CentOS 7 防火墙限制ip访问指令

查看默认区域

[root@localhost ~]# firewall-cmd --get-default-zone
public

#如果不是public，改为public
firewall-cmd --set-default-zone=public

关闭端口访问

此处区域中的端口如果开放，是所有ip都可以进行访问。全部删掉

#查询打开的端口
firewall-cmd --zone=public --list-ports

#查询打开的服务
firewall-cmd --list-service

#列出所有策略
firewall-cmd --list-all

#列出区域是公共的所有策略
firewall-cmd --list-all --zone public

关闭区域端口，如果端口未开启则无需关闭。

#关闭端口9001
firewall-cmd --zone=public --remove-port=9001/tcp --permanent
#重新载入一下防火墙设置，使设置生效
firewall-cmd --reload
#查询打开的端口
firewall-cmd --zone=public --list-port
#查看已设置规则
firewall-cmd --zone=public --list-all

添加富规则

只有富规则能进行精细化限制。区域规则会覆盖掉富规则。

#允许192.168.101.*访问22端口
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.101.0/24" port port="22" protocol="tcp" accept'

#删除规则
firewall-cmd --permanent --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.1.119" port protocol="tcp" port="8081" accept'

#允许访问ssh服务
firewall-cmd --zone=public --add-service=ssh/tcp --permanent
#拒绝访问ssh服务
firewall-cmd --zone=public --remove-service=ssh --permanent
firewall-cmd --zone=public --remove-service=dhcpv6-client --permanent


#拒绝所有端口访问
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" port protocol="tcp" port="0-65535" reject'

#重新载入一下防火墙设置，使设置生效
firewall-cmd --reload

firewall-cmd的区域概念

trusted（信任区域）| 允许所有的传入流量

public（公共区域） 允许与ssh或dhcpv6-client预定义服务匹配的传入流量，其余均拒绝。是新添加网络接口的默认区域

external（外部区域） 允许与ssh预定义服务匹配的传入流量其余均拒绝

home（家庭区域） 允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量，其他均拒绝。

internal（内部区域） 默认值与home区域相同

work（工作区域） 允许与ssh、dhcpv6-client预定义服务匹配的传入流量，其他均拒绝

dmz（隔离区域也称非军事区域） 允许与ssh预定义服务匹配的传入流量，其他均拒绝

block（限制区域） 拒绝所有传入流量

drop（丢弃区域） 丢弃所有传入流量，并且不产生包含icmp的错误响应