基于源IP的拒绝端口重定向

Question

我试图使用firewall-cmd将端口转发到外部IP，但我需要拒绝来自某些ips的访问。

要设置端口55500的前向端口，我使用：

firewall-cmd --permanent --zone=public --add-forward-port=port=55500:proto=tcp:toport=55500:toaddr=2.2.2.2

这很好，连接到端口55500的用户成功地重定向到2.2.2.2，但是，正如前面提到的，我需要拒绝来自1.1.1.1/24的用户的访问，因为我尝试了：

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='1.1.1.1/24' reject"

或：

firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=1.1.1.1/24 port port=55500 protocol=tcp reject'

或者：

firewall-cmd --zone=drop --add-source=1.1.1.1/24

但是上面的命令(后面都是firewall-cmd --reload)都没有起作用，从1.1.1.1连接到端口55500的用户仍然被重定向到2.2.2.2。

如何基于源IP拒绝端口重定向？

Answer 1

它以前不起作用，因为我错过了--permanent。

以下命令拒绝来自1.1.1.1/24的用户的任何端口重定向：

firewall-cmd --zone=drop --permanent --add-source=1.1.1.1/24
firewall-cmd --reload