iptables规则备份和恢复
增加一条iptables规则
iptables-save > /tmp/ipt.txt 保存iptables规则
清空现有iptables规则
iptables-restore < /tmp/ipt.txt 恢复iptables规则
service iptables save //会把规则保存到/etc/sysconfig/iptables
firewalld的9个zone
打开firewalld
systemctl disable iptables
systemctl stop iptables
systemctl enable firewalld
systemctl start firewalld
firewalld默认有9个zone
默认zone为public
firewall-cmd --get-zones //查看所有zone
firewalld9个zone的介绍:
- work(工作)用于工作区。您可以基本相信网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接。
- drop(丢弃)任何接受的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络连接。
- internal(内部)用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机仅仅接受经过选择的连接。
- external(外部)特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算机,不能相信他们不会对您的计算机造成危害,只能接受经过选择的连接。
- trusted(信任)可以接受所有的网络连接。
- home(家庭)用于家庭网络。您可以基本信任网络内的其他计算机会危害您的计算机。仅仅接受经过选择的连接
- dmz(非军事区)用于您的非军事区内的就计算机,此区域内可公开访问,可以有限的接入您的内部网络,仅仅接受经过选择的连接。
- public(公共)在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成伤害,只能接受经过选择的连接。
- block(限制)任何接收的网络连接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒绝。
firewall-cmd --get-default-zone//查看默认zone
firewalld关于zone的操作
firewall-cmd --set-default-zone=work //设定默认zone
firewall-cmd --get-zone-of-interface=ens33 //查指定网卡
firewall-cmd --zone=public --add-interface=lo //给指定网卡设置zone
firewall-cmd --zone=dmz --change-interface=ens37//针对网卡更改zone
firewall-cmd --zone=dmz --remove-interface=ens37 //针对网卡删除zone
firewall-cmd --get-active-zones //查看系统所有网卡所在的zone
firewalld关于service的操作
firewall-cmd --get-services 查看所有的servies
firewall-cmd --list-services //查看当前zone下有哪些service
firewall-cmd --zone=public --add-service=http //把http增加到public zone下面
firewall-cmd --zone=public --remove-service=http
ls /usr/lib/firewalld/zones/ //zone的配置文件模板
firewall-cmd --zone=public --add-service=http --permanent //更改配置文件,之后会在/etc/firewalld/zones目录下面生成配置文件
需求:ftp服务自定义端口1121,需要在work zone下面放行ftp
cp /usr/lib/firewalld/services/ftp.xml /etc/firewalld/services
vi /etc/firewalld/services/ftp.xml //把21改为1121
cp /usr/lib/firewalld/zones/work.xml /etc/firewalld/zones/
vi /etc/firewalld/zones/work.xml //增加一行 <service name="ftp"/>
firewall-cmd --reload //重新加载
firewall-cmd --zone=work --list-services
