Linux系統通過firewall限制或開放IP及端口

一、查看防火牆狀態
1、首先查看防火牆是否開啓，如未開啓，需要先開啓防火牆並作開機自啓

systemctl status firewalld

開啓防火牆並設置開機自啓

systemctl start firewalld
systemctl enable firewalld
一般需要重啓一下機器，不然後面做的設置可能不會生效

二、開放或限制端口
1、開放端口
（1）如我們需要開啓XShell連接時需要使用的22端口

firewall-cmd --zone=public --add-port=22/tcp --permanent

其中--permanent的作用是使設置永久生效，不加的話機器重啓之後失效

（2）重新載入一下防火牆設置，使設置生效

firewall-cmd --reload

（3）可通過如下命令查看是否生效

firewall-cmd --zone=public --query-port=22/tcp

（4）如下命令可查看當前系統打開的所有端口

firewall-cmd --zone=public --list-ports

2、限制端口
（1）比如我們現在需要關掉剛剛打開的22端口

firewall-cmd --zone=public --remove-port=22/tcp --permanent

（2）重新載入一下防火牆設置，使設置生效

firewall-cmd --reload

（3）再去查看系統所有開放的端口，已經看到沒有22端口了

firewall-cmd --zone=public --list-ports

3、批量開放或限制端口
（1）批量開放端口，如從100到500這之間的端口我們全部要打開

firewall-cmd --zone=public --add-port=100-500/tcp --permanent

（2）重新載入一下防火牆設置，使設置生效

firewall-cmd --reload

（3）查看系統所有開放的端口，可以看到從100到500的端口已被全部開放

firewall-cmd --zone=public --list-ports

（4）同理，批量限制端口爲

firewall-cmd --zone=public --remove-port=100-500/tcp --permanent
firewall-cmd --reload
三、開放或限制IP
1、限制IP地址訪問
（1）比如限制IP爲192.168.0.200的地址禁止訪問80端口即禁止訪問機器

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.200" port protocol="tcp" port="80" reject"

（2）重新載入一下防火牆設置，使設置生效

firewall-cmd --reload
（3）查看已經設置的規則

firewall-cmd --zone=public --list-rich-rules

2、解除IP地址限制
（1）解除剛纔被限制的192.168.0.200

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.200" port protocol="tcp" port="80" accept"

（2）重新載入一下防火牆設置，使設置生效

firewall-cmd --reload
（3）再查看規則設置發現已經沒有192.168.0.200的限制了

firewall-cmd --zone=public --list-rich-rules

如設置未生效，可嘗試直接編輯規則文件，刪掉原來的設置規則，重新載入一下防火牆即可

vi /etc/firewalld/zones/public.xml

3、限制IP地址段
（1）如我們需要限制10.0.0.0-10.0.0.255這一整個段的IP，禁止他們訪問

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.0.0.0/24" port protocol="tcp" port="80" reject"
其中10.0.0.0/24表示爲從10.0.0.0這個IP開始，24代表子網掩碼爲255.255.255.0，共包含256個地址，即從0-255共256個IP，即正好限制了這一整段的IP地址，具體的設置規則可參考下表

（2）重新載入一下防火牆設置，使設置生效

firewall-cmd --reload
（3）查看規則，確認是否生效

firewall-cmd --zone=public --list-rich-rules
（4）同理，打開限制爲

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.0.0.0/24" port protocol="tcp" port="80" accept"
firewall-cmd --reload
--------------------- 
作者：咖啡那麼濃 
來源：CSDN 
原文：https://blog.csdn.net/ywd1992/article/details/80401630 
版權聲明：本文爲博主原創文章，轉載請附上博文鏈接！