centos防火墙firewall-cmd限定特定的ip访问
文章目录
- firewall-cmd是什么?
- 启动firewalld服务
- 查看默认区域
- 关闭端口访问
- 添加富规则
- firewall-cmd的区域概念
- firewall-cmd的常用选项
- 通用选项:
- 状态选项:
- 永久选项:
- 区域选项:
firewall-cmd是什么?
firewall-cmd是centos防火墙的命令行管理客户端,提供了接口来管理运行时和持久的防火墙配置。
在firewalld中,运行时配置与永久配置是分开的。这意味着您可以在运行时配置或永久配置中进行更改。
启动firewalld服务
并设置开机自动启动(如果尚未启动)
systemctl enable firewalld
systemctl start firewalld
查看默认区域
[root@localhost ~]# firewall-cmd --get-default-zone
public
如果不是public,改为public
更改防火墙默认区域为public
[root@localhost ~]# firewall-cmd --set-default-zone=public
success
关闭端口访问
确保端口关闭。如果已开放则关闭端口。此处区域中的端口如果开放,是所有ip都可以进行访问。
#查询打开的端口
firewall-cmd --zone=public --list-ports
关闭区域端口,如果端口未开启则无需关闭。
#关闭端口9001
firewall-cmd --zone=public --remove-port=9001/tcp --permanent
#重新载入一下防火墙设置,使设置生效
firewall-cmd --reload
#查询打开的端口
firewall-cmd --zone=public --list-ports
添加富规则
只有富规则能进行精细化限制。区域规则会覆盖掉富规则。
#允许192.168.1.118访问8081端口
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.118" port protocol="tcp" port="8081" accept'#重新载入一下防火墙设置,使设置生效
firewall-cmd --reload
#查看已设置规则
firewall-cmd --zone=public --list-rich-rules
这样就可以限定特定的ip才能访问
查看区域
public (active)target: defaulticmp-block-inversion: nointerfaces: eth0sources:services: dhcpv6-client sshports:protocols:masquerade: noforward-ports:source-ports:icmp-blocks:rich rules:rule family="ipv4" source address="192.168.1.118" port port="8081" protocol="tcp" accept
删除规则
firewall-cmd --permanent --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.1.119" port protocol="tcp" port="8081" accept'
firewall-cmd的区域概念
trusted(信任区域)| 允许所有的传入流量。
public(公共区域) 允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域。
external(外部区域) 允许与ssh预定义服务匹配的传入流量其余均拒绝。
home(家庭区域) 允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其他均拒绝。
internal(内部区域) 默认值与home区域相同。
work(工作区域) 允许与ssh、dhcpv6-client预定义服务匹配的传入流量,其他均拒绝
dmz(隔离区域也称非军事区域) 允许与ssh预定义服务匹配的传入流量,其他均拒绝。
block(限制区域) 拒绝所有传入流量。
drop(丢弃区域) 丢弃所有传入流量,并且不产生包含icmp的错误响应。
firewall-cmd的常用选项
通用选项:
-h, --help:
这个选项用于打印简短的帮助文本并退出程序。当您不确定如何使用某个命令或需要查看其支持的功能时,可以使用此选项来获取帮助信息。-V, --version:
这个选项用于打印firewalld的版本字符串。它不会与其他选项组合使用,也就是说,当您使用此选项时,其他选项将被忽略。通过查看版本信息,您可以了解当前安装的firewalld的版本和可能的特性。-q, --quiet:
这个选项用于禁止打印状态消息。默认情况下,firewalld在执行某些操作时可能会输出状态消息,告诉您操作是否成功或提供了其他相关信息。如果您不想看到这些消息,可以使用此选项来静默执行命令。这在脚本或自动化任务中特别有用,因为您可能只想获取结果而不关心中间的过程信息。
状态选项:
--state:
这个选项用于检查firewalld守护进程是否处于活动状态(即正在运行)。如果守护进程处于活动状态,则返回退出代码0;如果启动时出现故障,则返回RUNNING_BUT_FAILED;否则返回NOT_RUNNING。同时,它还会将状态信息打印到标准输出(STDOUT)。这可以帮助您快速了解firewalld的当前状态。--reload:
这个选项用于重新加载防火墙规则,同时保持状态信息。当前的永久配置将变为新的运行时配置,也就是说,重新加载之前所做的仅针对运行时的更改(如果它们没有同时保存在永久配置中)将会丢失。请注意,通过直接接口应用的运行时更改不会受到影响,并将保持原样,直到firewalld守护进程完全重启。--complete-reload:
这个选项用于完全重新加载防火墙,包括netfilter内核模块。这很可能会终止活动连接,因为状态信息会丢失。这个选项只应在出现严重的防火墙问题时使用,例如当存在状态信息问题导致无法建立正确防火墙规则的连接时。同样,通过直接接口应用的运行时更改不会受到影响,并将保持原样,直到firewalld守护进程完全重启。--runtime-to-permanent:
这个选项用于保存当前的活动运行时配置,并用它覆盖永久配置。这通常是在配置firewalld时进行的,您只进行运行时更改,并在您对配置满意且测试了其按预期工作时,将配置保存到磁盘上。--check-config:
这个选项用于对永久配置进行检查。这包括XML的有效性和语义检查。这可以帮助您在将配置应用到防火墙之前发现并修复潜在的问题。
永久选项:
--permanent:
这个选项用于设置永久选项。使用--permanent选项所做的更改不会立即生效,而是在服务重启/重新加载或系统重新启动后生效。如果不使用--permanent选项,更改将仅作为运行时配置的一部分。如果您想在运行时和永久配置中都进行更改,请使用相同的命令,一次包含--permanent选项,一次不包含。--permanent选项可以可选地添加到下面所有支持该选项的命令中。这意味着,当您想要更改防火墙的规则或设置时,如果想要这些更改在重启后仍然保持,您应该添加--permanent选项。这样,您就可以确保即使系统重新启动,您的防火墙配置也会保持不变。总的来说,--permanent选项允许您管理防火墙的持久配置,确保更改在系统重启后仍然有效。这对于维护长期稳定的防火墙设置非常有用。
区域选项:
--get-default-zone:
这个选项用于打印连接和接口的默认区域。默认区域是当没有为连接或接口选择特定区域时所使用的区域。通过此选项,您可以查看当前设置的默认区域。--set-default-zone=zone:
这个选项用于设置连接和接口的默认区域。当没有为连接或接口指定区域时,将使用此默认区域。设置默认区域会更改那些使用默认区域的连接或接口的区域设置。这是一个运行时和永久性的更改,意味着更改将立即生效,并且在系统重启后仍然保持。--get-active-zones:
这个选项用于打印当前活动的区域,以及这些区域中使用的接口和源。活动区域是那些与接口或源有绑定的区域。输出格式将列出每个区域,并显示该区域中的接口和源。如果某个区域没有绑定任何接口或源,则相应的行将被省略。这可以帮助您了解哪些区域当前处于活动状态,以及这些区域中使用了哪些接口和源。这些区域选项提供了对firewalld中区域配置的灵活管理,使您能够查看和更改默认区域,以及了解哪些区域当前处于活动状态。
相关文章:
centos防火墙firewall-cmd限定特定的ip访问
文章目录 firewall-cmd是什么?启动firewalld服务查看默认区域关闭端口访问添加富规则firewall-cmd的区域概念firewall-cmd的常用选项通用选项:状态选项:永久选项:区域选项: firewall-cmd是什么? firewall-…...

创维汽车与创维光伏储能亮相2024上海AWE,感受制造业的升级变迁
2024年3月14日,中国家电及电子消费博览会在上海正式召开。相比往届展会,2024上海AWE进驻更多行业头部力量,出展更多尖端科技,蕴含更深行业思考。创维光伏储能及乘载更先进智驾科技的创维汽车亮相此次展会。 消费电子的革新不断影响…...

Kafka配置SASL_PLAINTEXT权限。常用操作命令,创建用户,topic授权
查看已经创建的topic ./bin/kafka-topics.sh --bootstrap-server localhost:9092 --list 创建topic 创建分区和副本数为1的topic ./bin/kafka-topics.sh --create --bootstrap-server localhost:9092 --topic acltest --partitions 1 --replication-factor 1 创建kafka用户 …...
[Java、Android面试]_05_内存泄漏和内存溢出
本人今年参加了很多面试,也有幸拿到了一些大厂的offer,整理了众多面试资料,后续还会分享众多面试资料。 整理成了面试系列,由于时间有限,每天整理一点,后续会陆续分享出来,感兴趣的朋友可关注收…...

MySQL-HMA 高可用故障切换
本章内容: 了解MySQL MHA搭建MySQL MHAMySQL MHA故障切换 1.案例分析 1.1.1案例概述 目前 MySQL 已经成为市场上主流数据库之一,考虑到业务的重要性,MySQL 数据库 单点问题已成为企业网站架构中最大的隐患。随着技术的发展,MHA…...

深度学习 精选笔记(11)深度学习计算相关:GPU、参数、读写、块
学习参考: 动手学深度学习2.0Deep-Learning-with-TensorFlow-bookpytorchlightning ①如有冒犯、请联系侵删。 ②已写完的笔记文章会不定时一直修订修改(删、改、增),以达到集多方教程的精华于一文的目的。 ③非常推荐上面(学习参考&#x…...

深度学习 Day27——J7对于ResNeXt-50算法的思考
🍨 本文为🔗365天深度学习训练营 中的学习记录博客🍖 原作者:K同学啊 | 接辅导、项目定制🚀 文章来源:K同学的学习圈子 文章目录 前言问题分析 前言 关键问题:ResNeXt-50中conv_shortcutFalse时…...
华为配置敏捷分布式SFN漫游实验
配置敏捷分布式SFN漫游示例 组网图形 图1 配置敏捷分布式SFN漫游示例组网图 组网需求数据规划配置思路配置注意事项操作步骤配置文件 组网需求 某医院通过部署敏捷分布式网络给医护人员提供WLAN接入服务,以满足医护人员办公的最基本需求。管理员希望终端在覆盖区域内…...

续上篇 qiankun 微前端配置
上篇文章地址:微前端框架 qiankun 配置使用【基于 vue/react脚手架创建项目 】-CSDN博客 主应用: src/main.js 配置: import Vue from vue import App from ./App.vue import router from ./router import { registerMicroApps, start } …...

AI日报:欧盟人工智能法案通过后行业面临合规障碍
文章目录 人工智能新规对web爬网的影响对英国的影响。 人工智能新规 立法者已经通过了欧盟人工智能法案。企业现在必须确保其人工智能应用程序符合规则。 全面的新规定对可能影响公民权利的人工智能系统实施制裁,并有可能彻底禁止某些系统。 违反规定的公司可能面…...

音视频如何快速转二维码?在线生成音视频活码的教程
音频文件的二维码制作步骤是什么样的呢?扫描二维码来展现内容是很流行的一种方式,基本上日常生活中经常会用的图片、音频、视频等都可以使用生成二维码的方式。现在很多的幼儿园或者学校会录制孩子的音频或者视频内容用来展示,那么二维码制作…...

开源堡垒机Jumpserver安装教程
前言:堡垒机的应用场景 公司内有若干台服务器,既有windows的也有linux的, 提供有ERP,OA,Web,报表等等各种服务,往往需要远程登录到服务器上去做运维,但如果给root或者administrator权限,很容易出现不知道谁操作了的问题.如果不同人设置不同账号,又账号过多,权限不足等等其他问题…...

CentOS 7 socat命令端口转发 —— 筑梦之路
命令简介 socat是一个功能强大的命令行工具,也可以看作是netcat的加强版,它可以在两个端口之间建立虚拟通道,实现数据的传输。适用于网络调试、端口转发、安全测试等多种场景,是一个适合网络管理员和开发者的工具 yum在线安装 yu…...
SeaTunnel 2.3.4 Cluster in K8S
参考:seatunnel k8s运行zeta引擎(cluster-mode模式)_apache seatunnel zeta 启动-CSDN博客 以上参考使用的是2.3.3版本 下载2.3.4版本, 上dlcdn.apache.org下载 ,官网下载有问题 wget https://dlcdn.apache.org/seatunnel/2.3.4/…...

多模态学习 - 视觉语言预训练综述-2023-下游任务、数据集、基础知识、预训练任务、模型
参考: https://zhuanlan.zhihu.com/p/628840228 https://zhuanlan.zhihu.com/p/628994098 https://zhuanlan.zhihu.com/p/629996372 https://zhuanlan.zhihu.com/p/582424974 多模态学习 - 视觉语言预训练综述-2023-下游任务、数据集、基础知识、模型 1. 多模态介绍…...

Vite为什么比Webpack快
一、引言 主流的前端构建工具包括以下几种: Webpack:当下最热门的前端资源模块化管理和打包工具。它能够将许多松散的模块按照依赖和规则打包成符合生产环境部署的前端资源。同时,Webpack还支持代码分割,可以按需加载模块&#…...

因聚而生 数智有为丨软通动力携子公司鸿湖万联亮相华为中国合作伙伴大会2024
3月14日,以“因聚而生 数智有为”为主题的“华为中国合作伙伴大会2024”在深圳隆重开幕。作为华为的重要合作伙伴和本次大会钻石级(最高级)合作伙伴,软通动力深度参与本次盛会,携前沿数智化技术成果和与华为的联合解决…...

724.寻找数组的中心下标
题目:给你一个整数数组 nums ,请计算数组的 中心下标 。 数组 中心下标 是数组的一个下标,其左侧所有元素相加的和等于右侧所有元素相加的和。 如果中心下标位于数组最左端,那么左侧数之和视为 0 ,因为在下标的左侧不…...

Selenium 是什么?简单了解Selenium
Selenium Selenium 是什么 Selenium 是一款 Web UI 测试工具,是一款 自动化测试 工具,使用 Selenium 测试工具进行的测试通常被称为 Selenium Testing,各种支持如下列表: UI 元素的支持与管理:自写代码实现浏览器支…...

钡铼技术有限公司R40路由器工业4G让养殖环境监控更高效
钡铼技术有限公司的R40路由器是一款专为养殖环境监控而设计的工业级4G路由器。该路由器的出现极大地提高了养殖行业的监控效率,为养殖场主和管理者提供了更可靠、高效的解决方案。本文将从功能特点、优势以及应用案例等方面介绍钡铼技术有限公司的R40路由器在养殖环…...

LeetCode - 394. 字符串解码
题目 394. 字符串解码 - 力扣(LeetCode) 思路 使用两个栈:一个存储重复次数,一个存储字符串 遍历输入字符串: 数字处理:遇到数字时,累积计算重复次数左括号处理:保存当前状态&a…...

【CSS position 属性】static、relative、fixed、absolute 、sticky详细介绍,多层嵌套定位示例
文章目录 ★ position 的五种类型及基本用法 ★ 一、position 属性概述 二、position 的五种类型详解(初学者版) 1. static(默认值) 2. relative(相对定位) 3. absolute(绝对定位) 4. fixed(固定定位) 5. sticky(粘性定位) 三、定位元素的层级关系(z-i…...
五年级数学知识边界总结思考-下册
目录 一、背景二、过程1.观察物体小学五年级下册“观察物体”知识点详解:由来、作用与意义**一、知识点核心内容****二、知识点的由来:从生活实践到数学抽象****三、知识的作用:解决实际问题的工具****四、学习的意义:培养核心素养…...

微服务商城-商品微服务
数据表 CREATE TABLE product (id bigint(20) UNSIGNED NOT NULL AUTO_INCREMENT COMMENT 商品id,cateid smallint(6) UNSIGNED NOT NULL DEFAULT 0 COMMENT 类别Id,name varchar(100) NOT NULL DEFAULT COMMENT 商品名称,subtitle varchar(200) NOT NULL DEFAULT COMMENT 商…...
uniapp中使用aixos 报错
问题: 在uniapp中使用aixos,运行后报如下错误: AxiosError: There is no suitable adapter to dispatch the request since : - adapter xhr is not supported by the environment - adapter http is not available in the build 解决方案&…...
【HarmonyOS 5 开发速记】如何获取用户信息(头像/昵称/手机号)
1.获取 authorizationCode: 2.利用 authorizationCode 获取 accessToken:文档中心 3.获取手机:文档中心 4.获取昵称头像:文档中心 首先创建 request 若要获取手机号,scope必填 phone,permissions 必填 …...

学习STC51单片机32(芯片为STC89C52RCRC)OLED显示屏2
每日一言 今天的每一份坚持,都是在为未来积攒底气。 案例:OLED显示一个A 这边观察到一个点,怎么雪花了就是都是乱七八糟的占满了屏幕。。 解释 : 如果代码里信号切换太快(比如 SDA 刚变,SCL 立刻变&#…...
安卓基础(aar)
重新设置java21的环境,临时设置 $env:JAVA_HOME "D:\Android Studio\jbr" 查看当前环境变量 JAVA_HOME 的值 echo $env:JAVA_HOME 构建ARR文件 ./gradlew :private-lib:assembleRelease 目录是这样的: MyApp/ ├── app/ …...
现有的 Redis 分布式锁库(如 Redisson)提供了哪些便利?
现有的 Redis 分布式锁库(如 Redisson)相比于开发者自己基于 Redis 命令(如 SETNX, EXPIRE, DEL)手动实现分布式锁,提供了巨大的便利性和健壮性。主要体现在以下几个方面: 原子性保证 (Atomicity)ÿ…...

通过 Ansible 在 Windows 2022 上安装 IIS Web 服务器
拓扑结构 这是一个用于通过 Ansible 部署 IIS Web 服务器的实验室拓扑。 前提条件: 在被管理的节点上安装WinRm 准备一张自签名的证书 开放防火墙入站tcp 5985 5986端口 准备自签名证书 PS C:\Users\azureuser> $cert New-SelfSignedCertificate -DnsName &…...