平常運維（五）

一 iptables規則備份和恢復

    一、保存規則

        #  service iptables sabe  //把規則保存到指定的文件/etc/sysconfig/iptables中，啓動服務器就會加載文件中的規則

    二、備份規則

        # iptables-save > my.ipt   //把iptables規則備份到my.ipt中

    三、恢復備份的規則

        # iptables-restore < 文件名  

二 firewalld的9個zone

    一、打開防火牆

        打開防火牆以前先要關閉以前打開的iptables

        # systemctl disable iptables

        # systemctl stop iptables

        # systemctl enable firewalld

        # systemctl start firewalld

    開啓firewalld後，查看默認規則：

       # iptables -nvL  //使用這個命令查看firewalld 的filter表的默認規則以下面的3個圖

    二、firewalld的zone

            firewalld默認有9個zone,zone是firewalld的一個單位，firewalld默認使用的是public zone,每一個zone相似一個規則集，zone裏面自帶一些規則

       # firewall-cmd --get-zones //查看全部zone

    # firewall-cmd --get-default-zone //查看默認zone

三 firewalld關於zone的操做

    一、設置默認zone

        # firewall-cmd --set-default-zone=work

    二、查看指定網卡的zone

        # firewall-cmd --get-zone-of-interface=ens33  //查看ens33網卡的zone

    三、給指定網卡設置zone

        # firewall-cmd --zone=dmz --add-interface=ens37  //設置前要保證指定的網卡不是no zone的狀況，若是是no zone ，須要更改指定網卡的配置文件並重啓網絡服務，再加載一下firewalld服務

    四、針對網卡更改zone

        # firewall-cmd --zone=block --change-interface=ens37

    五、針對網卡刪除zone

         # firewall-cmd --zone=block --remove-interface=ens37

        刪除後，指定網卡會變成默認的zone

    六、查看系統全部網卡所在的zone

        # firewall-cmd --get-active-zones

四 firewalld關於service的操做

        service是zone下面的一個子單元，能夠理解爲service是指定一個端口的

    一、查看全部的services

        # firewall-cmd --get-services  //其中的services的s能夠不加

    二、查看當前zone下有哪些services

        # firewall-cmd --list-services   //其中的services的s能夠不加

        # firewall-cmd --zone=public --list-services   //查看指定zone下的service

    三、把http服務增長到public zone下面

        # firewall-cmd --zone=public --add-service=http //此時的更改還停留在內存中，還沒寫入到配置文件中

        # firewall-cmd --zone=public --add-service=http --permanent //後面跟上permanent，則將增長的服務寫到配置文件中去了

    上面提到的配置文件路徑爲/etc/firewalld/zones/public.xml

    四、配置文件的模板

        # ls /usr/lib/firewalld/zones   //zone的配置文件模板

        # ls /usr/lib/firewalld/services  //service的配置文件模板

    五、完成需求：給ftp服務自定義端口1121，須要在work zone 下面放行ftp

        1)將ftp配置文件模板拷貝到service配置文件下去

            # cp /usr/lib/firewalld/services/ftp.xml /etc/firewalld/services

        2)編輯拷貝後的文件

            # vi /etc/firewalld/sevices/ftp.xml   //將文件中的端口號從默認的21端口改成1121端口

   

        3)將work zone的默認配置文件拷貝到zones下面去

       # cp /usr/lib/firewalld/zones/work.xml /etc/firewalld/zones

        4)編輯拷貝後的文件，在work zone中放行ftp

        增長下圖中ftp的一行

    5) 從新加載firewalld服務

        # firewall-cmd --reload

    6) 檢查是否生效

        # firewall -cmd --zone=work --list-service