技术解析
有些服务绑定到 0.0.0.0,所以直接暴露到公网了。现在想用 firewalld 把这些公网端口保护起来。
我想使用 “默认开放所有端口,选择性保护指定端口” 的策略,所以尝试用了 trusted zone,但是发现不知道怎么关闭来自公网端口的请求。
我自己能想到方案
用 public zone,然后 --add-port 来开放端口;因为机器上还有其他服务,所以这种方式需要把所有要开放的端口都配置一遍。
应该可以用 iptables 实现,但是使用起来没有 firewalld 方便;优先使用 firewalld
请教大家,有什么好的解决方案呢?