禁止ip登录特定的端口
drop:外网
firewall-cmd --zone=public --add-rich-rule="rule family='ipv4' source address='10.0.0.1/24' port port=80 protocol=tcp drop" --permanent
取消drop ip
firewall-cmd --zone=public --remove-rich-rule="rule family='ipv4' source address='10.0.0.1/24' port port=80 protocol=tcp drop" --permanent
reject:内网测试使用
firewall-cmd --zone=public --add-rich-rule="rule family='ipv4' source address='10.0.0.1/24' port port=80 protocol=tcp reject" --permanent
drop与reject的区别
连接阻断在防火墙中有两种,一个是 drop,一个是 reject。
drop 是直接丢弃请求,不返回任何数据,直到客户端连接尝试超时。
reject 是直接断开,并返回 ICMP 错误信息包。
对于直接面向互联网的网站,建议使用 drop,不仅节省资源,还延缓了被攻击的进度。
内部建议使用 reject,好处在于容易诊断和调试网络设备或防火墙造成的问题。