精华内容
下载资源
问答
  • Linux防火墙Iptable如何设置只允许某个ip访问80端口,只允许特定ip访问某端口?参考下面命令,只允许46.166.150.22访问本机的80端口。如果要设置其他ip或端口,改改即可。 iptables -I INPUT -


    来源:http://blog.163.com/qin1238888@126/blog/static/86526898201351844949307/

    Linux防火墙Iptable如何设置只允许某个ip访问80端口,只允许特定ip访问某端口?参考下面命令,只允许46.166.150.22访问本机的80端口。如果要设置其他ip或端口,改改即可。

    iptables -I INPUT -p TCP --dport 80 -j DROP
    iptables -I INPUT -s 46.166.150.22 -p TCP --dport 80 -j ACCEPT

    在root用户下执行上面2行命令后,重启iptables, service iptables restart

    查看iptables是否生效:

    [root@www.ctohome.com]# iptables -L
    Chain INPUT (policy ACCEPT)
    target           prot opt source               destination         
    ACCEPT     tcp  --  46.166.150.22    anywhere            tcp dpt:http 
    DROP         tcp  --  anywhere             anywhere            tcp dpt:http 


    Chain FORWARD (policy ACCEPT)
    target     prot opt source               destination         

    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination        

     上面命令是针对整个服务器(全部ip)禁止80端口,如果只是需要禁止服务器上某个ip地址的80端口,怎么办?

    下面的命令是只允许来自174.140.3.190的ip访问服务器上216.99.1.216的80端口

    iptables -A FORWARD -s 174.140.3.190 -d 216.99.1.216 -p tcp -m tcp --dport 80 -j ACCEPT 
    iptables -A FORWARD -d 216.99.1.216 -p tcp -m tcp --dport 80 -j DROP

    如果您不熟悉linux的ssh命令,那么可以在webmin/virtualmin面板中设置,达到相同效果。参考:webmin面板怎样设置允许特定ip访问80端口,禁止80端口

    更多iptables参考命令如下:

    1.先备份iptables

    # cp /etc/sysconfig/iptables /var/tmp

    需要开80端口,指定IP和局域网

    下面三行的意思:

    先关闭所有的80端口

    开启ip段192.168.1.0/24端的80口

    开启ip段211.123.16.123/24端ip段的80口

    # iptables -I INPUT -p tcp --dport 80 -j DROP 
    # iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
    # iptables -I INPUT -s 211.123.16.123/24 -p tcp --dport 80 -j ACCEPT

    以上是临时设置。

    2.然后保存iptables

    # service iptables save

    3.重启防火墙

    #service iptables restart

    ===============以下是转载================================================

    以下是端口,先全部封再开某些的IP

    iptables -I INPUT -p tcp --dport 9889 -j DROP 
    iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 9889 -j ACCEPT
    如果用了NAT转发记得配合以下才能生效

    iptables -I FORWARD -p tcp --dport 80 -j DROP 
    iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT

     

     

    常用的IPTABLES规则如下:
    只能收发邮件,别的都关闭
    iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -j DROP
    iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p udp --dport 53 -j ACCEPT
    iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 25 -j ACCEPT
    iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 110 -j ACCEPT


    IPSEC NAT 策略
    iptables -I PFWanPriv -d 192.168.100.2 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp --dport 80 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:80

    iptables -t nat -A PREROUTING -p tcp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723

    iptables -t nat -A PREROUTING -p udp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723

    iptables -t nat -A PREROUTING -p udp --dport 500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:500

    iptables -t nat -A PREROUTING -p udp --dport 4500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:4500


    FTP服务器的NAT
    iptables -I PFWanPriv -p tcp --dport 21 -d 192.168.1.22 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp --dport 21 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.1.22:21


    只允许访问指定网址
    iptables -A Filter -p udp --dport 53 -j ACCEPT
    iptables -A Filter -p tcp --dport 53 -j ACCEPT
    iptables -A Filter -d www.ctohome.com -j ACCEPT
    iptables -A Filter -d www.guowaivps.com -j ACCEPT
    iptables -A Filter -j DROP


    开放一个IP的一些端口,其它都封闭
    iptables -A Filter -p tcp --dport 80 -s 192.168.1.22 -d www.pconline.com.cn -j ACCEPT
    iptables -A Filter -p tcp --dport 25 -s 192.168.1.22 -j ACCEPT
    iptables -A Filter -p tcp --dport 109 -s 192.168.1.22 -j ACCEPT
    iptables -A Filter -p tcp --dport 110 -s 192.168.1.22 -j ACCEPT
    iptables -A Filter -p tcp --dport 53 -j ACCEPT
    iptables -A Filter -p udp --dport 53 -j ACCEPT
    iptables -A Filter -j DROP


    多个端口
    iptables -A Filter -p tcp -m multiport --destination-port 22,53,80,110 -s 192.168.20.3 -j REJECT


    连续端口
    iptables -A Filter -p tcp -m multiport --source-port 22,53,80,110 -s 192.168.20.3 -j REJECT iptables -A Filter -p tcp --source-port 2:80 -s 192.168.20.3 -j REJECT


    指定时间上网
    iptables -A Filter -s 10.10.10.253 -m time --timestart 6:00 --timestop 11:00 --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j DROP
    iptables -A Filter -m time --timestart 12:00 --timestop 13:00 --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT
    iptables -A Filter -m time --timestart 17:30 --timestop 8:30 --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT

    禁止多个端口服务
    iptables -A Filter -m multiport -p tcp --dport 21,23,80 -j ACCEPT


    将WAN 口NAT到PC
    iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --to-destination 192.168.0.1


    将WAN口8000端口NAT到192。168。100。200的80端口
    iptables -t nat -A PREROUTING -p tcp --dport 8000 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.1.22:80


    MAIL服务器要转的端口
    iptables -t nat -A PREROUTING -p tcp --dport 110 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.1.22:110
    iptables -t nat -A PREROUTING -p tcp --dport 25 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.1.22:25


    只允许PING 202。96。134。133,别的服务都禁止
    iptables -A Filter -p icmp -s 192.168.1.22 -d 202.96.134.133 -j ACCEPT
    iptables -A Filter -j DROP

    禁用BT配置
    iptables –A Filter –p tcp –dport 6000:20000 –j DROP

    禁用QQ防火墙配置
    iptables -A Filter -p udp --dport ! 53 -j DROP
    iptables -A Filter -d 218.17.209.0/24 -j DROP
    iptables -A Filter -d 218.18.95.0/24 -j DROP
    iptables -A Filter -d 219.133.40.177 -j DROP

    基于MAC,只能收发邮件,其它都拒绝
    iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -j DROP
    iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 25 -j ACCEPT
    iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 110 -j ACCEPT

    禁用MSN配置
    iptables -A Filter -p udp --dport 9 -j DROP
    iptables -A Filter -p tcp --dport 1863 -j DROP
    iptables -A Filter -p tcp --dport 80 -d 207.68.178.238 -j DROP
    iptables -A Filter -p tcp --dport 80 -d 207.46.110.0/24 -j DROP

    只允许PING 202。96。134。133 其它公网IP都不许PING
    iptables -A Filter -p icmp -s 192.168.1.22 -d 202.96.134.133 -j ACCEPT
    iptables -A Filter -p icmp -j DROP

    禁止某个MAC地址访问internet:
    iptables -I Filter -m mac --mac-source 00:20:18:8F:72:F8 -j DROP

    禁止某个IP地址的PING:
    iptables –A Filter –p icmp –s 192.168.0.1 –j DROP

    禁止某个IP地址服务:
    iptables –A Filter -p tcp -s 192.168.0.1 --dport 80 -j DROP
    iptables –A Filter -p udp -s 192.168.0.1 --dport 53 -j DROP

    只允许某些服务,其他都拒绝(2条规则)
    iptables -A Filter -p tcp -s 192.168.0.1 --dport 1000 -j ACCEPT
    iptables -A Filter -j DROP

    禁止某个IP地址的某个端口服务
    iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j ACCEPT
    iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j DROP

    禁止某个MAC地址的某个端口服务

    iptables -I Filter -p tcp -m mac --mac-source 00:20:18:8F:72:F8 --dport 80 -j DROP

    禁止某个MAC地址访问internet:
    iptables -I Filter -m mac --mac-source 00:11:22:33:44:55 -j DROP

    禁止某个IP地址的PING:
    iptables –A Filter –p icmp –s 192.168.0.1 –j DROP


    展开全文
  • Linux只允许某个特定的ip地址或ip访问22端口 想必大家看到标题,想到限制,第一方法肯定是防火墙,如下我来进行防火墙规则的尝试。环境用的是CentOS7.4 #限制ip为192.168.137.12的地址禁止访问80端口 firewall...

    Linux中只允许某个特定的ip地址或ip段访问22端口

    1. 想必大家看到标题,想到限制,第一方法肯定是防火墙,如下我来进行防火墙规则的尝试。环境用的是CentOS7.4

      #限制ip为192.168.137.12的地址禁止访问80端口
      firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.137.12" port protocol="tcp" port="80" reject"
      

      可是这样的话,如果端口改为22 ,会发现,没有生效
      感觉是因为,Firewall防火墙默认是不拦截ssh的
      又各种尝试了下,无果

    2. 下面介绍第二种方法,采用配置sshd服务的方法来达到限制效果

      只允许指定的用户登录

      #进入sshd配置文件
      vim /etc/ssh/sshd_config
      AllowUsers   *@*.test.com   root@192.168.137.34
      #可以 *@192.168.137.*  表示137段的所有用户允许登录
      #也可以 *@主机名  的方式,前提是此机器可以将该主机名解析到对应的地址
      systemctl restart sshd
      #重启服务
      

      只禁止指定的用户登录

      将上面的 AllowUsers 改为 DenyUsers  即可
      

      只允许或只禁止采用一种即可,只允许默认其他的就都是禁止的

      有兴趣的,自己先去虚拟机尝试,以免发生不必要的麻烦。

    展开全文
  • 如何设置后台页面LOGIN.JSP只允许192.168.1.10访问。而前台页面所有人都可以访问?请回答的详细点,比如在APACHE的哪个部分添加怎样的字段。 谢谢 我记得论坛有帖子说怎么设置访问权限的.搜索下...

    补充资料

    本网络中使用LINUX服务器,web服务器是由APACHE搭建,IP地址为192.168.1.5,后台页面为/admin/login.jsp . 如何设置后台页面LOGIN.JSP只允许192.168.1.10访问。而前台页面所有人都可以访问?
    请回答的详细点,比如在APACHE的哪个部分添加怎样的字段。 谢谢
     
     
     
    我记得论坛有帖子说怎么设置访问权限的.搜索下.........  以下供参考,比较忙没有时间整理.......

    1、修改http.conf
      假设你想控制权限的目录的不同访问权限, 你可以在与之间加入一行: AllowOverride All
      意思是目录的访问权限由该目录下的.htaccess文件来控制,而且不同目录的权限策略可互相覆盖。

    2、编辑你想要控制的目录下的.htaccess文件
      假设你的phpmyadmin目录在progra*/apache*/htdocs下,你可以这样在phpmyadmin目录下创建一个.htaccess文件,内容如下:

    AuthUserFile progra*/apache*/apache/pass/pwdPhp
    AuthType Basic
    AuthName "Database Security Zone"


    3. 生成用户密码文件
    有一个用户密码生成程序:htpasswd(在program*/apache*/bin下), 它可以加入用户密码信息到指定的文件中,如/usr/local/apache/pass/pwdPhp. 我的用户密码文件内容如下: htpasswd -c f:/.htaccess test


    通过.htacess文件设置目录访问权限.通常我们可以在程序里来进行验证,也就是通过php写入http协议的头文件。而使用apache控制更有效。有关文章可以参考apache的官方网站的文档。(www.apache.org) 下面是我的配置(注意的是,因为在windows下的fat32/ntfs文件系统不支持.htaccess类型的文件名,所以我们需要改写该文件名。) 首先更改apache的配置文件httpd.conf 找到下面一行 AccessFileName .htaccess改成AccessFileName user.htaccess(当然后面的名字可以是其他的,只要不以.开头即可。但这样写更容易记忆和读取) 然后是接下来的正则匹配也要改找到 <FilesMatch "^\.ht">
        Order allow,deny
        Deny from all
    < /FilesMatch> 改成:<FilesMatch "^user\.ht"> #这里因为要匹配passwd文件,所以在window下你的密码文件也不能用.开头。统一命名为user.htpasswd好了。呵呵
        Order allow,deny
        Deny from all
    < /FilesMatch>  再接下来是找到:   AllowOverride None 这行,将起注释掉(前面加#)然后跟着添加两行,成为这样: # AllowOverride None   AllowOverride FileInfo AuthConfig Limit
        Options MultiViews SymLinksIfOwnerMatch IncludesNoExec 好了,到现在我们配置结束,然后重起apache服务,之后在需要设置访问权限的目录中防入user.htaccess文件,在他里面写如认证的内容即可。 如:在www/mytest 目录下生成user.htaccess文件内容如下: <Limit GET POST OPTIONS>
    Deny from all
    Allow from 10.29.100.0/24 #只允许10.29.100网段的用户访问该目录。
    < /Limit>AuthUserFile /home/user.htpasswd #登陆权证验证的用户密码文件
    #AuthGroupFile /dev/null      #验证组文件
    AuthName "login information"   
    AuthType Basic            #验证类型#<Limit GET>
    #require user newsadmin       
    #</Limit>  这样我们再通过命令行(cmd)生成一个用户密码文件D:\Apache\bin>htpasswd -c user.htpasswd mytestAutomatically using MD5 format.
    New password: ******
    Re-type new password: ******
    Adding password for user mytest 再通过浏览器访问该目录时就需要首先输入验证的用户名和密码,正确后如果您的ip网段在指定范围内则出现访问内容,否则访问被拒绝。 当然这样会对服务器的效率有所损失,因为每次访问目录都要先查看是否有验证文件存在。当然也可以把验证段直接写在httpd.conf 内,但这样写的好处是可以随时更改验证条件而不用重起服务器。而且可读性好。


       .htaccess文件是Apache服务器上的一个设置文件。它是一个文本文件,可以使用任何文本编辑器进行编写。. htaccess文件提供了针对目录改变配置的方法,即通过在一个特定的文档目录中放置一个包含一个或多个指令的文件(.htaccess文件),以作用于此目录及其所有子目录。.htaccess的功能包括设置网页密码、设置发生错误时出现的文件、改变首页的文件名(如index.html)、禁止读取文件名、重新导向文件、加上MIME类别、禁止列目录下的文件等。

        在需要针对目录改变服务器的配置,而对服务器系统没有root权限时,应该使用.htaccess文件。如果服务器管理员不愿意频繁修改配置,则可以允许用户通过.htaccess文件自己修改配置,尤其是ISP在一台机器上提供多个用户站点,而又希望用户可以自己改变配置的情况下,一般会开放部分.htaccess的功能给使用者自行设置。

        注意,.htaccess是一个完整的文件名,不是***.htaccess或其它格式(当然也有管理员把其设置成其它名字,但一般都是使用.htaccess)。另外,上传.htaccess文件时,必须使用ASCⅡ模式,并使用chmod命令改变权限为:644 (RW_R__R__)。每一个放置.htaccess的目录和其子目录都会被.htaccess影响。例如,在/abc/目录下放置了一个. htaccess文件,那么/abc/和/abc/def/内所有的文件都会被它影响,但/index.html不会被它影响,这一点是很重要的。

        实现密码保护

        1.建立.htpasswd文件
        首先在要设置存取控制的目录(如htdocs)下建立一个文件,文件名可以自行设定,一般服务器都会设置为.htpasswd,该文件是不能由HTTP读取的。.htpasswd文件中的每一行代表一个使用者,使用者的名字及经过加密的密码以冒号:分隔。

        2..htaccess文件实现保护
        .htaccess文件的内容如下: authtype basic
    authuserfile /usr/home/***/htdocs/.abcname1
    authgroupfile /usr/home/***/htdocs/.abcname2
    authname information
    < limit get post>
    require valid-user
    < /limit>



        其中第二行和第三行中的***可以改为个人的FTP登录名。.abcname1和.abcname2可以是任意的文件名,如.htpasswd、.htpass,但不能是.htaccess。将.htaccess上传到要进行密码保护的目录(如htdocs)中。

        .htaccess文件最后的“require”告诉服务器哪些用户可以进入。require valid-user是指只要是.htpasswd中的任何一个都可以进入。也可以指定名单上的某人或某几人可以通过,使用require user username或require user username1 username2 username3。还可以指定某组人可以通过,使用require group groupname。

        3.增加新的许可用户
        进入htdocs目录,在命令行状态输入以下命令生成.abcname1文件。 echo > .abcname1
    /var/www/bin/htpasswd .abcname1 abc



        abc表示要增加的用户名。输入此命令后,系统会提示输入此用户密码,这样该用户名就生效了。以后如要再增加用户,运行第二行的命令时换一个用户名即可。如果这个用户名存在,则会提示修改密码。

        4.建立允许访问的组
        组的设置方法是建立一个名为.htgroup的文本文件,内容如下: groupname1: username1 username2 username3
    groupname2: username1 username3 username4



        并在.htaccess中加上“AuthGroupFile /absolute/path/.htgroup”。以ASCⅡ模式上传所有文件后,该目录中的所有文件都会被保护起来。

        设置错误文件

        如果希望在找不到文件时不出现“找不到网页”的页面提示,而是打开另一个HTML文件,方法也很简单。首先编写一个新的页面,然后用文本编辑器打开.htaccess,在文件最后加上:ErrorDocument 404 404.html。这里,404.html是错误文件的名字,即所显示的页面;404是错误代码。一般常见的错误代码和所代表的错误原因如下: 401 Authorization failed 授权失败,即密码错误。
    403 Access denied 存取错误,即不可以读取该文件。
    404 File not found 找不到文件。
    500 Internal Server Error
    服务器内部错误,可能是Web服务器本身存在问题,也可能是编写的程序出错。



        禁止读取文件

        如果将某些内容如密码,存放在一个文件中,那么别人只需知道该文件的对应位置,就可以一目了然,这样太不安全。其实完全可以不改变其它设置,也不用将文件移到其它地方就可解决这个问题,只需在.htaccess文件中加入以下几行: <Files filename.ext>
    order allow,deny
    deny from all
    < /Files>



        如果系统安装的是Apache 1.3以后的版本,更可以支持regular expression的filesmatch。 <filesmatch "\.tmp">
    order allow,deny
    deny from all
    < /filesmatch>



        files和filesmatch表示只对符合要求的部分文件生效。“order deny,allow”表示先找出禁止(deny)的,然后去找许可的(allow)。如果将它们的顺序颠倒“order allow,deny”则表示先找出许可的,后才去找禁止的。“deny from all”则表示全部IP地址都不许可。相对地,“allow from all”表示全部都允许。可以这样设置: order allow,deny
    allow from all
    deny from 111.222



        deny from 111.222是指禁止所有以111.222开始的IP地址(如111.222.0.1)。除了设置IP地址外,也可以设置成hostname(如: ***.com)。“Files”和“Filesmatch”的用途很多,不但可以设置deny,也可以设置个别文件的密码,如: <files 123>
    require user 123
    < /files>
    < files abc>
    require user abc
    < /files>



        使用.htaccess文件也会存在一些问题,比如性能。如果使用.htaccess文件,则Apache需要在每个目录中查找该文件,还必须在所有更高级的目录中查找它,另外,每次请求一个页面时,也都需要读取.htaccess文件。因此,允许使用.htaccess文件都会导致性能的下降。

        例如,对/usr/hq/htdocs中页面的请求,Apache必须查找以下文件: /.htaccess
    /usr/.htaccess
    /usr/hq/.htaccess
    /usr/hq/htdocs/.htaccess



        总的来说,通过.htaccess来保护网站更为方便和安全。因为它不像利用程序实现密码保护时,有可能通过猜测的方法获取密码。利用.htaccess文件实现密码保护,一般是很难破解的。鉴于.htaccess方式的优缺点,读者可以根据具体的情况选择适合的方法来保证网站的安全。

    转载于:https://www.cnblogs.com/red-fox-qhq/p/3995893.html

    展开全文
  • Linux防火墙Iptable如何设置只允许某个ip访问80端口,只允许特定ip访问某端口?参考下面命令,只允许46.166.150.22访问本机的80端口。如果要设置其他ip或端口,改改即可。 iptables -I INPUT -p TCP --dport 80 -j ...

    Linux防火墙Iptable如何设置只允许某个ip访问80端口,只允许特定ip访问某端口?参考下面命令,只允许46.166.150.22访问本机的80端口。如果要设置其他ip或端口,改改即可。

    iptables -I INPUT -p TCP --dport 80 -j DROP
    iptables -I INPUT -s 46.166.150.22 -p TCP --dport 80 -j ACCEPT

    在root用户下执行上面2行命令后,重启iptables, service iptables restart

    查看iptables是否生效:

    [root@www.ctohome.com]# iptables -L
    Chain INPUT (policy ACCEPT)
    target           prot opt source               destination        
    ACCEPT     tcp  --  46.166.150.22    anywhere            tcp dpt:http
    DROP         tcp  --  anywhere             anywhere            tcp dpt:http


    Chain FORWARD (policy ACCEPT)
    target     prot opt source               destination        

    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination        

     上面命令是针对整个服务器(全部ip)禁止80端口,如果只是需要禁止服务器上某个ip地址的80端口,怎么办?

    下面的命令是只允许来自174.140.3.190的ip访问服务器上216.99.1.216的80端口

    iptables -A FORWARD -s 174.140.3.190 -d 216.99.1.216 -p tcp -m tcp --dport 80 -j ACCEPT
    iptables -A FORWARD -d 216.99.1.216 -p tcp -m tcp --dport 80 -j DROP

    如果您不熟悉linux的ssh命令,那么可以在webmin/virtualmin面板中设置,达到相同效果。参考:webmin面板怎样设置允许特定ip访问80端口,禁止80端口

    更多iptables参考命令如下:

    1.先备份iptables

    # cp /etc/sysconfig/iptables /var/tmp

    需要开80端口,指定IP和局域网

    下面三行的意思:

    先关闭所有的80端口

    开启ip段192.168.1.0/24端的80口

    开启ip段211.123.16.123/24端ip段的80口

    # iptables -I INPUT -p tcp --dport 80 -j DROP
    # iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
    # iptables -I INPUT -s 211.123.16.123/24 -p tcp --dport 80 -j ACCEPT

    以上是临时设置。

    2.然后保存iptables

    # service iptables save

    3.重启防火墙

    #service iptables restart

    ===============以下是转载================================================

    以下是端口,先全部封再开某些的IP

    iptables -I INPUT -p tcp --dport 9889 -j DROP
    iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 9889 -j ACCEPT
    如果用了NAT转发记得配合以下才能生效

    iptables -I FORWARD -p tcp --dport 80 -j DROP
    iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT

     

     

    常用的IPTABLES规则如下:
    只能收发邮件,别的都关闭
    iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -j DROP
    iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p udp --dport 53 -j ACCEPT
    iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 25 -j ACCEPT
    iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 110 -j ACCEPT


    IPSEC NAT 策略
    iptables -I PFWanPriv -d 192.168.100.2 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp --dport 80 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:80

    iptables -t nat -A PREROUTING -p tcp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723

    iptables -t nat -A PREROUTING -p udp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723

    iptables -t nat -A PREROUTING -p udp --dport 500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:500

    iptables -t nat -A PREROUTING -p udp --dport 4500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:4500


    FTP服务器的NAT
    iptables -I PFWanPriv -p tcp --dport 21 -d 192.168.1.22 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp --dport 21 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.1.22:21


    只允许访问指定网址
    iptables -A Filter -p udp --dport 53 -j ACCEPT
    iptables -A Filter -p tcp --dport 53 -j ACCEPT
    iptables -A Filter -d www.ctohome.com -j ACCEPT
    iptables -A Filter -d www.guowaivps.com -j ACCEPT
    iptables -A Filter -j DROP


    开放一个IP的一些端口,其它都封闭
    iptables -A Filter -p tcp --dport 80 -s 192.168.1.22 -d www.pconline.com.cn -j ACCEPT
    iptables -A Filter -p tcp --dport 25 -s 192.168.1.22 -j ACCEPT
    iptables -A Filter -p tcp --dport 109 -s 192.168.1.22 -j ACCEPT
    iptables -A Filter -p tcp --dport 110 -s 192.168.1.22 -j ACCEPT
    iptables -A Filter -p tcp --dport 53 -j ACCEPT
    iptables -A Filter -p udp --dport 53 -j ACCEPT
    iptables -A Filter -j DROP


    多个端口
    iptables -A Filter -p tcp -m multiport --destination-port 22,53,80,110 -s 192.168.20.3 -j REJECT


    连续端口
    iptables -A Filter -p tcp -m multiport --source-port 22,53,80,110 -s 192.168.20.3 -j REJECT iptables -A Filter -p tcp --source-port 2:80 -s 192.168.20.3 -j REJECT


    指定时间上网
    iptables -A Filter -s 10.10.10.253 -m time --timestart 6:00 --timestop 11:00 --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j DROP
    iptables -A Filter -m time --timestart 12:00 --timestop 13:00 --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT
    iptables -A Filter -m time --timestart 17:30 --timestop 8:30 --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT

    禁止多个端口服务
    iptables -A Filter -m multiport -p tcp --dport 21,23,80 -j ACCEPT


    将WAN 口NAT到PC
    iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --to-destination 192.168.0.1


    将WAN口8000端口NAT到192。168。100。200的80端口
    iptables -t nat -A PREROUTING -p tcp --dport 8000 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.1.22:80


    MAIL服务器要转的端口
    iptables -t nat -A PREROUTING -p tcp --dport 110 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.1.22:110
    iptables -t nat -A PREROUTING -p tcp --dport 25 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.1.22:25


    只允许PING 202。96。134。133,别的服务都禁止
    iptables -A Filter -p icmp -s 192.168.1.22 -d 202.96.134.133 -j ACCEPT
    iptables -A Filter -j DROP

    禁用BT配置
    iptables –A Filter –p tcp –dport 6000:20000 –j DROP

    禁用QQ防火墙配置
    iptables -A Filter -p udp --dport ! 53 -j DROP
    iptables -A Filter -d 218.17.209.0/24 -j DROP
    iptables -A Filter -d 218.18.95.0/24 -j DROP
    iptables -A Filter -d 219.133.40.177 -j DROP

    基于MAC,只能收发邮件,其它都拒绝
    iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -j DROP
    iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 25 -j ACCEPT
    iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 110 -j ACCEPT

    禁用MSN配置
    iptables -A Filter -p udp --dport 9 -j DROP
    iptables -A Filter -p tcp --dport 1863 -j DROP
    iptables -A Filter -p tcp --dport 80 -d 207.68.178.238 -j DROP
    iptables -A Filter -p tcp --dport 80 -d 207.46.110.0/24 -j DROP

    只允许PING 202。96。134。133 其它公网IP都不许PING
    iptables -A Filter -p icmp -s 192.168.1.22 -d 202.96.134.133 -j ACCEPT
    iptables -A Filter -p icmp -j DROP

    禁止某个MAC地址访问internet:
    iptables -I Filter -m mac --mac-source 00:20:18:8F:72:F8 -j DROP

    禁止某个IP地址的PING:
    iptables –A Filter –p icmp –s 192.168.0.1 –j DROP

    禁止某个IP地址服务:
    iptables –A Filter -p tcp -s 192.168.0.1 --dport 80 -j DROP
    iptables –A Filter -p udp -s 192.168.0.1 --dport 53 -j DROP

    只允许某些服务,其他都拒绝(2条规则)
    iptables -A Filter -p tcp -s 192.168.0.1 --dport 1000 -j ACCEPT
    iptables -A Filter -j DROP

    禁止某个IP地址的某个端口服务
    iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j ACCEPT
    iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j DROP

    禁止某个MAC地址的某个端口服务

    iptables -I Filter -p tcp -m mac --mac-source 00:20:18:8F:72:F8 --dport 80 -j DROP

    禁止某个MAC地址访问internet:
    iptables -I Filter -m mac --mac-source 00:11:22:33:44:55 -j DROP

    禁止某个IP地址的PING:
    iptables –A Filter –p icmp –s 192.168.0.1 –j DROP

    展开全文
  • 只允许下面三个IP访问3306端口。 1.编辑iptables vi /etc/sysconfig/iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -s xxx.xxx.166.194 -j ACCEPT -A ...
  • 来源:http://www.weiruoyu.cn/?p=296 方法一:只允许下面三个IP访问3306端口。1.编辑iptablesvi /etc/sysconfig/iptables 下面添加如下三行,一定要在倒数第二行以上,否则不生效-A RH-Firewall-1-INPUT -m state -...
  • 原文:http://www.weiruoyu.cn/?p=474方法一:1.vi /etc/sysconfig/iptables里:RH-Firewall-1-INPUT - [0:0]下面添加一行下面是只允许某个IP访问xx端口-A INPUT -s 192.168.5.244 -j DROP 2.重启生效#service ...
  • centos7用的是firewall 添加单个黑名单需要把ip添加到/etc/hosts.deny 格式sshd:$IP:deny vim/etc/hosts.deny添加你要禁止的ip就可以了 sshd:192.168.1.147:deny 这是允许的 /etc/hosts.allow sshd:19.16....
  • 方法一: 1.vi /etc/sysconfig/iptables里:RH-Firewall-1-INPUT – [0:0]下面添加一行 下面是只允许某个IP访问xx端口 -A INPUT -s 192.168.5.244 -j DROP
  • 我们再接着上次视频, 怎样设置只允许某个ip访问,这种情况多数使用在 管理Linux系统中 例如 使用22端口 链接到服务器进行管理。我们一般只给某个ip进行访问 下面我就 简单演示一下 , 呵呵,一设置拒绝所有 访问 ...
  • 转载来源 : Centos添加ip黑名单禁止某个ip访问,对登陆失败的主机进行封禁 :http://www.safebase.cn/article-259725-1.html 在Linux中如何禁止IP访问服务器,或者允许网络访问服务器安全设置中非常重要的内容,...
  • 如果我们要限制服务器只能某个IP访问(这种情况可能出现在内部服务器之间通讯的情况),Apache 服务器上我们要怎么做呢?解决方案查到到Apache 的 http.conf 文件,设置一下下面的规则Order Deny,Allow #设置规则...
  • etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置的,通过他可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。 比如SSH服务,我们通常对管理员开放,那我们就可以禁用不必要的IP,而开放...
  • Linux防火墙Iptable

    2020-07-15 14:07:49
    Linux防火墙Iptable如何设置只允许某个ip访问80端口,只允许特定ip访问某端口 参考下面命令,只允许46.166.150.22访问本机的80端口。如果要设置其他ip或端口,改改即可。 iptables -I INPUT -p TCP --dport 80 -j ...
  • /etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置的,通过他可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。比如SSH服务,我们通常对管理员开放,那我们就可以禁用不必要的IP,而开放...
  • /etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置的,通过他可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。  比如SSH服务,我们通常对管理员开放,那我们就可以禁用不必要的IP,而...
  • 鉴于此,需要将tomcat的访问地址进行限制,只允许通过IP地址或者自己指定的域名来访问。 配置tomcat/conf/server.xml 文件,找到下面部分:此处defaulthost="localhost" 改为"forbidden" ,表示默认所...
  • ftp文件共享服务实战14.0 实验环境14.1 搭建只允许匿名用户访问文件共享服务器14.2 让本地用户登陆时访问指定目录,并不能跳出此目录14.3 让匿名对某目录(/var/ftp/upload)有权限上传文件14.4 让某普通用户对某个...

空空如也

空空如也

1 2 3 4
收藏数 63
精华内容 25
关键字:

linux只允许某个ip访问

linux 订阅