iptables規則備份和恢復,firewalld的9個zone,firewalld關於zone的操作,firewalld關於service的操作
筆記內容:
l 10.19 iptables規則備份和恢復
l 10.20 firewalld的9個zone
l 10.21 firewalld關於zone的操作
l 10.22 firewalld關於service的操作
筆記日期:2017.8.31
10.19 iptables規則備份和恢復
iptables-save可以將規則重定向保存到指定的文件中:
iptables-restore則是相反,把文件裏的規則恢復到iptables中:
其實這兩個命令就是把規則備份到指定的文件裏,當需要用到備份文件裏的規則時,就可以使用
例如我現在備份nat表的規則到指定的文件裏,然後把nat表的規則清空,如果我想恢復的話只需要從指定的文件裏恢復即可:
10.20 firewalld的9個zone
firewalld是CentOS7的防火墻機制,之前我們學習iptables時,把firewalld防火墻禁掉了,所以現在我們要反著操作一下,開啟firewalld關閉iptables:
現在使用iptables -nvL查看iptables 的規則會發現多了很多規則:
這是firewalld自帶的規則。
firewalld默認有9個zone,zone是firewalld的一個單位,默認的是public zone,每個zone都是一個規則集,規則集就是zone裏面自帶的一些規則的一個集合體,使用firewall-cmd --get-zones命令可以查看所有的zone:
firewall-cmd --get-default-zone命令可以查看默認的zone:
這些不同的zone的區別與含義:
10.21 firewalld關於zone的操作
設定默認的zone:
查看指定網卡:
如果你新添加的網卡顯示的是no zone的話,你就需要進入到/etc/sysconfig/network-scripts/目錄下,把正常的網卡配置文件復制一份為你新網卡名稱命名的文件,然後修改一下配置文件為你新網卡的信息,然後重啟一下網絡服務:
如果配置了配置文件之後還是顯示no zone的話,就給這個網卡設置zone,語法:
firewall-cmd --zone=zone的名稱 --add-interface=網卡名稱
例如:
針對網卡更改zone:
針對網卡刪除zone:
查看系統所有網卡所在的zone:
10.22 firewalld關於service的操作
所謂service就是zone下面的一個子單元,可以理解為一個指定的端口,因為防火墻無外乎就是對某個端口進行限制,例如http連接的是80端口、https連接的是43端口、ssh連接的22端等等。
查看所有的service:
查看當前的zone裏都有哪些service:
查看指定的zone下面有哪些service:
把http增加到public的zone下面:
現在僅僅是在內存裏把zone增加了service,重啟之後就會失效,想要永久有效,就要保存到配置文件裏:
這個文件會保存在/etc/firewalld/zones/目錄下:
除了zones還有service,service默認是沒有文件的,只有更改了service的配置文件之後,才會放在/etc/firewalld/services/目錄下:
/usr/lib/firewalld/zones/目錄下存放的是zone配置文件的模板:
/usr/lib/firewalld/services/目錄下存放的是services配置文件的模板:
現在我有一個需求,把ftp的默認端口改一下,改為1121端口,並且在work zone下放行ftp。
第一步,把ftp的配置文件拷貝到/etc/firewalld/services/目錄下:
第二步,編輯/etc/firewalld/services/目錄下的ftp.xml文件:
第三步,把/usr/lib/firewalld/zones/目錄下的work.xml文件放到/etc/firewalld/zones/目錄下:
第四步,編輯/etc/firewalld/zones/目錄下的work.xml文件:
配置文件修改完成後,重新加載一下:
指定zone為work:
這個需求就完成了。
總結:
firewalled服務有兩個角色,一個是zone一個是service,zone是firewalled的一個規則集合,每個zone裏都會有對應的iptables規則。每個zone下面都有一些service,這些service就像是這個zone的白名單,放行這些service。如果遇到需求,需要放行某個服務,就可以把這個服務增加到配置文件裏去,再重新reload就可以了,操作方式和上面的那個例子一樣。
本文出自 “12831981” 博客,請務必保留此出處http://12841981.blog.51cto.com/12831981/1973398
iptables規則備份和恢復,firewalld的9個zone,firewalld關於zone的操作,firewalld關於service的操作