next up previous contents
Next: firewall direct rules Up: Netfilter Previous: 啟用 firewall   Contents


block zone

  1. blcok zone 拒絶所有封包,所以如果要完全限制某些 IP (例如:192.168.122.0/24) 進入本機,只要指定這些 IP 使用 block zone 即可。
    [root@kvm5 ~]# firewall-cmd --permanent --zone=block \
    --add-source='192.168.122.0/24'
    success
    
  2. 列出目前 block zone 還未生效。
    [root@kvm5 ~]# firewall-cmd --zone=block --list-all
    block
      interfaces: 
      sources: 
      services: 
      ports: 
      masquerade: no
      forward-ports: 
      icmp-blocks: 
      rich rules:
    
  3. 重新載入 firewall。
    [root@kvm5 ~]# firewall-cmd --reload 
    success
    
  4. 目前 block zone 已生效,192.168.122.0/24 網段使用此 zone。
    [root@kvm5 ~]# firewall-cmd --zone=block --list-all
    block
      interfaces: 
      sources: 192.168.122.0/24
      services: 
      ports: 
      masquerade: no
      forward-ports: 
      icmp-blocks: 
      rich rules:
    
  5. kvm7 無法連線 kvm5.deyu.wang。
    [root@kvm7 ~]# ssh kvm5.deyu.wang
    ssh: connect to host kvm5.deyu.wang port 22: No route to host
    
  6. kvm7 無法連線 kvm5.deyu.wang。
    [root@kvm5 ~]# firewall-cmd --permanent --zone=block \
    --remove-source='192.168.122.0/24'
    success
    [root@kvm5 ~]# firewall-cmd --permanent --zone=block \
    --add-source='192.168.111.0/24'
    success
    
  7. 重新載入 firewall。
    [root@kvm5 ~]# firewall-cmd --reload 
    success
    
  8. 目前 block zone 已生效,192.168.111.0/24 網段使用此 zone。
    [root@kvm5 ~]# firewall-cmd --zone=block --list-all
    block
      interfaces: 
      sources: 192.168.111.0/24
      services: 
      ports: 
      masquerade: no
      forward-ports: 
      icmp-blocks: 
      rich rules:
    
  9. kvm7 又可以連線 kvm5.deyu.wang 了。
    [root@kvm7 ~]# ssh kvm5.deyu.wang
    root@kvm5.deyu.wang's password: 
    Last login: Sun Aug 30 22:33:49 2015 from server.deyu.wang
    [root@kvm5 ~]# exit
    logout
    Connection to kvm5.deyu.wang closed.
    



De-Yu Wang 2018-09-07