一,第一种方法:添加到drop这个zone
1,可以访问:
这里假设服务器地址:5.6.7.8
客户端地址:1.2.3.4
客户端ip未被drop前,尝试登录到服务器:
[lhdop@client ~]$ ssh -p 22 [email protected]
[email protected]'s password:服务端: 把此机器的ip添加到服务器端:
[root@server ~]# firewall-cmd --permanent --zone=drop --add-source=1.2.3.4
success说明:也可以添加一个网段:
[root@server ~]# firewall-cmd --permanent --zone=drop --add-source=1.2.3.4/24
success使生效:
[root@server ~]# firewall-cmd --reload
success查看active-zones:
[root@server ~]# firewall-cmd --get-active-zones
drop
sources: 1.2.3.4
public
interfaces: eth0
trusted
sources: 11.12.12.14从客户端再次尝试ssh登录,没有响应了:
[lhdop@client ~]$ ssh -p 22 [email protected]
二,第二种方法:在默认zone中添加富规则
1,禁止前:
客户端ip未被drop前,尝试登录到服务器:
[lhdop@client ~]$ ssh -p 22 [email protected]
[email protected]'s password:在服务器端禁止客户端ip访问
[root@server ~]# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=1.2.3.4 reject'
success重新加载使用效:
[root@server ~]# firewall-cmd --reload
success再次从客户端尝试访问:
[lhdop@client ~]$ ssh -p 22 [email protected]
ssh: connect to host 5.6.7.8 port 22: Connection refused 这里可以看到target是drop和reject的区别:
drop无任何返回,
reject则立即返回拒绝连接的信息
标签:cmd,5.6,--,ip,drop,firewalld,地址,lhdop,7.8 From: https://www.cnblogs.com/architectforest/p/18364372