centos 如何封掉udp 端口 命令

centos系统封堵udp端口，看似简单，实际操作中却可能遇到一些坑。我曾经因为疏忽，导致防火墙规则设置错误，结果服务瘫痪了一整天，才发现问题出在命令参数上。所以，正确的操作和细致的检查非常重要。

最直接的方法是使用firewall-cmd命令。假设我们要封堵12345端口的UDP流量，正确的命令应该是：

<code class="bash">firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="0.0.0.0/0" port protocol="udp" port="12345" accept=no'</code>

这条命令看起来有点复杂，让我们分解一下：

• --permanent： 这部分至关重要，它确保防火墙规则永久生效，重启系统后依然有效。 我之前就因为漏掉这个参数，每次重启后都要重新配置，非常麻烦。
• --add-rich-rule： 这表示我们添加的是一条“丰富”的规则，可以进行更精细的控制。 相比简单的--add-port，它提供了更大的灵活性。
• rule family="ipv4"： 指定规则应用于IPv4网络。如果你需要封堵IPv6的UDP流量，需要修改为"ipv6"。
• source address="0.0.0.0/0"： 这指定了源IP地址，0.0.0.0/0代表所有IP地址。如果你只想封堵特定IP地址的UDP流量，可以修改为具体的IP地址或IP地址段。例如，192.168.1.100或者192.168.1.0/24。
• port protocol="udp"： 明确指定协议为UDP。
• port="12345"： 指定要封堵的端口号。
• accept=no： 这才是关键，它表示拒绝连接。 我之前犯的错误就是漏掉了这个参数，或者写成了accept=yes，结果端口依然开放。

执行完这条命令后，别忘了重新加载防火墙规则：

AI封面生成器

专业的AI封面生成工具，支持小红书、公众号、小说、红包、视频封面等多种类型，一键生成高质量封面图片。

108

查看详情

<code class="bash">firewall-cmd --reload</code>

验证是否成功封堵，可以使用netstat -anp | grep 12345命令查看该端口是否还有监听。如果没有监听，则说明封堵成功。

记住，在修改防火墙规则之前，最好先备份当前配置，以防万一出现问题可以恢复。 一个简单的备份方法是使用firewall-cmd --list-all命令将当前规则输出到一个文件。

最后，如果你需要开放某个端口，只需要将accept=no改为accept=yes，并修改其他参数来匹配你的需求即可。 切记，操作防火墙规则需要谨慎，任何错误都可能导致系统不可用，所以每次修改后都应该仔细检查并验证。

以上就是centos 如何封掉udp 端口 命令的详细内容，更多请关注php中文网其它相关文章！