找回密码
 注册
查看: 521|回复: 4

firewalld-cmd添加防火墙规则,add-rich-rule ,family

[复制链接]

1

主题

0

回帖

12

积分

管理员

积分
12
QQ
发表于 2023-6-7 17:17:44 | 显示全部楼层 |阅读模式
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.0.4/24" port protocol="tcp" port="8080" accept"( F2 i4 ]. [' q7 `) n* U- B3 u

# E& [$ {4 D) E- S- s* |
% f2 X% P5 t, D7 T下面的是对特定ip允许访问8080端口(你也可以自己改)# K, }- m: V, ]+ U: Y! S4 f2 J
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.0.4/24" port protocol="tcp" port="8080" accept"
0 ~# {0 c/ |# r0 c; p+ s9 h. p" ?% e( F3 K( T
( u+ y# ]% [  g- ^% i: `0 J
1.drop禁止特定ip连接ssh/22服务
; U3 l1 S: V$ x7 ^- o8 s2 d! G1 v9 }/ H* p9 w
firewall-cmd --permanent --zone=public --add-rich-rule="rule family=ipv4 source address=‘x.x.x.x/24‘ service name=‘ssh‘ drop". |9 P0 J1 k' v( M" x
firewall-cmd --reload
: _2 Z* d3 f: B* I5 {    ##重新加载防火墙配置,不然firewall-cmd --list-all-zones不会显示刚加上的规则
) c) \# i9 }, T, M% O$ j" H2 \1 `! C, ^( t2 \2 d! z- X
: r4 `. m4 f! X% N  I: |4 q
2.reject禁止特定ip连接ssh/22服务
# w* r0 |  d2 j8 g( t9 \3 P1 c! @0 e* W7 O* l2 l, z
firewall-cmd --permanent --zone=public --add-rich-rule="rule family=‘ipv4‘ source address=‘x.x.x.x/24‘ service name=‘ssh‘ reject"; S9 P% x) v% g6 }2 {
firewall-cmd --permanent --zone=public --add-rich-rule="rule family=‘ipv4‘ source address=‘x.x.x.x/24‘ port port=22 protocol=tcp reject"; m3 t2 Z+ v' f$ a
firewall-cmd --reload$ o3 o: a& n4 ?4 J6 i6 F
    ##重新加载防火墙配置,不然firewall-cmd --list-all-zones不会显示刚加上的规则% T' [; n8 E8 G' i

  q9 j2 x& }3 z- J8 @2 a# x, z6 \2 p
3.accept运行特定ip连接ssh/22服务; a( p' }' ~, g& R

% V; q1 [7 Z% l9 l8 Hfirewall-cmd --permanent --zone=public --add-rich-rule="rule family=ipv4 source address=‘x.x.x.x/24‘ port port=22 procotol=tcp accept"
- y# _: Z+ m) s5 Ufirewall-cmd --reload
3 r/ l$ T( c! J9 ~; B( a3 m- d
7 |) Y; ^8 M) p" i( b5 `4 ?! }+ O  N2 |! _0 [' l9 L+ m; Z
防火墙内的策略动作有DROP和REJECT两种,区别如下:
7 L- L- A4 c# \* Y/ W# R  K. ~; G$ z1、DROP动作只是简单的直接丢弃数据,并不反馈任何回应。需要Client等待超时,Client容易发现自己被防火墙所阻挡。$ L: q8 y4 C6 I
2、REJECT动作则会更为礼貌的返回一个拒绝(终止)数据包(TCP FIN或UDP-ICMP-PORT-UNREACHABLE),明确的拒绝对方的连接动作。连接马上断开,Client会认为访问的主机不存在。REJECT在IPTABLES里面有一些返回参数,参数如下:ICMP port-unreachable、ICMP echo-reply 或是 tcp-reset(这个封包会要求对方关闭联机),进行完此处理动作后,将不再比对其它规则,直接中断过滤程序。8 K3 M; T  {$ ~

3 h) {5 R; _7 V) f; u  P至于使用DROP还是REJECT更合适一直未有定论,因为的确二者都有适用的场合。REJECT是一种更符合规范的处理方式,并且在可控的网络环境中,更易于诊断和调试网络/防火墙所产生的问题;而DROP则提供了更高的防火墙安全性和稍许的效率提高,但是由于DROP不很规范(不很符合TCP连接规范)的处理方式,可能会对你的网络造成一些不可预期或难以诊断的问题。因为DROP虽然单方面的中断了连接,但是并不返回任何拒绝信息,因此连接客户端将被动的等到tcp session超时才能判断连接是否成功,这样早企业内部网络中会有一些问题,例如某些客户端程序或应用需要IDENT协议支持(TCP Port 113, RFC 1413),如果防火墙未经通知的应用了DROP规则的话,所有的同类连接都会失败,并且由于超时时间,将导致难以判断是由于防火墙引起的问题还是网络设备/线路 故障。
. A$ q6 j) M) u/ r7 z# c, `9 j: J: t1 ~
一点个人经验,在部署防火墙时,如果是面向企业内部(或部分可信任网络),那么最好使用更绅士REJECT方法,对于需要经常变更或调试规则的网络也是如此;而对于面向危险的Internet/Extranet的防火墙,则有必要使用更为粗暴但是安全的DROP方法,可以在一定程度上延缓黑客攻击的进度(和难度,至少,DROP可以使他们进行TCP-Connect方式端口扫描时间更长)。
+ @- V! s* d8 D# a; |! U) A$ I/ b7 K2 J: Z% ?6 B& |* O; x2 n

1

主题

0

回帖

12

积分

管理员

积分
12
QQ
 楼主| 发表于 2023-10-25 09:37:34 | 显示全部楼层
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="10.249.114.249/24" port protocol="tcp" port="0-65535" accept   允许网段所有tcp端口

1

主题

0

回帖

12

积分

管理员

积分
12
QQ
 楼主| 发表于 2023-10-25 09:39:55 | 显示全部楼层
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="10.249.114.0/24" port protocol="tcp" port="0-65535" accept"  允许网段所有udp端口

1

主题

0

回帖

12

积分

管理员

积分
12
QQ
 楼主| 发表于 2023-10-25 09:58:02 | 显示全部楼层
添加防火墙,以及addr-rich-rule策略范例:  firewall-cmd --permanent --add-port=443/tcp --add-port=80/tcp --add-port=2222/tcp --add-port=33061/tcp --add-port=33062/tcp --add-port=54320/tcp  --add-port=63790/tcp --add-port=30000-30030/tcp
% O4 Z% k3 m7 l3 b firewall-cmd --reload
  X. {- e* t; A  S! B firewall-cmd --list-all: e& `9 R/ Z( I% z

! Q: S2 Q2 T1 J, I5 B firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="10.249.114.249/24" port protocol="tcp" port="0-65535" accept"
8 Z1 T4 Z" q" b; M9 Z  firewall-cmd --reload / D7 c0 }  n1 d1 S. U$ w
  firewall-cmd --list-all
' a, u4 S2 e# {! ^& s4 R firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="10.249.114.249/24" port protocol="udp" port="0-65535" accept"
  E" S/ m! Z2 Z, N  _6 V   firewall-cmd --reload , `3 Q. F. }6 }+ \' R) A8 B# ]
firewall-cmd --list-all
) r$ a5 A8 |' L+ j8 m6 o8 Y$ R& a  firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="10.249.114.0/24" port protocol="udp" port="0-65535" accept"
' i; G0 M* L  ^# h/ m firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="10.249.114.0/24" port protocol="tcp" port="0-65535" accept"
; s: v" b3 ]* l# ~0 f

1

主题

0

回帖

12

积分

管理员

积分
12
QQ
 楼主| 发表于 2026-5-18 17:43:20 | 显示全部楼层
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.xx.xx.0/22" port protocol="tcp" port="0-65535" accept "! O1 r" r) u) c9 x$ M' ]  s
success
/ P6 l* x9 B( B8 P
2 B. D9 r* \: N3 ?- X7 T3 p2 p
您需要登录后才可以回帖 登录 | 注册

本版积分规则

返回首页|Archiver|手机版|小黑屋|易陆发现技术论坛 ( 蜀ICP备2026014127号-1 )

GMT+8, 2026-6-12 02:51 , Processed in 0.038378 second(s), 23 queries .

Powered by Discuz! X5.0

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表