Firewalld丰富规则

Question

在DMZ区域中，我有一个CentOS7服务器，我只想打开两个流：

1. 允许来自2222端口192.168.1.10的传入通信量
2. 允许向外发送到192.168.1.20端口4444
3. 封锁其他一切

我希望用丰富的规则来做这件事，但我认为只适用于迎面而来的流量(需要确认)。我需要帮助才能找到适用的规则。

提前谢谢你。

Answer 1

RedHat文档中有一个关于丰富规则的部分。

这样看来，您需要两个allow规则，以及一个drop/reject everything规则(假设您允许通过tcp协议进行连接，并且您将对其他所有内容进行drop处理，但如果这更适合您的使用，则将drop替换为reject )：

firewall-cmd --zone=dmz --add-rich-rule='rule family="ipv4" source address="192.168.1.10" port port="2222" protocol="tcp" accept'
firewall-cmd --zone=dmz --add-rich-rule='rule family="ipv4" destination address="192.168.1.20" port port="4444" protocol="tcp" accept
firewall-cmd --zone=dmz --add-rich-rule='rule family="ipv4" source address="192.168.1.10" invert="true" destination address="192.168.1.20" invert="true" drop'

这将使您在那里的大多数方式，它没有显式地封锁其他端口在两个允许的地址，但它可能已经是您正在寻找的。

如果您正在运行的firewalld版本支持priority属性，则拒绝被简化，因为您可以简单地在其他两条规则之后添加一个具有更高优先级的catch all drop/reject。

firewall-cmd --zone=dmz --add-rich-rule='priority=999 drop'