您的位置: 首页  >  文章  >  七周五次课(5月10日)

七周五次课(5月10日)

分类: 文章 2025-03-17 18:39:21


10.19 iptables规则备份和恢复

#service iptables save

命令默认会把规则保存到/etc/sysconfig/iptables中

备份:

# iptables-save > /tmp/ipt.txt
七周五次课(5月10日)

恢复:

#iptables-restore < /tmp/ipt.txt

七周五次课(5月10日)



10.20 firewalld的9个zone

启用firewalld


反着操作,禁用iptables,启用firewalld

# systemctl disable iptables

# systemctl stop iptables.service

# systemctl enable firewalld

# systemctl start  firewalld
七周五次课(5月10日)


查看规则

# iptables -nvL      //比较多,下图只截了其中一部分

七周五次课(5月10日)


firewalld默认有9个zone,zone为规则集(类似于windows的工作,家庭,公共网络)

默认zone为public

查看所有的zone

#firewall-cmd --get-zones

七周五次课(5月10日)

9个zone的简单说明

七周五次课(5月10日)

查看默认的zone

# firewall-cmd --get-default-zone

七周五次课(5月10日)

引用链接:https://access.redhat.com/documentation/zh-cn/red_hat_enterprise_linux/7/html/security_guide/sec-using_firewalls  

10.21 firewalld关于zone的操作

设定默认zone

#firewall-cmd --set-default-zone=work

七周五次课(5月10日)


查指定网卡的zone

# firewall-cmd --get-zone-of-interface=ens33

七周五次课(5月10日)


给指定网卡设定zone

七周五次课(5月10日)


针对网卡更改zone

# firewall-cmd --zone=block --change-interface=ens37

七周五次课(5月10日)


针对网卡删除zone

# firewall-cmd --zone=block --remove-interface=ens37  //这里删除后变为no zone

七周五次课(5月10日)

发现之前未启动NetworkManager服务,这里启用一下,不然结果和视频有差异的

# systemctl  start NetworkManager    //这里变为work

七周五次课(5月10日)


查看所有网卡所在的zone

# firewall-cmd --get-active-zones

七周五次课(5月10日)


10.22 firewalld关于service的操作

 

# firewall-cmd --get-services    //查看当前所有的服务

七周五次课(5月10日)


查看当前的zone有哪些服务

# firewall-cmd --list-services

七周五次课(5月10日)


查看指定zone下有哪些服务

# firewall-cmd --zone=public --list-service

七周五次课(5月10日)


临时增加服务到指定zone下

# firewall-cmd --zone=public --add-service=http

七周五次课(5月10日)

临时删除指定zone下的服务

# firewall-cmd --zone=public --remove--service=http

七周五次课(5月10日)


在指定zone下永久增加指定服务 --permanent

# firewall-cmd --zone=public --add-service=http --permanent

该操作会在/etc/firewalld/zones目录下生成配置文件,临时增加的不会写入配置文件

七周五次课(5月10日)


小结一下:1,zone是有模板的,在 /usr/lib/firewalld/zones目录下

七周五次课(5月10日)

                  2,永久更改zone的服务,会在/etc/firewalld/zones下生成配置文件,生成新的,旧的添加.old后缀

(当前只改动了public,所以只有public的配置文件)

七周五次课(5月10日)

                 3,服务的配置文件在/etc/firewalld/service目录下(当前没有改动,所以是空的)

                 4,服务的模板在/usr/lib/firewalld/services目录下

七周五次课(5月10日)



实现一个需求:ftp服务自定义端口1121,需要在work zone下面放行ftp

步骤:

1,复制ftp服务模板到服务配置文件目录下(/etc/firewalld/service)

# cp /usr/lib/firewalld/services/ftp.xml  /etc/firewalld/services/

2,修改服务配置文件端口为1121

# vim  /etc/firewalld/services/ftp.xml
七周五次课(5月10日)


3,复制work模板到/etc/firewalld/zones目录下

# cp /usr/lib/firewalld/zones/work.xml  /etc/firewalld/zones/


4,修改work配置文件,增加一行<service name="ftp"/>

# vim /etc/firewalld/zones/work.xml

5,重新加载

# firewall-cmd --reload

6,检查

# firewall-cmd --zone=work  --list-services

七周五次课(5月10日)








相关推荐