firewalld-cmd添加防火墙规则，add-rich-rule ，family

admin

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.0.4/24" port protocol="tcp" port="8080" accept"

8 X0 I1 n; T! q5 U) i
下面的是对特定ip允许访问8080端口（你也可以自己改）
& y5 i4 W7 o4 D, j  ~firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.0.4/24" port protocol="tcp" port="8080" accept"


1.drop禁止特定ip连接ssh/22服务

firewall-cmd --permanent --zone=public --add-rich-rule="rule family=ipv4 source address=‘x.x.x.x/24‘ service name=‘ssh‘ drop"
firewall-cmd --reload
    ##重新加载防火墙配置，不然firewall-cmd --list-all-zones不会显示刚加上的规则
$ o4 ]. S3 T" i- k

1 k# N) H! z) A1 W& H2.reject禁止特定ip连接ssh/22服务

firewall-cmd --permanent --zone=public --add-rich-rule="rule family=‘ipv4‘ source address=‘x.x.x.x/24‘ service name=‘ssh‘ reject"
firewall-cmd --permanent --zone=public --add-rich-rule="rule family=‘ipv4‘ source address=‘x.x.x.x/24‘ port port=22 protocol=tcp reject"
4 ?" y8 m! A1 l8 }2 ~( g% |firewall-cmd --reload
4 z' ^, a3 F7 A    ##重新加载防火墙配置，不然firewall-cmd --list-all-zones不会显示刚加上的规则
. c; Y2 x" F& ^  F4 I

- @! x' h0 m) R9 V8 G0 G3.accept运行特定ip连接ssh/22服务
' S5 \: m. z6 q. Q; }
firewall-cmd --permanent --zone=public --add-rich-rule="rule family=ipv4 source address=‘x.x.x.x/24‘ port port=22 procotol=tcp accept"
  B  S+ n% N) _; j( ufirewall-cmd --reload
: b- L: g! X6 A4 ^

防火墙内的策略动作有DROP和REJECT两种，区别如下：
1、DROP动作只是简单的直接丢弃数据，并不反馈任何回应。需要Client等待超时，Client容易发现自己被防火墙所阻挡。
2、REJECT动作则会更为礼貌的返回一个拒绝(终止)数据包(TCP FIN或UDP-ICMP-PORT-UNREACHABLE)，明确的拒绝对方的连接动作。连接马上断开，Client会认为访问的主机不存在。REJECT在IPTABLES里面有一些返回参数，参数如下：ICMP port-unreachable、ICMP echo-reply 或是 tcp-reset（这个封包会要求对方关闭联机），进行完此处理动作后，将不再比对其它规则，直接中断过滤程序。
3 D5 ?. Q1 q: r9 L# w' L/ w/ J1 j
$ t  y! w1 A( Q- j2 M: K至于使用DROP还是REJECT更合适一直未有定论，因为的确二者都有适用的场合。REJECT是一种更符合规范的处理方式，并且在可控的网络环境中，更易于诊断和调试网络/防火墙所产生的问题；而DROP则提供了更高的防火墙安全性和稍许的效率提高，但是由于DROP不很规范(不很符合TCP连接规范)的处理方式，可能会对你的网络造成一些不可预期或难以诊断的问题。因为DROP虽然单方面的中断了连接，但是并不返回任何拒绝信息，因此连接客户端将被动的等到tcp session超时才能判断连接是否成功，这样早企业内部网络中会有一些问题，例如某些客户端程序或应用需要IDENT协议支持(TCP Port 113, RFC 1413)，如果防火墙未经通知的应用了DROP规则的话，所有的同类连接都会失败，并且由于超时时间，将导致难以判断是由于防火墙引起的问题还是网络设备/线路 故障。

4 h6 v+ f- Z$ p一点个人经验，在部署防火墙时，如果是面向企业内部(或部分可信任网络)，那么最好使用更绅士REJECT方法，对于需要经常变更或调试规则的网络也是如此；而对于面向危险的Internet/Extranet的防火墙，则有必要使用更为粗暴但是安全的DROP方法，可以在一定程度上延缓黑客攻击的进度(和难度，至少，DROP可以使他们进行TCP-Connect方式端口扫描时间更长)。
5 q! l8 h8 p8 Z. l3 x- o: f
& e) L4 I. i! T1 ^

admin

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="10.249.114.249/24" port protocol="tcp" port="0-65535" accept   允许网段所有tcp端口

admin

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="10.249.114.0/24" port protocol="tcp" port="0-65535" accept"  允许网段所有udp端口

admin

添加防火墙，以及addr-rich-rule策略范例：  firewall-cmd --permanent --add-port=443/tcp --add-port=80/tcp --add-port=2222/tcp --add-port=33061/tcp --add-port=33062/tcp --add-port=54320/tcp  --add-port=63790/tcp --add-port=30000-30030/tcp
& Q5 B+ |- `0 X firewall-cmd --reload
firewall-cmd --list-all
* h" L+ c# ^& e
6 E- _. k+ j- r+ B firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="10.249.114.249/24" port protocol="tcp" port="0-65535" accept"
1 s: }( e0 K' r5 P7 t1 p3 T  firewall-cmd --reload
& B* H) M' M+ K6 q9 X  firewall-cmd --list-all
! S+ l. j4 ]" p+ F2 O( V% A firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="10.249.114.249/24" port protocol="udp" port="0-65535" accept"
   firewall-cmd --reload
firewall-cmd --list-all
3 W& S+ Q, A6 h' |3 [0 s  {8 W3 w: K  firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="10.249.114.0/24" port protocol="udp" port="0-65535" accept"
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="10.249.114.0/24" port protocol="tcp" port="0-65535" accept"
) @8 E: e% {- H6 |  V; ?: }