Linux系统下通过firewall限制或开放特定IP及端口

在Linux系统中，firewall是用于管理网络数据包过滤的工具，可以用来限制或开放特定的IP地址和端口。通过合理配置firewall，可以增强系统的安全性，同时也可以优化网络资源的利用。

一、查看防火墙状态

首先，我们需要查看防火墙是否已经开启。如果未开启，需要先开启防火墙并设置为开机自启。

1. 查看防火墙状态：

sudo systemctl status firewalld

如果防火墙未开启，可以使用以下命令开启并设置为开机自启：

sudo systemctl start firewalld
sudo systemctl enable firewalld

注意：在完成配置后，一般需要重启机器，以确保设置生效。

二、开放或限制IP及端口

接下来，我们可以使用firewall-cmd命令来开放或限制特定的IP地址和端口。

1. 开放端口：

假设我们需要开放TCP协议的22端口（通常用于SSH连接），可以使用以下命令：

sudo firewall-cmd --zone=public --add-port=22/tcp --permanent

其中，—permanent参数的作用是使设置永久生效，不加此参数的话，重启机器后设置将失效。

1. 重新载入防火墙设置，使设置生效：

sudo firewall-cmd --reload

1. 验证设置是否生效：
   我们可以使用以下命令来查询开放的端口：

sudo firewall-cmd --zone=public --query-port=22/tcp

如果返回值为yes，表示22端口已经成功开放。

1. 限制IP地址：
   除了开放端口，我们还可以限制特定的IP地址访问。例如，如果要禁止IP地址为192.168.1.100的计算机访问所有端口，可以使用以下命令：

```bash
sudo firewall-cmd —add-source=192.168.1.100 —permanent
sudo firewall-cmd —reload