10.19 iptables规则备份和恢复
Linux防火墙—netfilter
1. iptables规则保存:
默认规则保存到:/etc/sysconfig/iptables文件中。
[[email protected] ~]# service iptables save
2. iptables规则备份(保存)到指定路径:
[[email protected] ~]# iptables-save > /tmp/ipt.txt
3. iptables规则清空 :
[[email protected] ~]# iptables -t nat -F
4. iptables规则查看:
[[email protected] ~]# iptables -t nat -nvL
5. iptables规则恢复:
[[email protected] ~]# iptables-restore < /tmp/ipt.txt
10.20 firewalld的9个zone
Linux防火墙-firewalled
1. 关闭iptables:
[[email protected] ~]# systemctl disable iptables
[[email protected] ~]# systemctl stop iptables
2. 打开firewalled(之前关掉了):
[[email protected] ~]# systemctl enable firewalld
[[email protected] ~]# systemctl start firewalld
3. firewalld默认有9个zone(规则);默认zone为public
4. 查看所有zone(共9个)
[[email protected] ~]# firewall-cmd --get-zones
5. 查询firewalled默认zone是什么:
[[email protected] ~]# firewall-cmd --get-default-zone
10.21 firewalld关于zone的操作
1. 更改 默认zone:
[[email protected] ~]# firewall-cmd --set-default-zone=work
2. 查看 指定网卡zone:
firewall-cmd --get-zone-of-interface=网卡名
[[email protected] ~]# firewall-cmd --get-zone-of-interface=ens33
3. 增加 指定网卡zone:
firewall-cmd --zone=定义zone --add-interface=网卡名
[[email protected] ~]# firewall-cmd --zone=public --add-interface=ens37
4. 更改 指定网卡zone:
firewall-cmd --zone=新zone --change-interface=网卡名
[[email protected] ~]# firewall-cmd --zone=public --change-interface=ens33
5. 删除 指定网卡zone(变成默认zone):
firewall-cmd --zone=网卡对应zone --remove-interface=网卡名
[[email protected] ~]# firewall-cmd --zone=public --remove-interface=ens33
6. 查看 系统所有网卡 对应的zone(查看系统所有网卡所在的zone):
[[email protected] ~]# firewall-cmd --get-active-zones
10.22 firewalld关于service的操作
1. 查看系统里所有的servies:
(zone下servies相当于白名单,添加http等到servies下,不会过滤直接放行)
[[email protected] ~]# firewall-cmd --get-services
2. 查看默认zone下,包含哪些service:
[[email protected] ~]# firewall-cmd --list-services
3. 查看指定zone下,包含哪些service:
firewall-cmd --zone=指定zone --list-services
[[email protected] ~]# firewall-cmd --zone=public --list-services
4. http增加到指定zone下(临时储存在内存中):
[[email protected] ~]# firewall-cmd --zone=public --add-service=http
5. http增加到指定zone下(永久保存在配置文件):
[[email protected] ~]# firewall-cmd --zone=public --add-service=http --permanent
6. 查看zone配置文件所在目录:
(更新永久保存到配置文件,会重新生成.xml文件,之前的配置文件变成.xml.old)
[[email protected] ~]# ls /etc/firewalld/zones
7. 查看zone配置文件内容:
[[email protected] ~]# cat /etc/firewalld/zones/public.xml
8. 查看firewalld配置文件所在目录:
[[email protected] ~]# ls /etc/firewalld/services
9. 查看zone配置文件模块:
[[email protected] ~]# ls /usr/lib/firewalld/zones
10. 查看services配置文件模块:
[[email protected] ~]# /usr/lib/firewalld/services
??需求:ftp服务自定义端口1121,
需要在work zone下面放行ftp
1. 拷贝services/ftp.xml:
[[email protected] ~]# cp /usr/lib/firewalld/services/ftp.xml /etc/firewalld/services
2. 编辑ftp配置文件,22端口更改为自定义的 1121:
[[email protected] ~]# vi /etc/firewalld/services/ftp.xml
更改: port="1121"
3. 拷贝zones/work.xml:
[[email protected] ~]# cp /usr/lib/firewalld/zones/work.xml /etc/firewalld/zones
4. 编辑work.xml配置文件:
[[email protected] ~]# vi /etc/firewalld/zones/work.xml
增加一行: <service name="ftp"/>
5. 重新加载:
[[email protected] ~]# firewall-cmd --reload
6. 查看zone(work)下,包含service(ftp):
[[email protected] ~]# firewall-cmd --zone=work --list-services
原文地址:http://blog.51cto.com/zhuneianxiang/2065554