第三章: firewalld 防火墙

//为认证报头协议AH使用新的IPv4和Pv6连接。
firewall-cmd --add-rich-rule='rule protocol value=ah accept' 
       允许新的Pv4和Pv6连接FTP,并使用审核每分钟记录一次.
firewall-cmd --add-rich-rule='rule service name=ftp log limit value=1/m audit accept'
     允许来自192.168,0.0/24地址的TFTP协议的IPv4连接.并且使用系统日志每分钟记录一次.
firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" service name="tftp" log prefix="tftp" level="info" limit value="1/m" accept'
为FADUS协议拒绝所有来自1∶2∶ 3 : 4∶6:的新Pv6连接.日志前缀为“dns”,级别为“info”.并每分钟最多记录3次。接受来自其他发起端新的Pv6连接。
firewall-cmd --add-rich-rule='rule family="ipv6" source address="1:2:3:4:6::" service name="radius" log prefix="dns" level="info" limit value="3/m" reject'
firewall-cmd --add-rich-rule='rule family="ipv6" service name="radius" accept'
将源192.168,2,2地址加入白名单,以允许来自这个源地址的所有连接。
firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.2.2" accept'
拒绝来自public区域中P地址192,168,0.11的所有流量。
firewall-cmd --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject'
丢弃来自默认区域中任何位置的所有传入的ipsec esp协议包.
firewall-cmd --add-rich-rule='rule protocol value="esp" drop'
在192.168.1 .0/24子网的dmz区域中,接收端口7900~7905的所有TCP包。
firewall-cmd --zone=dmz --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=7900-7905 protocol=tcp accept'
接收从wark区域到SSH的新连接.以notice级别且每分钟最多三条消息的方式将新连接记录到syslog
firewall-cmd --zone=work --add-rich-rule='rule service name=ssh log prefix="ssh" level="notice" limit value="3/m" accept'
在接下来的5min 内,拒绝从默认区域中的子网192.168,2,0/24到DNS的新连接.并且拒绝的连接将记录到audit系统.且每小时最多--条消息.
firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.2.0/24 service name=dns audit limit value="1/h" reject' --timeout=300

你可能感兴趣的:(服务器,网络,运维)