限制网段访问服务器端口63790

firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=113.110.178.204/10 port protocol=tcp port=63790 accept'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=61.141.178.204/16 port protocol=tcp port=63790 accept'

要理解这两条 firewall-cmd命令，需从 **Firewalld 富规则（Rich Rule）**​ 的语法、参数含义，以及 Redis 场景下的作用展开分析：

一、Firewalld 富规则基础

Firewalld 是 Linux 下的防火墙管理工具，富规则（Rich Rule） ​ 是其高级功能，支持更精细的流量控制（如**源IP网段、目标端口、协议、动作（允许/拒绝）**​ 等组合条件）。

二、逐行解析第一条命令

firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=113.110.178.204/10 port protocol=tcp port=63790 accept'

参数/字段	含义解释
firewall-cmd	Firewalld 的命令行工具，用于管理防火墙规则。
--permanent	规则永久生效 （否则重启防火墙后规则会丢失，需执行 firewall-cmd --reload重载才会临时生效）。
--add-rich-rule	添加「富规则」，用于定义复杂的访问控制逻辑。
rule family=ipv4	规则仅对 IPv4 流量 ​ 生效（若需 IPv6 则改为 family=ipv6）。
source address=113.110.178.204/10	源 IP 网段： - 113.110.178.204是网段的起始 IP ； - /10是子网掩码的简写（对应子网掩码 255.192.0.0），表示该网段包含 113.96.0.0 ~ 113.127.255.255范围内的所有 IPv4 地址。
port protocol=tcp port=63790	目标端口与协议： - protocol=tcp表示仅针对 TCP 协议； - port=63790表示 Redis 服务的端口（需确认 Redis 实际监听此端口，若为默认 6379需对应修改）。
accept	动作：允许​ 符合上述条件的流量通过防火墙。

三、逐行解析第二条命令

firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=61.141.178.204/16 port protocol=tcp port=63790 accept'

参数/字段	含义解释
rule family=ipv4	同第一条，仅对 IPv4 流量生效。
source address=61.141.178.204/16	源 IP 网段： - 61.141.178.204是网段的起始 IP ； - /16是子网掩码的简写（对应子网掩码 255.255.0.0），表示该网段包含 61.141.0.0 ~ 61.141.255.255范围内的所有 IPv4 地址。
port protocol=tcp port=63790	同第一条，针对 TCP 协议的 63790端口。
accept	动作：允许​ 符合条件的流量通过。

四、结合 Redis 场景的作用

这两条命令的核心目的是：允许特定 IP 网段的机器，通过 TCP 协议访问本机的 Redis 端口（63790）。

需注意以下前提（否则规则可能"无效"）：

1. Redis 端口匹配 ：Redis 需实际监听 63790端口（若 Redis 配置为默认 6379，需将规则中的 63790改为 6379）。

2. Redis 绑定网卡 ：Redis 配置文件（redis.conf）中 bind指令需允许目标网段的流量（若 bind 127.0.0.1仅允许本机，即使防火墙放行，外网也无法连接）。

3. 防火墙重载 ：添加富规则后，需执行 firewall-cmd --reload使规则临时生效（--permanent仅保证"配置持久化"，需重载才会真正加载）。

五、扩展：CIDR 网段的通俗理解

• /10：子网掩码 255.192.0.0，表示 IP 前 10 位固定 ，剩余 22 位可变 → 覆盖约 419 万个 IP（113.96.0.0 ~ 113.127.255.255）。

• /16：子网掩码 255.255.0.0，表示 IP 前 16 位固定 ，剩余 16 位可变 → 覆盖约 6.5 万个 IP（61.141.0.0 ~ 61.141.255.255）。

总结

这两条命令通过 Firewalld 富规则，精准放行了两个 IP 网段对 Redis 端口（63790）的 TCP 访问 。若要落地，需确保 Redis 自身配置（端口、bind）与防火墙规则"配合"，并通过 --reload或重启使规则生效。