1. Firewall直接规则
Firewall提供了“direct interface(直接接口)”,它允许管理员手动编写的iptables、ip6tables、ebtables规则直接插入到firewall的管理区域中,适用于应用程序,而不是应用程序;直接端口使用firewall-cmd命令中的 --direct选项实现
1)例:卡其黑名单,添加一些规则将某个IP范围列入黑名单
firewall-cmd --direct --permanent -add-chain ipv4 raw blacklist
\# 使用firewall-cmd命令调用iptables规则参数,在raw表中创建规则链“blacklist”。 ipv4 指的是iptables
firewall-cmd --direct --permanent --add-rule Ipv4 raw PREROUTING 0 -s 192.168.1.0/24 -j blacklist
\# 在路由之前检测到192.168.1.0/24网段的IP地址的数据包,加入到blocklist规则链中。
firewall-cmd --direct --permanent --add-rule ipv4 raw blacklist 0 -m limit --limit 1/min -j LOG --log-prefix blacklisted
\# 每分钟生成以下日志文件
firewall-cmd --direct --permanent --add-rule ipv4 raw blacklist 1 -j DROP
\# 将来自规则链“blacklist”中的数据包丢弃
2)firewall执行优先级
直接规则 > 富规则 > 区域规则

最低0.47元/天 解锁文章
7019

被折叠的 条评论
为什么被折叠?



