20180511

一、 iptables規則備份和恢復

1、service iptables save //把規則保佑到 /etc/sysconfig/iptables 裏面
2、 iptables-save > /tmp/ipt.txt //把iptables規則備份到/tmp/ipt.txt文件中
3、恢復iptables備份 iptables-restore < /tmp/ipt.txt

二、 firewalld的9個zone

1、打開firewalld
systemctl disable iptables /關閉iptables
systemctl stop iptables /停止iptables服務
systemctl enable firewalld /開啟firewalld服務

systemctl start firewalld /打開firewalld

2、firewalld 的9個zone
1、zone 是firewalld 的單位。默認使用public zone
2、查看所有的zone : firewall-cmd --get-zones
3、查看默認的zone : firewall-cmd --get-default-zone
4、9個zone說明：
drop (丟棄) 任何接收到的網絡數據都被丟棄，沒有任何回復，公有發送出去的網絡連接
block（限制）任何接收的網絡連接都被IPV4 的icmp-host-prohibited信息和IPV6的icmp6-adm-prohibited信息所拒絕

public (公共) 在公共區域內使用，不能相信網絡內的其它計算機不會對你的計算機造成危害，只接收經過選取的連接
external （外部）特別是為路由器啟用了偽裝功能的外部網。你不能信任來自網絡的其它計算，不能信任它們不會對你的計算機造成危害，只能接收經過選擇的連接。
dmz (非軍事區) 用於你的非軍事區的電腦 ，此區域內可公開訪問，可以有限的進入你的內部網絡，僅接收經過選擇的連接。
work (工作) 可以基本信任網絡內的其它計算機不會危害你的計算機，僅接收經過選擇的連接。
home (家庭) 用於家庭網絡，可以基本信任網絡內的其它計算機不會危害你的計算機，僅接收經過選擇的連接。
internal （內部）用於內部網絡，可以基本信任網絡內的其它計算機不會危害你的計算機，僅接收經過選擇的連接
trusted (信任) 可接收所有的網絡連接

三、 firewalld關於zone的操作
1、設定默認zone : firewall-cmd --set-default-zone=work //設置zone為work

2、指定網卡看它用的哪個zone ： firewall-cmd --get-zone-of-interface=eno16777736

3、給指定網卡設置zone ：firewall-cmd --zone=public --add-interface=lo //給lo網卡的zone設置成pubilc

4、針對網卡更改zone : firewall-cmd --zone=dmz --change-interface=lo //更改lo網卡的zone為dmz

5、針對網卡刪除zone :firewall-cmd --zone=dmz --remove-interface=lo //刪除lo網卡的zone

6、 查看系統所有的網卡所在的zone : firewall-cmd --get-active-zones

四、 firewalld關於service的操作(是zone下面的一個端口)
1、查看所有的service ： firewall-cmd --get-services (最後面可加可不加s這個字母)
2、查看當前zone下有哪些service : firewall-cmd --list-services
3、把http增加到work zone 下 ：

firewall防火墻的9個zone的操作及zone下面service的操作