根据流量来源管理进入区域的流量

要允许来自发送节点的传入流量，请使用以下命令：

# firewall-cmd --add-source=10.1.2.3 --zone=internal --permanent

除非添加到防火墙区域，否则对某些端口的访问会被 firewalld 阻止或者丢弃。
这篇文章概述了向 CentOS/RHEL 7 和 8 系统中的防火墙区域添加源、服务和端口的步骤。

向防火墙区域添加服务

向区域添加服务是配置防火墙的最简单方法。

要允许访问新服务，请使用“-add-service”服务选项。

包括“-permanent”选项以使规则在重新启动后保持不变。

例如，要将 cockpit、dhcpv6-client、http、https、vnc-server 和 ssh 服务添加到内部区域，我们可以使用以下命令：

# firewall-cmd --add-service cockpit --zone=internal --permanent
# firewall-cmd --add-service dhcpv6-client --zone=internal --permanent
# firewall-cmd --add-service http --zone=internal --permanent
# firewall-cmd --add-service https --zone=internal --permanent
# firewall-cmd --add-service vnc-server --zone=internal --permanent
# firewall-cmd --add-service ssh --zone=internal --permanent

重新加载配置

完成所有更改后，重新加载配置，以便当前永久配置成为新的运行时配置。

# firewall-cmd --reload

管理网络流量

通过区域服务的网络流量使用这些服务的端口。

应打开端口以接受流量，我们可以通过指定端口号和相关协议来打开其他端口以进行网络访问。

使用“-add-port”选项允许访问特定端口。
必须使用以下格式指定端口：port-number/port-type。

端口类型可以是 tcp、udp、sctp 或者 dccp。

确保类型和网络流量匹配。

例如，要通过 tcp 添加端口 1522. 7001. 5901. 443 和 80，以及通过 udp 添加端口 53，我们可以使用以下命令：

# firewall-cmd --zone=internal --add-port=1522/tcp --add-port=7001/tcp --add-port=5901/tcp --add-port=443/tcp --add-port=80/tcp --add-port=53/udp --permanent

列出区域配置

要列出为“内部”区域添加或者启用的所有内容，请使用以下命令：

# firewall-cmd --list-all --zone=internal
internal
  target: default
  icmp-block-inversion: no
  interfaces:
  sources: 10.1.2.3
  services: cockpit dhcpv6-client http https ssh vnc-server
  ports: 1522/tcp 7001/tcp 5901/tcp 443/tcp 80/tcp 53/udp
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules: