博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
七周五次课(5月10日)iptables规则备份和恢复、firewalld的9个zone、firewalld zone的操作、firewalld service的操作...
阅读量:6480 次
发布时间:2019-06-23

本文共 2583 字,大约阅读时间需要 8 分钟。

hot3.png

10.19  iptables规则备份和恢复

 service iptables save ,会把规则保存到 iptables 的配置文件中 /etc/sysconfig/iptables

iptables -save > /tmp/ipt.txt   将规则保存到ipt.txt

iptabls  - restore </tmp/ipt.txt  恢复规则

10.20 firewalld的9个zone

155031_m1BB_3803395.png

 firewall-cmd --get-zones   查看所有的zone

firewall-cmd --get-default-zone 查看默认的zone

firewalld的9个zone

155237_AE3m_3803395.png

10.21 firewalld关于zone的操作

firewall-cmd --set-default-zone=work   //设定默认的zone

firewall-cmd --get-default-zone  //查看默认的zone

firewall-cmd --get-zone-of-interface=eth0   //查找指定网卡的zone

firewall-cmd  --zone=public  --add-interface=eth0  //给指定网卡设置zone 

firewall-cmd  --zone=dmz  --change-interface=eth0  //针对网卡更改zone

firewall-cmd  --zone=dmz  --remove-interface=eth0  //针对网卡删除zone

firewall-cmd  --get-active-zones  //查看系统所有网卡所在的zone

10.22 firewalld 关于 service 的操作

 systemctl start firewalld # 启动,

# systemctl enable firewalld # 开机启动
# systemctl stop firewalld # 关闭
# systemctl disable firewalld # 取消开机启动

firewall-cmd  --get-services  查看所有的services

101836_5EoZ_3803395.png

firewall-cmd  --list-services  //查看当前zone下有哪些service

101913_xX8f_3803395.png

firewall-cmd --zone=work --list-services   //查看指定zone下的service

103130_bkjK_3803395.png

firewall-cmd --zone=public --add-service=http  //将http服务加入public 

103306_QHNo_3803395.png

firewall-cmd --zone=public --add-service=http --permanent  // 写入配置文件

每一次更改 zone 的配置文件,/etc/firewalld/zones/ 下都会生成一个新的文件 public.xml 和一个旧的备份文件 public.xml.old 

zone 和 service 都是有模板文件的,在 /usr/lib/firewalld/zones/ 和 /usr/lib/firewalld/services/ 里面

ftp 服务自定义端口 1121,需要在 work zone 下面放行 ftp

cp /usr/lib/firewalld/services/ftp.xml /etc/firewalld/services    

vi /etc/firewalld/services/ftp.xml 

103821_6eKb_3803395.png

输入命令 cp /usr/lib/firewalld/zones/work.xml /etc/firewalld/zones/ ,回车,再输入命令 vim /etc/firewalld/zones/work.xml 

104159_F3MA_3803395.png

重新加载服务,输入命令 firewall-cmd --reload

firewall-cmd --add-service=mysql # 开放mysql端口

firewall-cmd --remove-service=http # 阻止http端口

firewall-cmd --list-services  # 查看开放的服务

firewall-cmd --add-port=3306/tcp # 开放通过tcp访问3306

firewall-cmd --remove-port=80tcp # 阻止通过tcp访问3306

firewall-cmd --add-port=233/udp  # 开放通过udp访问233

firewall-cmd --list-ports  # 查看开放的端口

 

四、端口转发

端口转发可以将指定地址访问指定的端口时,将流量转发至指定地址的指定端口。转发的目的如果不指定ip的话就默认为本机,如果指定了ip却没指定端口,则默认使用来源端口。

如果配置好端口转发之后不能用,可以检查下面两个问题:

  • 比如我将80端口转发至8080端口,首先检查本地的80端口和目标的8080端口是否开放监听了
  • 其次检查是否允许伪装IP,没允许的话要开启伪装IP

1

2

3

4

5

6

# 将80端口的流量转发至8080

firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080

# 将80端口的流量转发至

firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.1.0.1192.168.0.1

# 将80端口的流量转发至192.168.0.1的8080端口

firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1:toport=8080

  • 当我们想把某个端口隐藏起来的时候,就可以在防火墙上阻止那个端口访问,然后再开一个不规则的端口,之后配置防火墙的端口转发,将流量转发过去。
  • 端口转发还可以做流量分发,一个防火墙拖着好多台运行着不同服务的机器,然后用防火墙将不同端口的流量转发至不同机器

 

 

转载于:https://my.oschina.net/u/3803395/blog/1808698

你可能感兴趣的文章
Spring中jdbcTemplate的用户实例
查看>>
[模板] 快速傅里叶变换/FFT/NTT
查看>>
DecimalFormat 数据格式设置 SimpleDateFormat时间格式的用法介绍 --转载
查看>>
Android 的Margin和Padding属性以及支持的长度单位
查看>>
HDU ACM 1050 Moving Tables
查看>>
Django templates加载css/js/image等静态资源
查看>>
Eclipse C + GTK2.0环境构筑
查看>>
caffe solver
查看>>
Rhel6-heartbeat+lvs配置文档
查看>>
ORACLE分科目统计每科前三名的学生的语句
查看>>
0317复利计算的回顾与总结
查看>>
函数对象
查看>>
最全最新个税计算公式---今天你税了吗?
查看>>
linux shell 正则表达式(BREs,EREs,PREs)差异比较(转,当作资料查)
查看>>
MongoDB--CSharp Driver Quickstart .
查看>>
二分法求平方根(Python实现)
查看>>
使用startActivityForResult方法(转)
查看>>
so在genymotation中错误问题
查看>>
Visual Studio 原生开发的10个调试技巧(二)
查看>>
Windows内核再次出现0Day漏洞 影响win2000到win10所有版本 反病毒软件恐成瞎子
查看>>