一、保存和备份iptables规则
1、service iptables save 保存规则到/etc/sysconfig/iptables 文件中,开机启动就会加载。
2、iptables-save > /opt/ipt.txt 这种方式也可以备份规则
4、恢复备份的规则 iptables-restore </opt/ipt.txt
二、firewalld
1、开启firewalled服务,由于之前打开了iptables,所以要先关闭iptables.
iptables -nvL 查看firewalld 默认股则。
2、firewalld 默认有9个zone,查看系统所有的zone.
drop(丢弃):任何接受的网络数据包都被丢弃,没有任何恢复,仅能有发送出去的网络连接(数据包不能进来,但是可以出去)
block(限制):任何接受的网络连接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒绝。(和drop相比,比较宽松一些,主要是为了针对icmp)
piblic(公共):在公共区域内使用,不能相信网络内其他计算机不会对你造成危害,只能接受经过选取的连接。
external(外部):特别是为路由器启用了伪装功能的外部网,你不能信任来自网络的其他计算,不能相信他们不会对你造成伤害,只能接受经过选择的连接。
dmz(非军事区):用于你的非军事区内的电脑,此区域可公开访问,可以有限的进入你的内部网络,仅仅接受经过选择的连接。
work(工作):用于工作区,你可以基本信任网络内的其他电脑不会对你造成危害,仅仅接收经过选择的连接。
home(家庭):用于内部网络,你可以基本上信任网络内其他电脑不会对你造成危害,仅仅接收经过选择的连接。
internal(内部):用于内部网络,你可以基本上信任网络内其他电脑不会对你造成危害,仅仅接收经过选择的连接。
trusted(信任):可接受所有的网络连接。
3、查看系统默认的zone,默认是public.
4、firewalld中zone的命令
1)设定默认的zone
2)查看指定网卡的zone, firewall-cmd --get-zone-of-interface=ens33
给指定网卡设置zone, firewall-cmd --zone=public --add-interface=lo
3)修改网卡的zone, firewall-cmd --zone=dmz --change-interface=lo
移除指定网卡的zone, firewall-cmd --zone=dmz --change-interface=lo
4)查看系统所有网卡的zone
5、firewalld中的service
1)列出当前系统所有的service
2)service是由配置文件定义的,配置文件路径:/usr/lib/firewalld/services/,真正生效的配置文件 在/etc/firewalld/services下
3)查看当前zone下有哪些service firewall-cmd --list-services
查看指定zone有哪些service firewall-cmd --zone=public --list-service
4)给zone添加service,例如在public中添加一个http ,这样操作只是在内存中生效。只有修改配置文件,才能永久生效
5)zone的配置文件的路径 /usr/lib/firewalld/zones/
services的配置文件的路径 /usr/lib/firewalld/services
6、需求:服务器上配置一个ftp服务,但端口是1121,需要在work zone 下放心ftp.
1)先复制ftp.xml模板到service目录下,将ftp.xml中的21端口修改为1121端口。
2)复制work.xml模板到zones目录下,添加<service name="ftp"/>到work.xml.
3)重新加载 firewall 服务 ,查看 work zone 中的service