学习笔记第三十二节课

Posted 2020-11-04

iptables规则备份和恢复。

• 
• service iptables save 会把规则保存到 /etc/sysconfig/iptables配置文件中，但是有时候不想保存这个位置。
• 可以用命令 iptables-sabe > 到你想保存的位置。
• 
• 恢复备份的规则的话 是iptables-restore
• 
• 保存之后清空掉就没有规则了。
• 
• 再恢复一下 规则就出来了。
• 
• 备份的规则只有恢复的时候会用到，如果一重启服务器，就想加载一些规则，最好放在 etc /sysconfig/iptables 里面。
• 现在学的这个已经足够了 即使碰见难的规则 去现学就行。

firewalld 的9个zone

• 
• 打开firewalld 。
• 然后重新启动 firewalld
• 
• 然后 iptables -nvL 发现多了很多规则。
• 
• nat 也是多了很多规则。 这些都是firewalld自带的规则。链也很多。
• 
• firewalld 默认有 9个zone 这个是单位，默认是public 每个zone 是一个规则级 自带一些规则， 比如放行了 22端口 这就是一个规则级。
• 去查看zone 命令是 firewalld-cmd--get-zones 会提示默认使用public 一共有9个zone
• 
• 查看默认的zone 是用命令。firewall-cmd --get-default-zone
• 
• 这个就是查询默认的zone是什么 是public。
• 这几个zone的区别下图可以看到。
• 
• drop 进来的包进不来 但是可以出去包。
• block是限制，这个稍微i宽松点，主要针对icmp的。
• puvlic 公共，有些数据包放行 有些是禁掉的。
• external 适合路由器的。
• dmz 非军事区
• worek 相当于内网工作使用方便。
• home 自己家的网。
• intenal 内部 内部网络不连接外网。
• trusted 信任 接受所有网络。

?firewall关于zone的操作

• 
• 设定默认zone 是命令 firewall-cmd --ste-default-zone=work
• 
• 
• zone 可以针对网卡操作的。
• 
• 如果eno33554984 显示也是no zone 要 做一个操作。cp一份到3355文件，然后修改配置文件，然后重启网络服务 再重启firewall
• 
• 如果还是没有 可以给他增加一个zone、 firewall-cmd --zone=dmz
• 
• 也可以针对网卡更改zone，
• 
• 也可以删除zone。
• 
• 查看系统所有的网卡 。
• 

firewalld关于service的操作

• 
• servies 是zone下面的一个子单元，理解为指定的一些端口。
• 查看所有的servies 。
• 
• 查看所有的zone ，命令是firewall-cmd --get-default-zone。查看services的 是firewall-cmd --list-service 、
• 也可以针对某一个zone 去查看。
• 
• 把http 添加到public zone下面去 ，可以这样操作。
• 
• 现在仅仅是在内存中增加了 service 现在把配置增加到配置文件中去。就是在更改命令后面加 -permanent 更改后可以在etc /firewalld/zones/public.xml 中看到。
• 
• 
• usr/lib/firewalld/zones 是zone的配置文件模版， etc/firewalld/zones/ 是firewalld 服务所用到的文件。
• zone 和firewalld 是有模版的。
• 
• 做个实验： ftp服务自定义端口1121 在work zone 下面方向ftp。
• 先cp一份 到etc下 然后 修改1121就可以了。
• 
• 
• 然后在cp一份 usr下的 firewalld/zones/worek.xml 到etc下。然后编辑。
• 
• 然后重新加载一下。
• 
• 现在来检测一下。
•