Linux系统通过firewall限制或开放IP及端口

查看防火墙状态

如我们需要开启 22 端口
```
firewall-cmd --zone=public --add-port=22/tcp --permanent
```
其中–permanent 的作用是使设置永久生效，不加的话机器重启之后失效
重新载入一下防火墙设置，使设置生效
```
firewall-cmd --reload
```

可通过如下命令查看是否生效

firewall-cmd --zone=public --query-port=22/tcp

比如我们现在需要关掉刚刚打开的 22 端口

firewall-cmd --zone=public --remove-port=22/tcp --permanent

批量开放端口，如从 100 到 500 这之间的端口我们全部要打开
```
firewall-cmd --zone=public --add-port=100-500/tcp --permanent
```
重新载入一下防火墙设置，使设置生效
```
firewall-cmd --reload
```
查看系统所有开放的端口，可以看到从 100 到 500 的端口已被全部开放
```
firewall-cmd --zone=public --list-ports
```

同理，批量限制端口为

firewall-cmd --zone=public --remove-port=100-500/tcp --permanent
firewall-cmd --reload

比如限制 IP 为 192.168.0.200 的地址禁止访问 80 端口即禁止访问机器

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.200" port protocol="tcp" port="80" reject"

查看已经设置的规则

firewall-cmd --zone=public --list-rich-rules

解除刚才被限制的 192.168.0.200

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.200" port protocol="tcp" port="80" accept"

重新载入一下防火墙设置，使设置生效
```
firewall-cmd --reload
```
再查看规则设置发现有两条 192.168.0.200 的规则，根据优先级从上到下，第一条规则生效
```
firewall-cmd --zone=public --list-rich-rules
```
如设置未生效，可尝试直接编辑规则文件，删掉原来的设置规则，重新载入一下防火墙即可
```
vi /etc/firewalld/zones/public.xml
```

如我们需要限制 10.0.0.0-10.0.0.255 这一整个段的 IP，禁止他们访问
```
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.0.0.0/24" port protocol="tcp" port="80" reject"
```
其中 10.0.0.0/24 表示为从 10.0.0.0 这个 IP 开始，24 代表子网掩码为 255.255.255.0，共包含 256 个地址，即从 0-255 共 256 个 IP，即正好限制了这一整段的 IP 地址，具体的设置规则可参考下表
重新载入一下防火墙设置，使设置生效
```
firewall-cmd --reload
```

查看规则，确认是否生效

firewall-cmd --zone=public --list-rich-rules

同理，打开限制为

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.0.0.0/24" port protocol="tcp" port="80" accept"
firewall-cmd --reload

转载自csdn