我想丢弃传入通信,除非它来自几个 IP 地址。将接口放在一个区域(丢弃)并丢弃所有内容(不配置任何服务或端口...)并将这几个允许的 IP 地址放在另一个区域(公共)并仅允许它们允许的端口,这样做正确吗?公共区域中将没有接口,只有源中的那些 IP 地址。以下是示例:
[root@localhost]# firewall-cmd --list-all
drop (active)
target: default
icmp-block-inversion: no
interfaces: eth0
sources:
services:
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
[root@localhost]# firewall-cmd --list-all --zone=public
public (active)
target: default
icmp-block-inversion: no
interfaces:
sources: 192.168.1.1
services:
ports: 443/tcp 443/udp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
答案1
我会把界面留在区域民众默认情况下,将受信任的地址和端口添加到区域值得信赖.相信这样防火墙的配置会更加直观。