1、啓動防火牆
systemctl start firewalld.service
2、指定IP與端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.142.166" port protocol="tcp" port="5432" accept"
端口如果是連續的多個: firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.142.166" port protocol="tcp" port="16660-16669" accept"
指定ip段可以訪問
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.2.0/24" port protocol="tcp" port="5432" accept"
3、重新載入,使配置生效
systemctl restart firewalld.service
4、查看配置結果
firewall-cmd --list-all
5、刪除規則
firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.142.166" port protocol="tcp" port="11300" accept"
防火牆的FTP策略配置
放行20、21端口還是不能連接FTP,因爲在PASV模式下,建立數據傳輸會隨機開放端口,這個端口顯然是沒有處於firewall的允許策略之下的,因爲需要修改配置文件,指定端口範圍。
1 vi /etc/vsftpd/vsftpd.conf
在最後加入以下內容,端口儘量選擇高範圍,提高安全性
-
1 pasv_enable=YES #開啓被動模式
-
2 pasv_min_port=30000 #隨機最小端口
-
3 pasv_max_port=31000 #隨機最大端口
然後對指定的IP開放指定的端口段
1 firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.142.166" port protocol="tcp" port="30000-31000" accept"
然後重啓ftp、firewall,即可正常連接