当前位置: 首页 > article >正文

Centos7防火墙高级策略:利用rich-rule实现精细化IP访问控制

article 2026/4/12 16:26:16
1. 为什么需要精细化IP访问控制想象一下你家的防盗门——普通防火墙就像给大门装了一把锁所有人都用同一把钥匙进出。而rich-rule则是给每个访客分配专属钥匙还能规定谁可以进厨房、谁只能待在客厅。在企业服务器环境中这种精细化控制尤为关键。去年我负责某金融项目时就遇到过MySQL数据库被扫描攻击的情况正是用rich-rule将3306端口锁死在运维IP段才避免了数据泄露风险。CentOS7的firewalld自带rich-rule功能它比基础规则强大在三处条件组合能同时限定源IP、目标端口、协议类型动作细分不仅允许/拒绝还能设置日志记录、速率限制策略优先级规则按顺序匹配类似路由表的匹配机制实际工作中最常见的三种场景只允许跳板机SSH访问比如限制22端口给10.0.0.5数据库端口白名单如3306仅对应用服务器开放API接口的IP鉴权特定IP才能访问8080端口2. 基础环境准备与常用命令在开始前先用这些命令做个健康检查# 确认防火墙状态active表示运行中 systemctl status firewalld # 查看当前默认区域 firewall-cmd --get-default-zone # 列出所有开放端口 firewall-cmd --zonepublic --list-ports如果遇到防火墙未启动建议用以下方式处理# 启动并设置开机自启生产环境务必开启 systemctl start firewalld systemctl enable firewalld重要目录说明/etc/firewalld/zones/存放各zone的XML配置文件/usr/lib/firewalld/zones/系统预置zone模板/etc/firewalld/services/自定义服务定义文件建议操作前先备份当前配置cp /etc/firewalld/zones/public.xml ~/public.xml.bak3. rich-rule核心操作实战3.1 允许特定IP访问端口假设要允许192.168.1.100访问3306端口这条命令实测有效firewall-cmd --permanent --add-rich-rulerule familyipv4 source address192.168.1.100 port protocoltcp port3306 accept参数拆解familyipv4支持ipv6时改为ipv6source address支持CIDR格式如192.168.1.0/24port protocol可填tcp/udp/sctp等accept动作类型还可用reject/drop易错点地址不带引号会报错错误示例source address192.168.1.100忘记--permanent参数导致重启失效协议类型写错比如把tcp写成http3.2 拒绝非法IP的暴力破解针对SSH暴力破解可以这样封禁IPfirewall-cmd --permanent --add-rich-rulerule familyipv4 source address203.0.113.45 reject进阶用法是配合日志记录firewall-cmd --permanent --add-rich-rulerule familyipv4 source address203.0.113.45 log prefixssh_attacker levelnotice reject日志会出现在/var/log/messages用这个命令监控tail -f /var/log/messages | grep ssh_attacker3.3 规则管理技巧查看现有rich-rule注意zone名称要对应firewall-cmd --list-rich-rules --zonepublic删除规则时建议先查询再操作# 先确认规则存在 firewall-cmd --list-rich-rules --zonepublic | grep 192.168.1.100 # 精确删除必须与添加时的参数完全一致 firewall-cmd --permanent --remove-rich-rulerule familyipv4 source address192.168.1.100 port protocoltcp port3306 accept临时禁用某条规则不用删除配置# 先转为临时模式 firewall-cmd --runtime-to-permanent # 移除运行时规则 firewall-cmd --remove-rich-rulerule familyipv4 source address192.168.1.100 port protocoltcp port3306 accept # 需要时再添加回来 firewall-cmd --add-rich-rulerule familyipv4 source address192.168.1.100 port protocoltcp port3306 accept4. 企业级安全策略设计4.1 多区域组合方案生产环境推荐使用默认拒绝白名单模式# 设置默认zone为drop谨慎操作先确保有管理IP在白名单 firewall-cmd --set-default-zonedrop # 创建运维专用zone firewall-cmd --permanent --new-zoneops_zone firewall-cmd --permanent --zoneops_zone --add-source10.0.0.0/24 firewall-cmd --permanent --zoneops_zone --add-servicessh4.2 时间维度控制通过cronjob实现上班时间才开放访问# 创建开放脚本 cat /usr/local/bin/open_port.sh EOF #!/bin/bash firewall-cmd --add-rich-rulerule familyipv4 source address192.168.1.0/24 port protocoltcp port3306 accept EOF # 创建关闭脚本 cat /usr/local/bin/close_port.sh EOF #!/bin/bash firewall-cmd --remove-rich-rulerule familyipv4 source address192.168.1.0/24 port protocoltcp port3306 accept EOF # 设置定时任务 crontab -e # 工作日8:30开放 30 8 * * 1-5 /usr/local/bin/open_port.sh # 工作日18:00关闭 0 18 * * 1-5 /usr/local/bin/close_port.sh4.3 审计与监控建议每周检查防火墙日志# 生成rich-rule访问报告 grep rich-rule /var/log/messages | awk {print $1,$2,$3,$12} | sort | uniq -c关键监控指标被拒绝的连接数可配Zabbix监控规则匹配次数用firewall-cmd --get-active-rules策略变更记录通过auditd审计5. 排错与性能优化常见故障排查规则不生效检查firewalld服务状态确认--permanent参数和--reload配合使用查看完整配置firewall-cmd --list-all连接被拒绝测试telnet目标端口检查conntrack记录conntrack -L临时关闭防火墙测试systemctl stop firewalld规则冲突按优先级检查firewall-cmd --get-active-rules查看处理顺序firewall-cmd --get-policies性能调优建议将高频匹配的规则放在前面IP段规则优先于单个IP如用192.168.1.0/24代替多个单IP大量规则时考虑用ipsetfirewall-cmd --permanent --new-ipsettrusted_ips --typehash:ip firewall-cmd --permanent --ipsettrusted_ips --add-entry192.168.1.100 firewall-cmd --permanent --add-rich-rulerule source ipsettrusted_ips accept最后提醒每次重大变更前建议# 生成当前规则备份 firewall-cmd --runtime-to-permanent cp /etc/firewalld/zones/* ~/firewalld_backup_$(date %F)

相关文章:

Centos7防火墙高级策略:利用rich-rule实现精细化IP访问控制

1. 为什么需要精细化IP访问控制? 想象一下你家的防盗门——普通防火墙就像给大门装了一把锁,所有人都用同一把钥匙进出。而rich-rule则是给每个访客分配专属钥匙,还能规定谁可以进厨房、谁只能待在客厅。在企业服务器环境中,这种精…...

编程日记 2026/4/12 16:26:16

vscode-drawio:在VS Code中无缝集成专业图表设计的5大核心技术特性

vscode-drawio:在VS Code中无缝集成专业图表设计的5大核心技术特性 【免费下载链接】vscode-drawio This unofficial extension integrates Draw.io (also known as diagrams.net) into VS Code. 项目地址: https://gitcode.com/gh_mirrors/vs/vscode-drawio …...

编程日记 2026/4/12 16:26:16

从零构建MMRotate旋转检测实战:自定义数据集制作与模型调优全解析

1. 环境准备与MMRotate安装 第一次接触旋转目标检测时,我被各种坐标转换搞得头晕眼花。直到发现MMRotate这个神器,才让整个流程变得清晰可控。作为OpenMMLab家族成员,它封装了R3Det、Rotated Faster RCNN等主流旋转检测算法,特别适…...

编程日记 2026/4/12 16:26:16

SwiftUI DatePicker实战:打造一个旅行计划App(含完整代码)

SwiftUI DatePicker实战:构建旅行计划App的进阶技巧 每次规划旅行时,最让人头疼的莫过于安排行程日期。作为iOS开发者,我们可以用SwiftUI的DatePicker组件为用户打造流畅的日期选择体验。不同于基础教程,本文将带你深入实战&…...

编程日记 2026/4/12 16:26:15

Path of Building:流放之路玩家的终极离线Build规划指南

Path of Building:流放之路玩家的终极离线Build规划指南 【免费下载链接】PathOfBuilding Offline build planner for Path of Exile. 项目地址: https://gitcode.com/GitHub_Trending/pa/PathOfBuilding 你是否曾经在《流放之路》中花费数小时计算天赋点、装…...

编程日记 2026/4/12 16:26:13

GitHub 高效使用指南【实战篇】

1. GitHub 入门:从注册到创建第一个仓库 刚接触GitHub时,很多人会被各种专业术语吓到。其实GitHub就像是一个代码版的社交网络,你可以在这里分享代码、学习他人项目、参与开源贡献。我刚开始用GitHub时也犯过不少错误,比如把私钥文…...

编程日记 2026/4/12 16:24:13

终极指南:5分钟快速上手BiliTools哔哩哔哩工具箱

终极指南:5分钟快速上手BiliTools哔哩哔哩工具箱 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools 你是否…...

编程日记 2026/4/12 16:24:12

SpringCloud进阶--Seata与分布式事务畔

起因是我想在搞一些操作windows进程的事情时,老是需要右键以管理员身份运行,感觉很麻烦。就研究了一下怎么提权,顺手瞄了一眼Windows下用户态权限分配,然后也是感谢《深入解析Windows操作系统》这本书给我偷令牌的灵感吧&#xff…...

编程日记 2026/4/12 16:24:12

别再数据线了!用FastAPI 分钟搭个局域网文件+剪贴板神器茄

为 HagiCode 添加 GitHub Pages 自动部署支持 本项目早期代号为 PCode,现已正式更名为 HagiCode。本文记录了如何为项目引入自动化静态站点部署能力,让内容发布像喝水一样简单。 背景/引言 在 HagiCode 的开发过程中,我们遇到了一个很现实的问…...

编程日记 2026/4/12 16:24:12

Turbo Boost Switcher:终极Mac性能管理工具,轻松掌控CPU性能

Turbo Boost Switcher:终极Mac性能管理工具,轻松掌控CPU性能 【免费下载链接】Turbo-Boost-Switcher Turbo Boost disabler / enable app for Mac OS X 项目地址: https://gitcode.com/gh_mirrors/tu/Turbo-Boost-Switcher 你是否曾经在Mac上遇到…...

编程日记 2026/4/12 16:24:12

分布式电源优化配置的二阶锥模型编程方法

分布式电源优化配置 二阶锥 编程方法:采用matlabyalmip编程,cplex或gurobi作为求解器。 主要内容:考虑配电网二阶锥模型,运行主体包括光伏、微燃机以及负荷,创新性考虑敏感负荷及加权电压支撑能力指标,约束…...

编程日记 2026/4/12 16:22:12

大模型热更新失效的5个隐性陷阱(GPU显存泄漏、KV Cache错位、Tokenizer版本漂移全解析)

第一章:大模型工程化中的模型热更新机制 2026奇点智能技术大会(https://ml-summit.org) 模型热更新是支撑大模型服务持续可用与敏捷演进的核心能力,它允许在不中断推理请求的前提下动态加载新版本权重、替换推理图结构或切换Tokenizer配置。该机制显著降…...

编程日记 2026/4/12 16:22:12

3分钟快速上手!MaaYuan代号鸢如鸢自动化辅助工具终极指南

3分钟快速上手!MaaYuan代号鸢如鸢自动化辅助工具终极指南 【免费下载链接】MaaYuan 代号鸢 / 如鸢 一键长草小助手 项目地址: https://gitcode.com/gh_mirrors/ma/MaaYuan 还在为《代号鸢》和《如鸢》的日常任务重复操作而烦恼吗?MaaYuan作为一款…...

编程日记 2026/4/12 16:22:12

Springboot 实现多数据源(PostgreSQL 和 SQL Server)连接淤

一、环境准备 Free Spire.Doc for Python 是免费 Python 文档处理库,无需依赖 Microsoft Word,支持 Word 文档的创建、编辑、转换等操作,其中内置的 Markdown 解析能力,能高效实现 Markdown 到 Doc/Docx 格式的转换,且…...

编程日记 2026/4/12 16:22:12

AI 时代:祛魅、适应与重新定义蓖

指令替换 项目需求:将加法指令替换为减法 项目目录如下 /MyProject ├── CMakeLists.txt # CMake 配置文件 ├── build/ #构建目录 │ └── test.c #测试编译代码 └── mypass2.cpp # pass 项目代码 一,测试代码示例 test.c // test.c #includ…...

编程日记 2026/4/12 16:22:12

chromeplugin虑

正文 异步/等待解决了什么问题? 在传统同步I/O操作中(如文件读取或Web API调用),调用线程会被阻塞直到操作完成。这在UI应用中会导致界面冻结,在服务器应用中则造成线程资源的浪费。async/await通过非阻塞的异步操作解…...

编程日记 2026/4/12 16:20:12

避坑指南:Win10安装PyTorch2.0时CUDA版本冲突的那些事儿

深度学习环境搭建实战:PyTorch 2.0与CUDA版本冲突的终极解决方案 刚接触深度学习的开发者往往会在环境搭建阶段遭遇"版本地狱"——尤其是当PyTorch要求的CUDA版本与本地安装的NVIDIA驱动不匹配时,系统弹出的错误提示足以让人抓狂。本文将带你…...

编程日记 2026/4/12 16:20:12

用Stata复现经典论文:Card Krueger (1994)最低工资DID分析全流程(含数据与代码)

用Stata复现经典论文:Card & Krueger (1994)最低工资DID分析全流程 1994年,经济学家David Card和Alan Krueger发表了一篇颠覆传统经济学认知的经典论文,他们通过对比新泽西州和宾夕法尼亚州快餐店就业数据,发现最低工资上涨并…...

编程日记 2026/4/12 16:20:11

【PCL-8】从PCA到OBB:点云最小包围盒的数学原理与PCL实战

1. 点云包围盒:从AABB到OBB的进化 当我们处理三维点云数据时,经常需要用一个简单的几何体来近似表示复杂的点云形状。这就是包围盒(Bounding Box)的概念。最常见的两种包围盒是AABB(轴对齐包围盒)和OBB&…...

编程日记 2026/4/12 16:20:11

ThinkPad T480黑苹果终极指南:如何用OpenCore配置实现完美macOS体验?

ThinkPad T480黑苹果终极指南:如何用OpenCore配置实现完美macOS体验? 【免费下载链接】t480-oc 💻 Lenovo ThinkPad T480 / T580 / X280 Hackintosh (macOS Monterey 12.x - Sequoia 15.x) - OpenCore 项目地址: https://gitcode.com/gh_mi…...

编程日记 2026/4/12 16:20:11

数字万用表的二极管档和电阻档,测LED到底该用哪个?实测对比给你看

数字万用表的二极管档和电阻档,测LED到底该用哪个?实测对比给你看 当你面对一个未知好坏的LED,手头只有一块数字万用表时,可能会纠结该选择哪个档位进行测量。是二极管档?电阻档?还是传统的电压档&#xff…...

编程日记 2026/4/12 16:18:11

操作系统层优化:为 Stable Yogi 模型部署调优 Linux 内核参数

操作系统层优化:为 Stable Yogi 模型部署调优 Linux 内核参数 如果你已经成功部署了 Stable Yogi 模型,但总觉得它的推理速度还能再快一点,或者在高并发请求下系统偶尔会卡顿、报错,那么问题可能不在模型本身,而在于它…...

编程日记 2026/4/12 16:18:11

从死元组到事务回卷:图解PostgreSQL的MVCC机制与VACUUM底层原理

从死元组到事务回卷:图解PostgreSQL的MVCC机制与VACUUM底层原理 当你在PostgreSQL中执行一条简单的UPDATE语句时,数据库内部究竟发生了什么?这个看似平常的操作背后,隐藏着一套精妙的多版本并发控制(MVCC)机…...

编程日记 2026/4/12 16:18:10

AutoGen Studio实战:用Qwen3-4B模型快速打造智能客服助手

AutoGen Studio实战:用Qwen3-4B模型快速打造智能客服助手 1. AutoGen Studio简介 AutoGen Studio是一个低代码AI代理开发平台,它让开发者能够快速构建、组合和部署AI代理应用。基于AutoGen AgentChat框架构建,提供了可视化界面来管理多代理…...

编程日记 2026/4/12 16:18:10

BGE Reranker-v2-m3性能优化:算法与工程实践

BGE Reranker-v2-m3性能优化:算法与工程实践 1. 引言 在信息检索和RAG(检索增强生成)应用中,重排序模型的质量和效率直接影响着最终的用户体验。BGE Reranker-v2-m3作为北京智源研究院推出的轻量级重排序模型,凭借其…...

编程日记 2026/4/12 16:18:10

【操作系统】CTFos Pro-专为CTF优化的高性能虚拟机正式版

1. CTFos Pro虚拟机:专为CTF优化的高性能解决方案 如果你经常参加CTF比赛或者进行安全研究,肯定遇到过这样的烦恼:每次搭建环境都要耗费大量时间,各种工具安装配置让人头疼,不同比赛需要的环境还不一样。CTFos Pro就是…...

编程日记 2026/4/12 16:16:09

Gemini-CLI 从零到精通的命令行AI开发指南

1. 认识Gemini-CLI:你的命令行AI助手 第一次听说Gemini-CLI时,我也觉得这不过又是一个AI玩具。直到在本地终端里用它5分钟写完一个Python爬虫脚本,才意识到这个命令行工具的强大。简单来说,Gemini-CLI就像把Google最先进的AI模型…...

编程日记 2026/4/12 16:16:09

【华为云CCE实战】内网环境下的Nacos集群容器化部署全流程

1. 内网环境下的Nacos集群部署挑战 在企业级微服务架构中,Nacos作为服务注册中心和配置中心扮演着关键角色。但在内网隔离环境下部署Nacos集群,就像在没有GPS信号的隧道里组车队——既需要确保每辆车(节点)都能互相定位&#xff0…...

编程日记 2026/4/12 16:16:09

DanmakuFactory:解决弹幕格式兼容性难题的专业转换工具

DanmakuFactory:解决弹幕格式兼容性难题的专业转换工具 【免费下载链接】DanmakuFactory 支持特殊弹幕的xml转ass格式转换工具 项目地址: https://gitcode.com/gh_mirrors/da/DanmakuFactory 在视频创作和弹幕文化日益普及的今天,不同平台间的弹幕…...

编程日记 2026/4/12 16:16:09

Graphormer与经典力学的结合:分子动力学模拟初始结构筛选

Graphormer与经典力学的结合:分子动力学模拟初始结构筛选 1. 引言:当AI遇上分子模拟 想象你是一位计算化学研究员,每天要花费数小时等待分子动力学模拟结果。传统方法需要从零开始计算每个分子构象的能量和稳定性,这个过程既耗时…...

编程日记 2026/4/12 16:16:09