1、iptables规则备份和恢复
service iptables save 讲规则保存在/etc/sysconfig/iptables中
iptables-save > /tmp/my.ipt将iptables规则备份到my.ipt文件中
iptables-restore < /tmp/my.ipt恢复备份的规则
2、firewalld的9个zone
关闭iptables,打开firewalld
systmectl disable iptables
systemctl stop iptables
systemctl enable firewalld
systemctl start firewalld
此时执行iptables -nvL查看规则,可以发现多了很多默认规则
firewalld默认有9个zone,默认使用public zone,每个zone为一个规则集
firewall-cmd --get-zones 查看所有zone
firewall-cmd --get-default-zone 查看默认zone
各zone的区别,drop最安全
3、firewalld关于zone的操作
firewall-cmd --set-default-zone=work 设置work为默认的zone
firewall-cme --get-zone-of-interface=ens33 查看指定网卡的zone
systemctl restart firewalld 重启firewalld服务
firewall-cmd --zone=dmz --add-interface=ens37 给指定网卡设置zone
firewall-cmd --zone=block --change-interface=ens37 给指定网卡变更zone
firewall-cmd --zone=block --remove-interface=ens37 删除指定网卡的zone,删除之后的网卡变为默认的zone
firewall-cmd --get-active-zone 查看所有网卡的zone
4、firewalld关于service的操作
firewall-cmd --get-service 查看系统中所有的service
firewall-cmd --list-service 查看默认的zone里有哪些service
firewall-cmd --zone=public --list-service 查看指定zone中有哪些service
firewall-cmd --zone=public --add-service=http 在指定work中增加service
firewall-cmd --zone=public --add-service=ftp --permanent 在指定work中增加service,并写入配置文件中
配置文件在/etc/firewalld/zone/public.xml中,由于只将ftp写入配置文件,所以配置文件中看不到http,只有写入配置文件中才能永久保存
每个zone的配置文件都有对应的模版,保存在/usr/lib/firewalld/zones/中
每个service的配置文件都有对应的模版,保存在/usr/lib/firewalld/services/中
案例1:ftp服务端口自定义为ftp1121,需要在work zone中放行ftp
1、cp /usr/lib/firewalld/services/ftp.xml /etc/firewalld/services/ 将ftp的模版考到配置文件目录下
2、编辑文件,将ftp的端口修改为1121
3、cp /usr/lib/firewalld/zones/work.xml /etc/firewalld/zones/ 将work的模版复制到指定的配置目录下
4、编辑配置文件,增加以下内容
<service name="ftp"/>
5、重新加载服务
firewalld-cme --reload
6、查看指定zone的services是否存在ftp