10.19 iptables規則備份和恢複 10.20 firewalld的9個zone10.21

10.19 iptables規則備份和恢複

Linux防火牆—netfilter

1. 儲存 iptables規則 ：

(預設規則儲存到：/etc/sysconfig/iptables檔案中。)

[root@hao-001 ~]# service iptables save

2. 備份 iptables規則，重定向(儲存)到指定路徑 ：

[root@hao-001 ~]# iptables-save > /tmp/ipt.txt

檢視儲存的iptables規則 ：

[root@hao-001 ~]# cat /tmp/ipt.txt

3. 清空 iptables規則 ：

[root@hao-001 ~]# iptables -t nat -F

4. 恢複 iptables規則(剛剛備份的) ：

[root@hao-001 ~]# iptables-restore < /tmp/ipt.txt

10.20 firewalld的9個zone

Linux防火牆-firewalled

1. 關閉 iptables(centos6 防火牆) ：

[root@hao-001 ~]# systemctl disable iptables

[root@hao-001 ~]# systemctl stop iptables

2. 打開 firewalled(centos7防火牆 之前關掉了)：

[root@hao-001 ~]# systemctl enable firewalld

[root@hao-001 ~]# systemctl start firewalld

3. firewalld 預設有9個zone(規則)；預設zone為public

4. 檢視 firewalld 所有zone(共9個，預設zone為public) ：

[root@hao-001 ~]# firewall-cmd --get-zones

5. 查詢 firewalled預設zone(規則)是什麼(預設zone為public)  ：

[root@hao-001 ~]# firewall-cmd --get-default-zone

6. 9個zone的詳解：

10.21 firewalld關于zone的操作

1. 更改 firewalled預設zone(規則)：

[root@hao-001 ~]# firewall-cmd --set-default-zone=work

2. 檢視 指定網卡zone(規則)：

firewall-cmd --get-zone-of-interface=網卡名

[root@hao-001 ~]# firewall-cmd --get-zone-of-interface=ens33

[root@hao-001 ~]# firewall-cmd --get-zone-of-interface=ens37

[root@hao-001 ~]# firewall-cmd --get-zone-of-interface=lo

3. 增加 指定網卡zone(規則)：

firewall-cmd --zone=定義zone --add-interface=網卡名

[root@hao-001 ~]# firewall-cmd --zone=public --add-interface=ens37

[root@hao-001 ~]# firewall-cmd --zone=public --add-interface=lo

4. 更改 指定網卡zone：

firewall-cmd --zone=新zone --change-interface=網卡名

[root@hao-001 ~]# firewall-cmd --zone=block --change-interface=ens33

[root@hao-001 ~]# firewall-cmd --zone=block --change-interface=ens37

[root@hao-001 ~]# firewall-cmd --zone=block --change-interface=lo

5. 删除 指定網卡zone(變成預設zone)：

firewall-cmd --zone=網卡對應zone  --remove-interface=網卡名

[root@hao-001 ~]# firewall-cmd --zone=block  --remove-interface=ens33

6. 檢視 系統所有網卡 對應的zone(檢視系統所有網卡所在的zone)：

[root@hao-001 ~]# firewall-cmd --get-active-zones

10.22 firewalld關于service的操

services是zone下的一個子單元

(指定的一個端口：如http,到service下,就不會被限制過濾)  

http操作80端口   https操作443端口   ssh操作22端口  

1. 檢視 系統所有的servie ：

(zone下servie相當于白名單,添加http等到servie下,就不會過濾，直接放行)

[root@hao-001 ~]# firewall-cmd --get-services

1.5 檢視 預設zone ：

2. 檢視 預設zone，包含哪些service ：

[root@hao-001 ~]# firewall-cmd --list-services

3. 檢視 指定zone，包含哪些service ：

firewall-cmd --zone=指定zone --list-services

[root@hao-001 ~]# firewall-cmd --zone=work --list-services

4. 增加 http到指定zone下(臨時儲存在記憶體中) ：

[root@hao-001 ~]# firewall-cmd --zone=work --add-service=http

5. 增加 http到指定zone下(永久儲存在zone配置檔案) ：

[root@hao-001 ~]# firewall-cmd --zone=work --add-service=http --permanent

6. 檢視 zone配置檔案所在目錄 ：

(更新永久儲存到配置檔案,會重新生成.xml檔案,之前的配置檔案變成.xml.old)

[root@hao-001 ~]# ls /etc/firewalld/zones

7. 檢視 zone配置檔案内容 ：

[root@hao-001 ~]# cat /etc/firewalld/zones/work.xml

8. 檢視 firewalld配置檔案所在目錄 (預設無,還沒有更改過firewalld配置檔案）：

[root@hao-001 ~]# ls /etc/firewalld/services

9. 檢視 zone配置檔案模闆 ：

[root@hao-001 ~]# ls /usr/lib/firewalld/zones

10. 檢視 services配置檔案模闆 ：

[root@hao-001 ~]# ls /usr/lib/firewalld/services

•需求：ftp服務自定義端口1121，

•需要在work zone下面放行ftp

1. 拷貝 services/ftp.xml配置檔案，到/etc/... ：

[root@hao-001 ~]# cp /usr/lib/firewalld/services/ftp.xml  /etc/firewalld/services

2. 編輯 ftp配置檔案,22端口更改為自定義的 1121：

[root@hao-001 ~]# vi /etc/firewalld/services/ftp.xml

更改: port="1121"

3. 拷貝 zones/work.xml配置檔案，到/etc/... ：

(注意：上面做實驗把預設zone設定為work了，http設定到work的配置檔案了，永久儲存就會産生了一個work.xml檔案，這裡複制的模闆覆寫掉之前的檔案就可以了！)

[root@hao-001 ~]# cp /usr/lib/firewalld/zones/work.xml /etc/firewalld/zones

4. 編輯 work配置檔案,添加一條 service名字為ftp ：

[root@hao-001 ~]# vi /etc/firewalld/zones/work.xml

添加一行: <service name="ftp"/>

5. 重新加載 ：

[root@hao-001 ~]# firewall-cmd --reload

6. 檢視zone(work)下，包含service(ftp)：

本文轉自 主内安詳 51CTO部落格，原文連結：http://blog.51cto.com/zhuneianxiang/2065554，如需轉載請自行聯系原作者