更多 IT 认证课程请访问 美河学习在线 www.eimhe.com 为 firewall 设置访问白名单，仅允许合法的 ip 访问特定端口，如下以 9089 端口 以及 5672 端口为例： 注意：1、设置白名单前，首先执行“ps -ef |grep firewalld”检查是否开启防火墙， 若未开启防火墙，请询问系统负责人该系统是否允许开启防火墙，若 可开启防火墙，则执行“systemctl enable firewalld”及“systemctl start firewalld”开启防火墙，请联系系统负责人告知该系统必须对外开放 的端口列表，执行语句“firewall-cmd --zone=public --add-port=端口号/tcp --permanent”将相关端口开放； 2、执行”firewall-cmd --list-all”来检查是否已为相关端口设置白名单，若结 果同时符合如下两个条件，则已为该端口设置白名单，这种情况下， 请根据命令行结果查缺补漏，判断是否继续为该端口的访问白名单添 加 IP 地址： a、 结果中“ports”中不包括需要设置白名单的端口号； b、 “rich rules”中设置了允许某 ip 访问需要设置白名单的端口号的规 则，形如如下形式： rule family="ipv4" source address="需要放到白名单的 ip 地址" port port="需要设置白名单的端口号" protocol="tcp" accept 3、若”firewall-cmd –list-all”结果中，”services:”中包括“ssh”，则允许开放 了 openssh 端口，后续关于其所在 22 端口的策略将不再起效，若本次 白名单设置任务中，包括对 ssh 端口 22 的白名单设置，为了使后续策 略起效，请先执行如下命令将 ssh 服务禁用，若不需要对 22 端口做白 名单限制，则略过此步： firewall-cmd --permanent --remove-service=ssh 或 firewall-cmd --permanent --disable-service=ssh 如下为设置白名单的具体方案： 1、执行如下语句关闭 9089 及 5672 端口 systemctl enable firewalld systemctl start firewalld firewall-cmd --set-default-zone=public firewall-cmd --zone=public --remove-port=9089/tcp --permanent firewall-cmd --zone=public --remove-port=5672/tcp --permanent 2、 开启可访该主机 9089 及 5672 端口的 ip 的访问权限，为电子发票系统内部所有 ip 开放 这两个端口的访问权限，即将电子发票系统内所有 ip 加入白名单，举例如下： firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="主控服务器 ip" port protocol="tcp" port="9089" accept" 

更多 IT 认证课程请访问 美河学习在线 www.eimhe.com firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="大数据服务器 ip" port protocol="tcp" port="9089" accept" firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="主控服务器 ip" port protocol="tcp" port="5672" accept" firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="大数据服务器 ip" port protocol="tcp" port="5672" accept" 3、注意，若需要使用额外的主机上的浏览器来查看 rabbitmq 是否可用，则将该主机（比如 管理员使用的主机）ip 加入前置服务器访问 firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="管理员服务器 ip" port protocol="tcp" port="9089" accept" firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="管理员服务器 ip" port protocol="tcp" port="5672" accept" 4、执行： firewall-cmd --reload systemctl restart firewalld