操作系统 / 系统运维

Linux通过Filewalld服务限制IP和端口

温馨提示:本文最后更新于2021-03-02 18:42:04,某些文章具有时效性,若有错误或已失效,请在下方留言或提交工单提交工单
浅时光 · 4月21日 · 2020年 本文1275个字,预计阅读4分钟 44240次已读

1、限制所有流量访问

  • 查看指定网卡所在的区域
firewall-cmd --get-zone-of-interface=ens33
  • firewalld的当前默认区域设置为drop,此为永久设置
firewall-cmd --set-default-zone=drop
  • 把网卡关联的区域修改为drop,这样ens33端口的流量都不能进入
firewall-cmd --permanent --zone=drop --change-interface=ens33

2、单独指定某IP访问

firewall-cmd --permanent --zone=drop --add-rich-rule="rule family="ipv4"source address="192.168.66.10" accept"
firewall-cmd --reload

3、放通指定服务和端口

  • 查询drop区域是否允许请求ssh和https服务的流量
firewall-cmd --zone=drop --query-service=ssh
firewall-cmd --zone=drop --query-service=https
  • 在drop区域开放https服务
firewall-cmd --zone=drop --add-service=https
  • 取消开放https服务,即禁止https服务
firewall-cmd --zone=drop --remove-service=https
  • 开放80端口
firewall-cmd --zone=drop --add-port=80/tcp
  • 开放3306端口
firewall-cmd --zone=drop --add-port=3306/tcp
  • 查询drop区域开放了哪些端口
firewall-cmd --zone=drop --list-ports
  • 允许icmp协议流量,即允许ping
firewall-cmd --zone=drop --add-protocol=icmp
  • 查询drop区域开放了哪些协议
firewall-cmd --zone=drop --list-protocols
  • 查询drop区域开放了哪些协议和端口IP
firewall-cmd --zone=drop --list-all
  • 使其配置生效
firewall-cmd --reload

4、允许某个IP访问指定端口

  • 允许192.168.66.10/24网段的主机访问22端口
firewall-cmd --permanent --zone=drop --add-rich-rule="rule family="ipv4" source address="192.168.66.10/24" port protocol="tcp" port="22" accept"
  • 允许192.168.66.10的主机访问22端口
firewall-cmd --permanent --zone=drop --add-rich-rule="rule family="ipv4" source address="192.168.66.10" port protocol="tcp" port="22" accept"



本文作者:浅时光
原文链接:https://www.dqzboy.com/2137.html
版权声明:知识共享署名-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)协议进行许可
转载时请以超链接形式标明文章原始出处和作者信息

相关文章

FRP内网穿透搭建和使用

10月25日 · 2020年

PowerDNS安装部署和使用实践

10月4日 · 2020年

自建私有网盘-DzzOffice

9月27日 · 2020年

Ceph文件系统—CephFS部署教程

8月2日 · 2020年
1 条回应

必须 注册 为本站用户, 登录 后才可以发表评论!

  1. InV~ic未知2020-12-2 · 21:09

    学习

Copyright © 2019 - 2021 浅时光博客. All Rights Reserved.
本站已稳定运行: | 耗时 0.419 秒 | 查询 12 次 | 内存 38.19 MB