iptables規則備份和恢復。

• 
• service iptables save 會把規則保存到 /etc/sysconfig/iptables配置文件中，但是有時候不想保存這個位置。
• 可以用命令 iptables-sabe > 到你想保存的位置。
• 
• 恢復備份的規則的話 是iptables-restore
• 
• 保存之後清空掉就沒有規則了。
• 
• 再恢復一下 規則就出來了。
• 
• 備份的規則只有恢復的時候會用到，如果一重啟服務器，就想加載一些規則，最好放在 etc /sysconfig/iptables 裏面。
• 現在學的這個已經足夠了 即使碰見難的規則 去現學就行。

firewalld 的9個zone

• 
• 打開firewalld 。
• 然後重新啟動 firewalld
• 
• 然後 iptables -nvL 發現多了很多規則。
• 
• nat 也是多了很多規則。 這些都是firewalld自帶的規則。鏈也很多。
• 
• firewalld 默認有 9個zone 這個是單位，默認是public 每個zone 是一個規則級 自帶一些規則， 比如放行了 22端口 這就是一個規則級。
• 去查看zone 命令是 firewalld-cmd--get-zones 會提示默認使用public 一共有9個zone
• 
• 查看默認的zone 是用命令。firewall-cmd --get-default-zone
• 
• 這個就是查詢默認的zone是什麽 是public。
• 這幾個zone的區別下圖可以看到。
• 
• drop 進來的包進不來 但是可以出去包。
• block是限制，這個稍微i寬松點，主要針對icmp的。
• puvlic 公共，有些數據包放行 有些是禁掉的。
• external 適合路由器的。
• dmz 非軍事區
• worek 相當於內網工作使用方便。
• home 自己家的網。
• intenal 內部 內部網絡不連接外網。
• trusted 信任 接受所有網絡。

?firewall關於zone的操作

• 
• 設定默認zone 是命令 firewall-cmd --ste-default-zone=work
• 
• 
• zone 可以針對網卡操作的。
• 
• 如果eno33554984 顯示也是no zone 要 做一個操作。cp一份到3355文件，然後修改配置文件，然後重啟網絡服務 再重啟firewall
• 
• 如果還是沒有 可以給他增加一個zone、 firewall-cmd --zone=dmz
• 
• 也可以針對網卡更改zone，
• 
• 也可以刪除zone。
• 
• 查看系統所有的網卡 。
• 

firewalld關於service的操作

• 
• servies 是zone下面的一個子單元，理解為指定的一些端口。
• 查看所有的servies 。
• 
• 查看所有的zone ，命令是firewall-cmd --get-default-zone。查看services的 是firewall-cmd --list-service 、
• 也可以針對某一個zone 去查看。
• 
• 把http 添加到public zone下面去 ，可以這樣操作。
• 
• 現在僅僅是在內存中增加了 service 現在把配置增加到配置文件中去。就是在更改命令後面加 -permanent 更改後可以在etc /firewalld/zones/public.xml 中看到。
• 
• 
• usr/lib/firewalld/zones 是zone的配置文件模版， etc/firewalld/zones/ 是firewalld 服務所用到的文件。
• zone 和firewalld 是有模版的。
• 
• 做個實驗： ftp服務自定義端口1121 在work zone 下面方向ftp。
• 先cp一份 到etc下 然後 修改1121就可以了。
• 
• 
• 然後在cp一份 usr下的 firewalld/zones/worek.xml 到etc下。然後編輯。
• 
• 然後重新加載一下。
• 
• 現在來檢測一下。
• 

學習筆記第三十二節課