Porta 22:
firewall-cmd --permanent --zone=public --add-service=ssh # persistent setting
firewall-cmd --reload
Port Range 11224-12224:
firewall-cmd --add-rich-rule='rule family="ipv4" source address="10.0.0.0/8" port port="11224-12224" protocol="tcp" accept'
firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.16.0.0/12" port port="11224-12224" protocol="tcp" accept'
firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.0.0/16" port port="11224-12224" protocol="tcp" accept'
firewall-cmd --reload
Veja: link
ICMP:
Não bloqueie cegamente todos os ICMP. Você interromperá o Path MTU Discovery, causando qualquer conexão que transfira pacotes de tamanho máximo por meio de VPN, gateway IPv6, vários tipos de serviços de nuvem, etc., para não funcionar, a menos que você reduza o valor de MTU para todas as conexões. O sistema operacional já considera o envio de respostas ICMP uma tarefa de baixa prioridade que pode ser ignorada se causar uma carga de trabalho excessiva.
Quando alguém tenta executar ping em um host que não existe, o upstream do roteador do host ausente enviará uma mensagem ICMP "Host Unreachable" de volta ao pinger. Se você bloquear respostas de ping, o som ainda pode determinar a existência do seu host assim:
- ping response received = o host existe
- sem resposta de ping, mas o "host inacessível" do ICMP do roteador mais próximo do host de destino = host não existe
- sem resposta de ping e nenhum ICMP = host provavelmente existe e está bloqueando pings.
Isso é bastante trivial de se fazer.