10.19 iptables規則備份和恢複
Linux防火牆—netfilter
1. 儲存 iptables規則 :
(預設規則儲存到:/etc/sysconfig/iptables檔案中。)
[root@hao-001 ~]# service iptables save
2. 備份 iptables規則,重定向(儲存)到指定路徑 :
[root@hao-001 ~]# iptables-save > /tmp/ipt.txt
檢視儲存的iptables規則 :
[root@hao-001 ~]# cat /tmp/ipt.txt
3. 清空 iptables規則 :
[root@hao-001 ~]# iptables -t nat -F
4. 恢複 iptables規則(剛剛備份的) :
[root@hao-001 ~]# iptables-restore < /tmp/ipt.txt
10.20 firewalld的9個zone
Linux防火牆-firewalled
1. 關閉 iptables(centos6 防火牆) :
[root@hao-001 ~]# systemctl disable iptables
[root@hao-001 ~]# systemctl stop iptables
2. 打開 firewalled(centos7防火牆 之前關掉了):
[root@hao-001 ~]# systemctl enable firewalld
[root@hao-001 ~]# systemctl start firewalld
3. firewalld 預設有9個zone(規則);預設zone為public
4. 檢視 firewalld 所有zone(共9個,預設zone為public) :
[root@hao-001 ~]# firewall-cmd --get-zones
5. 查詢 firewalled預設zone(規則)是什麼(預設zone為public) :
[root@hao-001 ~]# firewall-cmd --get-default-zone
6. 9個zone的詳解:
10.21 firewalld關于zone的操作
1. 更改 firewalled預設zone(規則):
[root@hao-001 ~]# firewall-cmd --set-default-zone=work
2. 檢視 指定網卡zone(規則):
firewall-cmd --get-zone-of-interface=網卡名
[root@hao-001 ~]# firewall-cmd --get-zone-of-interface=ens33
[root@hao-001 ~]# firewall-cmd --get-zone-of-interface=ens37
[root@hao-001 ~]# firewall-cmd --get-zone-of-interface=lo
3. 增加 指定網卡zone(規則):
firewall-cmd --zone=定義zone --add-interface=網卡名
[root@hao-001 ~]# firewall-cmd --zone=public --add-interface=ens37
[root@hao-001 ~]# firewall-cmd --zone=public --add-interface=lo
4. 更改 指定網卡zone:
firewall-cmd --zone=新zone --change-interface=網卡名
[root@hao-001 ~]# firewall-cmd --zone=block --change-interface=ens33
[root@hao-001 ~]# firewall-cmd --zone=block --change-interface=ens37
[root@hao-001 ~]# firewall-cmd --zone=block --change-interface=lo
5. 删除 指定網卡zone(變成預設zone):
firewall-cmd --zone=網卡對應zone --remove-interface=網卡名
[root@hao-001 ~]# firewall-cmd --zone=block --remove-interface=ens33
6. 檢視 系統所有網卡 對應的zone(檢視系統所有網卡所在的zone):
[root@hao-001 ~]# firewall-cmd --get-active-zones
10.22 firewalld關于service的操
services是zone下的一個子單元
(指定的一個端口:如http,到service下,就不會被限制過濾)
http操作80端口 https操作443端口 ssh操作22端口
1. 檢視 系統所有的servie :
(zone下servie相當于白名單,添加http等到servie下,就不會過濾,直接放行)
[root@hao-001 ~]# firewall-cmd --get-services
1.5 檢視 預設zone :
2. 檢視 預設zone,包含哪些service :
[root@hao-001 ~]# firewall-cmd --list-services
3. 檢視 指定zone,包含哪些service :
firewall-cmd --zone=指定zone --list-services
[root@hao-001 ~]# firewall-cmd --zone=work --list-services
4. 增加 http到指定zone下(臨時儲存在記憶體中) :
[root@hao-001 ~]# firewall-cmd --zone=work --add-service=http
5. 增加 http到指定zone下(永久儲存在zone配置檔案) :
[root@hao-001 ~]# firewall-cmd --zone=work --add-service=http --permanent
6. 檢視 zone配置檔案所在目錄 :
(更新永久儲存到配置檔案,會重新生成.xml檔案,之前的配置檔案變成.xml.old)
[root@hao-001 ~]# ls /etc/firewalld/zones
7. 檢視 zone配置檔案内容 :
[root@hao-001 ~]# cat /etc/firewalld/zones/work.xml
8. 檢視 firewalld配置檔案所在目錄 (預設無,還沒有更改過firewalld配置檔案):
[root@hao-001 ~]# ls /etc/firewalld/services
9. 檢視 zone配置檔案模闆 :
[root@hao-001 ~]# ls /usr/lib/firewalld/zones
10. 檢視 services配置檔案模闆 :
[root@hao-001 ~]# ls /usr/lib/firewalld/services
•需求:ftp服務自定義端口1121,
•需要在work zone下面放行ftp
1. 拷貝 services/ftp.xml配置檔案,到/etc/... :
[root@hao-001 ~]# cp /usr/lib/firewalld/services/ftp.xml /etc/firewalld/services
2. 編輯 ftp配置檔案,22端口更改為自定義的 1121:
[root@hao-001 ~]# vi /etc/firewalld/services/ftp.xml
更改: port="1121"
3. 拷貝 zones/work.xml配置檔案,到/etc/... :
(注意:上面做實驗把預設zone設定為work了,http設定到work的配置檔案了,永久儲存就會産生了一個work.xml檔案,這裡複制的模闆覆寫掉之前的檔案就可以了!)
[root@hao-001 ~]# cp /usr/lib/firewalld/zones/work.xml /etc/firewalld/zones
4. 編輯 work配置檔案,添加一條 service名字為ftp :
[root@hao-001 ~]# vi /etc/firewalld/zones/work.xml
添加一行: <service name="ftp"/>
5. 重新加載 :
[root@hao-001 ~]# firewall-cmd --reload
6. 檢視zone(work)下,包含service(ftp):
本文轉自 主内安詳 51CTO部落格,原文連結:http://blog.51cto.com/zhuneianxiang/2065554,如需轉載請自行聯系原作者