FirewallD可信区与阻塞ip

Question

因此，我将尽量不了解细节，但我必须使用firewalld中的“受信任”区域(dev's一直抱怨它阻塞了他们的软件，并希望我关闭防火墙)。

我想阻止可信区域中的单个IP (网络网关)。

我已经完成:将网络添加到受信任的区域

将子网添加到可信区域

sudo firewall-cmd --zone=trusted --permanent --add-source=192.168.0.0/16

阻止ip

sudo firewall-cmd --zone=trusted --add-rich-rule 'rule family="ipv4" source address=192.168.0.1 reject'
sudo firewall-cmd --zone=trusted --add-rich-rule 'rule family="ipv4" source address=192.168.0.1 drop'

到处阻塞，因为仍在工作

sudo firewall-cmd --add-rich-rule 'rule family="ipv4" source address=192.168.0.1 reject'
sudo firewall-cmd --add-rich-rule 'rule family="ipv4" source address=192.168.0.1 drop'    

使默认区域删除

sudo firewall-cmd --set-default=drop

重装

sudo firewall-cmd --reload

并确保所有的

都在那里

sudo firewall-cmd --list-all-zones

我猜问题出在iptable的顺序上。还有别的办法吗？还是我漏掉了什么。我甚至尝试过在这个块中添加源代码和dest。

Answer 1

你确定你的源地址是网关吗？例如，根据您的设置，一个不是您的网关连接到您的主机的主机将有自己的IP地址作为源，即使它是通过您的网关来实现的。您还可以尝试运行tcpdump，并在测试希望阻止的配置以查看真正的源地址时监视其中的内容。祝好运