Tôi sẽ thực hiện điều này bằng cách thêm nguồn vào một vùng. Kiểm tra đầu tiên những nguồn có cho khu vực của bạn:
firewall-cmd --permanent --zone=public --list-sources
Nếu không có, bạn có thể bắt đầu thêm chúng, đây là "danh sách trắng" của bạn
firewall-cmd --permanent --zone=public --add-source=192.168.100.0/24
firewall-cmd --permanent --zone=public --add-source=192.168.222.123/32
(Điều đó thêm toàn bộ /24
và một IP duy nhất, để bạn có một tham chiếu cho cả mạng con và IP đơn)
Đặt phạm vi cổng bạn muốn mở:
firewall-cmd --permanent --zone=public --add-port=1-22/tcp
firewall-cmd --permanent --zone=public --add-port=1-22/udp
Đây chỉ là cổng 1 đến 22. Bạn có thể mở rộng cổng này, nếu bạn muốn.
Bây giờ, tải lại những gì bạn đã làm.
firewall-cmd --reload
Và kiểm tra công việc của bạn:
firewall-cmd --zone=public --list-all
Ghi chú / biên tập phụ: Không thành vấn đề nhưng tôi thích khu vực "đáng tin cậy" cho một bộ IP được liệt kê trắng trong tường lửa. Bạn có thể đánh giá thêm bằng cách đọc các đề xuất của redhat về việc chọn một khu vực .
Xem thêm:
Nếu bạn muốn các DROP
gói bên ngoài nguồn này, thì đây là một ví dụ để loại bỏ những thứ bên ngoài /24
tôi đã sử dụng làm ví dụ trước đó, bạn có thể sử dụng các quy tắc phong phú cho điều này , tôi tin. Đây là khái niệm, tôi chưa thử nghiệm nó (ngoài việc thấy rằng centos 7 chấp nhận lệnh), nhưng, đủ dễ để làm một pcap và xem liệu nó có hoạt động như bạn mong đợi không
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.100.0/24" invert="True" drop'