限制网段访问服务器端口63790

千百元2026-01-02 20:05
bash 复制代码 
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=113.110.178.204/10 port protocol=tcp port=63790 accept'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=61.141.178.204/16 port protocol=tcp port=63790 accept'

要理解这两条 firewall-cmd命令,需从 **Firewalld 富规则(Rich Rule)**​ 的语法、参数含义,以及 Redis 场景下的作用展开分析:

一、Firewalld 富规则基础

Firewalld 是 Linux 下的防火墙管理工具,富规则(Rich Rule) ​ 是其高级功能,支持更精细的流量控制(如**源IP网段、目标端口、协议、动作(允许/拒绝)**​ 等组合条件)。

二、逐行解析第一条命令

复制代码 
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=113.110.178.204/10 port protocol=tcp port=63790 accept'
参数/字段 含义解释
firewall-cmd Firewalld 的命令行工具,用于管理防火墙规则。
--permanent 规则永久生效 (否则重启防火墙后规则会丢失,需执行 firewall-cmd --reload重载才会临时生效)。
--add-rich-rule 添加「富规则」,用于定义复杂的访问控制逻辑。
rule family=ipv4 规则仅对 IPv4 流量 ​ 生效(若需 IPv6 则改为 family=ipv6)。
source address=113.110.178.204/10 源 IP 网段: - 113.110.178.204是网段的起始 IP ; - /10是子网掩码的简写(对应子网掩码 255.192.0.0),表示该网段包含 113.96.0.0 ~ 113.127.255.255范围内的所有 IPv4 地址。
port protocol=tcp port=63790 目标端口与协议: - protocol=tcp表示仅针对 TCP 协议; - port=63790表示 Redis 服务的端口(需确认 Redis 实际监听此端口,若为默认 6379需对应修改)。
accept 动作:允许​ 符合上述条件的流量通过防火墙。

三、逐行解析第二条命令

复制代码
复制代码 
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=61.141.178.204/16 port protocol=tcp port=63790 accept'
参数/字段 含义解释
rule family=ipv4 同第一条,仅对 IPv4 流量生效。
source address=61.141.178.204/16 源 IP 网段: - 61.141.178.204是网段的起始 IP ; - /16是子网掩码的简写(对应子网掩码 255.255.0.0),表示该网段包含 61.141.0.0 ~ 61.141.255.255范围内的所有 IPv4 地址。
port protocol=tcp port=63790 同第一条,针对 TCP 协议的 63790端口。
accept 动作:允许​ 符合条件的流量通过。

四、结合 Redis 场景的作用

这两条命令的核心目的是:允许特定 IP 网段的机器,通过 TCP 协议访问本机的 Redis 端口(63790)

需注意以下前提(否则规则可能"无效"):

  1. Redis 端口匹配 :Redis 需实际监听 63790端口(若 Redis 配置为默认 6379,需将规则中的 63790改为 6379)。

  2. Redis 绑定网卡 :Redis 配置文件(redis.conf)中 bind指令需允许目标网段的流量(若 bind 127.0.0.1仅允许本机,即使防火墙放行,外网也无法连接)。

  3. 防火墙重载 :添加富规则后,需执行 firewall-cmd --reload使规则临时生效(--permanent仅保证"配置持久化",需重载才会真正加载)。

五、扩展:CIDR 网段的通俗理解

  • /10:子网掩码 255.192.0.0,表示 IP 前 10 位固定 ,剩余 22 位可变 → 覆盖约 419 万个 IP(113.96.0.0 ~ 113.127.255.255)。

  • /16:子网掩码 255.255.0.0,表示 IP 前 16 位固定 ,剩余 16 位可变 → 覆盖约 6.5 万个 IP(61.141.0.0 ~ 61.141.255.255)。

总结

这两条命令通过 Firewalld 富规则,精准放行了两个 IP 网段对 Redis 端口(63790)的 TCP 访问 。若要落地,需确保 Redis 自身配置(端口、bind)与防火墙规则"配合",并通过 --reload或重启使规则生效。

相关推荐
努力成为包租婆35 分钟前
uniapp--原生插件开发
java·数据库·uni-app
Godspeed Zhao38 分钟前
现代智能汽车中的无线技术39——V2X(11)
网络·汽车
Irene199142 分钟前
手机SIM卡 4G 5G 信号强度 和 移动网络 WIFI 之间的关系或区别
网络·5g·4g·sim卡
海南java第二人2 小时前
Spring MVC核心流程深度解析:从请求到响应的完美掌控
java·springmvc
未来之窗软件服务2 小时前
幽冥大陆(一百10)PHP打造Java的Jar安全——东方仙盟筑基期
java·php·phar·仙盟创梦ide·东方仙盟
深信达沙箱2 小时前
SDC沙箱能够满足哪些场景需求?
网络·加密·软件·源代码·沙盒
郝学胜-神的一滴2 小时前
深入理解网络IP协议与TTL机制:从原理到实践
linux·服务器·开发语言·网络·网络协议·tcp/ip·程序人生
松涛和鸣2 小时前
DAY61 IMX6ULL UART Serial Communication Practice
linux·服务器·网络·arm开发·数据库·驱动开发
程序猿_极客5 小时前
【2025 年最新版】Java JDK 安装与环境配置教程(附图文超详细,Windows+macOS 通用)
java·开发语言·windows·macos·jdk
猫头虎5 小时前
macOS 双开/多开微信WeChat完整教程(支持 4.X 及以上版本)
java·vscode·macos·微信·编辑器·mac·脚本
热门推荐
01GitHub 镜像站点02OpenCode 入门教程:介绍 · 安装 · 配置第三方 API (如 Claude)03Claude Code Skills 实用使用手册04UV安装并设置国内源05在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)06BongoCat - 跨平台键盘猫动画工具07安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)08AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南09Linux下V2Ray安装配置指南10Open Code教程(四)| 高级配置与集成