陌生端口号码），例如当命令返回了“sshd 1990 root 3u IPv4 4836 TCP *：xxx （LISTEN）ychsyf.cn”之类的结果信息时，就表明陌生端口“xxx”是属于sshd程序的。

Linux系统日志文件中记录了用户的一切操作痕迹，很多黑客为了清除系统攻击痕迹，往往会想尽一切办法访问修改系统日志文件，请问如何才能保护该系统日志文件的安全？

答：可以采取多种方法保护日志访问安全：首先通过合适设置，只允许root用户账号访问系统日志文件。其次将不再使用的xinetd服务停用掉。第三启用系统内核防火墙功能，禁止系统主机或者网络访问系统的UDP 514端口。第四以非root方式登录Ubuntu系统。

黑客攻击Linux系统前，往往要进行端口扫描操作，要是能在第一时间发现和阻止黑客的端口扫描行为，那么就能有效减少入侵事件的发生率。那么我们该如何才能做到这一点，让黑客入侵消灭在萌芽状态呢？

答：可以使用Abacus Port Sentry之类的专业工具，来监视Linux系统的网络连接接口并且与防火墙交互操作，从而实现关闭端口扫瞄攻击的目的。当发现端口扫瞄行为存在时，目标工具就能迅速阻止它继续执行。不过要是配置不当，它也可能允许敌意的外部者在本地系统中安装拒绝服务攻击。正确地使用目标工具，完全可以有效地预防对端口大量并行扫瞄，同时能阻止所有这样的恶意入侵行为。

在Linux系统下怎样调整10/100M自适应网卡工作模式参数？

答 ： 对 于 类 似10/100M/1000M这样的自适应网卡设备，在配置它们的网络参数时，大家很少会考虑到它的工作模式，不过在特殊场合下，大家必须为它配置正确的工作模式，这样往往能够有效提高网络连接效率。在Linux系统中，大家可以巧妙使用系统内置的工具mii-tool，来对网卡工作模式进行配置操作。在正式配置之前，先使用“miitool -v”命令查看网卡是否属于自适应设备，以及网卡当前的工作模式是什么。当确认需要调整网卡工作模式时，使 用“mii-tool -F media[interface]”命令进行即时调整，其中“media”表示可选的模式，主要包括100baseTx-F D、100baseTx-H D、10baseT-FD、10baseT-HD等，Interface表示所选择的网卡设备，比方说eth0、eth1等，在缺省状态该参数为eth0。如果要将网卡设备eth0工作模式配置成10M半双工模式时，只要输入“#mii-tool-F 10baseT-HD eth0”命令即可；如果要将网卡设备的自适应工作模式恢复到以前状态时，只要输入“#mii-tool-r eth0”命令即可。

此外，还可以使用“ethtool”命令来修改网卡工作模式。例如，要将网卡“eth0”配置为100M全双工、自动协商状态停用时，可以执行“ethtool -s eth0 autoneg off speed 100 duplex full”命令。值得注意的是，当网卡工作模式调整好后，要是Linux系统重新启动好，就会自动恢复为原样了，所以大家应该立即存储好已经调整过的配置参数。要做到这一点，大家可以直接编辑文件“/etc/sysconfig/networkscripts/ifcfg-eth0”， 在 文件末尾输入“ETHTOOL_OPTS="speed 100 duplex full autoneg off"”。

笔者近日尝试对Ubuntu系统执行升级操作后，发现系统的网络连接图标突然消失不见了，请问这该如何恢复？

答：可以依次执行“sudo service network-manager stop”、“sudo rm /var/lib/NetworkManager/NetworkManager.state”、“sudo service networkmanager start” 命 令，再执 行“sudo gedit /etc/NetworkManager/nmsystem-settings.conf” 命令，将其中的“false”调整为“true”，最后执行“sudo service network-manager restart”命令，或许就能让消失不见的网络连接图标恢复正常显示状态了。病毒攻击，请问怎样预防Linux下的网络病毒？

答：首先尽量不要使用root权限账号登录。其次要在Linux系统中安装防毒软件，同时定期升级病毒代码库。第三不要在重要的Linux服务器系统上运行一些陌生的可执行程序或脚本。第四留心系统安全公告，及时更新安装漏洞补丁程序。第五不能允许普通用户随便安装来历不明的各种设备和驱动程序。第六对于与外网相连的Linux服务器系统来说，要定期扫描测试系统是否存在Linux病毒，以及是否存在蠕虫和木马程序。第七使用防火墙工具增强系统安全防范能力，比方说，使用tcp wrapper工具来增强Linux系统运行安全性。

Linux系统和Windows系统相比，遭遇网络病毒攻击的可能性仍然存在，尽管这种类型的网络病毒还没有开始泛滥，不过对此如果毫无防范的话，一旦发生Linux病毒暴发现象，就很容易引起严重的后果。为了保护Linux系统免受网络

请问怎样缩短与proftpd服务器的连接时间？

答：可以打开Linux系统的“proftpd.conf”文件，在其中 加 入“UseReverseDNS”、“offdentLookups off”这两行内容，这样就能避免服务器对DNS服务器进行反查，同时避免对用户端进行身份确认，从而有效节约了连接时间。