禁止ip登錄特定的端口
drop:外網
firewall-cmd --zone=public --add-rich-rule="rule family='ipv4' source address='10.0.0.1/24' port port=80 protocol=tcp drop" --permanent
取消drop ip
firewall-cmd --zone=public --remove-rich-rule="rule family='ipv4' source address='10.0.0.1/24' port port=80 protocol=tcp drop" --permanent
reject:內網測試使用
firewall-cmd --zone=public --add-rich-rule="rule family='ipv4' source address='10.0.0.1/24' port port=80 protocol=tcp reject" --permanent
drop與reject的區別
連接阻斷在防火牆中有兩種,一個是 drop,一個是 reject。
drop 是直接丟棄請求,不返回任何數據,直到客戶端連接嘗試超時。
reject 是直接斷開,並返回 ICMP 錯誤信息包。
對於直接面向互聯網的網站,建議使用 drop,不僅節省資源,還延緩了被攻擊的進度。
內部建議使用 reject,好處在於容易診斷和調試網絡設備或防火牆造成的問題。