1、 iptables规则备份和恢复:
service iptables save #将规则保存到/etc/sysconfig/ipyables
iptables-save > my.ipt #把iptables规则备份到my.ipt文件中
iptables-restore < my.ipt #恢复备份的规则
2、 firewalld的9个zone:
打开firewalld:
systemctl disable iptables
systemctl stop iptables
systemctl enable firewalld
systemctl start firewalld
firewalld默认有9个zone
drop(丢弃),任何接收的网络数据包都被丢弃,没有任何回复,仅能有发送出去的网络连接
block(限制),任何接收的网络连接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒绝
public(公共),在公共区域内使用,不能相信网络内的其他计算机不会对你的计算机造成危害,只能接收经过选取的连接
external(外部),特别是为路由器启用了伪装功能的外部网,你不能信任来自网络的其他计算,不能相信他们不会对你的计算机造成危害,只能接收经过选择的连接
dmz(非军事区),用于你的非军事区内的电脑,此区域内可公开访问,可以有限的进入你的内部网络,仅仅接收经过选择的连接
work(工作),用于工作区,你可以基本相信网络内的其他电脑不会危害你的电脑,仅仅接收经过选择的连接
home(家庭),用于家庭网络,你可以基本信任网络内的其他计算机不会危害你的计算机,仅仅接收经过选择的连接
internal(内部),用于内部网络。你可以基本上信任网络内的其他计算机不会威胁你的计算机。仅仅接收经过选择的连接
trusted(信任),可接收所有的网络连接
默认zone为public
firewall-cmd --get-zones #查看所有zone
firewall-cmd --get-default-zone #查看默认zone
3、 firewalld关于zone的操作:
firewall-cmd --set-default-zone=work //设定默认zone为work
firewall-cmd --get-zone-of-interface=ens33//查指定网卡
firewall-cmd --zone=public--add-interface=lo //给指定网卡设置zone
firewall-cmd --zone=dmz--change-interface=lo //针对网卡更改zone
firewall-cmd --zone=dmz --remove-interface=lo //针对网卡删除zone
firewall-cmd --get-active-zones //查看系统所有网卡所在的zone
4、firewalld关于service的操作:
firewall-cmd --get-services #查看所有的servies
firewall-cmd --list-services #查看当前zone下有哪些service
firewall-cmd --zone=public--add-service=http #把http增加到publiczone下面
firewall-cmd --zone=public --remove-service=http #删除public zone下面的http
ls /usr/lib/firewalld/zones/ #zone的配置文件模板
firewall-cmd --zone=public --add-service=http--permanent #更改配置文件,之后会在/etc/firewalld/zones目录下面生成配置文件
需求:ftp服务自定义端口1121,需要在work zone下面放行ftp
cp /usr/lib/firewalld/services/ftp.xml/etc/firewalld/services
vi /etc/firewalld/services/ftp.xml //把21改为1121
cp /usr/lib/firewalld/zones/work.xml/etc/firewalld/zones/
vi /etc/firewalld/zones/work.xml #增加一行<service name="ftp"/>
firewall-cmd --reload #重新加载
firewall-cmd --zone=work --list-services