着信ソースアドレスをフィルタリングするためのFirewall-cmdルール

着信ソースアドレスをフィルタリングするためのFirewall-cmdルール

firewall-cmd ルール着信者のために送信元IPv4アドレス使用オペレーティングシステム7

add-port現時点ではこれを行いましたが、zone=public上記のように外部アクセスに対して「詳細なフィルタリング」を実行する方法はありません。

これを使用する以外に他の方法はありますか?豊富な言語?それでは(またはそうでない場合)、これを達成するためにどのように使用する必要がありますか?

答え1

リンクによると

豊富なルールコマンドの形式または構造は次のとおりです。

rule [family="rule family"]
    [ source [NOT] [address="address"] [mac="mac-address"] [ipset="ipset"] ]
    [ destination [NOT] address="address" ]
    [ element ]
    [ log [prefix="prefix text"] [level="log level"] [limit value="rate/duration"] ]
    [ audit ]
    [ action ]

ポート80のtcpとudpで8.8.8.8を拒否する

firewall-cmd --add-rich-rule='source address=8.8.8.8 port=80 deny'

一般的な慣行が適用されます。

  • source address=192.168.117.0/24
  • destination not address=8.8.8.8

--query-rich-rule='..'クエリ()または削除(--remove-rich-rule='..')するには、完全な構文を使用する必要があるようです。

答え2

特定のIPアドレスだけがサーバーにアクセスできないようにするには、次の手順を実行します。fdsフロントエンドは使いやすいです。背後でFirewallDとIPセットを使用しますが、次のより簡単なCLIインターフェイスを提供しますfirewall-cmd

設定

sudo yum -y install https://extras.getpagespeed.com/release-latest.rpm
sudo yum -y install fds

IPブロック

sudo fds block 1.2.3.4

関連情報