目錄

一、常用命令 這是通用的使用方案

二 、需求和-----策略rich-rule 重點(diǎn)

1、添加允許規(guī)則:add-rich-rule accept

2、移除規(guī)則

3、添加拒絕策略:reject

4重啟?

5.查看

三、使用說(shuō)明

四、策略說(shuō)明

五、更高級(jí)用法

一、常用命令 這是通用的使用方案

1.查看下防火墻的狀態(tài)：systemctl status firewalld      
	systemctl stop firewalld 關(guān)閉   
	systemctl disable firewalld  開(kāi)機(jī)不啟永久關(guān)閉   
2.查看已開(kāi)放的端口
firewall-cmd --zone=public --list-ports      
firewall-cmd --permanent --zone=public --add-port=8484/tcp
3.重啟防火墻 firewall-cmd --reload

二 、需求和-----策略rich-rule 重點(diǎn)

需求：正常情況是服務(wù)開(kāi)啟3306端口，但是現(xiàn)在是 只想讓某個(gè)ip訪問(wèn)3306，也就是3306只給固定的IP開(kāi)放，然后別的ip就訪問(wèn)不到。

這是在public中作策略，單獨(dú)放開(kāi)某個(gè)ip某個(gè)訪問(wèn)某個(gè)端口。

1、添加允許規(guī)則:add-rich-rule accept

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.11.8" port protocol="tcp" port="3306" accept"

2、移除規(guī)則

firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.11.8" port protocol="tcp" port="3306" accept"

3、添加拒絕策略:reject

firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=192.168.200.113 reject"

4重啟?

firewall-cmd  --reload

5.查看

firewall-cmd --list-all --zone=public

這就是允許某個(gè)ip訪問(wèn)指定的端口。如果要放下端口還是原來(lái)的firewall-cmd --permanent --zone=public --add-port=8484/tcp 這個(gè)命令。

三、使用說(shuō)明

簡(jiǎn)單介紹一下，F(xiàn)irewalld 一般已經(jīng)默認(rèn)內(nèi)置了 9 個(gè)區(qū)域(zone)，每個(gè)區(qū)域有不同的規(guī)則，加入你是服務(wù)器，ok你只需配一個(gè)區(qū)域，如果是公司和家，你就可以在公司是一個(gè)區(qū)域，在家是一個(gè)區(qū)域設(shè)置不同的策略。

1.查看當(dāng)前所有區(qū)域的規(guī)則 firewall-cmd --list-all-zones?

2.查看當(dāng)前默認(rèn)區(qū)域?firewall-cmd --get-default-zone?

firewall-cmd --get-default-zone 

??3.查看單個(gè)區(qū)域public的規(guī)則? ? firewall-cmd --list-all --zone=public? ? ?

firewall-cmd --list-all --zone=public?

?4.切換區(qū)域

?查看當(dāng)前活躍的區(qū)域

[root@kylin network-scripts]# firewall-cmd --get-active-zone
public
  interfaces: ens33

?切換網(wǎng)卡接口到默認(rèn)區(qū)域

firewall-cmd --permanent --change-interface=ens33 --zone=drop
 或
firewall-cmd --permanent --add-interface=ens33 --zone=drop
firewall-cmd --reload   #修改后需要重啟

?查看?firewall-cmd --get-active-zone

?說(shuō)完策略這下就要往策略里面添加規(guī)則了。

四、策略說(shuō)明

Firewalld 中的基本概念?區(qū)域(zone)?
區(qū)域(zone)基本上是一組規(guī)則，它們決定了允許哪些流量，具體取決于你對(duì)計(jì)算機(jī)所連接的網(wǎng)絡(luò)的信任程度。為網(wǎng)絡(luò)接口分配了一個(gè)區(qū)域，以指示防火墻應(yīng)允許的行為。
Firewalld 一般已經(jīng)默認(rèn)內(nèi)置了 9 個(gè)區(qū)域(zone)，大部分情況下，這些已經(jīng)足夠使用，按從最不信任到最受信任的順序?yàn)椋?/p>

drop：最低信任級(jí)別。所有傳入的連接都將被丟棄而不會(huì)回復(fù)，并且只能進(jìn)行傳出連接。
block：與上述類(lèi)似，但不是簡(jiǎn)單地刪除連接，而是使用 icmp-host-prohibitedor 和 icmp6-adm-prohibited 消息拒絕傳入的請(qǐng)求。
public：表示不信任的公共網(wǎng)絡(luò)。您不信任其他計(jì)算機(jī)，但可能會(huì)視情況允許選擇的傳入連接。默認(rèn)情況下，此區(qū)域?yàn)榧せ顮顟B(tài)。
external：如果你使用防火墻作為網(wǎng)關(guān)，則為外部網(wǎng)絡(luò)。將其配置為 NAT 轉(zhuǎn)發(fā)，以便你的內(nèi)部網(wǎng)絡(luò)保持私有但可訪問(wèn)。
internal：external 區(qū)域的另一側(cè)，用于網(wǎng)關(guān)的內(nèi)部。這些計(jì)算機(jī)值得信賴(lài)，并且可以使用一些其他服務(wù)。
dmz：用于 DMZ (DeMilitarized Zone) 中的計(jì)算機(jī)（將無(wú)法訪問(wèn)網(wǎng)絡(luò)其余部分的隔離計(jì)算機(jī)），僅允許某些傳入連接。
work：用于工作機(jī)。信任網(wǎng)絡(luò)中的大多數(shù)計(jì)算機(jī)。可能還允許其他一些服務(wù)。
home：家庭環(huán)境。通常，這意味著您信任其他大多數(shù)計(jì)算機(jī)，并且將接受其他一些服務(wù)。
trusted：信任網(wǎng)絡(luò)中的所有計(jì)算機(jī)?？捎眠x項(xiàng)中最開(kāi)放的，應(yīng)謹(jǐn)慎使用。

五、更高級(jí)用法

嚴(yán)格：默認(rèn)區(qū)域設(shè)置為drop區(qū)域,允許的放入trusted區(qū)域
通過(guò)將當(dāng)前默認(rèn)區(qū)域pubilc切換到drop區(qū)，拒絕所有，然后在trusted區(qū)域中在添加白名單
寬松：默認(rèn)區(qū)域設(shè)置為trusted區(qū)域，拒絕的單獨(dú)放入drop區(qū)域

1.切換為drop區(qū)域

firewall-cmd --set-default-zone=drop
firewall-cmd --get-active-zone
firewall-cmd --permanent  --change-interface=ens33 --zone=drop

?

?查看

?2.?將允許的IP或者IP段加入trusted白名單

firewall-cmd --permanent --add-source=192.168.1.11 --zone=trusted #添加ip
firewall-cmd --reload  #重啟
firewall-cmd  --list-all --zone=trusted  查看

[root@ky]# firewall-cmd --permanent --add-source=192.168.1.11 --zone=trusted
success
[root@bogon ~]# firewall-cmd --reload
success
[root@ky]# firewall-cmd  --list-all --zone trusted
trusted (active)
  target: ACCEPT
  icmp-block-inversion: no
  interfaces: 
  sources: 192.168.1.11
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

這里面也可以添加放行的端口

firewall-cmd --permanent --zone=trusted--add-port=80/tcp ? ##添加80端口到白名單 執(zhí)行
firewall-cmd --reload? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?##重啟防火墻
firewall-cmd --zone=trusted --list-ports ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ##查看已開(kāi)放的端口

ok，這就完成了。

參考：Firewalld - Fedora Project Wiki

firewalld 防火墻策略_firewalld默認(rèn)規(guī)則_可問(wèn)春風(fēng)的博客-CSDN博客文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-496152.html

到了這里，關(guān)于Centos7 防火墻策略rich-rule 限制ip訪問(wèn)-----圖文詳解的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！