有没有办法在 RHEL7 中使用 firewalld 保存？

RHEL 7.0 中的 firewalld 版本没有“保存”脚本，也无法将正在运行的防火墙配置复制到永久配置中。--permanent通过添加到进行更改的命令行，您可以使用 firewalld 保存防火墙更改。没有它，您所做的任何更改都是暂时的，并且会在系统重新启动时丢失。

例如：

firewall-cmd --add-service=http                 # Running config
firewall-cmd --add-service=http --permanent     # Startup config

后来（RHEL 7 之后）版本的 firewalld 确实包含一种保存运行配置的方法，现在 Fedora 和RHEL 7.1中都提供了这种方法。在这种情况下，命令很简单：

firewall-cmd --runtime-to-permanent

我需要添加 SIP 服务和一些 IP

在 /usr/lib/firewalld/services/ 目录中，我添加了基于其他 xml 服务文件的sip.xml 。

<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SIP</short>
  <description>This is SIP, Yo! </description>
  <port protocol="udp" port="5060"/>
</service>

然后我将 sip 服务添加到 firewalld

# firewall-cmd --add-service=sip --permanent 

然后我在 /etc/firewalld/zones/public.xml 中添加 IP 服务

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description></description>
  <service name="dhcpv6-client"/>
  <service name="http"/>
  <service name="ssh"/>
  <service name="https"/>

  <rule family="ipv4">
    <source address="x.x.x.x/32"/>
    <service name="sip"/>
    <accept/>
  </rule>

</zone>

如果您添加日志记录级别，您还可以添加 LOG

  <rule family="ipv4">
    <source address="x.x.x.x/32"/>
    <service name="sip" 
    <log prefix="sip" level="info"/>
    <accept/>
  </rule>

将规则添加到您的区域后，执行

# firewall-cmd --reload

检查你的 iptables - 你应该已经准备好了。