支持系统版本:redhat7 ,centos7
一. 设置firewall规则
连接阻断在防火墙中有两种,一个是 drop,一个是 reject。
- drop 是直接丢弃请求,不返回任何数据,直到客户端连接尝试超时。
- reject 是直接断开,并返回 ICMP 错误信息包。
例1:对外暴露8080端口
firewall-cmd --permanent --add-port=8080/tcp
例2:使mysql服务的3306端口只允许192.168.1.1/24网段的服务器能访问
添加规则
启用IP名单
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.1/24" port protocol="tcp" port="3306" accept"
#reload使生效
firewall-cmd --reload
删除IP名单
firewall-cmd --zone=public --remove-rich-rule="rule family='ipv4' source address='192.168.1.1/24' port port="3306" protocol=tcp drop" --permanent