RHCE练习题 2. 配置防火墙对SSH的限制 两种方法

题目：配置防火墙对SSH的限制

在server0和desktop0上设置防火墙,对SSH实现访问限制：
允许example.com域的客户对server0和desktop0进行ssh访问。
禁止my133t.org域的客户对server0和desktop0进行ssh访问。
备注：my133t.org是在172.17.10.0/24网段，example.com 在172.25.0.0/24网段。

---

操作

---

方法1 Command-Line 使用 firewall-cmd

[root@server0 ~]# firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=172.25.0.0/24 service name=ssh accept'
[root@server0 ~]# firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=172.17.10.0/24 service name=ssh reject'
[root@server0 ~]# firewall-cmd --reload

--permanent 是表示配置是永久生效的，否则只是当前(runtime)生效。添加富规则，针对特定网段，特定服务ssh，动作 accept 或者 reject。最后一条reload只是为了立刻生效 。Desktop配置同上。

---

方法2 利用xdmcp协议使用 firewall-config 进行图形化配置
windows平台下可能要借助 XManage
linux平台直接在ssh连接的时候，加上参数-X即可。如：ssh -X root@desktop0
打开Firewalls图形化管理界面
[root@server0 ~]# firewall-config

设置configuration为permanent。选择Rich Rules - Add

添加一个富规则，这里是example.com网段的。

Option - Reload Firewall’s Configuration