忘记密码   免费注册 查看新帖 |

ChinaUnix.net

  平台 论坛 博客 认证专区 大话IT 徽章 文库 自测 下载 频道自动化运维 虚拟化 储存备份 C/C++ PHP MySQL 嵌入式 Linux系统
最近访问板块 发新帖
查看: 1778 | 回复: 9

[系统安全] centos7下怎么用firewalld实现拒绝外网访问某个端口? [复制链接]

论坛徽章:
0
发表于 2017-11-19 17:58 |显示全部楼层
我想拒绝外网访问我的22端口,只允许内网访问,怎么做规则呢?

论坛徽章:
32
荣誉会员
日期:2011-11-23 16:44:17射手座
日期:2014-09-03 16:01:17天蝎座
日期:2014-08-21 17:18:48丑牛
日期:2014-08-29 16:06:45天秤座
日期:2014-08-29 10:12:18天秤座
日期:2014-08-26 16:18:20双子座
日期:2014-07-30 11:38:27寅虎
日期:2014-08-04 10:24:12IT运维版块每日发帖之星
日期:2016-04-17 06:23:27操作系统版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-24 06:20:0015-16赛季CBA联赛之天津
日期:2016-05-06 12:46:59
发表于 2017-11-20 02:06 |显示全部楼层
回复 1# qq532342743

firewalld有点复杂,是区分不同的 zone 的。

你的情况只要把 public zone 的22端口关闭就行了。
注意,最好先测试再上线, 否则,有可能自己被挡在外面,连不上了。

论坛徽章:
0
发表于 2017-11-20 08:52 |显示全部楼层
感谢大神的回答,就是这个firewalld不是默认全部拒绝的吗?我在网上找了好久也没有找到关闭端口的方法,只看到如何添加端口的。大神能否具体说下规则,感激不尽!

论坛徽章:
10
白羊座
日期:2014-09-17 19:34:42技术图书徽章
日期:2015-11-24 01:37:29操作系统版块每日发帖之星
日期:2015-11-18 06:20:002015年亚洲杯之沙特阿拉伯
日期:2015-04-13 17:33:462015年迎新春徽章
日期:2015-03-04 09:51:162015年辞旧岁徽章
日期:2015-03-03 16:54:15午马
日期:2014-12-04 19:33:55金牛座
日期:2014-09-16 19:02:48巨蟹座
日期:2014-09-16 21:09:4815-16赛季CBA联赛之同曦
日期:2016-06-27 23:23:07
发表于 2017-11-20 21:17 |显示全部楼层
本帖最后由 qq58945591 于 2017-11-20 21:19 编辑
  1. #只允许192.168.0.1/24网段访问22端口
复制代码


SHIT,  打了半天的字,结果什么都没有发出去...算了.

论坛徽章:
0
发表于 2017-11-21 09:51 |显示全部楼层

论坛徽章:
0
发表于 2017-12-06 02:03 来自手机 |显示全部楼层
你把sshd监听在内网地址不就安全了吗

论坛徽章:
0
发表于 2017-12-06 10:31 |显示全部楼层
回复 6# huhaiwen

是直接在sshd的端口前面加上内网IP吗?我这么做好像不行啊,服务都开启不了了。firewalld防火墙这块我已经找到办法解决了,就是控制zone就可以。

论坛徽章:
0
发表于 2017-12-14 16:25 |显示全部楼层
有个不用firewalld 实现这个的方法   
配置/etc/hosts.deny 和 /etc/hosts.allow 来管理远程服务sshd
在/etc/hosts.deny 中添加一行
sshd:all:deny
在/etc/hosts.allow中添加一行
sshd:192.168.0.*:allow

注意事项  远程修改时 必须先配置 hosts.allow 文件  再配置hosts.deny文件
修改保存后既对新ssh请求生效

论坛徽章:
0
发表于 2017-12-15 17:34 |显示全部楼层
假如内网是:192.168.0.0/24  命令如下:
[root@rhel7 ~]# firewall-cmd --add-rich-rule "rule family=ipv4 source address='192.168.0.0/24' accept" --permanent
[root@rhel7 ~]# firewall-cmd --remove-service=ssh --permanent
[root@rhel7 ~]# firewall-cmd --reload

论坛徽章:
0
发表于 2017-12-18 09:21 |显示全部楼层
回复 9# reiser

谢谢大神回答,你这个是用富规则放行的IP段,然后把默认开启的ssh服务删掉是吧。我是直接把外网IP绑在drop区域了,内网的IP放在work,这样的话效果一样的吧?
您需要登录后才可以回帖 登录 | 注册

本版积分规则

DTCC2018购票6.8折优惠进行时

中国数据库技术大会是国内数据库及大数据领域规模最大、最受欢迎的技术交流盛会。 2018年5月10-12日,第九届中国数据库技术大会将如约而至。本届大会以“数领先机•智赢未来”为主题,设定2大主会场及20个技术专场,邀请来自国内外互联网、金融、教育等行业百余位技术专家,共同探讨Oracle、MySQL、NoSQL、大数据等领域的前瞻性热点话题与技术。
----------------------------------------
优惠时间:2018年2月13日前

报名链接>>
  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号 北京市公安局海淀分局网监中心备案编号:11010802020122
广播电视节目制作经营许可证(京) 字第1234号 中国互联网协会会员  联系我们:
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP