Red Hat Training
A Red Hat training course is available for RHEL 8
7.6.5. 使用区和源来允许一个服务只适用于一个特定的域
要允许特定网络的流量在机器上使用服务,请使用区和源。以下流程只允许来自 192.0.2.0/24
网络的 HTTP 流量,而阻止其他任何流量。
警告
当您配置此场景时,请使用具有 default
目标的区。使用目标设为 ACCEPT
的区存在安全风险,因为对于来自 192.0.2.0/24
的流量,所有网络连接都将被接受。
流程
列出所有可用区:
#
firewall-cmd --get-zones
block dmz drop external home internal public trusted work将 IP 范围添加到
internal
区,来将来自源的流量通过区:#
firewall-cmd --zone=internal --add-source=192.0.2.0/24
在
internal
区中添加http
服务:#
firewall-cmd --zone=internal --add-service=http
使新设置具有持久性:
#
firewall-cmd --runtime-to-permanent
验证
检查
internal
区是否活跃,以及该区中服务是否被允许:#
firewall-cmd --zone=internal --list-all
internal (active) target: default icmp-block-inversion: no interfaces: sources: 192.0.2.0/24 services: cockpit dhcpv6-client mdns samba-client ssh http ...
其他资源
-
firewalld.zones(5)
手册页