使用firewalld开放禁用访问端口-黑白名单（host适用）

白名单

允许指定的源IP访问指定的端口，其他IP都不允许访问，接收数据的目标服务器：10.111.24.15，发起源IP为：192.168.31.3
客户端IP少，如后端服务之间调用

• firewall-cmd主要管理filter 和 nat表，host网络模式适用

# 删除规则-恢复默认不开放端口(默认开启防火墙全部是黑名单，我们开放过端口给所有的IP，此处删除即可)
firewall-cmd --permanent --zone=public --remove-port=18080/tcp
# 增加规则-开放指定IP到端口
firewall-cmd --zone=public --permanent --add-rich-rule='rule family="ipv4" source address="192.168.31.3"  port protocol="tcp" port="18080"  accept'

# 刷新规则
firewall-cmd --reload

# 移除规则，测试用
 firewall-cmd --zone=public --permanent --remove-rich-rule='rule family="ipv4" source address="192.168.31.3"  port protocol="tcp" port="18080"  accept'
 firewall-cmd --reload

黑名单

禁用指定的源IP访问我们服务器指定的端口，接收数据的目标服务器：10.111.24.15，发起源IP为：192.168.31.3
nginx适用，客户端IP多，如面向客户时适用

• firewall-cmd主要管理filter 和 nat表，host网络模式适用

# 增加规则（已操作过开放端口开放给所有IP：略）
firewall-cmd --zone=public --permanent --add-rich-rule='rule family="ipv4" source address="192.168.29.43"  port protocol="tcp" port="18080" reject'
firewall-cmd --zone=public --permanent --add-rich-rule='rule family="ipv4" source address="192.168.29.43"  port protocol="tcp" port="18080"  drop'

# 刷新规则
firewall-cmd --reload

# 移除规则，测试用
 firewall-cmd --zone=public --permanent --remove-rich-rule='rule family="ipv4" source address="192.168.29.43"  port protocol="tcp" port="18080" reject'
 firewall-cmd --zone=public --permanent --remove-rich-rule='rule family="ipv4" source address="192.168.29.43"  port protocol="tcp" port="18080"  drop'
 firewall-cmd --reload