Osiągnęłbym to, dodając źródła do strefy. Najpierw sprawdź, jakie źródła istnieją dla Twojej strefy:
firewall-cmd --permanent --zone=public --list-sources
Jeśli ich nie ma, możesz zacząć je dodawać, to jest Twoja „biała lista”
firewall-cmd --permanent --zone=public --add-source=192.168.100.0/24
firewall-cmd --permanent --zone=public --add-source=192.168.222.123/32
(Dodaje to cały /24
i pojedynczy adres IP, dzięki czemu masz odniesienie zarówno do podsieci, jak i jednego adresu IP)
Ustaw zakres portów, które chcesz otworzyć:
firewall-cmd --permanent --zone=public --add-port=1-22/tcp
firewall-cmd --permanent --zone=public --add-port=1-22/udp
Robi to tylko porty od 1 do 22. Możesz to poszerzyć, jeśli chcesz.
Teraz ponownie załaduj to, co zrobiłeś.
firewall-cmd --reload
I sprawdź swoją pracę:
firewall-cmd --zone=public --list-all
Notatka / artykuł redakcyjny: To nie ma znaczenia, ale podoba mi się strefa „zaufana” dla białej listy adresów IP w zaporze ogniowej. Możesz dokonać dalszej oceny, czytając sugestie redhat dotyczące wyboru strefy .
Zobacz też:
Jeśli chcesz spakować DROP
pakiety spoza tego źródła, oto przykład upuszczania tych spoza tego, /24
którego użyłem jako przykładu wcześniej, możesz użyć do tego bogatych reguł . Jest to koncepcyjne, nie przetestowałem go (poza tym, że centos 7 akceptuje polecenie), ale powinno być dość łatwe do wykonania pcap i sprawdzenia, czy zachowuje się tak, jak można się spodziewać
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.100.0/24" invert="True" drop'