限制网段访问服务器端口63790

千百元2026-01-02 20:05
bash 复制代码 
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=113.110.178.204/10 port protocol=tcp port=63790 accept'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=61.141.178.204/16 port protocol=tcp port=63790 accept'

要理解这两条 firewall-cmd命令,需从 **Firewalld 富规则(Rich Rule)**​ 的语法、参数含义,以及 Redis 场景下的作用展开分析:

一、Firewalld 富规则基础

Firewalld 是 Linux 下的防火墙管理工具,富规则(Rich Rule) ​ 是其高级功能,支持更精细的流量控制(如**源IP网段、目标端口、协议、动作(允许/拒绝)**​ 等组合条件)。

二、逐行解析第一条命令

复制代码 
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=113.110.178.204/10 port protocol=tcp port=63790 accept'
参数/字段 含义解释
firewall-cmd Firewalld 的命令行工具,用于管理防火墙规则。
--permanent 规则永久生效 (否则重启防火墙后规则会丢失,需执行 firewall-cmd --reload重载才会临时生效)。
--add-rich-rule 添加「富规则」,用于定义复杂的访问控制逻辑。
rule family=ipv4 规则仅对 IPv4 流量 ​ 生效(若需 IPv6 则改为 family=ipv6)。
source address=113.110.178.204/10 源 IP 网段: - 113.110.178.204是网段的起始 IP ; - /10是子网掩码的简写(对应子网掩码 255.192.0.0),表示该网段包含 113.96.0.0 ~ 113.127.255.255范围内的所有 IPv4 地址。
port protocol=tcp port=63790 目标端口与协议: - protocol=tcp表示仅针对 TCP 协议; - port=63790表示 Redis 服务的端口(需确认 Redis 实际监听此端口,若为默认 6379需对应修改)。
accept 动作:允许​ 符合上述条件的流量通过防火墙。

三、逐行解析第二条命令

复制代码
复制代码 
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=61.141.178.204/16 port protocol=tcp port=63790 accept'
参数/字段 含义解释
rule family=ipv4 同第一条,仅对 IPv4 流量生效。
source address=61.141.178.204/16 源 IP 网段: - 61.141.178.204是网段的起始 IP ; - /16是子网掩码的简写(对应子网掩码 255.255.0.0),表示该网段包含 61.141.0.0 ~ 61.141.255.255范围内的所有 IPv4 地址。
port protocol=tcp port=63790 同第一条,针对 TCP 协议的 63790端口。
accept 动作:允许​ 符合条件的流量通过。

四、结合 Redis 场景的作用

这两条命令的核心目的是:允许特定 IP 网段的机器,通过 TCP 协议访问本机的 Redis 端口(63790)

需注意以下前提(否则规则可能"无效"):

  1. Redis 端口匹配 :Redis 需实际监听 63790端口(若 Redis 配置为默认 6379,需将规则中的 63790改为 6379)。

  2. Redis 绑定网卡 :Redis 配置文件(redis.conf)中 bind指令需允许目标网段的流量(若 bind 127.0.0.1仅允许本机,即使防火墙放行,外网也无法连接)。

  3. 防火墙重载 :添加富规则后,需执行 firewall-cmd --reload使规则临时生效(--permanent仅保证"配置持久化",需重载才会真正加载)。

五、扩展:CIDR 网段的通俗理解

  • /10:子网掩码 255.192.0.0,表示 IP 前 10 位固定 ,剩余 22 位可变 → 覆盖约 419 万个 IP(113.96.0.0 ~ 113.127.255.255)。

  • /16:子网掩码 255.255.0.0,表示 IP 前 16 位固定 ,剩余 16 位可变 → 覆盖约 6.5 万个 IP(61.141.0.0 ~ 61.141.255.255)。

总结

这两条命令通过 Firewalld 富规则,精准放行了两个 IP 网段对 Redis 端口(63790)的 TCP 访问 。若要落地,需确保 Redis 自身配置(端口、bind)与防火墙规则"配合",并通过 --reload或重启使规则生效。

相关推荐
发光小北3 小时前
Modbus TCP 转 Profinet 主站网关如何应用?
网络·网络协议·tcp/ip
lee_curry6 小时前
第四章 jvm中的垃圾回收器
java·jvm·垃圾收集器
易连EDI—EasyLink6 小时前
易连EDI–EasyLink实现OCR智能数据采集
网络·人工智能·安全·汽车·ocr·edi
@insist1237 小时前
信息安全工程师考点精讲:身份认证核心原理与分类体系(上篇)
大数据·网络·分类·信息安全工程师·软件水平考试
九转成圣7 小时前
Java 性能优化实战:如何将海量扁平数据高效转化为类目字典树?
java·开发语言·json
SmartRadio7 小时前
ESP32-S3 双模式切换实现:兼顾手机_路由器连接与WiFi长距离通信
开发语言·网络·智能手机·esp32·长距离wifi
_.Switch7 小时前
东方财富股票数据JS逆向:secids字段和AES加密实战
开发语言·前端·javascript·网络·爬虫·python·ecmascript
直奔標竿7 小时前
Java开发者AI转型第二十七课!Spring AI 个人知识库实战(六)——全栈闭环收官,解锁前端流式渲染终极技巧
java·开发语言·前端·人工智能·后端·spring
金銀銅鐵8 小时前
[java] 编译之后的记录类(Record Classes)长什么样子(上)
java·jvm·后端
金色光环8 小时前
FreeModbus释放底层的 TCP 监听端口
服务器·网络·tcp/ip
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档032026年4月AI大事件深度解读:大模型竞争进入“深水区“04近期有什么ai的新消息,新动态? 2026.4月05【AI】2026 年具身智能模型和世界模型总结062026年AI编程工具终极横评:Cursor vs Claude Code vs Copilot07实测可用|小米 MiMo 百万亿 Token 免费领,开发者速冲08在Windows 11上安装Docker的踩坑记录09要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法10裂开!ChatGPT 居然开始要手机号验证,附详细解决方法