iptables保存备份和还原
[root@hanlin ~]# service iptables save (保存规则到下面的路径)
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ 确定 ]
[root@hanlin ~]# iptables-save >/tmp/ipt.txt (备份规则到指定路径)
[root@hanlin ~]# iptables-restore
如果想要已启动就家在一些规则,还是把规则保存在配置文件中
firewalled
防火墙守护 firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。它支持 ipv4 与 ipv6,并支持网桥,采用 firewall-cmd (command) 或 firewall-config (gui) 来动态的管理 kernel netfilter 的临时或永久的接口规则,并实时生效而无需重启服务。
Firewall 能将不同的网络连接归类到不同的信任级别,Zone 提供了以下几个级别 drop: 丢弃所有进入的包,而不给出任何响应 block: 拒绝所有外部发起的连接,允许内部发起的连接 public: 允许指定的进入连接 external: 同上,对伪装的进入连接,一般用于路由转发 dmz: 允许受限制的进入连接 work: 允许受信任的计算机被限制的进入连接,类似 workgroup home: 同上,类似 homegroup internal: 同上,范围针对所有互联网用户 trusted: 信任所有连接
[root@hanlinxy ~]# systemctl disable iptables.service (停止iptables服务)
Removed symlink /etc/systemd/system/basic.target.wants/iptables.service.
[root@hanlinxy ~]# systemctl stop iptables.service (关闭iptables)
[root@hanlinxy ~]# systemctl enable firewalld.service (开启firewall服务)
Created symlink from /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service to /usr/lib/systemd/system/firewalld.service. Created symlink from /etc/systemd/system/multi-user.target.wants/firewalld.service to /usr/lib/systemd/system/firewalld.service.
[root@hanlinxy ~]# systemctl start firewalld.service (开启firewall)
[root@hanlinxy ~]# firewall-cmd --get-zones (查看所有zones) block dmz drop external home internal public trusted work [root@hanlinxy ~]# firewall-cmd --get-default-zone (查看默认zone) public
[root@hanlinxy ~]# firewall-cmd --set-default-zone=work (指定默认zone) success
[root@hanlinxy ~]# firewall-cmd --get-default-zone work
[root@hanlinxy ~]# firewall-cmd --get-zone-of-interface=ens33 (查看网卡的zone) work
[root@hanlinxy ~]# firewall-cmd --zone=dmz --add-interface=ens33 (指定网卡的zone) The interface is under control of NetworkManager, setting zone to 'dmz'. success
[root@hanlinxy ~]# firewall-cmd --get-zone-of-interface=ens33 dmz
[root@hanlinxy ~]# firewall-cmd --zone=public --change-interface=ens33 (对网卡的zone进行更改) The interface is under control of NetworkManager, setting zone to 'public'. success
[root@hanlinxy ~]# firewall-cmd --get-zone-of-interface=ens33 public
[root@hanlinxy ~]# firewall-cmd --zone=public --remove-interface=ens33 (删除指定网卡的zone,删除完就变成默认的zone) The interface is under control of NetworkManager, setting zone to default. success
[root@hanlinxy ~]# firewall-cmd --get-active-zones (查看系统所有网卡默认的zone) work interfaces: ens33
[root@hanlinxy ~]# firewall-cmd --get-service (查看防火墙里面所有的服务)
[root@hanlinxy ~]# firewall-cmd --list-service (查看当前zone有哪些服务) ssh dhcpv6-client
[root@hanlinxy ~]# firewall-cmd --zone=public --list-service ssh dhcpv6-client
[root@hanlinxy ~]# firewall-cmd --zone=public --list-service ssh dhcpv6-client
[root@hanlinxy ~]# firewall-cmd --zone=public --add-service=http (添加指定的服务端口到指定的zone里面) success [root@hanlinxy ~]# firewall-cmd --zone=public --list-service ssh dhcpv6-client http
[root@hanlinxy ~]# firewall-cmd --zone=public --add-service=ftp --permanent (添加服务端口到zone并且添加到配置文件中,路径是/etc/firewalld/zones/public.xml) success
[root@hanlinxy ~]# cat /etc/firewalld/zones/public.xml (查看zone配置文件) Public For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted. [root@hanlinxy ~]# ls /usr/lib/firewalld/services (firewall服务模板)
[root@hanlinxy ~]# ls /usr/lib/firewalld/zones/ (firewall zone模板) block.xml dmz.xml drop.xml external.xml home.xml internal.xml public.xml trusted.xml work.xml
ftp服务自定义端口,并且在zone下面work级别放行ftp
[root@hanlinxy ~]# cp /usr/lib/firewalld/services/ftp.xml /etc/firewalld/services/ (拷贝服务模板到firewall配置文件路径下) [root@hanlinxy ~]# vim /etc/firewalld/services/ftp.xml (编辑服务端口配置文件,比如改端口号等等)
[root@hanlinxy ~]# cp /usr/lib/firewalld/zones/work.xml /etc/firewalld/zones/ (复制zone下面的work模板到firewall zone配置文件路径下面) cp:是否覆盖"/etc/firewalld/zones/work.xml"? y
root@hanlinxy ~]# vim /etc/firewalld/zones/work.xml (更改配置文件,添加服务等等)
[root@hanlinxy ~]# firewall-cmd --reload (更新规则不重启服务) success
[root@hanlinxy ~]# firewall-cmd --zone=work --list-services (查看指定级别的服务信息) ssh dhcpv6-client ftp
来源:oschina
链接:https://my.oschina.net/u/3867255/blog/1857635