學習筆記第三十二節課
阿新 • • 發佈:2018-05-11
作業
iptables規則備份和恢復。
- service iptables save 會把規則保存到 /etc/sysconfig/iptables配置文件中,但是有時候不想保存這個位置。
- 可以用命令 iptables-sabe > 到你想保存的位置。
- 恢復備份的規則的話 是iptables-restore
- 保存之後清空掉就沒有規則了。
- 再恢復一下 規則就出來了。
- 備份的規則只有恢復的時候會用到,如果一重啟服務器,就想加載一些規則,最好放在 etc /sysconfig/iptables 裏面。
- 現在學的這個已經足夠了 即使碰見難的規則 去現學就行。
firewalld 的9個zone
- 打開firewalld 。
- 然後重新啟動 firewalld
- 然後 iptables -nvL 發現多了很多規則。
- nat 也是多了很多規則。 這些都是firewalld自帶的規則。鏈也很多。
- firewalld 默認有 9個zone 這個是單位,默認是public 每個zone 是一個規則級 自帶一些規則, 比如放行了 22端口 這就是一個規則級。
- 去查看zone 命令是 firewalld-cmd--get-zones 會提示默認使用public 一共有9個zone
- 查看默認的zone 是用命令。firewall-cmd --get-default-zone
- 這個就是查詢默認的zone是什麽 是public。
- 這幾個zone的區別下圖可以看到。
- drop 進來的包進不來 但是可以出去包。
- block是限制,這個稍微i寬松點,主要針對icmp的。
- puvlic 公共,有些數據包放行 有些是禁掉的。
- external 適合路由器的。
- dmz 非軍事區
- worek 相當於內網工作使用方便。
- home 自己家的網。
- intenal 內部 內部網絡不連接外網。
- trusted 信任 接受所有網絡。
?firewall關於zone的操作
- 設定默認zone 是命令 firewall-cmd --ste-default-zone=work
- zone 可以針對網卡操作的。
- 如果eno33554984 顯示也是no zone 要 做一個操作。cp一份到3355文件,然後修改配置文件,然後重啟網絡服務 再重啟firewall
- 如果還是沒有 可以給他增加一個zone、 firewall-cmd --zone=dmz
- 也可以針對網卡更改zone,
- 也可以刪除zone。
- 查看系統所有的網卡 。
firewalld關於service的操作
- servies 是zone下面的一個子單元,理解為指定的一些端口。
- 查看所有的servies 。
- 查看所有的zone ,命令是firewall-cmd --get-default-zone。查看services的 是firewall-cmd --list-service 、
- 也可以針對某一個zone 去查看。
- 把http 添加到public zone下面去 ,可以這樣操作。
- 現在僅僅是在內存中增加了 service 現在把配置增加到配置文件中去。就是在更改命令後面加 -permanent 更改後可以在etc /firewalld/zones/public.xml 中看到。
- usr/lib/firewalld/zones 是zone的配置文件模版, etc/firewalld/zones/ 是firewalld 服務所用到的文件。
- zone 和firewalld 是有模版的。
- 做個實驗: ftp服務自定義端口1121 在work zone 下面方向ftp。
- 先cp一份 到etc下 然後 修改1121就可以了。
- 然後在cp一份 usr下的 firewalld/zones/worek.xml 到etc下。然後編輯。
- 然後重新加載一下。
- 現在來檢測一下。
學習筆記第三十二節課