现有项目端口使用极多,为了开发调试方便,特使用开放端口范围、端口段的方式使用防火墙。
在实际项目中,推荐还是精确控制某一明确端口。
- 增加端口范围规则(与精确控制差不多,只是用"-"分隔)
firewall-cmd --permanent --zone=public --add-port=8840-8900/tcp
- 删除规则
firewall-cmd --permanent --zone=public --remove-port=8840-8900/tcp
- 加载规则使生效
firewall-cmd --load
- 其他操作
//使用rich-rule添加规则
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" port protocol="tcp" port="8840-8900" accept"
//删除rich-rule规则
firewall-cmd --permanent --zone=public --remove-rich-rule="rule family="ipv4" port protocol="tcp" port="8840-8900" accept"
//查看防火墙规则
firewall-cmd --list-all
//启动防火墙
systemctl start firewalld
//停止防火墙
systemctl stop firewalld
- 切记:remove-rich-rule时,要加上完整参数permanent,zone
如果没加,看起来已删除掉,但reload后,发现规则又回来了。
- 禁用IP
firewall-cmd --zone=public --permanent --add-rich-rule="rule family="ipv4" source address="192.168.29.3" drop"
firewall-cmd --zone=public --permanent --add-rich-rule="rule family="ipv4" source address="192.168.29.3" reject"
firewall-cmd --zone=public --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.29.3" drop"
firewall-cmd --zone=public --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.29.3" reject"
- 切记:remove-rich-rule时,要加上完整参数permanent,zone
如果没加,看起来已删除掉,但reload后,发现规则又回来了。
- 禁用指定的IP访问我们服务器指定的端口
firewall-cmd --zone=public --permanent --add-rich-rule="rule family="ipv4" source address="192.168.29.3" port protocol="tcp" port="6379" reject"
firewall-cmd --zone=public --permanent --add-rich-rule="rule family="ipv4" source address="192.168.29.3" port protocol="tcp" port="6379" drop"
- 启用指定IP访问指定的端口
firewall-cmd --zone=public --permanent --add-rich-rule="rule family="ipv4" source address="192.168.29.3" port protocol="tcp" port="6379" accept"
- docker 使用bridge时,防火墙规则问题测试【重点】
然后用这种试,反过来防火墙规则:
1.先允许
firewall-cmd --zone=public --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.3" port protocol="tcp" port="80" accept"
2.再禁所有
firewall-cmd --zone=public --permanent --add-rich-rule="rule family="ipv4" port protocol="tcp" port="80" drop"
firewall-cmd --zone=public --permanent --add-rich-rule="rule family="ipv4" port protocol="tcp" port="80" reject"
另:如果防火墙因为什么原因暂时不能启动,但又想在启动后自动加上端口的配置
在cd /etc/firewalld/zones目录下,找到相应的zone文件,添加相应的规则进去。