富规则的使用事项:
1:富规则可以指定更丰富的匹配条件[相对基本规则]…可以指定动作
2:首先需要把流量关联到某个zone内或者网卡关联到某个zone内
3:编写规则或者富规则
示例:富规则格式:
"-add-rich-rule=‘rule family=ipv4 source address=XX (service name=)(port port=xxx protocol=tcp/udp) accept 或者reject’
如果协议不是tcp icmp
protocol valume=icmp
accept --动作 同意通过
reject --动作 丢弃[不允许通过]
示例;
下面三个示例,分别从示例1.[端口类写法],示例2:服务写法,
示例3proctocol协议的写法,三个方面进行示例进行查看信息。
添加一条允许的规则,可以网段可以更换成‘source address=192.168.0.0/24’
“–这就是允许一个网段了!
[root@centos77 /]# firewall-cmd --zone=work --add-rich-rule=‘rule family=ipv4 source address=192.168.0.102/32 port port=80 protocol=tcp accept’
success
[root@centos77 /]#
”
示例1.[端口类写法]本示例,只是允许本机地址进行访问服务器[虚拟机]的地址
示例中可以加上这个参数注意事项:,
1.’–permanent’ --保存你添加的记录信息到防火墙中的事项
2.–reload 重新读取配置事项
3.查看所在区域的配置内容,我这个检查的是work区域内容,你添加你自己的区域如home或者public’
[root@centos77 /]# firewall-cmd --list-all --zone=work
’
4.查看系统所有区域的配置信息
‘[root@centos77 /]# firewall-cmd --list-all-zones
’
可以查看所有区域的所有的配置信息
5. ‘4’命令后可以加检索参数
如:“firewall-cmd --list-all-zones |grep 192.168
”
检索包含 192.168的内容信息
[root@centos77 /]# firewall-cmd --zone=work --add-rich-rule='rule family=ipv4 source address=192.168.0.102/32 port port=80 protocol=tcp accept'
success
[root@centos77 /]#
示例2:服务写法
“# firewall-cmd --zone=work --add-rich-rule=‘rule family=ipv4 source address=192.168.0.0/24 service name=ftp reject’
”
# firewall-cmd --zone=work --add-rich-rule='rule family=ipv4 source address=192.168.0.0/24 service name=ftp reject'
示例3proctocol协议的写法
" firewall-cmd --zone=work --add-rich-rule=‘rule family=ipv4 source address=192.168.0.102/32 protocol value=icmp reject’"
firewall-cmd --zone=work --add-rich-rule='rule family=ipv4 source address=192.168.0.102/32 protocol value=icmp reject'