更多 IT 认证课程请访问 美河学习在线 www.eimhe.com
为 firewall 设置访问白名单,仅允许合法的 ip 访问特定端口,如下以 9089 端口
以及 5672 端口为例:
注意:1、设置白名单前,首先执行“ps -ef |grep firewalld”检查是否开启防火墙,
若未开启防火墙,请询问系统负责人该系统是否允许开启防火墙,若
可开启防火墙,则执行“systemctl enable firewalld”及“ systemctl start
firewalld”开启防火墙,请联系系统负责人告知该系统必须对外开放
的端口列表,执行语句“firewall-cmd --zone=public --add-port=端口号/tcp
--permanent”将相关端口开放;
2、执行”firewall-cmd --list-all”来检查是否已为相关端口设置白名单,若结
果同时符合如下两个条件,则已为该端口设置白名单,这种情况下,
请根据命令行结果查缺补漏,判断是否继续为该端口的访问白名单添
加 IP 地址:
a、 结果中“ports”中不包括需要设置白名单的端口号;
b、 “rich rules”中设置了允许某 ip 访问需要设置白名单的端口号的规
则,形如如下形式:
rule family="ipv4" source address="需要放到白名单的 ip 地址" port
port="需要设置白名单的端口号" protocol="tcp" accept
3、若”firewall-cmd –list-all”结果中,”services:”中包括“ssh”,则允许开放
了 openssh 端口,后续关于其所在 22 端口的策略将不再起效,若本次
白名单设置任务中,包括对 ssh 端口 22 的白名单设置,为了使后续策
略起效,请先执行如下命令将 ssh 服务禁用,若不需要对 22 端口做白
名单限制,则略过此步:
firewall-cmd --permanent --remove-service=ssh
或
firewall-cmd --permanent --disable-service=ssh
如下为设置白名单的具体方案:
1、执行如下语句关闭 9089 及 5672 端口
systemctl enable firewalld
systemctl start firewalld
firewall-cmd --set-default-zone=public
firewall-cmd --zone=public --remove-port=9089/tcp --permanent
firewall-cmd --zone=public --remove-port=5672/tcp --permanent
2、 开启可访该主机 9089 及 5672 端口的 ip 的访问权限,为电子发票系统内部所有 ip 开放
这两个端口的访问权限,即将电子发票系统内所有 ip 加入白名单,举例如下:
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="主控服务器 ip"
port protocol="tcp" port="9089" accept"
评论0