10.19 iptables規則備份和恢復 10.20 firewalld
Linux防火墻—netfilter
1. iptables規則保存:
默認規則保存到:/etc/sysconfig/iptables文件中。
[root@hao-001 ~]# service iptables save
2. iptables規則備份(保存)到指定路徑:
[root@hao-001 ~]# iptables-save > /tmp/ipt.txt
3. iptables規則清空 :
[root@hao-001 ~]# iptables -t nat -F
4. iptables規則查看:
[root@hao-001 ~]# iptables -t nat -nvL
5. iptables
[root@hao-001 ~]# iptables-restore < /tmp/ipt.txt
10.20 firewalld的9個zone
Linux防火墻-firewalled
1. 關閉iptables:
[root@hao-001 ~]# systemctl disable iptables
[root@hao-001 ~]# systemctl stop iptables
2. 打開firewalled(之前關掉了):
[root@hao-001 ~]# systemctl enable firewalld
[root@hao-001 ~]# systemctl start firewalld
3. firewalld
4. 查看所有zone(共9個)
[root@hao-001 ~]# firewall-cmd --get-zones
5. 查詢firewalled默認zone是什麽:
[root@hao-001 ~]# firewall-cmd --get-default-zone
10.21 firewalld關於zone的操作
1. 更改 默認zone:
[root@hao-001 ~]# firewall-cmd --set-default-zone=work
2. 查看 指定網卡zone:
firewall-cmd --get-zone-of-interface=網卡名
[root@hao-001 ~]# firewall-cmd --get-zone-of-interface=ens33
3. 增加 指定網卡zone:
firewall-cmd --zone=定義zone --add-interface=網卡名
[root@hao-001 ~]# firewall-cmd --zone=public --add-interface=ens37
4. 更改 指定網卡zone:
firewall-cmd --zone=新zone --change-interface=網卡名
[root@hao-001 ~]# firewall-cmd --zone=public --change-interface=ens33
5. 刪除 指定網卡zone(變成默認zone):
firewall-cmd --zone=網卡對應zone --remove-interface=網卡名
[root@hao-001 ~]# firewall-cmd --zone=public --remove-interface=ens33
6. 查看 系統所有網卡 對應的zone(查看系統所有網卡所在的zone):
[root@hao-001 ~]# firewall-cmd --get-active-zones
10.22 firewalld關於service的操作
1. 查看系統裏所有的servies:
(zone下servies相當於白名單,添加http等到servies下,不會過濾直接放行)
[root@hao-001 ~]# firewall-cmd --get-services
2. 查看默認zone下,包含哪些service:
[root@hao-001 ~]# firewall-cmd --list-services
3. 查看指定zone下,包含哪些service:
firewall-cmd --zone=指定zone --list-services
[root@hao-001 ~]# firewall-cmd --zone=public --list-services
4. http增加到指定zone下(臨時儲存在內存中):
[root@hao-001 ~]# firewall-cmd --zone=public --add-service=http
5. http增加到指定zone下(永久保存在配置文件):
[root@hao-001 ~]# firewall-cmd --zone=public --add-service=http --permanent
6. 查看zone配置文件所在目錄:
(更新永久保存到配置文件,會重新生成.xml文件,之前的配置文件變成.xml.old)
[root@hao-001 ~]# ls /etc/firewalld/zones
7. 查看zone配置文件內容:
[root@hao-001 ~]# cat /etc/firewalld/zones/public.xml
8. 查看firewalld配置文件所在目錄:
[root@hao-001 ~]# ls /etc/firewalld/services
9. 查看zone配置文件模塊:
[root@hao-001 ~]# ls /usr/lib/firewalld/zones
10. 查看services配置文件模塊:
[root@hao-001 ~]# /usr/lib/firewalld/services
??需求:ftp服務自定義端口1121,
需要在work zone下面放行ftp
1. 拷貝services/ftp.xml:
[root@hao-001 ~]# cp /usr/lib/firewalld/services/ftp.xml /etc/firewalld/services
2. 編輯ftp配置文件,22端口更改為自定義的 1121:
[root@hao-001 ~]# vi /etc/firewalld/services/ftp.xml
更改: port="1121"
3. 拷貝zones/work.xml:
[root@hao-001 ~]# cp /usr/lib/firewalld/zones/work.xml /etc/firewalld/zones
4. 編輯work.xml配置文件:
[root@hao-001 ~]# vi /etc/firewalld/zones/work.xml
增加一行: <service name="ftp"/>
5. 重新加載:
[root@hao-001 ~]# firewall-cmd --reload
6. 查看zone(work)下,包含service(ftp):
[root@hao-001 ~]# firewall-cmd --zone=work --list-services
10.19 iptables規則備份和恢復 10.20 firewalld