修改配置

cat firewalld.conf | grep -Ev "^#|^$"

DefaultZone=trusted

#主要是这个位置，必须修改trusted的

MinimalMark=100

CleanupOnExit=yes

Lockdown=no

IPv6_rpfilter=yes

IndividualCalls=no

LogDenied=off

AutomaticHelpers=system

# 启动firewalld

systemctl enable firewalld

systemctl start firewalld

# 查看默认区

firewall-cmd --get-default-zone

# 设置默认区为trusted

firewall-cmd  --set-default-zone=trusted

# 添加新的分区（名字自己定义）

firewall-cmd  --permanent  --new-zone=nfs

# 添加允许访问的IP和端口，使用少量IP添加的

firewall-cmd  --permanent  --zone=nfs  --add-source=172.17.6.247

firewall-cmd  --permanent  --zone=nfs  --add-source=172.17.6.250

firewall-cmd  --permanent  --zone=nfs  --add-port=2049/tcp

# 重新加载firewalld，让其生效

firewall-cmd  --reload

# 添加drop 访问规则

# 禁止所有机器访问2049端口。防火墙规则：数据源，进来会去匹配各个区，如果有，就执行匹配的区，如果没有，就执行默认区

firewall-cmd  --permanent  --zone=trusted  --add-rich-rule="rule family="ipv4" port protocol="tcp" port="2049" drop"

firewall-cmd  --reload

# 适合批量IP添加，配合ipset使用

ipset 会在 /etc/firewalld/ipsets 里面

zone 区 会在/etc/firewalld/zones 里面

# 新建ipset

firewall-cmd  --permanent --new-ipset=Hadoop50070  --type=hash:ip

# 添加IP到这个ipset，需要复制执行

for i in `cat ip.txt`; do      firewall-cmd --permanent --ipset=Hadoop50070 --add-entry=$i; done

# 新建区

firewall-cmd  --permanent  --new-zone=hadoop50070

# 添加端口到新建的区

firewall-cmd  --permanent --zone=hadoop50070 --add-port=50070/tcp

这样的

目录是：/etc/firewalld/zones

添加这个到区里面

<?xml version="1.0" encoding="utf-8"?>

<zone>

  <source ipset="Hadoop50070"/>

  <port protocol="tcp" port="50070"/>

</zone>

重载

firewall-cmd  --reload

禁止所有机器访问端口，但是有白名单

firewall-cmd  --permanent  --zone=trusted  --add-rich-rule="rule family="ipv4" port protocol="tcp" port="6080" drop"

重载

firewall-cmd  --reload
巴特西

firewalld教程

修改配置

最新文章

热门文章
