码迷,mamicode.com
首页 > 其他好文 > 详细

7.16 10.19-10.22

时间:2018-07-16 23:15:10      阅读:238      评论:0      收藏:0      [点我收藏+]

标签:err   服务   root   停用   备份和恢复   一个   公司   emctl   ext   

10.19 iptables规则备份和恢复

 

[root@hyc-01-01 ~]# service iptables save 保存iptables规则

该命令会将规则保存在/etc/sysconfig/iptables

 

iptables规则备份到一个文件中

[root@hyc-01-01 ~]# iptables-save>/tmp/ipt.txt

iptables规则备份到ipt.txt文件中

 

从备份规则的文件恢复iptables规则

[root@hyc-01-01 ~]# iptables-restore</tmp/ipt.txt

 

写入/etc/sysconfig/iptables的规则会在开机时自动加载,其他备份文件的规则需要手动加载

 

10.20 firewalld9zone

 

[root@hyc-01-01 ~]# systemctl disable iptables 使netfilter残废

[root@hyc-01-01 ~]# systemctl stop iptables 停用netfilter

 

[root@hyc-01-01 ~]# systemctl enable firewalld 使能firewalld

[root@hyc-01-01 ~]# systemctl start firewalld 启用firewalld

 

firewalld默认有9ZONE,默认使用的ZONEpublic

每个ZONE都是一个规则集,包含多个规则;

查看所有的ZONE:

[root@hyc-01-01 ~]# firewall-cmd --get-zones

block dmz drop external home internal public trusted work

查看默认的ZONE

[root@hyc-01-01 ~]# firewall-cmd --get-default-zone

Public

 

ZONE的区别:

drop(丢弃):任何接收的网络数据包都将被丢弃,无任何回复,仅能有发送出去的网络连接

数据包无法进入,但可以出去,安全性最佳

block(限制)任何接收的网络连接都被ipv4icmp-host-prohibited信息和ipv6icmp6-adm-prohibited信息拒绝

主要针对icmp数据包做限制

public(公共):在公共区域内使用,不相信网络内其他计算机不会对本机造成危害,只接收经过选取的连接

部分数据包放行,部分数据包限制

external:(外部):适合为路由器启用了伪装功能的外部网,不相信来自网络的其他计算机,只接收经过筛选的连接

dmz(非军事区):用于非军事区内的电脑,此区域可公开访问,可以有限的进入内部网络,仅接收经过筛选的连接

work(工作):用于工作区,可以基本相信网络内的电脑不会对本机造成危害,接收经过筛选的连接

通常为公司内网

home(家庭):与work类似

internal(内部):用于内部网络,可以基本相信网络内的计算机不会对本机造成危害,接收经过筛选的连接

通常不连外网

trusted(信任):可接收所有网络连接

无任何限制

 

10.21 firewalld关于zone的操作

 

指定默认的ZONE:

[root@hyc-01-01 ~]# firewall-cmd --set-default-zone=work

Error: COMMAND_FAILED

[root@hyc-01-01 ~]# firewall-cmd --set-default-zone=work

Warning: ZONE_ALREADY_SET: work

success

[root@hyc-01-01 ~]# firewall-cmd --get-default-zone

Work

 

ZONE可以针对网卡操作

查看指定网卡使用的ZONE

[root@hyc-01-01 ~]# firewall-cmd --get-zone-of-interface=ens33

public

[root@hyc-01-01 ~]# firewall-cmd --get-zone-of-interface=ens37

no zone

[root@hyc-01-01 ~]# firewall-cmd --get-zone-of-interface=lo

no zone

 

后来添加的ens37no zone

1 复制ens33ens37并改写配置文件,重启网络服务

[root@hyc-01-01 ~]# cd /etc/sysconfig/network-scripts

[root@hyc-01-01 network-scripts]# cp ifcfg-ens33 ifcfg-ens37

[root@hyc-01-01 network-scripts]# vim ifcfg-ens37

[root@hyc-01-01 network-scripts]# systemctl restart network.service

2 重启firewalld服务

[root@hyc-01-01 network-scripts]# systemctl restart firewalld

ens37使用workZONE

[root@hyc-01-01 network-scripts]# firewall-cmd --get-zone-of-interface=ens37

work

这样使某个没有ZONE的网卡有了ZONE

 

修改某个网卡的ZONE

[root@hyc-01-01 network-scripts]# firewall-cmd --zone=dmz --add-interface=ens37

The interface is under control of NetworkManager, setting zone to 'dmz'.

success

[root@hyc-01-01 network-scripts]# firewall-cmd --get-zone-of-interface=ens37

Dmz

修改网卡ens37ZONEdmz

[root@hyc-01-01 network-scripts]# firewall-cmd --zone=public --add-interface=lo

success

[root@hyc-01-01 network-scripts]# firewall-cmd --get-zone-of-interface=lo

Public

将本来no zone的网卡增加ZONEpublic

 

修改网卡的ZONE

[root@hyc-01-01 network-scripts]# firewall-cmd --zone=block --change-interface=lo

success

[root@hyc-01-01 network-scripts]# firewall-cmd --get-zone-of-interface=lo

Block

 

删除某个网卡的ZONE

[root@hyc-01-01 network-scripts]# firewall-cmd --get-zone-of-interface=lo

block

[root@hyc-01-01 network-scripts]# firewall-cmd --zone=block --remove-interface=lo

success

[root@hyc-01-01 network-scripts]# firewall-cmd --get-zone-of-interface=lo

no zone

lo网卡的ZONE被删除,变成no zone

[root@hyc-01-01 network-scripts]# firewall-cmd --zone=dmz --remove-interface=ens37

The interface is under control of NetworkManager, setting zone to default.

success

[root@hyc-01-01 network-scripts]# firewall-cmd --get-zone-of-interface=ens37

work

[root@hyc-01-01 network-scripts]# firewall-cmd --get-default-zone

Work

ens37ZONE被删除,变成默认的ZONE

 

查看系统所有网卡所在的ZONE:

[root@hyc-01-01 network-scripts]# firewall-cmd --get-active-zones

work

  interfaces: ens33 ens37

block

  interfaces: l9

 

10.22 firewalld关于service的操作

 

 


7.16 10.19-10.22

标签:err   服务   root   停用   备份和恢复   一个   公司   emctl   ext   

原文地址:http://blog.51cto.com/12216458/2145078

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!