成年大片免费视频播放二级_早上躁晚上躁天天躁8090_新金瓶梅2下载_欧美国产一卡二在线播放_国产在线精品欧美日韩电影

您的位置:首頁技術文章
文章詳情頁

Linux防火墻iptables添加白名單方式

【字號: 日期:2023-10-01 20:59:26瀏覽:14作者:豬豬
目錄Linux防火墻iptables添加白名單Linux防火墻白名單設置總結Linux防火墻iptables添加白名單

iptables

在linux系統(tǒng)中安裝yum install iptables-services

重啟防火墻的命令:service iptables restart 保存到配置中:service iptables save ,該命令會將配置規(guī)則保存到/etc/sysconfig/iptables文件中。

添加白名單:

開放端口區(qū)間:iptables -A INPUT -p tcp --dport 3000:3006 -j ACCEPT開放單個端口:iptables -A INPUT -p tcp --dport 3306 -j ACCEPT #追加到鏈的末尾

拓展:

iptables命令最后的ACCEPT表示公網可訪問,換成whitelist則僅限服務器之間通過內網訪問。

iptables -I:默認插入到第一行,原有規(guī)則后移。iptables -A:默認追加到最后一行。Linux防火墻白名單設置

在linux系統(tǒng)中安裝yum install iptables-services

然后 vi /etc/sysconfig/iptables

# Generated by iptables-save v1.4.7 on Sun Aug 28 12:14:02 2016*filter:INPUT ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [0:0]#這里開始增加白名單服務器ip(請刪除當前服務器的ip地址)-N whitelist-A whitelist -s 8.8.8.8 -j ACCEPT-A whitelist -s x.x.x.x -j ACCEPT#這些 ACCEPT 端口號,公網內網都可訪問-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #允許接受本機請求之后的返回數(shù)據(jù) RELATED,是為FTP設置的-A INPUT -p icmp -j ACCEPT-A INPUT -i lo -j ACCEPT-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT-A INPUT -m state --state NEW -m tcp -p tcp --dport 13020 -j ACCEPT-A INPUT -m state --state NEW -m tcp -p tcp --dport 1000:8000 -j ACCEPT #開放1000到8000之間的所有端口#下面是 whitelist 端口號,僅限 服務器之間 通過內網 訪問-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j whitelist-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j whitelist-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j whitelist-A INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j whitelist#為白名單ip開放的端口,結束-A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT

解釋:

添加防火墻過濾規(guī)則步驟如下;

1、查看現(xiàn)有防火墻過濾規(guī)則:

iptables -nvL --line-number

2、添加防火墻過濾規(guī)則(設置白名單):

1)添加白名單

iptables -I INPUT 3 -s 136.6.231.163 -p tcp --dport 1521 -j ACCEPT

命令詳解:

-I:添加規(guī)則的參數(shù) INPUT:表示外部主機訪問內部資源

規(guī)則鏈:    

1)INPUT——進來的數(shù)據(jù)包應用此規(guī)則鏈中的策略    2)OUTPUT——外出的數(shù)據(jù)包應用此規(guī)則鏈中的策略    3)FORWARD——轉發(fā)數(shù)據(jù)包時應用此規(guī)則鏈中的策略    4)PREROUTING——對數(shù)據(jù)包作路由選擇前應用此鏈中的規(guī)則 (記住!所有的數(shù)據(jù)包進來的時侯都先由這個鏈處理)    5)POSTROUTING——對數(shù)據(jù)包作路由選擇后應用此鏈中的規(guī)則(所有的數(shù)據(jù)包出來的時侯都先由這個鏈處理)    

3、表示添加到第三行(可以任意修改)

-s:指定作為源地址匹配,這里不能指定主機名稱,必須是IP;-p: 用于匹配協(xié)議的(這里的協(xié)議通常有3種,TCP/UDP/ICMP)--dport: 用于匹配端口號-j: 用于匹配處理方式:

常用的ACTION:

DROP:悄悄丟棄,一般我們多用DROP來隱藏我們的身份,以及隱藏我們的鏈表    REJECT:明示拒絕    ACCEPT:接受

2)查看添加結果

iptables -nvL --line-number

然后重啟防火墻即可生效

重啟防火墻的命令:service iptables restart

此時,防火墻規(guī)則只是保存在內存中,重啟后就會失效。

使用以下命令將防火墻配置保存起來;

保存到配置中:service iptables save (該命令會將防火墻規(guī)則保存在/etc/sysconfig/iptables文件中。)

附:

開放端口段3000~3008

iptables -A INPUT -p tcp --dport 3000:3008 -j ACCEPT

開放ip段

iprange模塊提供了兩個匹配參數(shù):

--src-range: 匹配來源地址的范圍,例如,iptables -A INPUT -p tcp -m iprange --src-range 192.168.0.2-192.168.0.61 -j DROP--dst-range: 匹配目的地址的范圍,例如,iptables -A OUTPUT -p tcp -m iprange --dst-range 192.168.0.2-192.168.0.61 -j DROP

禁止用戶訪問www.baidu.com

iptables -I FORWARD -d www.baidu.com -j DROP

iptables—命令(-A、-I、-D、-R、-L等)、

View Code

釋義,可參考:Centos7.0-iptables linux的出站入站端口維護

Iptables防火墻規(guī)則使用梳理

規(guī)則的刪除等:linux下iptables的使用下面是可能用于防止慢連接攻擊的方式

#處理IP碎片數(shù)量,防止攻擊,允許每秒100個iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT#設置ICMP包過濾,允許每秒1個包,限制觸發(fā)條件是10個包iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT總結

以上為個人經驗,希望能給大家一個參考,也希望大家多多支持好吧啦網。

標簽: Linux