centos7防火墙firewall指定IP与端口访问

centos7防火墙firewall指定IP与端口访问,转自https://www.cnblogs.com/co10rway/p/8268735.html
1、启动防火墙

systemctl start firewalld.service

2、指定IP与端口

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.142.166" port protocol="tcp" port="5432" accept"

3、重新载入，使配置生效

systemctl restart firewalld.service

4、查看配置结果

firewall-cmd --list-all

5、删除规则

firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.142.166" port protocol="tcp" port="11300" accept"

6、限制ip地址访问端口

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.5" port protocol="tcp" port="443" reject"
firewall-cmd --reload

解除

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.5" port protocol="tcp" port="80" accept"

防火墙的FTP策略配置
放行20、21端口还是不能连接FTP，因为在PASV模式下，建立数据传输会随机开放端口，这个端口显然是没有处于firewall的允许策略之下的，因为需要修改配置文件，指定端口范围。
vi /etc/vsftpd/vsftpd.conf

在最后加入以下内容，端口尽量选择高范围，提高安全性

pasv_enable=YES         #开启被动模式
pasv_min_port=30000     #随机最小端口
pasv_max_port=31000     #随机最大端口

然后对指定的IP开放指定的端口段

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.142.166" port protocol="tcp" port="30000-31000" accept"

针对一个ip段访问

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.0/16" accept"
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="9200" accept"

添加操作后别忘了执行重载

firewall-cmd --reload