将子网添加到信任区域

将子网添加到信任区域

因此,我会尝试不去深入细节,但我不得不使用防火墙中的“受信任”区域(开发人员一直抱怨防火墙阻止了他们的软件,并希望我关闭防火墙)。

我想在信任区域中阻止单个 IP(网络网关)。

我已经完成:将网络添加到信任区域

将子网添加到信任区域

sudo firewall-cmd --zone=trusted --permanent --add-source=192.168.0.0/16

封锁 IP

sudo firewall-cmd --zone=trusted --add-rich-rule 'rule family="ipv4" source address=192.168.0.1 reject'
sudo firewall-cmd --zone=trusted --add-rich-rule 'rule family="ipv4" source address=192.168.0.1 drop'

由于仍在工作,因此到处阻塞

sudo firewall-cmd --add-rich-rule 'rule family="ipv4" source address=192.168.0.1 reject'
sudo firewall-cmd --add-rich-rule 'rule family="ipv4" source address=192.168.0.1 drop'    

删除默认区域

sudo firewall-cmd --set-default=drop

重新加载

sudo firewall-cmd --reload

并确保一切都在那里

sudo firewall-cmd --list-all-zones

我猜问题出在 iptables 的顺序上。还有其他方法吗?还是我漏掉了什么。我甚至尝试将源和目标添加到块中。

答案1

您确定源地址是网关吗?例如,根据您的设置,连接到您的主机的非网关主机将拥有自己的 IP 地址作为源,即使它通过您的网关。您还可以尝试运行 tcpdump 并监控测试您希望阻止的配置时出现的内容,以查看真正的源地址。祝你好运

相关内容