- 查看当前列表
firewall-cmd --list-rich-rules - 通常使用以下命令就够了,大部分普通端口防火墙默认禁止,配置放行规则就行了accept
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="允许的IP" port port="允许的port" protocol="tcp" accept' - 其中
--add-rich-rule换成--remove-rich-rule就可以移除规则了 - 22端口比较特殊,默认允许,需要配置禁止规则reject
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source not address="允许的IP" port port="允许的port" protocol="tcp" reject' - 放行规则可以累加,禁止规则不行会冲突,这里需要用到
ipset - 先创建
firewall-cmd --permanent --new-ipset=allowed_ips --type=hash:net - 然后添加ip,可以配置多条
firewall-cmd --permanent --ipset=allowed_ips --add-entry=允许的IP - 最后添加规则
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source not ipset=allowed_ips port port=22 protocol=tcp reject'
其他一些有用的命令
查看已创建ipset列表
firewall-cmd --get-ipsets查看指定ipset具体ip列表
firewall-cmd --info-ipset=allowed_ips删除指定ipset某个IP
firewall-cmd --permanent --ipset=allowed_ips --remove-entry=需要移除的IP
- 最后都需要重启
firewall-cmd --reload
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。