帮助文档
专业提供香港服务器、香港云服务器、香港高防服务器租用、香港云主机、台湾服务器、美国服务器、美国云服务器vps租用、韩国高防服务器租用、新加坡服务器、日本服务器租用 一站式全球网络解决方案提供商!专业运营维护IDC数据中心,提供高质量的服务器托管,服务器机房租用,服务器机柜租用,IDC机房机柜租用等服务,稳定、安全、高性能的云端计算服务,实时满足您的多样性业务需求。 香港大带宽稳定可靠,高级工程师提供基于服务器硬件、操作系统、网络、应用环境、安全的免费技术支持。
服务器资讯 / 香港服务器租用 / 香港VPS租用 / 香港云服务器 / 美国服务器租用 / 台湾服务器租用 / 日本服务器租用 / 官方公告 / 帮助文档
Centos7 防火墙策略rich-rule 限制ip访问-----图文详解
发布时间:2024-03-06 00:13:10   分类:帮助文档
Centos7 防火墙策略rich-rule 限制ip访问-----图文详解

目录
一、常用命令 这是通用的使用方案
二 、需求和-----策略rich-rule 重点
1、添加允许规则:add-rich-rule accept
2、移除规则
3、添加拒绝策略:reject
4重启 
5.查看
三、使用说明
四、策略说明
五、更高级用法



一、常用命令 这是通用的使用方案
1.查看下防火墙的状态:systemctl status firewalld
systemctl stop firewalld 关闭
systemctl disable firewalld 开机不启永久关闭
2.查看已开放的端口
firewall-cmd --zone=public --list-ports
firewall-cmd --permanent --zone=public --add-port=8484/tcp
3.重启防火墙 firewall-cmd --reload
二 、需求和-----策略rich-rule 重点
需求:正常情况是服务开启3306端口,但是现在是 只想让某个ip访问3306,也就是3306只给固定的IP开放,然后别的ip就访问不到。
这是在public中作策略,单独放开某个ip某个访问某个端口。
1、添加允许规则:add-rich-rule accept
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.11.8" port protocol="tcp" port="3306" accept"

2、移除规则
firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.11.8" port protocol="tcp" port="3306" accept"

3、添加拒绝策略:reject
firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=192.168.200.113 reject"
4重启 
firewall-cmd --reload

5.查看
firewall-cmd --list-all --zone=public
这就是允许某个ip访问指定的端口。如果要放下端口还是原来的firewall-cmd --permanent --zone=public --add-port=8484/tcp 这个命令。


三、使用说明
简单介绍一下,Firewalld 一般已经默认内置了 9 个区域(zone),每个区域有不同的规则,加入你是服务器,ok你只需配一个区域,如果是公司和家,你就可以在公司是一个区域,在家是一个区域设置不同的策略。
1.查看当前所有区域的规则 firewall-cmd --list-all-zones 
2.查看当前默认区域 firewall-cmd --get-default-zone 
firewall-cmd --get-default-zone

  3.查看单个区域public的规则    firewall-cmd --list-all --zone=public     
firewall-cmd --list-all --zone=public 

 4.切换区域
 查看当前活跃的区域
[root@kylin network-scripts]# firewall-cmd --get-active-zone
public
interfaces: ens33

 切换网卡接口到默认区域
firewall-cmd --permanent --change-interface=ens33 --zone=drop

firewall-cmd --permanent --add-interface=ens33 --zone=drop
firewall-cmd --reload #修改后需要重启
 查看 firewall-cmd --get-active-zone

 说完策略这下就要往策略里面添加规则了。
四、策略说明
Firewalld 中的基本概念 区域(zone)  区域(zone)基本上是一组规则,它们决定了允许哪些流量,具体取决于你对计算机所连接的网络的信任程度。为网络接口分配了一个区域,以指示防火墙应允许的行为。 Firewalld 一般已经默认内置了 9 个区域(zone),大部分情况下,这些已经足够使用,按从最不信任到最受信任的顺序为:
drop:最低信任级别。所有传入的连接都将被丢弃而不会回复,并且只能进行传出连接。block:与上述类似,但不是简单地删除连接,而是使用 icmp-host-prohibitedor 和 icmp6-adm-prohibited 消息拒绝传入的请求。public:表示不信任的公共网络。您不信任其他计算机,但可能会视情况允许选择的传入连接。默认情况下,此区域为激活状态。external:如果你使用防火墙作为网关,则为外部网络。将其配置为 NAT 转发,以便你的内部网络保持私有但可访问。internal:external 区域的另一侧,用于网关的内部。这些计算机值得信赖,并且可以使用一些其他服务。dmz:用于 DMZ (DeMilitarized Zone) 中的计算机(将无法访问网络其余部分的隔离计算机),仅允许某些传入连接。work:用于工作机。信任网络中的大多数计算机。可能还允许其他一些服务。home:家庭环境。通常,这意味着您信任其他大多数计算机,并且将接受其他一些服务。trusted:信任网络中的所有计算机。可用选项中最开放的,应谨慎使用。
五、更高级用法
严格:默认区域设置为drop区域,允许的放入trusted区域通过将当前默认区域pubilc切换到drop区,拒绝所有,然后在trusted区域中在添加白名单 宽松:默认区域设置为trusted区域,拒绝的单独放入drop区域
1.切换为drop区域
firewall-cmd --set-default-zone=drop
firewall-cmd --get-active-zone
firewall-cmd --permanent --change-interface=ens33 --zone=drop

 
 查看

 2. 将允许的IP或者IP段加入trusted白名单

firewall-cmd --permanent --add-source=192.168.1.11 --zone=trusted #添加ip
firewall-cmd --reload #重启
firewall-cmd --list-all --zone=trusted 查看

[root@ky]# firewall-cmd --permanent --add-source=192.168.1.11 --zone=trusted
success
[root@bogon ~]# firewall-cmd --reload
success
[root@ky]# firewall-cmd --list-all --zone trusted
trusted (active)
target: ACCEPT
icmp-block-inversion: no
interfaces:
sources: 192.168.1.11
services:
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:

这里面也可以添加放行的端口
firewall-cmd --permanent --zone=trusted--add-port=80/tcp   添加80端口到白名单 执行 firewall-cmd --reload                                                             重启防火墙 firewall-cmd --zone=trusted --list-ports                                   查看已开放的端口


ok,这就完成了。

参考:Firewalld - Fedora Project Wiki
firewalld 防火墙策略_firewalld默认规则_可问春风的博客-博客


香港云服务器租用推荐
服务器租用资讯
·广东云服务有限公司怎么样
·广东云服务器怎么样
·广东锐讯网络有限公司怎么样
·广东佛山的蜗牛怎么那么大
·广东单位电话主机号怎么填写
·管家婆 花生壳怎么用
·官网域名过期要怎么办
·官网邮箱一般怎么命名
·官网网站被篡改怎么办
服务器租用推荐
·美国服务器租用
·台湾服务器租用
·香港云服务器租用
·香港裸金属服务器
·香港高防服务器租用
·香港服务器租用特价