10月29日任务

10.19 iptables规则备份和恢复

10.20 firewalld的9个zone

10.21 firewalld关于zone的操作

10.22 firewalld关于service的操作

一. iptables规则备份和恢复

• #iptables -save > /tmp/ipt.txt 将规则备份到指定文件里
• #iptables -restore < ipt.txt 将规则恢复回来

二.firewalld的9个zone

• 打开firewalld，centos7使用的防火墙机制
• #systemctl disable iptables 关闭开机自启动iptables服务
• #systemctl stop iptables 关闭iptables服务
• #systemctl enable firewalld 设置firewalld为开机自启动
• #systemctl start firewalld 启动firewalld服务
• firewalld 默认有9个zone ，zone为firewalld的单位，默认使用zone为public。
• #firewall -cmd --get -zones 查看所有的zone

• #firewall -cmd --get -default -zone 查看默认的zone

• 9个zone的区别

三.firewalld关于zone的操作

• #firewall -cmd --set -default-zone=work 是定默认zone
• #firewall -cmd --get -zone-of-interface=ens33 查指定网卡
• #firewall -cmd --zone=public --add-interface=lo 给指定网卡设置zone
• #firewall -cmd --zone =dmz --change-interface=fo 针对网卡更改zone
• #firewall -cmd --zone =dmz --remove-interface=lo 针对网卡删除zone
• #firewall -cmd --get -active-zones 查看所有网卡所在的zone

四. firewalld关于service的操作

• #firewall -cmd --get -service 查看所有的service
• #firewall -cmd --get -default-zone查看当前的zone

• firewall -cmd --list-services 查看当前zone下有哪些service

• #firewall -cmd --zone=pubcli --list-services查看对应的zone有哪些service
• #firewall-cmd --zone=public --add-service=http   把http增加到public zone下面，只是在内存里面增加了。

• #firewall-cmd --zone=public --add-service=ftp --permanent 保存到配置文件里面，永久增加。

• #ls /usr/lib/firewalld/zones/ 里面是zone的模板

• #ls /etc/firewalld/zones/ 系统firewalld服务用到的配置文件，每当更改并永久保存，久的就会增加.old后缀，保存在该文件下面

实验一：ftp服务自定义端口1121，需要在work zone 下面放行ftp

• #cp /usr/lib/firewalld/services/ftp.xml /etc/firewalld/services/ 拷贝ftp的配置文件拷贝到etc下面去
• #vi /etc/firewalld/services/ftp.xml 编辑该文件，并把他改为1121

• #cp /usr/lib/firewalld/zones/work.xml /etc/firewalld/zones/ 拷贝到etc下
• #vim /etc/firewalld/zones/work.xml 编辑该文件，增加一行，并如下箭头所指填写。

• #firewall -cmd --reload 重新加载
• #firewall -cmd --zone=work --list-service查看一下