行业资讯

作为Linux服务器用户，您可以选择使用firewalld防火墙允许或限制对某些服务或IP地址的网络访问，该防火墙是CentOS/RHEL 8和大多数基于RHEL的发行版(如Fedora)的本地防自带火墙。

firewalld防火墙使用防火墙cmd命令行实用程序来配置防火墙规则。在执行任何配置之前，我们首先使用systemctl实用程序启用防火墙服务，如下所示：

$ sudo systemctl enable firewalld

启用后，您现在可以通过执行以下命令启动防火墙服务：

$ sudo systemctl start firewalld

您可以通过运行以下命令来验证firewalld的状态：

$ sudo systemctl status firewalld

以下输出确认防火墙服务已启动并正在运行。

使用防火墙配置规则

现在我们已运行防火墙，我们可以直接进行一些配置。Firewalld允许您添加和阻止端口，黑名单以及白名单IP地址，以提供对服务器的访问权限。完成配置后，请务必确保重新加载防火墙以使新规则生效。

1、添加一个TCP / UDP端口

要添加端口，请为HTTPS说端口443，请使用以下语法。请注意，您必须在端口号后指定端口是TCP还是UDP端口：

$ sudo firewall-cmd --remove-port=22/tcp --permanent

同样，要添加UDP端口，请指定UDP选项，如下所示：

$ sudo firewall-cmd --remove-port=53/udp --permanent

该--permanent标识可确保规则即使在重新启动后也仍然存在。

2、阻止TCP / UDP端口

要阻止TCP端口（如端口22），请运行命令。

$ sudo firewall-cmd --remove-port=22/tcp --permanent

同样，阻止UDP端口将遵循相同的语法：

$ sudo firewall-cmd --remove-port=53/udp --permanent

3、允许服务

网络服务在/ etc / services文件中定义。要允许使用https之类的服务，请执行以下命令：

$ sudo firewall-cmd --add-service=https

4、阻止服务

要阻止服务，例如FTP，请执行：

$ sudo firewall-cmd --remove-service=https

5、将IP地址列入白名单

要在防火墙上允许一个IP地址，请执行以下命令：

$ sudo firewall-cmd --permanent --add-source=192.168.2.50

您还可以使用CIDR（无类域间路由）表示法来允许一系列IP或整个子网。例如，要允许255.255.255.0子网中的整个子网，请执行。

$ sudo firewall-cmd --permanent --add-source=192.168.2.0/24

6、删除列入白名单的IP地址

如果要删除防火墙上的白名单IP，请使用--remove-source如下所示的标志：

$ sudo firewall-cmd --permanent --remove-source=192.168.2.50

对于整个子网，运行：

$ sudo firewall-cmd --permanent --remove-source=192.168.2.50/24

7、封锁IP位址

到目前为止，我们已经了解了如何添加和删除端口和服务以及将白名单和IP列入白名单。为了阻止IP地址，为此使用了“ 丰富规则 ”。

例如，要阻止IP 192.168.2.50，请运行以下命令：

$ sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.50' reject"

要阻止整个子网，请运行：

$ sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.0/24' reject"

8、保存防火墙规则

如果您对防火墙规则进行了任何更改，则需要运行以下命令以立即应用更改：

$ sudo firewall-cmd --reload

9、查看防火墙规则

要查看防火墙中的所有规则，请执行以下命令：

$ sudo firewall-cmd --list-all

至此，本指南总结了如何在CentOS / RHEL 8上使用FirewallD允许或限制网络访问。