CentOS8系统不再支持使用tcp_wrappers方法来禁止IP访问。tcp_wrappers方法能通过编辑/etc/hosts.allow和/etc/hosts.deny配置文件对IP禁止访问。此时，需要使用firewall-cmd命令来设置对IP的禁止访问。

1. firewall-cmd的常用方法

列出Zones，查看被激活的Zone。firewall-cmd支持配置多种不同的Zones，对应不同的网络环境。使用者能更具需求激活相应的Zone。默认设置下，被激活的Zone是public，即计算机处于public环境，防火墙非常严格。

firewall-cmd --list-all-zones
firewall-cmd --get-default-zone

查看防火墙被允许通过的服务、端口和规则。系统安装完毕后，默认仅开放了ssh服务。

firewall-cmd --list-services
firewall-cmd --list-ports
firewall-cmd --list-rich-rules

添加或删除防火墙端口。以先添加80端口，用于搭建的网站对外提供访问；添加5901-5910端口区域，用于VNCviewer远程桌面访问。

firewall-cmd --add-port=80/tcp --permanent
firewall-cmd --add-port=5901-5910/tcp --permanent
firewall-cmd --remove-port=5901-5910/tcp --permanent
# --permanent参数让配置永久修改

firewall-cmd --reload
# --reload重载防火墙，让修改立即生效。此时不会中断用户的现有连接。

systemctl restart firewalld.service
# 也可以重启防火墙，让修改生效。但是会中断用户的现有连接。

添加或删除rules，增加或解除对IP的禁止访问。

firewall-cmd --add-rich-rule='rule family="ipv4" source address="122.205.95.116/24" reject' --permanent
firewall-cmd --add-rich-rule='rule family="ipv4" source address="122.205.95.116/24" drop' --permanent

firewall-cmd --remove-rich-rule='rule family="ipv4" source address="122.205.95.116/24" reject' --permanent
firewall-cmd --remove-rich-rule='rule family="ipv4" source address="122.205.95.116/24" drop' --permanent

firewall-cmd --reload

2. 重启网络

修改防火墙配置后，有可能有需要重启网络。

nmcli con show
# 检测当前连网的网卡

nmcli c reload eth0
# 重新载入eth0网卡

nmcli c up eth0
# 重启eth0网卡

也可以使用NetworkManager重启网络

systemctl restart NetworkManager

ifdown eth0 && ifup eth0

nmcli con down eth0 && nmcli con up eth0

安装network-scripts后，使用老版方法重启网络

dnf -y install network-scripts

systemctl restart network
/etc/init.d/network restart