Centos7 防火墙策略rich-rule 限制ip访问-----图文详解

这篇具有很好参考价值的文章主要介绍了Centos7 防火墙策略rich-rule 限制ip访问-----图文详解。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

一、常用命令 这是通用的使用方案

二 、需求和-----策略rich-rule 重点

1、添加允许规则:add-rich-rule accept

2、移除规则

3、添加拒绝策略:reject

4重启 

5.查看

三、使用说明

四、策略说明

五、更高级用法


一、常用命令 这是通用的使用方案

1.查看下防火墙的状态:systemctl status firewalld      
	systemctl stop firewalld 关闭   
	systemctl disable firewalld  开机不启永久关闭   
2.查看已开放的端口
firewall-cmd --zone=public --list-ports      
firewall-cmd --permanent --zone=public --add-port=8484/tcp
3.重启防火墙 firewall-cmd --reload

二 、需求和-----策略rich-rule 重点

需求:正常情况是服务开启3306端口,但是现在是 只想让某个ip访问3306,也就是3306只给固定的IP开放,然后别的ip就访问不到。

这是在public中作策略,单独放开某个ip某个访问某个端口。

1、添加允许规则:add-rich-rule accept

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.11.8" port protocol="tcp" port="3306" accept"

2、移除规则

firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.11.8" port protocol="tcp" port="3306" accept"

3、添加拒绝策略:reject

firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=192.168.200.113 reject"

4重启 

firewall-cmd  --reload

5.查看

firewall-cmd --list-all --zone=public

这就是允许某个ip访问指定的端口。如果要放下端口还是原来的firewall-cmd --permanent --zone=public --add-port=8484/tcp 这个命令。

Centos7 防火墙策略rich-rule 限制ip访问-----图文详解

三、使用说明

简单介绍一下,Firewalld 一般已经默认内置了 9 个区域(zone),每个区域有不同的规则,加入你是服务器,ok你只需配一个区域,如果是公司和家,你就可以在公司是一个区域,在家是一个区域设置不同的策略。

1.查看当前所有区域的规则 firewall-cmd --list-all-zones 

2.查看当前默认区域 firewall-cmd --get-default-zone 

firewall-cmd --get-default-zone 

Centos7 防火墙策略rich-rule 限制ip访问-----图文详解

  3.查看单个区域public的规则    firewall-cmd --list-all --zone=public     

firewall-cmd --list-all --zone=public 

Centos7 防火墙策略rich-rule 限制ip访问-----图文详解

 4.切换区域

 查看当前活跃的区域

[root@kylin network-scripts]# firewall-cmd --get-active-zone
public
  interfaces: ens33

 切换网卡接口到默认区域

firewall-cmd --permanent --change-interface=ens33 --zone=drop
 或
firewall-cmd --permanent --add-interface=ens33 --zone=drop
firewall-cmd --reload   #修改后需要重启

 查看 firewall-cmd --get-active-zone

Centos7 防火墙策略rich-rule 限制ip访问-----图文详解

 说完策略这下就要往策略里面添加规则了。

四、策略说明

Firewalld 中的基本概念 区域(zone) 
区域(zone)基本上是一组规则,它们决定了允许哪些流量,具体取决于你对计算机所连接的网络的信任程度。为网络接口分配了一个区域,以指示防火墙应允许的行为。
Firewalld 一般已经默认内置了 9 个区域(zone),大部分情况下,这些已经足够使用,按从最不信任到最受信任的顺序为:

drop:最低信任级别。所有传入的连接都将被丢弃而不会回复,并且只能进行传出连接。
block:与上述类似,但不是简单地删除连接,而是使用 icmp-host-prohibitedor 和 icmp6-adm-prohibited 消息拒绝传入的请求。
public:表示不信任的公共网络。您不信任其他计算机,但可能会视情况允许选择的传入连接。默认情况下,此区域为激活状态。
external:如果你使用防火墙作为网关,则为外部网络。将其配置为 NAT 转发,以便你的内部网络保持私有但可访问。
internal:external 区域的另一侧,用于网关的内部。这些计算机值得信赖,并且可以使用一些其他服务。
dmz:用于 DMZ (DeMilitarized Zone) 中的计算机(将无法访问网络其余部分的隔离计算机),仅允许某些传入连接。
work:用于工作机。信任网络中的大多数计算机。可能还允许其他一些服务。
home:家庭环境。通常,这意味着您信任其他大多数计算机,并且将接受其他一些服务。
trusted:信任网络中的所有计算机。可用选项中最开放的,应谨慎使用。

五、更高级用法

严格:默认区域设置为drop区域,允许的放入trusted区域
通过将当前默认区域pubilc切换到drop区,拒绝所有,然后在trusted区域中在添加白名单
宽松:默认区域设置为trusted区域,拒绝的单独放入drop区域

1.切换为drop区域

firewall-cmd --set-default-zone=drop
firewall-cmd --get-active-zone
firewall-cmd --permanent  --change-interface=ens33 --zone=drop

 Centos7 防火墙策略rich-rule 限制ip访问-----图文详解

 查看

Centos7 防火墙策略rich-rule 限制ip访问-----图文详解

 2. 将允许的IP或者IP段加入trusted白名单


firewall-cmd --permanent --add-source=192.168.1.11 --zone=trusted #添加ip
firewall-cmd --reload  #重启
firewall-cmd  --list-all --zone=trusted  查看
[root@ky]# firewall-cmd --permanent --add-source=192.168.1.11 --zone=trusted
success
[root@bogon ~]# firewall-cmd --reload
success
[root@ky]# firewall-cmd  --list-all --zone trusted
trusted (active)
  target: ACCEPT
  icmp-block-inversion: no
  interfaces: 
  sources: 192.168.1.11
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

这里面也可以添加放行的端口

firewall-cmd --permanent --zone=trusted--add-port=80/tcp   ##添加80端口到白名单 执行
firewall-cmd --reload                                                             ##重启防火墙
firewall-cmd --zone=trusted --list-ports                                   ##查看已开放的端口

ok,这就完成了。

参考:Firewalld - Fedora Project Wiki

firewalld 防火墙策略_firewalld默认规则_可问春风的博客-CSDN博客文章来源地址https://www.toymoban.com/news/detail-496152.html

到了这里,关于Centos7 防火墙策略rich-rule 限制ip访问-----图文详解的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • centos7 防火墙限制ip访问

    CentOS 7默认使用的防火墙是firewalld,要限制IP访问需要进行以下步骤: 防火墙必须是开启的 在终端输入以下命令: 这会输出当前防火墙的所有规则。 假设我们要禁止IP地址为 192.168.0.1 的主机访问本机,可以通过以下命令创建规则: 其中, rich rule 是一种在firewalld中比较灵活

    2024年02月06日
    浏览(119)
  • Centos7系统防火墙使用教程【详解】

    CentOS 7是一种常见的Linux操作系统,防火墙作为网络安全的第一道防线,对于服务器的安全至关重要。本文将介绍CentOS 7系统中防火墙的使用教程,包括如何开启、关闭、配置以及防火墙规则的添加和删除。 一、查看防火墙状态 在开始操作之前,需要先确认防火墙的状态,可

    2024年02月16日
    浏览(44)
  • centos7中设置端口放行(centos7防火墙配置端口放行)

    说明:执行之后一定要执行第四步命令:firewall-cmd --reload    

    2024年02月06日
    浏览(51)
  • CentOS7管理防火墙及开放指定端口

    在 CentOS 7 中,默认的防火墙工具是 firewalld。本文将教你如何在 CentOS 7 上管理 firewalld 防火墙,包括如何关闭,开启防火墙以及如何开放指定的端口。在操作过程中,你需要管理员权限。请谨慎操作,关闭防火墙可能会带来安全风险。 在 CentOS 7 中,我们可以使用以下命令来临

    2024年02月06日
    浏览(72)
  • Linux:centos7防火墙开放端口操作

    Centos 升级到7之后,发现无法使用iptables控制Linux的端口, google 之后发现Centos 7使用 firewalld 代替了原来的iptables。   但是在CentOS7中也可以iptables控制防火墙,只不过需要安装iptables模块,具体做法请参考: Linux:CentOS7下配置 iptables 一、系统命令 firewalld 的基本使用 防火墙开启

    2023年04月08日
    浏览(48)
  • linux(centos7)常用命令 开启关闭防火墙

    在 CentOS 7 中,默认的防火墙服务是 firewalld ,它取代了之前版本中的 iptables 。 firewalld 使用了名为“firewall-cmd”的命令行工具来管理防火墙规则。 firewalld 的关键概念包括: 区域 (Zones) : 用于定义不同信任级别的网络连接。你可以为不同的网络接口或来源 IP 分配不同的区域,

    2024年01月21日
    浏览(62)
  • Linux Centos7 防火墙(开启、关闭、重启、状态、端口)

    防火墙(Firewall)技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。 防火墙功能 防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免

    2024年02月02日
    浏览(63)
  • 在安装docker配置端口时 centos7 防火墙规则失效

    1、做端口映射管理的时候,自己关闭了防火墙,或者开启防火墙,或者指定开关端口,但是都不影响端口的使用,这就很奇怪,也就是本文的内容! 2、 思路,确认是请求到了防火墙的那个zone(centos7之后默认使用firewalld,里面提出了zone),可能存在较大的原因是:设置的

    2024年02月01日
    浏览(50)
  • 防火墙关闭,可以ping通IP,telnet22端口不通(centos7)

    查看22端口已经开放,并且防火墙也已经关闭,telnet22端口都不通,后面到主机cmd 中输入命令:ipconfig/ALL 后发现 VMnet8的IP是:192.168.10.1 , 虚拟机中输入命令 :ip address 中获取得IP 也是 :192.168.10.1,两者的IP相同有冲突, 然后修改VMnet8的IP后,telnet22端口成功 一些命令: 查询

    2024年02月11日
    浏览(52)
  • Centos7.9_hadoop集群下配置防火墙_安全部署_防火墙配置_端口配置_协议配置_IP配置_全部亲测---记录022_大数据工作笔记0182

    之前看的hadoop集群搭建的时候,都是要把linux的防火墙关闭,还有selinux也会关闭,但是有些环境下,对安全要求比较高,即使在内网搭建hadoop集群,也需要打开防火墙,这个时候,可以配置: 比如我集群中有3台机器,那么这3台机器直接的ip地址,可以给这3台机器,都开启防火墙,然后 不取分

    2024年02月08日
    浏览(39)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包