iptables设置黑白名单 |
您所在的位置:网站首页 › iptables防封端口游戏白名单 › iptables设置黑白名单 |
首先要明白两个概念:黑名单和白名单。 黑名单:把所有人当做好人,只拒绝坏人。 白名单:把所有人当做坏人,只放行好人。 看起来似乎白名单安全一点,黑名单接受的范围大一点。 对于iptables来说本来存在默认规则,通常默认规则设置为ACCEPT或者DROP。 如果默认规则是ACCEPT,那就是把所有人当做好人了,如此可以建立黑名单机制了。 如果默认规则是DROP,即是把所有人当做坏人,可以建立白名单机制。 使用C7 x86_64为实验环境 CentOS7默认的防火墙不是iptables,而是firewalle. 如果你没有安装iptables的话,你可以使用以下命令进行安装 systemctl stop firewalld systemctl disable firewalld systemctl mask firewalld上面的意思是先屏蔽掉原有的firewall防火墙,下面我们就开始安装iptables,至于为什么要安装IPtables我就不讲了 yum install iptables iptables-services -y设置规则 #查看iptables现有规则 iptables -L -n#先允许所有,不然有可能会杯具 iptables -P INPUT ACCEPT#清空所有默认规则 iptables -F#清空所有自定义规则 iptables -X#所有计数器归0 iptables -Z#允许来自于lo接口的数据包(本地访问) iptables -A INPUT -i lo -j ACCEPT#开放22端口 iptables -A INPUT -p tcp --dport 22 -j ACCEPT#开放21端口(FTP) iptables -A INPUT -p tcp --dport 21 -j ACCEPT#开放80端口(HTTP) iptables -A INPUT -p tcp --dport 80 -j ACCEPT#开放443端口(HTTPS) iptables -A INPUT -p tcp --dport 443 -j ACCEPT#允许ping iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT#允许接受本机请求之后的返回数据 RELATED,是为FTP设置的 iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT#其他入站一律丢弃 iptables -P INPUT DROP#所有出站一律绿灯 iptables -P OUTPUT ACCEPT#所有转发一律丢弃 iptables -P FORWARD DROP其他规则设定 #如果要添加内网ip信任(接受其所有TCP请求) iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT#过滤所有非以上规则的请求 iptables -P INPUT DROP#要封停一个IP,使用下面这条命令: iptables -I INPUT -s ... -j DROP#要解封一个IP,使用下面这条命令: iptables -D INPUT -s ... -j DROP#保存上述规则 service iptables save开启iptables服务 #注册iptables服务 #相当于以前的chkconfig iptables on systemctl enable iptables.service#开启服务 systemctl start iptables.service#查看状态 systemctl status iptables.service也可以直接编写iptables配置文件来设置白名单 #vim /etc/sysconfig/iptables # sample configuration for iptables service # you can edit this manually or use system-config-firewall # please do not ask us to add additional ports/services to this default configuration *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] #定义白名单群组 -N whitelist #设置白名单IP,开放ip可以访问设备,白名单就按类似规则增加就可以 -A whitelist -s 192.168.1.100 -j ACCEPT -A whitelist -s 100.20.30.40 -j ACCEPT -A whitelist -s 1.2.3.4 -j ACCEPT -A whitelist -s 25.36.47.58 -j ACCEPT #开放所有设备主动访问的服务器,处在RELATED,ESTABLISHED状态可以通信,这样设备需要主动访问的服务器就不用一个一个添加到白名单了 -A INPUT -m state --state RELATED,ESTABLISHED -j whitelist -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT #白名单端口 -A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j whitelist -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j whitelist -A INPUT -m state --state NEW -m tcp -p tcp --dport 9000 -j whitelist #也可以这样写 #-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306,80,9000 -j whitelist #拒绝白名单以外IP访问指定端口 -A INPUT -p tcp -m multiport --dports 3306,80,9000 -j DROP COMMIT配置文件编辑完成后重启iptables使配置生效 systemctl resatrt iptables.service |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |