作为客户技术经理,建议通过以下步骤使用firewalld限制SSH访问:1. 启用并启动firewalld:systemctl enable --now firewalld;2. 添加IP白名单规则:firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept'(替换为实际IP段);3. 拒绝其他地址:firewall-cmd --permanent --add-rich-rule='rule family="ipv4" service name="ssh" reject';4. 重载配置:firewall-cmd --reload。注意:操作前需验证白名单IP,避免锁死管理权限。对于生产环境,建议结合跳板机或VPN二次验证,遵循最小权限原则。
是否考虑过使用TCP Wrappers来限制SSH访问,通过简单的hosts.allow/hosts.deny文件实现IP级控制?
在Rocky Linux中通过firewalld限制SSH访问时,我的实践经验分为五个阶段:
基础配置
systemctl status firewalldfirewall-cmd --set-default-zone=drop --permanentfirewall-cmd --add-service=ssh --permanent精细控制(生产环境推荐) 使用rich规则实现IP段限制:
firewall-cmd --permanent --zone=public \
--add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept'同时添加拒绝规则:
firewall-cmd --permanent --zone=public \
--add-rich-rule='rule family="ipv4" service name="ssh" reject'端口混淆策略 修改SSH默认端口后需同步更新规则:
firewall-cmd --permanent --remove-service=ssh
firewall-cmd --permanent --add-port=59222/tcp实践挑战:
--zone=明确指定接口归属10.8.0.0/24到白名单firewall-cmd --list-rich-rules验证顺序关键建议:
nohup保持现有SSH会话--timeout=300参数创建临时规则进行过渡/etc/firewalld目录补充安全策略:
在Rocky Linux中通过firewalld限制SSH访问的核心步骤如下:
systemctl enable --now firewalldfirewall-cmd --get-default-zone(通常为public)firewall-cmd --permanent --zone=public \
--add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept'firewall-cmd --permanent --zone=public \
--add-rich-rule='rule family="ipv4" service name="ssh" reject'firewall-cmd --reload关键注意:
--permanent保证重启后生效,但需配合--reload立即应用firewall-cmd --list-all-zones验证规则层次结构