华南俳烁实业有限公司

接下來，我們看看 source （來源), 這個可以限制訪問者的IP地址

查看防火墻的設(shè)置可以通過 --list來查詢

配置source 使用 --add-source 就行了

例如

值得一提的是盡管firewalld是立刻生效的，如果需要重啟，可以重啟服務(wù)，也可以重新加載服務(wù)；

下一個功能是ICMP的過濾。 圖形界面里面勾選的icmp類型就拒絕訪問了，這個可以屏蔽客戶端的PING或者traceroute的測試，一般網(wǎng)管喜歡以安全的名義干這事兒，系統(tǒng)管理員往往覺得忒不方便。

這個功能根據(jù)豆子的測試有些bug。 這個bug體現(xiàn)在幾點上

1） 圖形工具勾選的內(nèi)容，命令行查詢有的時候沒有列出來

2）這個屏蔽對windows 的PING 完全無效

3）對于linux的PING，勉強生效；如果當前狀態(tài)是通的，那么更改之后必須關(guān)掉PING再打開才會屏蔽；如果當前不通，修改之后倒是立馬就通了

ICMP過濾之后，看看Rich Rules （富規(guī)則），這個可以允許我們配置更多的限制

手動圖形界面創(chuàng)建一個 禁止遠程IP ssh訪問

測試成功，訪問拒絕

查看一下配置

依葫蘆畫瓢照著輸入一個類似的命令，禁止http訪問

成功

刪除富規(guī)則

修改一下富規(guī)則，可以指定日志的前綴和輸出級別

tailf /var/log/message 看看效果