Red Hat Training

A Red Hat training course is available for RHEL 8

7.6.5. 使用区和源来允许一个服务只适用于一个特定的域

要允许特定网络的流量在机器上使用服务,请使用区和源。以下流程只允许来自 192.0.2.0/24 网络的 HTTP 流量,而阻止其他任何流量。

警告

当您配置此场景时,请使用具有 default 目标的区。使用目标设为 ACCEPT 的区存在安全风险,因为对于来自 192.0.2.0/24 的流量,所有网络连接都将被接受。

流程

  1. 列出所有可用区: 

    # firewall-cmd --get-zones
block dmz drop external home internal public trusted work

  2. 将 IP 范围添加到 internal 区,来将来自源的流量通过区: 

    # firewall-cmd --zone=internal --add-source=192.0.2.0/24

  3. internal 区中添加 http 服务: 

    # firewall-cmd --zone=internal --add-service=http

  4. 使新设置具有持久性: 

    # firewall-cmd --runtime-to-permanent

验证

  • 检查 internal 区是否活跃,以及该区中服务是否被允许: 

    # firewall-cmd --zone=internal --list-all
internal (active)
  target: default
  icmp-block-inversion: no
  interfaces:
  sources: 192.0.2.0/24
  services: cockpit dhcpv6-client mdns samba-client ssh http
  ...

其他资源

  • firewalld.zones(5) 手册页