标签:err 服务 root 停用 备份和恢复 一个 公司 emctl ext
10.19 iptables规则备份和恢复
[root@hyc-01-01 ~]# service iptables save 保存iptables规则
该命令会将规则保存在/etc/sysconfig/iptables
将iptables规则备份到一个文件中
[root@hyc-01-01 ~]# iptables-save>/tmp/ipt.txt
将iptables规则备份到ipt.txt文件中
从备份规则的文件恢复iptables规则
[root@hyc-01-01 ~]# iptables-restore</tmp/ipt.txt
写入/etc/sysconfig/iptables的规则会在开机时自动加载,其他备份文件的规则需要手动加载
10.20 firewalld的9个zone
[root@hyc-01-01 ~]# systemctl disable iptables 使netfilter残废
[root@hyc-01-01 ~]# systemctl stop iptables 停用netfilter
[root@hyc-01-01 ~]# systemctl enable firewalld 使能firewalld
[root@hyc-01-01 ~]# systemctl start firewalld 启用firewalld
firewalld默认有9个ZONE,默认使用的ZONE是public;
每个ZONE都是一个规则集,包含多个规则;
查看所有的ZONE:
[root@hyc-01-01 ~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work
查看默认的ZONE:
[root@hyc-01-01 ~]# firewall-cmd --get-default-zone
Public
ZONE的区别:
drop(丢弃):任何接收的网络数据包都将被丢弃,无任何回复,仅能有发送出去的网络连接
数据包无法进入,但可以出去,安全性最佳
block(限制)任何接收的网络连接都被ipv4的icmp-host-prohibited信息和ipv6的icmp6-adm-prohibited信息拒绝
主要针对icmp数据包做限制
public(公共):在公共区域内使用,不相信网络内其他计算机不会对本机造成危害,只接收经过选取的连接
部分数据包放行,部分数据包限制
external:(外部):适合为路由器启用了伪装功能的外部网,不相信来自网络的其他计算机,只接收经过筛选的连接
dmz(非军事区):用于非军事区内的电脑,此区域可公开访问,可以有限的进入内部网络,仅接收经过筛选的连接
work(工作):用于工作区,可以基本相信网络内的电脑不会对本机造成危害,接收经过筛选的连接
通常为公司内网
home(家庭):与work类似
internal(内部):用于内部网络,可以基本相信网络内的计算机不会对本机造成危害,接收经过筛选的连接
通常不连外网
trusted(信任):可接收所有网络连接
无任何限制
10.21 firewalld关于zone的操作
指定默认的ZONE:
[root@hyc-01-01 ~]# firewall-cmd --set-default-zone=work
Error: COMMAND_FAILED
[root@hyc-01-01 ~]# firewall-cmd --set-default-zone=work
Warning: ZONE_ALREADY_SET: work
success
[root@hyc-01-01 ~]# firewall-cmd --get-default-zone
Work
ZONE可以针对网卡操作
查看指定网卡使用的ZONE
[root@hyc-01-01 ~]# firewall-cmd --get-zone-of-interface=ens33
public
[root@hyc-01-01 ~]# firewall-cmd --get-zone-of-interface=ens37
no zone
[root@hyc-01-01 ~]# firewall-cmd --get-zone-of-interface=lo
no zone
后来添加的ens37为no zone:
1 复制ens33为ens37并改写配置文件,重启网络服务
[root@hyc-01-01 ~]# cd /etc/sysconfig/network-scripts
[root@hyc-01-01 network-scripts]# cp ifcfg-ens33 ifcfg-ens37
[root@hyc-01-01 network-scripts]# vim ifcfg-ens37
[root@hyc-01-01 network-scripts]# systemctl restart network.service
2 重启firewalld服务
[root@hyc-01-01 network-scripts]# systemctl restart firewalld
ens37使用work的ZONE
[root@hyc-01-01 network-scripts]# firewall-cmd --get-zone-of-interface=ens37
work
这样使某个没有ZONE的网卡有了ZONE
修改某个网卡的ZONE:
[root@hyc-01-01 network-scripts]# firewall-cmd --zone=dmz --add-interface=ens37
The interface is under control of NetworkManager, setting zone to 'dmz'.
success
[root@hyc-01-01 network-scripts]# firewall-cmd --get-zone-of-interface=ens37
Dmz
修改网卡ens37的ZONE为dmz
[root@hyc-01-01 network-scripts]# firewall-cmd --zone=public --add-interface=lo
success
[root@hyc-01-01 network-scripts]# firewall-cmd --get-zone-of-interface=lo
Public
将本来no zone的网卡增加ZONE为public
修改网卡的ZONE:
[root@hyc-01-01 network-scripts]# firewall-cmd --zone=block --change-interface=lo
success
[root@hyc-01-01 network-scripts]# firewall-cmd --get-zone-of-interface=lo
Block
删除某个网卡的ZONE:
[root@hyc-01-01 network-scripts]# firewall-cmd --get-zone-of-interface=lo
block
[root@hyc-01-01 network-scripts]# firewall-cmd --zone=block --remove-interface=lo
success
[root@hyc-01-01 network-scripts]# firewall-cmd --get-zone-of-interface=lo
no zone
lo网卡的ZONE被删除,变成no zone
[root@hyc-01-01 network-scripts]# firewall-cmd --zone=dmz --remove-interface=ens37
The interface is under control of NetworkManager, setting zone to default.
success
[root@hyc-01-01 network-scripts]# firewall-cmd --get-zone-of-interface=ens37
work
[root@hyc-01-01 network-scripts]# firewall-cmd --get-default-zone
Work
ens37的ZONE被删除,变成默认的ZONE
查看系统所有网卡所在的ZONE:
[root@hyc-01-01 network-scripts]# firewall-cmd --get-active-zones
work
interfaces: ens33 ens37
block
interfaces: l9
10.22 firewalld关于service的操作
标签:err 服务 root 停用 备份和恢复 一个 公司 emctl ext
原文地址:http://blog.51cto.com/12216458/2145078