zone への追加
firewall-cmd –zone=<ゾーン名> –add-source=<IP アドレス>
–permanent オプション無しで即時適用、有りで次回起動時に適用
<特定の IP アドレスからのアクセスを拒否> $ sudo firewall-cmd --zone=drop --add-source=000.000.000.000 $ sudo firewall-cmd --zone=drop --add-source=000.000.000.000 --permanent <特定の IP アドレス範囲からのアクセスを許可> $ sudo firewall-cmd --zone=trusted --add-source=000.000.000.000/24 $ sudo firewall-cmd --zone=trusted --add-source=000.000.000.000/24 --permanent
zone からの削除
$ sudo firewall-cmd --zone=drop --remove-source=000.000.000.000 $ sudo firewall-cmd --zone=drop --remove-source=000.000.000.000 --permanent
drop と block 動作の違い
drop ゾーンに入れた場合はそのアドレスからの通信をすべて破棄しエラーも返さない、対して block は内側からの通信に対する返信であれば通るが、返信以外は通らずエラーを返す。
rich rule の追加
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="XXX.XXX.XXX.XXX" port protocol="tcp" port="22" accept'
上記の設定で送信元が”XXX.XXX.XXX.XXX”のポート”TCP/22″を許可する
Service の削除 (更新)
# firewall-cmd --list-services --zone=public
cockpit dhcpv6-client http https ssh
# firewall-cmd --remove-service=ssh --zone=public --permanent
# firewall-cmd --reload
–list-services –zone=”ゾーン名” で許可されたサービスが表示されるので…
–remove-service=”削除したいサービス名” –zone=”ゾーン名” –permanent
最後に firewall を reload して終了。