centos7 firewall指定IP与端口、端段访问（常用）

https://blog.csdn.net/yipianfuyunsm/article/details/99998332

https://www.cnblogs.com/co10rway/p/8268735.html

1、启动防火墙

systemctl start firewalld.service

2、指定IP与端口

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.142.166" port protocol="tcp" port="5432" accept"

3、重新载入，使配置生效

systemctl restart firewalld.service

4、查看配置结果

firewall-cmd --list-all

5、删除规则

firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.142.166" port protocol="tcp" port="11300" accept"

防火墙的FTP策略配置

放行20、21端口还是不能连接FTP，因为在PASV模式下，建立数据传输会随机开放端口，这个端口显然是没有处于firewall的允许策略之下的，因为需要修改配置文件，指定端口范围。

1 vi /etc/vsftpd/vsftpd.conf

在最后加入以下内容，端口尽量选择高范围，提高安全性

1 pasv_enable=YES         #开启被动模式
2 pasv_min_port=30000     #随机最小端口
3 pasv_max_port=31000     #随机最大端口

然后对指定的IP开放指定的端口段

1 firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.142.166" port protocol="tcp" port="30000-31000" accept"

然后重启ftp、firewall，即可正常连接

centos7.3 firewalld防火墙指定IP策略--------龙胆苏打
firewall-cmd的命令行客户端支持和这个守护进程通信以永久修改防火墙规则

常用命令
firewall-cmd #防火墙的命令行
--permanent #永久
--remove #移除
--add #添加
--list-all #查询所有
1
2
3
4
5
查看配置结果
firewall-cmd --list-all
1
显示如下
public (default)
interfaces:
sources:
services: dhcpv6-client ftp ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
rule family="ipv4" source address="192.168.1.1" port port="2000-30000" protocol="tcp" accept
rule family="ipv4" source address="192.168.1.19" " accept
1
2
3
4
5
6
7
8
9
10
11
#删除策略指定ip策略

语法
firewall-cmd --permanent --remove-rich-rule="《删除的信息》"
1
例子1
firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.1.1" port port="2000-30000" protocol="tcp" accept"
1
例子2
firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.1.19" " accept"
1
重新加载防火墙
firewall-cmd --reload #在不改变状态的条件下重新加载防火墙

添加策略指定ip策略
语法
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="终端ip" accept"
1
例子1
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.1" accept"
1
例子2
firewall-cmd --permanent --permanent --remove-rich-rule family="ipv4" source address="192.168.1.1" port port="1521" protocol="tcp" accept
1
开启防火墙
systemctl restart firewalld

或者重新加载防火墙
firewall-cmd --reload #在不改变状态的条件下重新加载防火墙与 systemctl restart firewalld类似的效果
————————————————
版权声明：本文为CSDN博主「龙胆苏打」的原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/yipianfuyunsm/article/details/99998332