闭关提要(概览)
寒门散修韩立苦读《Station X 网络灵篇》与 IANA、Red Hat诸卷,悟出 Linux 网络管理九式:起于 ip、nmcli、systemd-networkd 的「经脉梳理」,继以 ss/netstat、tcpdump 的「灵识窥探」,再辅 iptables/nftables、tc、ethtool、netplan 的「真元操控」。下文按修仙笔记体例:识脉 → 结阵 → 观气 → 御敌 → 治流 → 调骨 → 写阵,每式配实战咒语、风险点与加固诀,助诸位在渗透、运维两界皆能游刃有余。
🌱 识脉:iproute2 取代 ifconfig
ip 命令来自 iproute2 套件,已接棒早年 ifconfig/route,能一口气管理地址、路由、隧道、策略路由与链路属性。
ip addr show # 查看/管理 IPv4·IPv6
ip link set eth0 up # 启动网卡
ip route add 10.0.0.0/24 via 192.168.1.1
修炼心法:凡批量脚本应弃用 ifconfig,以免在 RHEL 7+ 或容器场景中“灵力失效”。
🏗️ 结阵:NetworkManager & nmcli
在桌面与新发行版,网卡由 NetworkManager 驱动;CLI 工具 nmcli 可 create/modify/activate 连接。
nmcli device status
nmcli con add type ethernet ifname eth1 ip4 10.10.10.2/24 gw4 10.10.10.1
nmcli con up eth1
nmcli dev wifi hotspot 一行即可开灵兽「便携 AP」,便于渗透时快速搭建横跳中继。
🔄 观气:systemd-networkd
无 GUI 服务器或容器常改用 systemd-networkd;其 .network、.netdev 文件位于 /etc/systemd/network/,启动后自动装配链路。
# 10-ether0.network
[Match]
Name=eth0
[Network]
Address=10.0.0.5/24
Gateway=10.0.0.1
DNS=8.8.8.8
systemctl enable --now systemd-networkd systemd-resolved
与 netplan (Ubuntu) 一样,YAML/INI 先落盘→后台服务解析应用。
👁️ 灵识窥探:ss & tcpdump
| 工具 | 功能 | 快速咒语 |
|---|---|---|
| ss | 现代套接字查看,替代 netstat;速度更快 | ss -tulpan |
| tcpdump | 抓包神器,BPF 过滤高效 | tcpdump -i eth0 port 443 -w tls.pcap |
Wireshark 解析 pcap 后可用 tcp.stream eq 0 对话追踪,三次握手/四次挥手一览无余。
🛡️ 御敌:iptables ✦ nftables
- iptables 为传统 netfilter 前端;自 Linux 5.x 推荐 nftables,规则更简、统一 IPv4/6、高性能。
- 过渡期可用
iptables-translate把旧咒语转为 nft 语法。
# nftables 精简 NAT
table ip nat {
chain prerouting { type nat hook prerouting priority 0; }
chain postrouting { type nat hook postrouting priority 100;
oifname "eth0" masquerade }
}
🌊 治流:tc —— 流量整形与 QoS
tc qdisc add dev eth0 root tbf rate 2mbit burst 32kbit latency 400ms
给渗透靶机加 TBF(令牌桶)限速,仿真低带宽环境;Red Hat 文档详解 qdisc / filter / class 架构。
⚙️ 调骨:ethtool & 物理层
ethtool -i eth0看驱动与固件;-s eth0 speed 100 duplex full调链路速率。- 可用
-K关闭 GSO/TSO,排查高延迟。
📜 写阵:Netplan YAML(Ubuntu 18+)
network:
version: 2
renderer: networkd
ethernets:
ens3:
dhcp4: no
addresses: [192.168.56.50/24]
gateway4: 192.168.56.1
nameservers:
addresses: [1.1.1.1,8.8.8.8]
netplan apply 即刻生效,且支持变更回滚。
🛡️ 护宗锦囊(安全基线)
- 禁 IP 转发:
sysctl net.ipv4.ip_forward=0,除非做路由。 - 最小开放端口:结合
ss -ltn与firewalldzone 白名单。 - 日志审计:
iptables -j LOG/ nftlog prefix "DROP",配合ausearch -m NETFILTER_CFG. - 密钥旋转:定期刷新
/etc/ssh/ssh_host_*,阻断 MITM 旧钥。
📚 卷宗索引(推荐继续深读)
- phoenixNAP「ip command Cheat Sheet」(phoenixNAP | Global IT Services)
- Red Hat RHEL 7 Networking Guide – nmcli 章节(红帽文档)
- Akamai/Linode TechDocs – systemd-networkd 配置(Akamai TechDocs)
- StackOverflow – ss 与 netstat 比较(Stack Overflow)
- TuxCare 博客 – iptables vs nftables(TuxCare)
- HackerTarget – tcpdump 22 个实战示例(HackerTarget.com)
- Red Hat RHEL 8 文档 – Linux traffic control (tc)(红帽文档)
- TheGeekStuff – ethtool 9 大用例(极客资讯)
- Netplan 官方示例集(Ubuntu People)
- Red Hat 博客 – ifconfig & route 已弃用说明(The world’s open source leader)
- IANA Service Name & Port Registry for UID/GID 参考(Medium)
- Tecmint & GeeksforGeeks 综合命令教本(people.freedesktop.org, TuxCare)
韩立碎语:网络之术如经络,柔中带刚。诸位若能掌握本篇九式,既可在攻防演武时穿梭无碍,亦能在日常运维中疏通百脉,使伺服器行气顺畅,灵台清明。祝早日金丹大成!