平常运维（五）

一 iptables规则备份和恢复

    一、保存规则

        #  service iptables sabe  //把规则保存到指定的文件/etc/sysconfig/iptables中，启动服务器就会加载文件中的规则

    二、备份规则

        # iptables-save > my.ipt   //把iptables规则备份到my.ipt中

    三、恢复备份的规则

        # iptables-restore < 文件名  

二 firewalld的9个zone

    一、打开防火墙

        打开防火墙以前先要关闭以前打开的iptables

        # systemctl disable iptables

        # systemctl stop iptables

        # systemctl enable firewalld

        # systemctl start firewalld

    开启firewalld后，查看默认规则：

       # iptables -nvL  //使用这个命令查看firewalld 的filter表的默认规则以下面的3个图

    二、firewalld的zone

            firewalld默认有9个zone,zone是firewalld的一个单位，firewalld默认使用的是public zone,每一个zone相似一个规则集，zone里面自带一些规则

       # firewall-cmd --get-zones //查看全部zone

    # firewall-cmd --get-default-zone //查看默认zone

三 firewalld关于zone的操做

    一、设置默认zone

        # firewall-cmd --set-default-zone=work

    二、查看指定网卡的zone

        # firewall-cmd --get-zone-of-interface=ens33  //查看ens33网卡的zone

    三、给指定网卡设置zone

        # firewall-cmd --zone=dmz --add-interface=ens37  //设置前要保证指定的网卡不是no zone的状况，若是是no zone ，须要更改指定网卡的配置文件并重启网络服务，再加载一下firewalld服务

    四、针对网卡更改zone

        # firewall-cmd --zone=block --change-interface=ens37

    五、针对网卡删除zone

         # firewall-cmd --zone=block --remove-interface=ens37

        删除后，指定网卡会变成默认的zone

    六、查看系统全部网卡所在的zone

        # firewall-cmd --get-active-zones

四 firewalld关于service的操做

        service是zone下面的一个子单元，能够理解为service是指定一个端口的

    一、查看全部的services

        # firewall-cmd --get-services  //其中的services的s能够不加

    二、查看当前zone下有哪些services

        # firewall-cmd --list-services   //其中的services的s能够不加

        # firewall-cmd --zone=public --list-services   //查看指定zone下的service

    三、把http服务增长到public zone下面

        # firewall-cmd --zone=public --add-service=http //此时的更改还停留在内存中，还没写入到配置文件中

        # firewall-cmd --zone=public --add-service=http --permanent //后面跟上permanent，则将增长的服务写到配置文件中去了

    上面提到的配置文件路径为/etc/firewalld/zones/public.xml

    四、配置文件的模板

        # ls /usr/lib/firewalld/zones   //zone的配置文件模板

        # ls /usr/lib/firewalld/services  //service的配置文件模板

    五、完成需求：给ftp服务自定义端口1121，须要在work zone 下面放行ftp

        1)将ftp配置文件模板拷贝到service配置文件下去

            # cp /usr/lib/firewalld/services/ftp.xml /etc/firewalld/services

        2)编辑拷贝后的文件

            # vi /etc/firewalld/sevices/ftp.xml   //将文件中的端口号从默认的21端口改成1121端口

   

        3)将work zone的默认配置文件拷贝到zones下面去

       # cp /usr/lib/firewalld/zones/work.xml /etc/firewalld/zones

        4)编辑拷贝后的文件，在work zone中放行ftp

        增长下图中ftp的一行

    5) 从新加载firewalld服务

        # firewall-cmd --reload

    6) 检查是否生效

        # firewall -cmd --zone=work --list-service