centos防火墙firewall-cmd限定特定的ip访问

文章目录

  • firewall-cmd是什么?
  • 启动firewalld服务
  • 查看默认区域
  • 关闭端口访问
  • 添加富规则
  • firewall-cmd的区域概念
  • firewall-cmd的常用选项
    • 通用选项:
    • 状态选项:
    • 永久选项:
    • 区域选项:

firewall-cmd是什么?

firewall-cmd是centos防火墙的命令行管理客户端,提供了接口来管理运行时和持久的防火墙配置。
在firewalld中,运行时配置与永久配置是分开的。这意味着您可以在运行时配置或永久配置中进行更改。

启动firewalld服务

并设置开机自动启动(如果尚未启动)

systemctl enable firewalld  
systemctl start firewalld

查看默认区域


[root@localhost ~]# firewall-cmd --get-default-zone
public

如果不是public,改为public
更改防火墙默认区域为public

[root@localhost ~]# firewall-cmd --set-default-zone=public
success

关闭端口访问

确保端口关闭。如果已开放则关闭端口。此处区域中的端口如果开放,是所有ip都可以进行访问。

#查询打开的端口
firewall-cmd --zone=public --list-ports

关闭区域端口,如果端口未开启则无需关闭。

#关闭端口9001
firewall-cmd --zone=public --remove-port=9001/tcp --permanent
#重新载入一下防火墙设置,使设置生效
firewall-cmd --reload
#查询打开的端口
firewall-cmd --zone=public --list-ports

添加富规则

只有富规则能进行精细化限制。区域规则会覆盖掉富规则。

#允许192.168.1.118访问8081端口
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.118" port protocol="tcp" port="8081" accept'#重新载入一下防火墙设置,使设置生效
firewall-cmd --reload
#查看已设置规则
firewall-cmd --zone=public --list-rich-rules

这样就可以限定特定的ip才能访问

查看区域

public (active)target: defaulticmp-block-inversion: nointerfaces: eth0sources:services: dhcpv6-client sshports:protocols:masquerade: noforward-ports:source-ports:icmp-blocks:rich rules:rule family="ipv4" source address="192.168.1.118" port port="8081" protocol="tcp" accept

删除规则

firewall-cmd --permanent --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.1.119" port protocol="tcp" port="8081" accept'

firewall-cmd的区域概念

trusted(信任区域)| 允许所有的传入流量。
public(公共区域) 允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域。
external(外部区域) 允许与ssh预定义服务匹配的传入流量其余均拒绝。
home(家庭区域) 允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其他均拒绝。
internal(内部区域) 默认值与home区域相同。
work(工作区域) 允许与ssh、dhcpv6-client预定义服务匹配的传入流量,其他均拒绝
dmz(隔离区域也称非军事区域) 允许与ssh预定义服务匹配的传入流量,其他均拒绝。
block(限制区域) 拒绝所有传入流量。
drop(丢弃区域) 丢弃所有传入流量,并且不产生包含icmp的错误响应。

firewall-cmd的常用选项

通用选项:

-h, --help:
这个选项用于打印简短的帮助文本并退出程序。当您不确定如何使用某个命令或需要查看其支持的功能时,可以使用此选项来获取帮助信息。-V, --version:
这个选项用于打印firewalld的版本字符串。它不会与其他选项组合使用,也就是说,当您使用此选项时,其他选项将被忽略。通过查看版本信息,您可以了解当前安装的firewalld的版本和可能的特性。-q, --quiet:
这个选项用于禁止打印状态消息。默认情况下,firewalld在执行某些操作时可能会输出状态消息,告诉您操作是否成功或提供了其他相关信息。如果您不想看到这些消息,可以使用此选项来静默执行命令。这在脚本或自动化任务中特别有用,因为您可能只想获取结果而不关心中间的过程信息。

状态选项:

--state:
这个选项用于检查firewalld守护进程是否处于活动状态(即正在运行)。如果守护进程处于活动状态,则返回退出代码0;如果启动时出现故障,则返回RUNNING_BUT_FAILED;否则返回NOT_RUNNING。同时,它还会将状态信息打印到标准输出(STDOUT)。这可以帮助您快速了解firewalld的当前状态。--reload:
这个选项用于重新加载防火墙规则,同时保持状态信息。当前的永久配置将变为新的运行时配置,也就是说,重新加载之前所做的仅针对运行时的更改(如果它们没有同时保存在永久配置中)将会丢失。请注意,通过直接接口应用的运行时更改不会受到影响,并将保持原样,直到firewalld守护进程完全重启。--complete-reload:
这个选项用于完全重新加载防火墙,包括netfilter内核模块。这很可能会终止活动连接,因为状态信息会丢失。这个选项只应在出现严重的防火墙问题时使用,例如当存在状态信息问题导致无法建立正确防火墙规则的连接时。同样,通过直接接口应用的运行时更改不会受到影响,并将保持原样,直到firewalld守护进程完全重启。--runtime-to-permanent:
这个选项用于保存当前的活动运行时配置,并用它覆盖永久配置。这通常是在配置firewalld时进行的,您只进行运行时更改,并在您对配置满意且测试了其按预期工作时,将配置保存到磁盘上。--check-config:
这个选项用于对永久配置进行检查。这包括XML的有效性和语义检查。这可以帮助您在将配置应用到防火墙之前发现并修复潜在的问题。

永久选项:

--permanent:
这个选项用于设置永久选项。使用--permanent选项所做的更改不会立即生效,而是在服务重启/重新加载或系统重新启动后生效。如果不使用--permanent选项,更改将仅作为运行时配置的一部分。如果您想在运行时和永久配置中都进行更改,请使用相同的命令,一次包含--permanent选项,一次不包含。--permanent选项可以可选地添加到下面所有支持该选项的命令中。这意味着,当您想要更改防火墙的规则或设置时,如果想要这些更改在重启后仍然保持,您应该添加--permanent选项。这样,您就可以确保即使系统重新启动,您的防火墙配置也会保持不变。总的来说,--permanent选项允许您管理防火墙的持久配置,确保更改在系统重启后仍然有效。这对于维护长期稳定的防火墙设置非常有用。

区域选项:

--get-default-zone:
这个选项用于打印连接和接口的默认区域。默认区域是当没有为连接或接口选择特定区域时所使用的区域。通过此选项,您可以查看当前设置的默认区域。--set-default-zone=zone:
这个选项用于设置连接和接口的默认区域。当没有为连接或接口指定区域时,将使用此默认区域。设置默认区域会更改那些使用默认区域的连接或接口的区域设置。这是一个运行时和永久性的更改,意味着更改将立即生效,并且在系统重启后仍然保持。--get-active-zones:
这个选项用于打印当前活动的区域,以及这些区域中使用的接口和源。活动区域是那些与接口或源有绑定的区域。输出格式将列出每个区域,并显示该区域中的接口和源。如果某个区域没有绑定任何接口或源,则相应的行将被省略。这可以帮助您了解哪些区域当前处于活动状态,以及这些区域中使用了哪些接口和源。这些区域选项提供了对firewalld中区域配置的灵活管理,使您能够查看和更改默认区域,以及了解哪些区域当前处于活动状态。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/747670.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Kubernetes基础(二十八)-K8S调度之拓扑分布TopologySpreadConstraints

1 引言 Kubernetes(K8s)是一款开源的容器编排平台,其调度系统能够智能地将容器化应用程序部署到集群中的节点。在分布式系统中,节点的负载均衡是至关重要的,而TopologySpreadConstraints(拓扑分散约束&…

Unreal发布Android App如何面对混乱的Android SDK开发环境

Unreal发布Android App如何面对混乱的Android SDK开发环境 混乱的Android SDK开发环境Unreal 4可以借用Unity3D安装的Android环境Unreal 5需要安装Android Studio开发环境Android Studio的DK版本目录处理gradle和java版本gradle提示错误总结 混乱的Android SDK开发环境 Unreal…

2024年能源、自动化与电气工程国际会议(ICEAEE 2024)

2024年能源、自动化与电气工程国际会议(ICEAEE 2024) 2024 International Conference on Energy, Automation and Electrical Engineering 会议简介: 电气工程与自动化技术是能源自动化的重要组成部分,主要涉及电能的生成、传输…

流式数据湖平台实战 | 在Flink DataStream API中集成和使用Hudi

1.Flink Datastream API中使用Hudi 添加相应版本的maven依赖 <!-- Flink 1.13 --> <dependency><groupId>org.apache.hudi</groupId><artifactId>hudi-flink1.13-bundle</artifactId><version>0.14.0</version> </depend…

SpringMVC基础之简单程序应用

文章目录 SpringMVC 简单应用程序1. 配置2. 创建 Controller 类3. 配置控制器映射信息4. 创建视图 SpringMVC 简单应用程序 Spring MVC 是 Spring 提供的一个实现了 Web MVC 设计模式的轻量级 Web 框架。它与 Struts 2 框架一样&#xff0c;都属于 MVC 框架&#xff0c;但其使…

Python爬虫 Day1

要注意看网页的请求方式是request还是get 一、小型爬虫 &#xff08;爬百度首页&#xff09; from urllib.request import urlopen url "https://www.baidu.com" resp urlopen(url) print(resp.read().decode(utf-8)) print("over!") //&#xff01;&am…

【Hadoop】Hadoop概述与核心组件

目录 Hadoop概述Hadoop 发展历史Hadoop 三大发行版本1.Apache Hadoop&#xff08;常用&#xff09;2.Cloudera Hadoop3.Hortonworks Hadoop优势优势总结——4高&#xff08;高可靠、高扩展、高效、高容错&#xff09; Hadoop组成1.HDFS管理者&#xff1a;NameNode&#xff08;n…

css3 实现html样式蛇形布局

文章目录 1. 实现效果2. 实现代码 1. 实现效果 2. 实现代码 <template><div class"body"><div class"title">CSS3实现蛇形布局</div><div class"list"><div class"item" v-for"(item, index) …

pyflink1.18.0 报错 TypeError: cannot pickle ‘_thread.lock‘ object

完整报错 Traceback (most recent call last):File "/Users//1.py", line 851, in <module>ds1 = my_datastream.key_by(lambda x: x[0]).process(MyProcessFunction()) # 返回元组即: f0 f1 f2 三列File "/Users/thomas990p/bigdataSoft/minicondaarm/…

【测试知识】业务面试问答突击版2-----测试计划、上线、性能测试、web端移动端

文章目录 灰度发布&#xff0c;作用是&#xff1f;测试计划中测试开始条件一般包括哪些内容测试计划中的测试结束条件一般包含哪些内容测试人员是否需要代码能力&#xff0c;应用在哪些方面测试人员参与代码审核&#xff0c;重点关注什么产品上线后发现问题&#xff0c;如何产品…

音视频如何快速转二维码?在线生成音视频活码的教程

音频文件的二维码制作步骤是什么样的呢&#xff1f;扫描二维码来展现内容是很流行的一种方式&#xff0c;基本上日常生活中经常会用的图片、音频、视频等都可以使用生成二维码的方式。现在很多的幼儿园或者学校会录制孩子的音频或者视频内容用来展示&#xff0c;那么二维码制作…

鸿蒙开发实战:【音频组件】

简介 音频组件用于实现音频相关的功能&#xff0c;包括音频播放&#xff0c;录制&#xff0c;音量管理和设备管理。 图 1 音频组件架构图 基本概念 采样 采样是指将连续时域上的模拟信号按照一定的时间间隔采样&#xff0c;获取到离散时域上离散信号的过程。 采样率 采样…

Hystrix的原理及应用:构建微服务容错体系的利器(二)

本系列文章简介&#xff1a; 本系列文章旨在深入剖析Hystrix的原理及应用&#xff0c;帮助大家理解其如何在微服务容错体系中发挥关键作用。我们将从Hystrix的核心原理出发&#xff0c;探讨其隔离、熔断、降级等机制的实现原理&#xff1b;接着&#xff0c;我们将结合实际应用场…

鸿蒙Harmony应用开发—ArkTS声明式开发(容器组件:RelativeContainer)

相对布局组件&#xff0c;用于复杂场景中元素对齐的布局。 说明&#xff1a; 该组件从API Version 9开始支持。后续版本如有新增内容&#xff0c;则采用上角标单独标记该内容的起始版本。 规则说明 容器内子组件区分水平方向&#xff0c;垂直方向&#xff1a; 水平方向为left&…

华为云计算hcie认证考什么?华为hciie认证好考吗

1.理论知识&#xff1a;HCIE认证首先要求考生具备扎实的云计算理论基础&#xff0c;包括云计算的基本概念、架构、关键技术、安全管理等方面的知识。考生需要深入理解云计算的核心原理&#xff0c;以及华为云计算产品的特点和优势。 2.实践技能&#xff1a;除了理论知识外&…

HTTPS的工作过程

一、HTTPS 是什么 HTTPS 也是⼀个应用层协议&#xff0c;是在 HTTP 协议的基础上引入了⼀个加密层. HTTP 协议内容都是按照文本的方式明文传输的。这就导致在传输过程中出现⼀些被篡改的情况. 在互联网上, 明文传输是比较危险的事情!!! HTTPS 就是在 HTTP 的基础上进行了加密…

platform设备注册驱动模块的测试

一. 简介 上一篇文章编写了 platform设备注册代码&#xff0c;文章地址如下&#xff1a; 无设备树platform驱动实验&#xff1a;platform设备注册代码实现-CSDN博客 本文继续无设备树platform驱动实验&#xff0c;本文对编译好的 设备注册程序进行测试&#xff0c;测试所实…

(二)丶RabbitMQ的六大核心

一丶什么是MQ Message Queue(消息队列&#xff09;简称MQ&#xff0c;是一种应用程序对应用程序的消息通信机制。在MQ中&#xff0c;消息以队列形式存储&#xff0c;以便于异步传输&#xff0c;在MQ中&#xff0c;发布者&#xff08;生产者&#xff09;将消息放入队列&#xff…

LeetCode 面试经典150题 80.删除有序数组中的重复项II

题目&#xff1a; 给你一个有序数组 nums &#xff0c;请你 原地 删除重复出现的元素&#xff0c;使得出现次数超过两次的元素只出现两次 &#xff0c;返回删除后数组的新长度。 不要使用额外的数组空间&#xff0c;你必须在 原地 修改输入数组 并在使用 O(1) 额外空间的条件…

百度paddleocr GPU版部署

显卡&#xff1a;NVIDIA GeForce RTX 4070&#xff0c;Nvidia驱动程序版本&#xff1a;537.13 Nvidia驱动程序能支持的最高cuda版本&#xff1a;12.2.138 Python&#xff1a;python3.10.11。试过python3.12&#xff0c;安装paddleocr失败&#xff0c;找不到相关模块。 飞桨版本…