限制网段访问服务器端口63790

千百元2026-01-02 20:05
bash 复制代码 
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=113.110.178.204/10 port protocol=tcp port=63790 accept'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=61.141.178.204/16 port protocol=tcp port=63790 accept'

要理解这两条 firewall-cmd命令,需从 **Firewalld 富规则(Rich Rule)**​ 的语法、参数含义,以及 Redis 场景下的作用展开分析:

一、Firewalld 富规则基础

Firewalld 是 Linux 下的防火墙管理工具,富规则(Rich Rule) ​ 是其高级功能,支持更精细的流量控制(如**源IP网段、目标端口、协议、动作(允许/拒绝)**​ 等组合条件)。

二、逐行解析第一条命令

复制代码 
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=113.110.178.204/10 port protocol=tcp port=63790 accept'
参数/字段 含义解释
firewall-cmd Firewalld 的命令行工具,用于管理防火墙规则。
--permanent 规则永久生效 (否则重启防火墙后规则会丢失,需执行 firewall-cmd --reload重载才会临时生效)。
--add-rich-rule 添加「富规则」,用于定义复杂的访问控制逻辑。
rule family=ipv4 规则仅对 IPv4 流量 ​ 生效(若需 IPv6 则改为 family=ipv6)。
source address=113.110.178.204/10 源 IP 网段: - 113.110.178.204是网段的起始 IP ; - /10是子网掩码的简写(对应子网掩码 255.192.0.0),表示该网段包含 113.96.0.0 ~ 113.127.255.255范围内的所有 IPv4 地址。
port protocol=tcp port=63790 目标端口与协议: - protocol=tcp表示仅针对 TCP 协议; - port=63790表示 Redis 服务的端口(需确认 Redis 实际监听此端口,若为默认 6379需对应修改)。
accept 动作:允许​ 符合上述条件的流量通过防火墙。

三、逐行解析第二条命令

复制代码
复制代码 
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=61.141.178.204/16 port protocol=tcp port=63790 accept'
参数/字段 含义解释
rule family=ipv4 同第一条,仅对 IPv4 流量生效。
source address=61.141.178.204/16 源 IP 网段: - 61.141.178.204是网段的起始 IP ; - /16是子网掩码的简写(对应子网掩码 255.255.0.0),表示该网段包含 61.141.0.0 ~ 61.141.255.255范围内的所有 IPv4 地址。
port protocol=tcp port=63790 同第一条,针对 TCP 协议的 63790端口。
accept 动作:允许​ 符合条件的流量通过。

四、结合 Redis 场景的作用

这两条命令的核心目的是:允许特定 IP 网段的机器,通过 TCP 协议访问本机的 Redis 端口(63790)

需注意以下前提(否则规则可能"无效"):

  1. Redis 端口匹配 :Redis 需实际监听 63790端口(若 Redis 配置为默认 6379,需将规则中的 63790改为 6379)。

  2. Redis 绑定网卡 :Redis 配置文件(redis.conf)中 bind指令需允许目标网段的流量(若 bind 127.0.0.1仅允许本机,即使防火墙放行,外网也无法连接)。

  3. 防火墙重载 :添加富规则后,需执行 firewall-cmd --reload使规则临时生效(--permanent仅保证"配置持久化",需重载才会真正加载)。

五、扩展:CIDR 网段的通俗理解

  • /10:子网掩码 255.192.0.0,表示 IP 前 10 位固定 ,剩余 22 位可变 → 覆盖约 419 万个 IP(113.96.0.0 ~ 113.127.255.255)。

  • /16:子网掩码 255.255.0.0,表示 IP 前 16 位固定 ,剩余 16 位可变 → 覆盖约 6.5 万个 IP(61.141.0.0 ~ 61.141.255.255)。

总结

这两条命令通过 Firewalld 富规则,精准放行了两个 IP 网段对 Redis 端口(63790)的 TCP 访问 。若要落地,需确保 Redis 自身配置(端口、bind)与防火墙规则"配合",并通过 --reload或重启使规则生效。

相关推荐
橙露4 小时前
Spring Boot 核心原理:自动配置机制与自定义 Starter 开发
java·数据库·spring boot
小程故事多_804 小时前
Agent Infra核心技术解析:Sandbox sandbox技术原理、选型逻辑与主流方案全景
java·开发语言·人工智能·aigc
冰暮流星4 小时前
sql语言之分组语句group by
java·数据库·sql
望舒5134 小时前
代码随想录day25,回溯算法part4
java·数据结构·算法·leetcode
米羊1214 小时前
已有安全措施确认(中)
网络
黎雁·泠崖4 小时前
【魔法森林冒险】3/14 Allen类(一):主角核心属性与初始化
java·开发语言
黎雁·泠崖4 小时前
【魔法森林冒险】1/14 项目总览:用Java打造你的第一个回合制冒险游戏
java·开发语言
NuageL4 小时前
原始Json字符串转化为Java对象列表/把中文键名变成英文键名
java·spring boot·json
222you4 小时前
Redis的主从复制和哨兵机制
java·开发语言
江湖有缘4 小时前
零基础入门:使用 Docker 快速部署 Organizr 个人主页
java·服务器·docker
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03openclaw配置教程(linux+局域网ollama)04UV安装并设置国内源05AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南06Linux下V2Ray安装配置指南07openclaw使用nginx反代部署过程 与disconnected (1008): pairing required解决08Claude Code Skills 实用使用手册09在Trae中使用Pencil MCP10Vue-skills的中文文档