保存以及备份iptalbes规则

    设定了的防火墙规则要进行保存，否则系统重启后这些规则就没有了，使用命令 ”service iptables save ”  会把设定好的防火墙规则保存到文件/etc/sysconfig/iptables 里。

    也可以把设定的iptables 规则备份到/tmp/ipt.txt文件中 ，使用命令：” iptables-save >/tmp/ipt.txt ”

    恢复备份的规则：” iptables-restore < /tmp/ipt.txt “

firewalld是centos7 的防火墙

 

 

   关闭 iptables 再打开firewalld使用命令：

systemctl disable iptablessystemctl stop iptablessystemctl enable firewalldsystemctl start firewalld

firewalld默认有9个zone，zone是firewalld的一个单位，每个zone是一个规则集

查看所有的zone ：”firewall-cmd --get-zones”

查询默认的zone：” firewall-cmd --get-default-zone”

9个zone分别是：

    drop(丢弃) ：任何接受的网络数据包都被丢弃，没有任何回复，仅能有发送出去的网络连接

    block（限制）：任何接收的网络连接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息拒绝

    public（公共）：在公共区域使用，不能信任来自网络的其他计算机不会危害你的计算机，解锁经过选择的连接，这个是默认的zone

    external（外部）：用于外部网络，特别是位路由器启用的伪装的外部网。不能信任来自网络的其他计算机，不能相信它们不会对你的计算机造成危害，值能接收经过选择的连接

    dmz（非军事区）：此区域可以公开访问，可以有限地进入你的内部网络，只接收经过选择的连接

    work（工作）：可以基本上信任网络内的其他计算机不会危害你的计算机，仅仅接收经过选择的链接

    home（家庭）：家庭网络，，基本可以信任网络内的其他计算机不会危害你的计算机，接收经过选择的连接

    internal（内部）：内部网络，基本上信任网络内其他计算机不会危害你的计算机，只接收经过选择的连接

trusted（信任）：可接收所有网络连接

firewalld关于zone的操作

设定默认zone为work：

firewall-cmd --set-default-zone=work

查指定的网卡的zone

firewall-cmd --get-zone-of-interface=ens33

给指定的网卡lo设置zone为public

firewall-cmd --zone=public --add-interface=lo

针对网卡ens33的zone更改为work：

firewall-cmd --zone=work --change-interface=ens33

查看系统所有的网卡所在的zone：

firewall-cmd --get-active-zones

firewalld关于service的操作

    services是zone下的子单元，是指定的端口，防火墙对端口进行一些限制

查看所有的service  : firewall-cmd --get-service

查看指定zone的services

查看当前zone下有哪些service : firewall-cmd --list-services

 

把http增加到public zone下面: firewall-cmd --zone=public --add-service=http

将配置保存到配置文件里 ：

firewall-cmd --zone=public --add-service=http --permanent

配置文件要在目录/etc/firewalld/zones/里寻找

                                             firewall-cmd --zone-public --remove-service=http

zone的配置文件模板  /usr/lib/firewalld/services/

更改配置文件之后会在/etc/firewalld/zones目录下面生产能配置文件

需求：ftp服务自定义端口1121，需要在work zone下面放行ftp。

cp /usr/lib/firewalld/services/ftp.xml /etc/firewalld/serwalld/services

vi /etc/firewalld/services/ftp.xml  //port=后面改为1121

cp /usr/lib/firewalld/zones/work.xml /etc/firewalld/zones

vi /etc/firewalld/zones/work.xml //增加下面一行进入文件里

<service name="ftp"/>

firewall-cmd --reload 重新加载

firewall-cmd --zone=work --list-services  //查看work下services