现在去把allow中去掉,就无法连接了(注意:如果配了桥接网络,就需要把桥接网络的ip也添加进去,否则依然可以正常连接):
禁掉整个网段:
可以加关键词:EXCEPT 除了的意思。如现在拒绝10.233.3.整段,除了10.233.3.226,发现225是可以正常连接的:
ALL:全部 ,一般用于deny中,意思就是拒绝所有客户端,如现在我们只想要一台服务器可以连接到该服务器,则在allow中添加允许连接的服务器,在deny写上ALL即可:
并不是所有的服务都能使用她来进行控制的,ldd -v 查看哪些服务能使用她来控制,需要筛选一下,带wrap的就是允许反之不允许,如,查看sshd服务:ldd -v ’ which sshd` |grep wrap ('which '是反引号)
上面内容也可以参考这篇博客,更加详细:利用hosts.allow和hosts.deny限制IP登陆分解
- 接口需要和某zone关联,从这个接口进来的所有数据包都要使用这个zone里的规则,如果某接口没有和任何的zone关联,则这个接口进来的数据包会使用默认的zone里的规则,一个接口只能和一个zone关联,或者不关联(默认)
- 打开图形化防火墙界面:
firewall-config &
-
查看默认zone:
firewall-cmd --get-default-zone
-
查看指定接口zone:
firewall-cmd --get-zone-of-interface=网卡名称
-
查看所有zone:
firewall-cmd --get-zones
- 更改默认zone:
firewall-cmd --set-default-zone=****
,如修改为trusted,再改回public(默认):
- 查看接口是和哪个zone关联的方法有2种:图形化和命令行,
图形化查看:firewall-config &
命令行查看:firewall-cmd --get-zone-of-interface=网卡名称
,如果网卡名称错误和该网卡没有绑定zone都会提示no zone ,如查看ens160网卡的zone:firewall-cmd --get-zone-of-interface=ens160
:
- 指定接口新定义zone:
firewall-cmd --add-interface=网卡名称 --zone=zone名称
,在接口有zone的情况下在定义zone会报错:
(所以定义zone的时候需要先删除zone,在定义zone)删除zone:firewall-cmd --remove-interface=网卡名称 --zone=当前zone名称(
查看:firewall-cmd --get-zone-of-interface=网卡名称):(了解即可,下面有命令可以直接更换zone)