常用的linux操作指令 - 网络及端口操作
查看防火墙是否运行
firewall-cmd --state
关闭指定端口
firewall-cmd --zone=public --remove-port=8080/tcp --permanent
防火墙端口开放
firewall-cmd --zone=public --add-port=端口/tcp --permanent
iptables -A INPUT -p tcp -m tcp --dport 要开放的端口 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 要开放的端口 -j ACCEPT
重启防火墙
firewall-cmd --reload
# 永久保存
service iptables save
service iptables restart
查看防火墙开放端口列表
firewall-cmd --zone=public --list-ports
查看规则
iptables --list-rules
端口测试
telnet ip 端口
查看供外网访问端口
netstat -nltp
netstat -tanlp
输出每个ip的连接数,以及总的各个状态的连接数
netstat -n | awk '/^tcp/ {n=split($(NF-1),array,":");if(n<=2)++S[array[(1)]];else++S[array[(4)]];++s[$NF];++N} END {for(a in S){printf("%-20s %s\n", a, S[a]);++I}printf("%-20s %s\n","TOTAL_IP",I);for(a in s) printf("%-20s %s\n",a, s[a]);printf("%-20s %s\n","TOTAL_LINK",N);}'
统计所有连接状态,
- CLOSED:无连接是活动的或正在进行
- LISTEN:服务器在等待进入呼叫
- SYN_RECV:一个连接请求已经到达,等待确认
- SYN_SENT:应用已经开始,打开一个连接
- ESTABLISHED:正常数据传输状态
- FIN_WAIT1:应用说它已经完成
- FIN_WAIT2:另一边已同意释放
- ITMED_WAIT:等待所有分组死掉
- CLOSING:两边同时尝试关闭
- TIME_WAIT:主动关闭连接一端还没有等到另一端反馈期间的状态
- LAST_ACK:等待所有分组死掉
netstat -n | awk '/^tcp/ {++state[$NF]} END {for(key in state) print key,"\t",state[key]}'
查找较多time_wait连接
netstat -n|grep TIME_WAIT|awk '{print $5}'|sort|uniq -c|sort -rn|head -n20=
查看所有打开网络连接的端口
ss -tanl
禁ping
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
如果端口开放后不生效
- 1.如果是云服务器保证安全组中的端口开放
- 2.保证后开放端口在reject-with icmp-host-prohibited规则之前
查看所有端口对应的进程
lsof -i
# 查看指定端口进程
lsof -i:端口号
探测出网端口
# 查询指定端口是否打开
for i in {21,22,23,25,53,80,88,110,137,138,139,123,143,389,443,445,161,1521,3306,3389,6379,7001,7002,8000,8001,8080,8090,9000,9090,11211};do timeout 0.5 bash -c "echo >/dev/tcp/baidu.com/$i" && echo "$i ************************open************************" || echo "$i closed";done
# 查看所有出网端口
netstat -ntlp |grep java
查看什么进程使用了指定端口
lsof -i:por
查看总连接数
netstat -n | awk '/^tcp/ {n=split($(NF-1),array,":");if(n<=2)++S[array[(1)]];else++S[array[(4)]];++s[$NF];++N} END {for(a in S){printf("%-20s %s\n", a, S[a]);++I}printf("%-20s %s\n","TOTAL_IP",I);for(a in s) printf("%-20s %s\n", a, s[a]);printf("%-20s %s\n","TOTAL_LINK",N);}'
获取本机ip地址
/sbin/ifconfig -a|grep inet|grep -v 127.0.0.1|grep -v inet6|awk '{print $2}'|tr -d "addr:"
封停一个ip
iptables -I INPUT -s ***.***.***.*** -j DROP
解封一个IP
iptables -D INPUT -s ***.***.***.*** -j DROP
参数-I是表示Insert(添加),-D表示Delete(删除)。后面跟的是规则,INPUT表示入站,..***.***表示要封停的IP,DROP表示放弃连接
给某一个endpoint发送TCP请求,就将data的内容发送到对端
nc 192.168.0.11 8000 < data.txt
nc可以当做服务器,监听某个端口号,把某一次请求的内容存储到received_data里
nc -l 8000 > received_data
监听多次
nc -lk 8000
dump出本机12301端口的tcp包
tcpdump -i em1 tcp port 12301 -s 1500 -w abc.pcap
服务禁ping和开启
# 禁止ping
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
# 开启
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
# 禁止别人ping本地,本机可以ping出
iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP
iptables -D INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP
跟踪网络路由路径
# traceroute默认使用udp方式, 如果是-I则改成icmp方式
traceroute -I www.163.com
# 从ttl第3跳跟踪
traceroute -M 3 www.163.com
# 加上端口跟踪
traceroute -p 8080 192.168.10.11ss
# 显示本地打开的所有端口
ss -l
# 显示每个进程具体打开的socket
ss -pl
# 显示所有tcp socket
ss -t -a
# 显示所有的UDP Socekt
ss -u -a
# 显示所有已建立的SMTP连接
ss -o state established '( dport = :smtp or sport = :smtp )'
# 显示所有已建立的HTTP连接
ss -o state established '( dport = :http or sport = :http )'
#找出所有连接X服务器的进程
ss -x src /tmp/.X11-unix/*
#列出当前socket统计信息
ss -s
netstat 是遍历/proc 下面每个PID目录,ss 直接读/proc/net 下面的统计信息。所以ss 执行的时候消耗资源以及消耗的时间都比netstat 少很多
查看网络吞吐状态
sar -n DEV 1
sar -n TCP,ETCP 1
sar 命令在这里可以查看网络设备的吞吐率。在排查性能问题时,可以通过网络设备的吞吐量,判断网络设备是否已经饱和。
sar命令在这里用于查看TCP连接状态,其中包括:
- active/s:每秒本地发起的TCP连接数,既通过connect调用创建的TCP连接;
- passive/s:每秒远程发起的TCP连接数,即通过accept调用创建的TCP连接;
- retrans/s:每秒TCP重传数量;
TCP连接数可以用来判断性能问题是否由于建立了过多的连接,进一步可以判断是主动发起的连接,还是被动接受的连接。TCP重传可能是因为网络环境恶劣,或者服务器压力过大导致丢包
给定时间监控CPU使用率, 内存使用, 虚拟内存交互, IO读写
vmstat 2 1
2表示每2秒采集一次状态信息, 1表示只采集一次(忽略既是一直采集)
结果
r | b | swpd | free | buff | cache | si | so | bi | bo | in | cs | us | sy | id | wa |
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
1 | 0 | 0 | 3499840 | 315836 | 3819660 | 0 | 0 | 0 | 1 | 2 | 0 | 0 | 0 | 100 | 0 |
0 | 0 | 0 | 3499584 | 315836 | 3819660 | 0 | 0 | 0 | 0 | 88 | 158 | 0 | 0 | 100 | 0 |
0 | 0 | 0 | 3499708 | 315836 | 3819660 | 0 | 0 | 0 | 2 | 86 | 162 | 0 | 0 | 100 | 0 |
0 | 0 | 0 | 3499708 | 315836 | 3819660 | 0 | 0 | 0 | 10 | 81 | 151 | 0 | 0 | 100 | 0 |
1 | 0 | 0 | 3499732 | 315836 | 3819660 | 0 | 0 | 0 | 2 | 83 | 154 | 0 | 0 | 100 | 0 |
- r 表示运行队列(就是说多少个进程真的分配到CPU),我测试的服务器目前CPU比较空闲,没什么程序在跑,当这个值超过了CPU数目,就会出现CPU瓶颈了。这个也和top的负载有关系,一般负载超过了3就比较高,超过了5就高,超过了10就不正常了,服务器的状态很危险。top的负载类似每秒的运行队列。如果运行队列过大,表示你的CPU很繁忙,一般会造成CPU使用率很高。
- b 表示阻塞的进程,这个不多说,进程阻塞,大家懂的。
- swpd 虚拟内存已使用的大小,如果大于0,表示你的机器物理内存不足了,如果不是程序内存泄露的原因,那么你该升级内存了或者把耗内存的任务迁移到其他机器。
- free 空闲的物理内存的大小,我的机器内存总共8G,剩余3415M。
- buff Linux/Unix系统是用来存储,目录里面有什么内容,权限等的缓存,我本机大概占用300多M
- cache cache直接用来记忆我们打开的文件,给文件做缓冲,我本机大概占用300多M(这里是Linux/Unix的聪明之处,把空闲的物理内存的一部分拿来做文件和目录的缓存,是为了提高 程序执行的性能,当程序使用内存时,buffer/cached会很快地被使用。)
- si 每秒从磁盘读入虚拟内存的大小,如果这个值大于0,表示物理内存不够用或者内存泄露了,要查找耗内存进程解决掉。我的机器内存充裕,一切正常。
- so 每秒虚拟内存写入磁盘的大小,如果这个值大于0,同上。
- bi 块设备每秒接收的块数量,这里的块设备是指系统上所有的磁盘和其他块设备,默认块大小是1024byte,我本机上没什么IO操作,所以一直是0,但是我曾在处理拷贝大量数据(2-3T)的机器上看过可以达到140000/s,磁盘写入速度差不多140M每秒
- bo 块设备每秒发送的块数量,例如我们读取文件,bo就要大于0。bi和bo一般都要接近0,不然就是IO过于频繁,需要调整。
- in 每秒CPU的中断次数,包括时间中断
- cs 每秒上下文切换次数,例如我们调用系统函数,就要进行上下文切换,线程的切换,也要进程上下文切换,这个值要越小越好,太大了,要考虑调低线程或者进程的数目,例如在apache和nginx这种web服务器中,我们一般做性能测试时会进行几千并发甚至几万并发的测试,选择web服务器的进程可以由进程或者线程的峰值一直下调,压测,直到cs到一个比较小的值,这个进程和线程数就是比较合适的值了。系统调用也是,每次调用系统函数,我们的代码就会进入内核空间,导致上下文切换,这个是很耗资源,也要尽量避免频繁调用系统函数。上下文切换次数过多表示你的CPU大部分浪费在上下文切换,导致CPU干正经事的时间少了,CPU没有充分利用,是不可取的。
- us 用户CPU时间,我曾经在一个做加密解密很频繁的服务器上,可以看到us接近100,r运行队列达到80(机器在做压力测试,性能表现不佳)。
- sy 系统CPU时间,如果太高,表示系统调用时间长,例如是IO操作频繁。
- id 空闲 CPU时间,一般来说,id + us + sy = 100,一般我认为id是空闲CPU使用率,us是用户CPU使用率,sy是系统CPU使用率。
- wt 等待IO CPU时间。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 ALLBS!
评论