Linux 板


LINE

作者roccqqck (Rochelle)
看板Linux
标题

[问题] firewalld挡10.20.1.x 但不挡10.20.1.9

时间Wed May 18 15:49:20 2022
需求是firewalld挡10.20.1.x 但不挡 此网段某几个ip 例如只挡 10.20.1.0-100 10.20.1.105-200 10.20.1.205-255 中间的ip不挡 其他网域也不挡 上网查只有挡整个网段 或 挡单个ip firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' service name ='ssh' source address='10.20.1.100' reject" firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' service name ='ssh' source address='10.20.1.0/24' reject" 难道我只能用穷举法设定每个ip reject了吗 请问有没有更简单的command来设定 --



※ 发信站: 批踢踢实业坊(ptt.cc), 来自: ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Linux/M.1652860162.A.C45.html
1F:→ CP64: 那先对放行的那几个下 accept 最後对整段下 reject 呢 05/18 16:34
2F:推 nknudragon: submask不要用24 ,用28 or 30看看 05/18 16:39
3F:推 nknudragon: https://www.aelius.com/njh/subnet_sheet.html 05/18 16:44
4F:推 nknudragon: 另外的想法是,用/28,切成16个网段,开1挡15 05/18 16:53
5F:推 mirc: 先设定要放行的,之後再挡网段呢? 05/18 17:29
6F:→ roccqqck: 看来2楼的方法可能是唯一解 05/18 20:49
7F:→ roccqqck: mirc的方法我试过 失败 整个网段reject 05/18 20:50
8F:→ roccqqck: 也是CP64的方法 05/18 20:59
9F:推 hizuki: iptables -L -v 先到accept target的方法是对的 05/18 22:16
10F:→ CP64: 不太确定 firewalld 底下的运作 看是先用楼上的方法 05/19 01:41
11F:→ CP64: 或是 nft list ruleset 看它生出来的 rule 是不是对的 05/19 01:41
12F:→ tomsawyer: 我记得firewalld跟iptables一样有先後顺序 你有对吗? 05/19 10:32
firewalld 我两种顺序都试过 都是整个网段被reject iptables的确照顺序会成功 iptables还有--src-range的用法 但是要把其他规则移植到iptables 我宁用穷举法
13F:→ tomsawyer: 喔我看错,50可能要48遮 100用96遮 05/19 10:34
14F:推 chang0206: 维护一个iplist 作为放行白名单? 05/19 11:39
15F:→ CP64: 实际看了产出来的 rule, firewalld 会强制把 deny 放前面... 05/20 04:23
16F:→ CP64: 会需要在 accept 的 rule 里加 priority=-1 往前拉 05/20 04:28
感谢 不过我的RHEL7 firewalld 0.6.3 刚刚测试似乎不支援priority ※ 编辑: roccqqck (101.12.100.160 台湾), 05/20/2022 09:55:00
17F:→ tomsawyer: Rich-rule的参数似乎有rule-priority 可以用 可以试试 05/22 05:27
18F:→ tomsawyer: >0.7 05/22 05:28
19F:→ fashionjack: 先写先执行,1F是正解。 05/22 05:28
firewalld一定要priority才行 照顺序没用 我另外找到一个很奇怪的方法 用firewall-cmd下iptables的规则 www.tecmint.com/block-ssh-and-ftp-access-to-specific-ip-and-network-range #--------------------- On IPtables Firewall --------------------- ``` iptables -I INPUT -s 192.168.1.100 -p tcp --dport ssh -j REJECT iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport ssh -j REJECT ``` #--------------------- On FirewallD --------------------- ``` firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100 -p tcp --dport 22 -j REJECT firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100/24 -p tcp --dport 22 -j REJECT ``` ``` firewall-cmd --reload #这规则用firewalld看不到 firewall-cmd --list-all-zones #用iptables才看得到 iptables -L -n --line-numbers ``` ※ 编辑: roccqqck (49.216.102.88 台湾), 05/25/2022 15:22:33




热门看板

赞助商连结






like.gif 您可能会有兴趣的文章
icon.png[问题/行为] 猫晚上进房间会不会有憋尿问题
icon.pngRe: [闲聊] 选了错误的女孩成为魔法少女 XDDDDDDDDDD
icon.png[正妹] 瑞典 一张
icon.png[心得] EMS高领长版毛衣.墨小楼MC1002
icon.png[分享] 丹龙隔热纸GE55+33+22
icon.png[问题] 清洗洗衣机
icon.png[寻物] 窗台下的空间
icon.png[闲聊] 双极の女神1 木魔爵
icon.png[售车] 新竹 1997 march 1297cc 白色 四门
icon.png[讨论] 能从照片感受到摄影者心情吗
icon.png[狂贺] 贺贺贺贺 贺!岛村卯月!总选举NO.1
icon.png[难过] 羡慕白皮肤的女生
icon.png阅读文章
icon.png[黑特]
icon.png[问题] SBK S1安装於安全帽位置
icon.png[分享] 旧woo100绝版开箱!!
icon.pngRe: [无言] 关於小包卫生纸
icon.png[开箱] E5-2683V3 RX480Strix 快睿C1 简单测试
icon.png[心得] 苍の海贼龙 地狱 执行者16PT
icon.png[售车] 1999年Virage iO 1.8EXi
icon.png[心得] 挑战33 LV10 狮子座pt solo
icon.png[闲聊] 手把手教你不被桶之新手主购教学
icon.png[分享] Civic Type R 量产版官方照无预警流出
icon.png[售车] Golf 4 2.0 银色 自排
icon.png[出售] Graco提篮汽座(有底座)2000元诚可议
icon.png[问题] 请问补牙材质掉了还能再补吗?(台中半年内
icon.png[问题] 44th 单曲 生写竟然都给重复的啊啊!
icon.png[心得] 华南红卡/icash 核卡
icon.png[问题] 拔牙矫正这样正常吗
icon.png[赠送] 老莫高业 初业 102年版
icon.png[情报] 三大行动支付 本季掀战火
icon.png[宝宝] 博客来Amos水蜡笔5/1特价五折
icon.pngRe: [心得] 新鲜人一些面试分享
icon.png[心得] 苍の海贼龙 地狱 麒麟25PT
icon.pngRe: [闲聊] (君の名は。雷慎入) 君名二创漫画翻译
icon.pngRe: [闲聊] OGN中场影片:失踪人口局 (英文字幕)
icon.png[问题] 台湾大哥大4G讯号差
icon.png[出售] [全国]全新千寻侘草LED灯, 水草

请输入看板名称,例如:iOS站内搜寻

TOP