public
- 设置同网段的几个白名单IP可以ssh 登录
- 把ssh服务从public_zone里remove 掉,这样除了已知的白名单IP,都拒绝远程连接ssh
- 禁止其他机器ping 自己的服务器
public (active)
target: default
icmp-block-inversion: no
interfaces: ens33
sources:
services: dhcpv6-client
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
rule family="ipv4" protocol value="icmp" drop
rule family="ipv4" source address="192.168.153.134" service name="ssh" accept
rule family="ipv4" source address="192.168.153.135" service name="ssh" accept
work
- 对应上联交换机的网关或其他统一跳转IP,非同一网段的
- 统一从这个网关或统一中转IP作为 source_IP源,当这个IP到达网卡后,会被firewalld 转向work_zone来处理剩下的安全策略和闲置。
- 下面例子是允许 192.168.153.1 网关连接22和80端口,并完成他们的请求和相应