我正在运行最新版本的 CentOS 7(内核版本 3.10.0-1062.4.1.el7.x86_64)。我指定了一个自定义的防火墙区域,在其中指定了一个端口和一个源 ipset。我期望这两个条件都适用。但是,我能够连接到系统(从允许的源 IP),但从不同的端口。区域配置应该是这样工作的吗?
这是我的区域配置:
<?xml version="1.0" encoding="utf-8"?>
<zone target="ACCEPT">
<port port="8080" protocol="tcp"/>
<source ipset="authorized-ips"/>
</zone>
这是我的 ipset 配置:
<?xml version="1.0" encoding="utf-8"?>
<ipset type="hash:ip">
<!-- Bob's system -->
<entry>192.168.123.123</entry>
<!-- Bill's system -->
<entry>192.168.123.124</entry>
</ipset>
如果我使用端口 8008 或 8009 进行连接,那么我仍然能够通过 apache 访问该应用程序。但我没有明确允许这些端口通过防火墙!
运行输出:firewall-cmd --list-all --zone=ACCEPT
Error: INVALID_ZONE: ACCEPT
答案1
以这种方式编辑防火墙并不常见。您能否发布输出firewall-cmd --list-all --zone=ACCEPT
- 这样我们就知道守护进程如何解析和实施您的配置。