Я досягну цього, додавши джерела до зони. Спочатку огляньте, які джерела є для вашої зони:
firewall-cmd --permanent --zone=public --list-sources
Якщо таких немає, ви можете почати додавати їх, це ваш "білий список"
firewall-cmd --permanent --zone=public --add-source=192.168.100.0/24
firewall-cmd --permanent --zone=public --add-source=192.168.222.123/32
(Це додає цілий /24
і єдиний IP, просто так, щоб у вас була посилання як на підмережу, так і на один IP)
Встановіть діапазон портів, які ви хочете відкрити:
firewall-cmd --permanent --zone=public --add-port=1-22/tcp
firewall-cmd --permanent --zone=public --add-port=1-22/udp
Це просто порти з 1 по 22. Ви можете розширити це, якщо хочете.
Тепер перезавантажте те, що ви зробили.
firewall-cmd --reload
І перевірте свою роботу:
firewall-cmd --zone=public --list-all
Бічна примітка / редакція: Не має значення, але мені подобається "довірена" зона для білого набору IP-адрес у firewalld. Ви можете зробити додаткову оцінку, прочитавши пропозиції redhat щодо вибору зони .
Дивись також:
Якщо ви хочете отримати DROP
пакети за межами цього джерела, ось приклад для викидання тих, хто не /24
використовувався раніше , я вважаю , ви можете використовувати для цього багаті правила . Це концептуально, я його не перевіряв (крім того, щоб бачити, що centos 7 приймає команду), але, слід зробити досить просто, щоб зробити pcap і побачити, чи поводиться він так, як ви очікували
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.100.0/24" invert="True" drop'