iptables规则备份和恢复。
- service iptables save 会把规则保存到 /etc/sysconfig/iptables配置文件中,但是有时候不想保存这个位置。
- 可以用命令 iptables-sabe > 到你想保存的位置。
- 恢复备份的规则的话 是iptables-restore
- 保存之后清空掉就没有规则了。
- 再恢复一下 规则就出来了。
- 备份的规则只有恢复的时候会用到,如果一重启服务器,就想加载一些规则,最好放在 etc /sysconfig/iptables 里面。
- 现在学的这个已经足够了 即使碰见难的规则 去现学就行。
firewalld 的9个zone
- 打开firewalld 。
- 然后重新启动 firewalld
- 然后 iptables -nvL 发现多了很多规则。
- nat 也是多了很多规则。 这些都是firewalld自带的规则。链也很多。
- firewalld 默认有 9个zone 这个是单位,默认是public 每个zone 是一个规则级 自带一些规则, 比如放行了 22端口 这就是一个规则级。
- 去查看zone 命令是 firewalld-cmd--get-zones 会提示默认使用public 一共有9个zone
- 查看默认的zone 是用命令。firewall-cmd --get-default-zone
- 这个就是查询默认的zone是什么 是public。
- 这几个zone的区别下图可以看到。
- drop 进来的包进不来 但是可以出去包。
- block是限制,这个稍微i宽松点,主要针对icmp的。
- puvlic 公共,有些数据包放行 有些是禁掉的。
- external 适合路由器的。
- dmz 非军事区
- worek 相当于内网工作使用方便。
- home 自己家的网。
- intenal 内部 内部网络不连接外网。
- trusted 信任 接受所有网络。
firewall关于zone的操作
- 设定默认zone 是命令 firewall-cmd --ste-default-zone=work
- zone 可以针对网卡操作的。
- 如果eno33554984 显示也是no zone 要 做一个操作。cp一份到3355文件,然后修改配置文件,然后重启网络服务 再重启firewall
- 如果还是没有 可以给他增加一个zone、 firewall-cmd --zone=dmz
- 也可以针对网卡更改zone,
- 也可以删除zone。
- 查看系统所有的网卡 。
firewalld关于service的操作
- servies 是zone下面的一个子单元,理解为指定的一些端口。
- 查看所有的servies 。
- 查看所有的zone ,命令是firewall-cmd --get-default-zone。查看services的 是firewall-cmd --list-service 、
- 也可以针对某一个zone 去查看。
- 把http 添加到public zone下面去 ,可以这样操作。
- 现在仅仅是在内存中增加了 service 现在把配置增加到配置文件中去。就是在更改命令后面加 -permanent 更改后可以在etc /firewalld/zones/public.xml 中看到。
- usr/lib/firewalld/zones 是zone的配置文件模版, etc/firewalld/zones/ 是firewalld 服务所用到的文件。
- zone 和firewalld 是有模版的。
- 做个实验: ftp服务自定义端口1121 在work zone 下面方向ftp。
- 先cp一份 到etc下 然后 修改1121就可以了。
- 然后在cp一份 usr下的 firewalld/zones/worek.xml 到etc下。然后编辑。
- 然后重新加载一下。
- 现在来检测一下。
