centos系統(tǒng)封堵udp端口，看似簡(jiǎn)單，實(shí)際操作中卻可能遇到一些坑。我曾經(jīng)因?yàn)槭韬?，?dǎo)致防火墻規(guī)則設(shè)置錯(cuò)誤，結(jié)果服務(wù)癱瘓了一整天，才發(fā)現(xiàn)問題出在命令參數(shù)上。所以，正確的操作和細(xì)致的檢查非常重要。

最直接的方法是使用firewall-cmd命令。假設(shè)我們要封堵12345端口的UDP流量，正確的命令應(yīng)該是：

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="0.0.0.0/0" port protocol="udp" port="12345" accept=no'

登錄后復(fù)制

這條命令看起來有點(diǎn)復(fù)雜，讓我們分解一下：

• –permanent： 這部分至關(guān)重要，它確保防火墻規(guī)則永久生效，重啟系統(tǒng)后依然有效。 我之前就因?yàn)槁┑暨@個(gè)參數(shù)，每次重啟后都要重新配置，非常麻煩。
• –add-rich-rule： 這表示我們添加的是一條“豐富”的規(guī)則，可以進(jìn)行更精細(xì)的控制。 相比簡(jiǎn)單的–add-port，它提供了更大的靈活性。
• rule family=”ipv4″： 指定規(guī)則應(yīng)用于IPv4網(wǎng)絡(luò)。如果你需要封堵IPv6的UDP流量，需要修改為”ipv6″。
• source address=”0.0.0.0/0″： 這指定了源IP地址，0.0.0.0/0代表所有IP地址。如果你只想封堵特定IP地址的UDP流量，可以修改為具體的IP地址或IP地址段。例如，192.168.1.100或者192.168.1.0/24。
• port protocol=”udp”： 明確指定協(xié)議為UDP。
• port=”12345″： 指定要封堵的端口號(hào)。
• accept=no： 這才是關(guān)鍵，它表示拒絕連接。 我之前犯的錯(cuò)誤就是漏掉了這個(gè)參數(shù)，或者寫成了accept=yes，結(jié)果端口依然開放。

執(zhí)行完這條命令后，別忘了重新加載防火墻規(guī)則：

firewall-cmd --reload

登錄后復(fù)制

驗(yàn)證是否成功封堵，可以使用netstat -anp | grep 12345命令查看該端口是否還有監(jiān)聽。如果沒有監(jiān)聽，則說明封堵成功。

記住，在修改防火墻規(guī)則之前，最好先備份當(dāng)前配置，以防萬一出現(xiàn)問題可以恢復(fù)。 一個(gè)簡(jiǎn)單的備份方法是使用firewall-cmd –list-all命令將當(dāng)前規(guī)則輸出到一個(gè)文件。

最后，如果你需要開放某個(gè)端口，只需要將accept=no改為accept=yes，并修改其他參數(shù)來匹配你的需求即可。 切記，操作防火墻規(guī)則需要謹(jǐn)慎，任何錯(cuò)誤都可能導(dǎo)致系統(tǒng)不可用，所以每次修改后都應(yīng)該仔細(xì)檢查并驗(yàn)證。

路由網(wǎng)(www.lu-you.com)您可以查閱其它相關(guān)文章！