방화벽의 풍부한 규칙

Question

RedHat 문서에는 다음 섹션이 있습니다.풍부한 규칙.

여기에서 두 가지 allow규칙과 하나 drop/ reject그 밖의 모든 것이 필요합니다(protocol을 통한 연결을 허용한다고 가정 tcp하고 다른 모든 것이 필요 drop하지만 사용법에 더 적합하면 drop다음으로 대체하십시오).reject

firewall-cmd --zone=dmz --add-rich-rule='rule family="ipv4" source address="192.168.1.10" port port="2222" protocol="tcp" accept'
firewall-cmd --zone=dmz --add-rich-rule='rule family="ipv4" destination address="192.168.1.20" port port="4444" protocol="tcp" accept
firewall-cmd --zone=dmz --add-rich-rule='rule family="ipv4" source address="192.168.1.10" invert="true" destination address="192.168.1.20" invert="true" drop'

이렇게 하면 대부분의 결과를 얻을 수 있으며 허용된 두 주소 모두에서 다른 포트를 명시적으로 차단하지는 않지만 이미 찾고 있는 것일 수도 있습니다.

firewalld실행 중인 버전이 지원하는 경우priority속성, 다른 두 규칙 뒤에 우선순위가 높은 포괄적인 drop/를 간단히 추가할 수 있습니다.reject

firewall-cmd --zone=dmz --add-rich-rule='priority=999 drop'

Answer 1

RedHat 문서에는 다음 섹션이 있습니다.풍부한 규칙.

여기에서 두 가지 allow규칙과 하나 drop/ reject그 밖의 모든 것이 필요합니다(protocol을 통한 연결을 허용한다고 가정 tcp하고 다른 모든 것이 필요 drop하지만 사용법에 더 적합하면 drop다음으로 대체하십시오).reject

firewall-cmd --zone=dmz --add-rich-rule='rule family="ipv4" source address="192.168.1.10" port port="2222" protocol="tcp" accept'
firewall-cmd --zone=dmz --add-rich-rule='rule family="ipv4" destination address="192.168.1.20" port port="4444" protocol="tcp" accept
firewall-cmd --zone=dmz --add-rich-rule='rule family="ipv4" source address="192.168.1.10" invert="true" destination address="192.168.1.20" invert="true" drop'

이렇게 하면 대부분의 결과를 얻을 수 있으며 허용된 두 주소 모두에서 다른 포트를 명시적으로 차단하지는 않지만 이미 찾고 있는 것일 수도 있습니다.

firewalld실행 중인 버전이 지원하는 경우priority속성, 다른 두 규칙 뒤에 우선순위가 높은 포괄적인 drop/를 간단히 추가할 수 있습니다.reject

firewall-cmd --zone=dmz --add-rich-rule='priority=999 drop'

방화벽의 풍부한 규칙

답변1

관련 정보