操作系统 / 系统运维

Linux通过Firewalld服务限制IP和端口

浅时光博客 · 4月21日 · 2020年 firewalld · HA · SSH 10.2w 次已读

1、限制所有流量访问

查看指定网卡所在的区域

firewall-cmd --get-zone-of-interface=ens33

把firewalld的当前默认区域设置为drop，此为永久设置

firewall-cmd --set-default-zone=drop

把网卡关联的区域修改为drop，这样ens33端口的流量都不能进入

firewall-cmd --permanent --zone=drop --change-interface=ens33

2、单独指定某IP访问

firewall-cmd --permanent --zone=drop --add-rich-rule="rule family="ipv4"source address="192.168.66.10" accept"
firewall-cmd --reload

3、放通指定服务和端口

查询drop区域是否允许请求ssh和https服务的流量

firewall-cmd --zone=drop --query-service=ssh
firewall-cmd --zone=drop --query-service=https

在drop区域开放https服文章来源(Source)：https://dqzboy.com务

firewall-cmd --zone=drop --add-service=https

取消开放https服务，即禁止https服务

firewall-cmd --zone=drop --remove-service=https

开放80端口

firewall-cmd --zone=drop --add-port=80/tcp

开放3306端口

firewall-cmd --zone=drop --add-port=3306/tcp

查询drop区域开放了哪些端口

firewall-cmd --zone=drop --list-ports

允许icmp协议流量，即允许ping

firewall-cmd --zone=drop --add-protocol=icmp

查询drop区域开放了哪些协议

firewall-cmd --zone=drop --list-protocols

查询drop区域开放了哪些协议和端口IP

firewall-cmd --zone=drop --list-all

使其配置生效

firewall-cmd --reload

4、允许某个IP访问指定端口

允许192.168.66.10/24网原文链接：https://dqzboy.com段的主机访问22端口

firewall-cmd --permanent --zone=drop --add-rich-rule="rule family="ipv4" source address="192.168.66.10/24" port protocol="tcp" port="22" accept"

允许192.168.66.10的主机访问22端口

firewall-cmd --permanent --zone=drop --add-rich-rule="rule family="ipv4" source address="192.168.66.10" port protocol="tcp" port="22" accept"

本文作者：浅时光博客
原文链接：https://www.dqzboy.com/2137.html
版权声明：知识共享署名-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)协议进行许可，转载时请以>超链接形式标明文章原始出处和作者信息
免责声明：本站内容仅供个人学习与研究，严禁用于商业或非法目的。请在下载后24小时内删除相应内容。继续浏览或下载即表明您接受上述条件，任何后果由用户自行承担。

相关文章

CentOS 7源码编译部署Zabbix6 HA集群

9月12日 · 2022年

SSH免密登录失败：问题分析与解决方案总结

5月13日 · 2020年

FRP内网穿透搭建和使用

10月25日 · 2020年

PowerDNS安装部署和使用实践[更新]

10月4日 · 2020年

1 条回应

必须注册为本站用户，登录后才可以发表评论！

InV～ic未知2020-12-2 · 21:09

学习

登录以回复