Es gibt Artikel, die schlecht laufen, aber der Versuch, dies genau zu tun, war ziemlich mühsam, deshalb werde ich mich auf dieses Thema konzentrieren.
Aktivieren Sie den Firewall-Dienst
systemctl enable firewalld.service
Starten Sie den Firewall-Dienst
systemctl start firewalld.service
Zulässige Dienste anzeigen
firewall-cmd --list-services --zone=public
ssh ist standardmäßig zulässig, diesmal jedoch begrenzt. Entfernen Sie es aus dem Dienst
firewall-cmd --remove-service=ssh --zone=public --permanent
Nur eine bestimmte IP-Adresse (hier 192.168.11.29) ist nach der Rich-Regel zulässig
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.11.29" port protocol="tcp" port="22" accept"
Neu laden
firewall-cmd --reload
Überprüfen Sie die Einstellungen
[root@localhost ~]# firewall-cmd --list-all --zone=public
public (active)
target: default
icmp-block-inversion: no
interfaces: enp0s3
sources:
services: cockpit dhcpv6-client
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
rule family="ipv4" source address="192.168.11.29" port port="22" protocol="tcp" accept
Scannen Sie den Port mit nmap von den Terminals, die eine Verbindung herstellen dürfen, und von den Terminals, die keine Verbindung herstellen dürfen, und bestätigen Sie, dass die Nummer 22 nur von den Terminals aus gesehen werden kann, die eine Verbindung herstellen dürfen.
[kimisyo@localhost ~]$ nmap -p 1-500 192.168.11.24
Starting Nmap 7.70 ( https://nmap.org ) at 2020-10-04 12:06 JST
Nmap scan report for 192.168.11.24
Host is up (0.62s latency).
Not shown: 498 filtered ports
PORT STATE SERVICE
22/tcp open ssh
Nmap done: 1 IP address (1 host up) scanned in 38.56 seconds
Recommended Posts