firewalld 規則允許使用後門的靜態 IP SSH 訪問？

我是firewalld和的新手centos 7。我閱讀了其他問題，並且了解了“區域”和規則。現在，它處於預設狀態：

# firewall-cmd --get-default-zone
public

# firewall-cmd --list-all
public
 target: default
 icmp-block-inversion: no
 interfaces: 
 sources: 
 services: dhcpv6-client ftp ssh
 ports: 21/tcp 80/tcp
 protocols: 
 masquerade: no
 forward-ports: 
 source-ports: 
 icmp-blocks: 
 rich rules: 

每隔幾天我通過 SSH 登錄，系統就會告訴我有超過 20,000 次失敗的登錄嘗試。是時候設置防火牆了！

我的需求：

• 僅允許來自特定 IP 地址的 SSH 訪問
• 但是如果我的 IP 將來會在我可以發布此設置之前發生更改，如何處理不太可能發生的事件？
• 允許來自任何地址的 HTTP 和 HTTPS Web 服務（埠 80 和 443）
• 阻止其他一切

我懇請幫助以了解如何處理這種情況——當然，如果它有意義的話！

你有幾個選擇：

1. 如果這對您可行，請將一些 IP 地址列入白名單
2. 對暴露在網際網路上的機器進行暴力攻擊是不爭的事實，Fail2ban、CSF+LFD 等工具將大有幫助
3. 你可以在你的伺服器上設置一個VPN（或者如果它是一個更大的基礎設施的一部分），然後將VPN私有IP範圍列入白名單（例如10.* 172.*）
4. 您可以設置埠敲擊以使 SSH 埠隱身

鑑於您似乎有一個網路伺服器，也許還有 FTP，我認為選項＃2 是合適的，並且會保護 SSH 以外的服務。您可以根據自己的要求組合更多選項。

關於網路伺服器，WAF（網路應用程序防火牆）也可能是可取的。

引用自：https://serverfault.com/questions/1008293