10.19 iptables规则备份与恢复
- service iptables save //把规则保存到/etc/sysconfig/iptables中
- iptables-save > /tmp/my.ipt //把iptables规则备份到/tmp/my.ipt中,若想重启机器可以加载已备份的iptables规则,需要将规则保存到/etc/sysconfig/iptables中
- iptables-restore < /tmp/my.ipt //恢复备份
1、禁用iptables,打开firewalld
- systemctl disable iptables //禁掉iptables
- systemctl stop iptables //关闭iptables
- systemctl enable firewalld //使能firewalld
- systemctl start firewalld //打开firewalld
2、firewalld的zone
firewalld默认有9个zone,zone类似规则集,1个zone里自带有一些规则
- 默认的zone为public
- firewall-cmd --get-zones //查看所有的zone
- firewall-cmd --get-default-zone //查看默认的zone
10.21 firewalld关于zone的操作
- firewall-cmd --set-default-zone=work //设定默认的zone
- firewall-cmd --get-zone-of-interface=ens33 //查看指定网卡的zone
- firewall-cmd --zone=public --add-interface=lo //给指定网卡设置zone
- firewall-cmd --zone=dmz --change-interface=lo //针对指定网卡更改zone
- firewall-cmd --zone=dmz --remove-interface=lo //针对指定网卡删除zone
- firewall-cmd --get-active-zones //查看系统所有网卡所在的zone
1、firewalld关于service的常用操作
service为zone下的一个子单元,可理解为一个端口
- firewall-cmd --get-services //查看所有的servies
- firewall-cmd --list-services //查看默认zone下有哪些service
- firewall-cmd --zone=public --list-services //查看指定的zone下有哪些service
- firewall-cmd --zone=public --add-service=http //把http增加到public zone下面,仅仅是内存里将zone增加了http这个service,但相关的配置文件并未增加
- firewall-cmd --zone=public --remove-service=http //把http从public zone下面删除
- ls /usr/lib/firewalld/zones/ //zone的配置文件模板
- firewall-cmd --zone=public --add-service=http --permanent //增加“--permanent”选项,更改配置文件,之后会在/etc/firewalld/zones目录下面生成配置文件
2、需求:ftp服务自定义端口1121,需要在work zone下面放行ftp
- cp /usr/lib/firewalld/services/ftp.xml /etc/firewalld/services
- vim /etc/firewalld/services/ftp.xml //编辑ftp.xml,把21改为1121
- cp /usr/lib/firewalld/zones/work.xml /etc/firewalld/zones/
- vim /etc/firewalld/zones/work.xml //增加如下一行,增加http的service
- <service name="ftp"/>
- firewall-cmd --reload //重新加载生效
- firewall-cmd --zone=work --list-services