Linux的防火墙权限深度学习

• 防火墙：      

  防火墙是位于内部网和外部网之间的屏障，它按照系统管理员预先定义好的规则来控制数据包的进出

• 防火墙又可以分为硬件防火墙与软件防火墙：

  • 硬件防火墙：是由厂商设计好的主机硬件，这台硬件防火墙的操作系统主要以提供数据包数据的过滤机制为主，并将其他不必要的功能拿掉
  • 软件防火墙：就是保护系统网络安全的一套软件（或称为机制），例如Netfilter与TCP Wrappers都可以称为软件防火墙。主要的是Linux系统本身提供的软件防火墙Netfilter，即数据包过滤机制

• 数据包过滤机制

       分析进入主机的网络数据包，将数据包的头部数据提取出来进行分析，以决定该连接通信或阻塞。这种方式可以直接分析数据包头部数据，包括硬件地址，软件地址，TCP、UDP、ICMP等数据包的信息都可以进行过滤分析（主要为OSI七层协议的2、3、4层）

• Linux的Netfilter机制可以进行的分析工作有：

  • 拒绝Internet的数据包进入主机的某些端口
  • 拒绝某些来源ip的数据包进入
  • 拒绝带有某些特殊标志（flag）的数据包进入（最常拒绝的就是带有SYN的主动连接的标志了）
  • 分析硬件地址（MAC）来决定连接与否

• Linux的Netfilter机制的缺陷：

  • 防火墙并不能有效阻挡病毒或木马程序
  • 防火墙对于内部LAN的攻击无能为力（防火墙对于内部的规则设置通常比较少，所以就很容易造成内部员工对于网络无用或滥用的情况）

        假设主机开放了www服务，防火墙的设置是一定要将www服务的port开放给client端的,如果www服务器的软件有漏洞，或者请求www服务的数据包本身就是病毒的一部分时，防火墙是阻止不了的

        netfilter这个数据包过滤机制是由linux内核内建的，不同的内核版本使用的设置防火墙策略的软件不一样

        数据进入虚拟机，首先被网卡接受，然后会先接受PREROUTING处理，然后通过路由表查询觉得是接受到用户的允许程序（intput）还是中继转发（forward），如果被用户接受选择，此时会被允许放行到APP，通过用户处理后，决定是否发送出虚拟机（output），此时，还有一个路由表来决定出虚拟机的数据（包括之前的forward），通过路由表来决定是否更改地址信息，并通过postrouting来决定是否发出

入站数据流向(即流入本机流量：PREROUTING ---> INPUT )
　　从外界到达防火墙的数据包，先被PREROUTING规则链处理（是否修改数据包地址等），之后会进行路由选择（判断该数据包应该发往何处），如果数据包的目标主机是防火墙本机（比如说Internet用户访问防火墙主机中的web服务器的数据包），那么内核将其传给INPUT链进行处理（决定是否允许通过等），通过以后再交给系统上层的应用程序（比如Apache服务器）进行响应

转发数据流向(转发的流量: PREROUTING --> FORWARD ---> POSTROUTING )
　　来自外界的数据包到达防火墙后，首先被PREROUTING规则链处理，之后会进行路由选择，如果数据包的目标地址是其它外部地址（比如局域网用户通过网关访问QQ站点的数据包），则内核将其传递给FORWARD链进行处理（是否转发或拦截），然后再交给POSTROUTING规则链（是否修改数据包的地址等）进行处理

出站数据流向(由本机流出的流量:OUTPUT ---> POSTROUTING)
　　防火墙本机向外部地址发送的数据包（比如在防火墙主机中测试公网DNS服务器时），首先被OUTPUT规则链处理，之后进行路由选择，然后传递给POSTROUTING规则链（是否修改数据包的地址等）进行处理

•  iptables服务

        防火墙会从以上至下的顺序来读取配置的策略规则，在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为（即放行或阻止）。如果在读取完所有的策略规则之后没有匹配项，就去执行默认的策略。

        一般而言，防火墙策略规则的设置有两种：一种是“通”（即放行），一种是“堵”（即阻止）。当防火墙的默认策略为拒绝时（堵），就要设置允许规则（通），否则谁都进不来；如果防火墙的默认策略为允许时，就要设置拒绝规则，否则谁都能进来，防火墙也就失去了防范的作用

•  iptables服务策略

        iptables服务把用于处理或过滤流量的策略条目称之为规则，多条规则可以组成一个规则链，而规则链则依据数据包处理位置的不同进行分类，具体如下：

• 在进行路由选择前处理数据包，用于目标地址转换
  • 处理流入的数据包input
  • 处理流出的数据包forward
  • 处理转发的数据包output
• 在进行路由选择后处理数据包，用于源地址转换

• iptables服务安装和功能

//iptables包的安装
[root@lxb ~]# yum install iptables-services.x86_64 -y

//此时关闭原来的防火墙
[root@lxb ~]# systemctl stop firewalld

//查看源防火墙状态 --- 此时显示为未启动
[root@lxb ~]# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor pres>
   Active: inactive (dead) since Wed 2021-12-15 16:08:31 CST; 2 weeks 2 days ago
     Docs: man:firewalld(1)
 Main PID: 1043 (code=exited, status=0/SUCCESS)

Warning: Journal has been rotated since unit was started. Log output is incomplete>

//启动iptables服务
[root@lxb ~]# systemctl start iptables

#####iptables命令可以根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配#####
#####一旦匹配成功，iptables就会根据策略规则所预设的动作来处理这些流量#####

//用法：iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作

iptables的参数说明：
-t    
    #对指定的表进行操作，table必须是raw，nat，filter，mangle中的一个
    #[默认是filter表]
-p    
    #指定要匹配的数据包协议类型 --- 例如tcp,ucp，icmp等

A (--append) XXX rule-specification   
    #在链XXX的末尾插入指定的规则,这条规则会被放到最后执行
    #[规则是由后面的匹配来指定]
I (--insert) XXX [rulenum] rule-specification
    #在链XXX中的指定序号插入一条或多条规则
    #[若指定的规则号是1，则在链的头部插入，默认为1]
D (--delete) XXX/XXX rulenum   
    #删除链XXX中一个或多个指定规则
R num
    #替换/修改第几条规则

L (--list) XXX     
    #列出链XXX上面的所有规则
    #[如果没有指定链，列出表上所有链的所有规则]
P (--policy chain target)    
    #为指定的链chain设置策略target
    #[只有内置的链才允许有策略，用户自定义的是不允许的]
F (--flush) XXX
    #清空指定链XXX上面的所有规则
    #[如果没有指定链，清空该表上所有链的所有规则]
N (--new) XXX 
    #用XXX的名字创建一个新的链
X (--delete) XXX 
    #删除指定的XXX链，这个链必须没有被其它任何规则引用，而且这条上必须没有任何规则
    #[如果没有指定链名，则会删除该表中所有非内置的链]
E (--rename) XX1 XX2 
    #用XX2去重命名指定的链XX1
    #[不会对链内部照成任何影响]
Z (--zero) XXX 
    #将XXX，或将表中的所有链的所有计数器清零
j (--jump) target <指定目标>     
    #满足某条件时该执行什么样的动作
    #target可以是内置的目标[如ACCEPT，也可以是用户自定义的链]
h   显示帮助信息

s (--source) address[/mask][...]
    #指定的一个/一组地址作为源地址，按此规则进行过滤
    #当没有mask指定时，address是一个地址
    #当mask指定时，可以表示一组范围内的地址
d (--destination) address[/mask][...]
    #地址格式同上，但这里指定地址为目的地址，按此进行过滤
i (--in) interface name    
    #指定数据包的来自来自网络接口,eth0 
    #只对INPUT,FORWARD,PREROUTING链起作用
    #如果没有指定此选项,说明可以来自任何一个网络接口,同前面类似，"!" 表示取反
o (--ou) interface name    
    #指定数据包出去的网络接口
    #[只对OUTPUT,FORWARD,POSTROUTING三个链起作用]

• iptables服务操作

//清空iptables所有的规则表
[root@lxb ~]# iptables -F

//列出iptable的链表chain上面的所有规则
[root@lxb ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination 

• web服务，设置任何人能够通过80端口访问。

//设置任何人能够通过80端口访问
[root@lxb ~]# iptables -I INPUT -p tcp --dport 80 -j ACCEPT

//查看iptables列表
[root@lxb ~]# iptables -L 
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
    #此时允许所有ip以tcp协议访问80端口
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination       

//列出iptables列表num  
[root@lxb ~]# iptables -L --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination 

• 禁止所有人ssh远程登录该服务器

//禁止所有人ssh远程登录该服务器 --- ssh使用的tcp协议的22端口
[root@lxb ~]# iptables -I INPUT -p tcp --dport 22 -j REJECT

//此时我的xshell已经断开ssh连接
Socket error Event: 32 Error: 10053.
Connection closing...Socket close.

Connection closed by foreign host.

Disconnected from remote host(RHCE(赵)) at 23:03:49.

Type `help' to learn how to use Xshell prompt.
[C:\~]$ 

//此时在vm上查看iptables列表
[root@lxb /]# iptables -L --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    REJECT     tcp  --  anywhere             anywhere             tcp dpt:ssh reject-with 
icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination  

• 禁止某个主机地址的服务，并允许该主机服务器的特定服务

//禁止192.168.220.234主机地址ssh远程登录该服务器（由于客户端有两个网卡，需要都拒绝）
//设置iptables的拒绝权限 --- 源为192.168.220.134和192.168.220.131
[root@lxb ~]# iptables -I INPUT -p tcp -s 192.168.220.134 --dport 22 -j REJECT
[root@lxb ~]# iptables -I INPUT -p tcp -s 192.168.220.131 --dport 22 -j REJECT

[root@lxb ~]# iptables -L --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    REJECT     tcp  --  192.168.220.131      anywhere             tcp dpt:ssh reject-with icmp-port-unreachable
2    REJECT     tcp  --  192.168.220.134      anywhere             tcp dpt:ssh reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

//此时192.168.220.129的客户端无法ssh连接服务器
[root@localhost ~]# ssh root@192.168.220.234
ssh: connect to host 192.168.220.234 port 22: Connection refused


//服务端设置允许该主机访问服务器的icmp服务
[root@lxb ~]# iptables -I INPUT -p icmp -s 192.168.220.134  -j ACCEPT

//查看iptables列表
[root@lxb ~]# iptables -L --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     icmp --  192.168.220.134      anywhere            
2    REJECT     tcp  --  192.168.220.134      anywhere             tcp dpt:ssh reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination   

//此时去客户端查看
[root@localhost ~]# ping 192.168.220.129
PING 192.168.220.129 (192.168.220.129) 56(84) bytes of data.
64 bytes from 192.168.220.129: icmp_seq=1 ttl=64 time=0.323 ms
64 bytes from 192.168.220.129: icmp_seq=2 ttl=64 time=0.234 ms
^C
--- 192.168.220.129 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 63ms
rtt min/avg/max/mdev = 0.234/0.278/0.323/0.047 ms

•  firewalld 

        iptables service是对旧的防火墙规则进行了清空，然后重新完整地加载所有新的防火墙规则，而如果配置了需要 reload 内核模块的话，则还包含卸载和重新加载内核模块的动作，很可能对运行中的系统产生额外的不良影响，特别是在网络非常繁忙的系统中

        如果把这种只修改一条规则也要进行所有规则的重新载入的模式称为静态防火墙的话，那么firewalld 所提供的模式就可以叫做动态防火墙，它的出现就是为了解决这一问题，任何规则的变更都不需要对整个防火墙规则列表进行重新加载，只需要将变更部分保存并更新即可,它具备对 IPv4 和 IPv6 防火墙设置的支持。

        相比于传统的防火墙管理工具，firewalld支持动态更新技术并加入了区域。区域就是firewalld预先准备了几套防火墙策略集合，用户可以选择不同的集合，从而实现防火墙策略之间的快速切换。

区域	默认规则策略
阻塞区域（block）	拒绝流入的流量，除非与流出的流量相关
工作区域（work）	拒绝流入的流量，除非与流出的流量相关
家庭区域（home）	拒绝流入的流量，除非与流出的流量相关
公共区域（public）	不相信网络上的任何计算机，只有选择接受传入的网络连接。
隔离区域（DMZ）	隔离区域也称为非军事区域，内外网络之间增加的一层网络，起到缓冲作用。对于隔离区域，只有选择接受传入的网络连接。
信任区域（trusted）	允许所有的数据包。
丢弃区域（drop）	拒绝流入的流量，除非与流出的流量相关
内部区域（internal）	等同于home区域
外部区域（external）	拒绝流入的流量，除非与流出的流量有关；而如果流量与ssh服务相关，则允许流量

丢弃(drop)
    如果使用丢弃区域，任何进入的数据包将被丢弃。这个类似与iptables -j drop
    (使用丢弃规则意味着将不存在响应)

阻塞(block)
    阻塞区域会拒绝进入的网络连接，返回 icmp-host-prohibited
    (只有服务器已经建立的连接会被通过即只允许由该系统初始化的网络连接)

公共(public)
    只接受那些被选中的连接，默认只允许 ssh 和 dhcpv6-client
    (这个zone是缺省zone)

外部(external)
    这个区域相当于路由器的启用伪装(masquerading)选项
    只有指定的连接会被接受，即 ssh，而其它的连接将被丢弃或者不被接受

隔离(dmz)
    如果想要只允许给部分服务能被外部访问，可以在dmz区域中定义
    它也拥有只通过被选中连接的特性，即ssh

工作(work)
    在这个区域，我们只能定义内部网络
    比如私有网络通信才被允许，只允许ssh,ipp-client和dhcpv6-client

家庭(home)
    这个区域专门用于家庭环境
    它同样只允许被选中的连接，即ssh，ipp-client，mdns，samba-client和dhcpv6-client

内部(internal)
    这个区域和工作区域（work）类似，只有通过被选中的连接，和home区域一样

信任(trusted)
    信任区域允许所有网络通信通过
    #因为trusted是最被信任的，即使没有设置任何的服务，那么也是被允许的，
    #因为 trusted 是允许所有连接的

 

• firewalld中常见的区域名称（默认为public）以及相应的策略规则：

        firewalld默认提供的九个zone配置文件都保存在“/usr/lib/firewalld/zones/”目录下，分别为：

[root@localhost ~]# cd /usr/lib/firewalld/zones/
[root@localhost zones]# ll
total 40
-rw-r--r--. 1 root root 299 Feb 27  2020 block.xml
-rw-r--r--. 1 root root 293 Feb 27  2020 dmz.xml
-rw-r--r--. 1 root root 291 Feb 27  2020 drop.xml
-rw-r--r--. 1 root root 304 Feb 27  2020 external.xml
-rw-r--r--. 1 root root 397 Feb 27  2020 home.xml
-rw-r--r--. 1 root root 412 Feb 27  2020 internal.xml
-rw-r--r--. 1 root root 809 Mar 16  2020 libvirt.xml
-rw-r--r--. 1 root root 343 Feb 27  2020 public.xml
-rw-r--r--. 1 root root 162 Feb 27  2020 trusted.xml
-rw-r--r--. 1 root root 339 Feb 27  2020 work.xml
[root@localhost zones]# cat drop.xml 
<?xml version="1.0" encoding="utf-8"?>
<zone target="DROP">
  <short>Drop</short>
  <description>Unsolicited incoming network packets are dropped. Incoming packets that are related to outgoing network connections are accepted. Outgoing network connections are allowed.</description>
</zone>

        在RHEL7中，firewalld服务是默认的防火墙配置管理工具，有基于CLI（命令行界面）和基于GUI（图形用户界面）的两种管理方式。firewall-config和firewall-cmd是直接编辑xml文件，其中firewall-config是图形化工具，firewall-cmd是命令行工具

• 安装firewalld服务的软件：

[root@lxb ~]# rpm -qa | grep firewall
firewalld-filesystem-0.8.0-4.el8.noarch
python3-firewall-0.8.0-4.el8.noarch
firewalld-0.8.0-4.el8.noarch

• firewall-cmd命令参数

[root@lxb ~]# firewall-cmd  XXX
    #XXX#	                                #作用#
--get-default-zone	                    查询默认的区域名称
--set-default-zone=<区域名称>	        设置默认的区域，使其永久生效
--get-zones	                            显示可用的区域
--get-services	                        显示预先定义的服务
--get-active-zones	                    显示当前正在使用的区域与网卡名称
--add-source=	                        将源自此IP或子网的流量导向指定的区域
--remove-source=	                    不再将源自此IP或子网的流量导向某个指定区域
--add-interface=<网卡名称>	            将源自该网卡的所有流量都导向某个指定区域
--change-interface=<网卡名称>	        将某个网卡与区域进行关联
--list-all	                            显示当前区域网卡配置参数、资源、端口以及服务信息
--list-all-zones	                    显示所有区域网卡配置参数、资源、端口以及服务信息
--add-service=<服务名>	                设置默认区域允许该服务的流量
--add-port=<端口号/协议>	                设置默认区域允许该端口的流量
--remove-service=<服务名>	            设置默认区域不再允许该服务的流量
--remove-port=<端口号/协议>	            设置默认区域不再允许该端口的流量
--reload	                            <永久生效>配置规则立即生效，并覆盖当前的配置规则
--panic-on	                            开启应急状况模式
--panic-off	                            关闭应急状况模式

        使用firewalld配置的防火墙策略默认为当前生效，会随着系统的重启而失效。如果想让策略一直存在，就需要使用永久模式了，即在使用firewall-cmd命令设置防火墙策略时添加--permanent参数，这样配置的防火墙策略就可以永久生效了，最后想要使用这种方式设置的策略生效，只能重启或者输入命令：firewall-cmd --reload

//重启防火墙服务
[root@localhost ~]# systemctl restart firewalld

#临时生效，重启失效
/    /设置任何人可以访问该服务器的web服务
[root@localhost ~]# firewall-cmd --add-port=80/tcp
[root@localhost ~]# firewall-cmd --add-service=http
#设置永久生效
    //先添加服务(默认已添加)
[root@localhost ~]#firewall-cmd --permanent --add-service=ssh
    //禁止192.168.220.0网段的地址进行ssh访问
        //设置一个reject-rule的规则
[root@localhost ~]# firewall-cmd --permanent --add-reject-rule 'rule family="ipv4" source address="192.168.220.0/24" service name="ssh" reject'
    //重载之后当前会话不会断开，新连接的被拒绝
[root@localhost ~]# firewall-cmd --reload
    //删除reject-rule规则
[root@localhost ~]# firewall-cmd --permanent --remove-reject-rule='rule family="ipv4" source address="192.168.220.0/24" service name="ssh" reject'
//禁止某个ip地址进行ssh访问，应该写成ip/32

//配置端口转发（在192.168.220.0网段的主机访问该服务器的5423端口将被转发到80端口）
[root@system1 ~]# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.220.0/24" forward-port port="5423" protocol="tcp" to-port="80"'

//设置本机80端口转发到192.168.220.234的8080端口上：
firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.220.234 --permanent

samba服务对应应该在防火墙添加的服务为：samba

#firewall-cmd --permanent --add-service=samba
#firewall-cmd --permanent --add-port=137-138/udp
#firewall-cmd --permanent --add-port=139/tcp --add-port=445/tcp

nfs服务对应应该在防火墙添加的服务为：nfs，rpc-bind，mountd

#firewall-cmd --permanent --add-service=rpc-bind
#firewall-cmd --permanent --add-service=nfs

iscsi服务对应应该在防火墙添加的服务为：iscsi-target

#firewall-cmd --permanent --add-service=smtp

•  TCP wrappers

        TCP Wrappers主要是分析谁对某程序进行访问，然后通过规则去分析该服务器程序谁能够连接、谁不能连接。由于主要是通过分析服务器程序来管理，因此与启动的端口无关，只与程序的名称有关，TCP wrappers通过客户端想要链接的程序文件名，然后分析客户端的ip，看看是否需要放行

•  TCP Wrappers机制：

        TCP Wrappers通过/etc/hosts.allow和/etc/hosts.deny这两个文件来管理一个类似防火墙的机制，但并非所有的软件都可以通过这两个文件来管理，只有下面的软件才能够通过这两个文件来管理防火墙规则，分别是：

1. 由super daemon（xinetd）所管理的服务
2. 支持libwrap.so模块的服务

查询某个服务是否有该模块

[root@lxb ~]# ldd `which sshd `| grep libwrap

当有请求到达本机时，/etc/hosts.allow和/etc/hosts.deny这两个文件的优先顺序如下：

1. 先以/etc/hosts.allow进行优先对比，该规则符合就予以放行
2. 再以/etc/hosts.deny比对，若符合就抵挡
3. 若不在这两个文件内，即规则都不符合，最终予以放行

• /etc/hosts.allow和/etc/hosts.deny文件设置格式：

​//服务列表：主机列表：选项
①服务列表是要支持的服务名，例如vsftpd，sshd等
②常用的主机列表参数如下

客户端类型            示例                            满足示例的客户端列表
单一主机            192.168.10.10                    IP地址为192.168.10.10的主机
指定网段            192.168.10.                      IP段为192.168.10.0/24的主机
指定网段            192.168.10.0/255.255.255.0       IP段为192.168.10.0/24的主机
指定DNS后缀         .haha.com                        所有DNS后缀为.haha.com的主机
指定主机名称        www.haha.com                     主机名称为www.haha.com的主机
指定所有客户端      ALL                              所有主机全部包括在内

③选项是控制的动作，allow接受连接请求，deny拒绝连接请求

//192.168.220.129拒绝192.168.220.234主机的ssh访问
[root@lxb ~]# vim /etc/hosts.deny
sshd:192.168.220.234
[root@localhost ~]# ssh 192.168.220.129
ssh_exchange_identification: read: Connection reset by peer


//设置允许192.168.220.网段主机的ssh访问
[root@lxb ~]# vim /etc/hosts.allow
sshd:192.168.220.
[root@localhost ~]# ssh 192.168.220.129
root@192.168.220.129's password:
Last login: Fri Dec 31 23:29:32 2021 from 192.168.220.131
[root@lxb ~]#


//在/etc/hosts.allow中设置拒绝192.168.220.234的ssh访问
[root@lxb ~]# vim /etc/hosts.allow
sshd:192.168.220.234:deny
[root@localhost ~]# ssh 192.168.220.129
ssh_exchange_identification: read: Connection reset by peer


//在/etc/hosts.deny中设置允许192.168.220.234的ssh访问：
[root@lxb ~]# vim /etc/hosts.deny
添加
sshd:192.168.220. except 192.168.220.234  
    #或者
sshd:1192.168.220.234:allow
[root@localhost ~]# ssh 192.168.220.129
root@172.24.8.128's password:
Last login: Fri Dec 31 23:49:32 2021 from 192.168.220.234
[root@lxb ~]#