设为首页收藏本站
开启辅助访问

iptables设置黑白名单

 您所在的位置:网站首页 iptables防封端口游戏白名单 iptables设置黑白名单

iptables设置黑白名单

2023-11-02 17:15| 来源: 网络整理| 查看: 265

首先要明白两个概念:黑名单和白名单。

黑名单:把所有人当做好人,只拒绝坏人。 白名单:把所有人当做坏人,只放行好人。

看起来似乎白名单安全一点,黑名单接受的范围大一点。

对于iptables来说本来存在默认规则,通常默认规则设置为ACCEPT或者DROP。 如果默认规则是ACCEPT,那就是把所有人当做好人了,如此可以建立黑名单机制了。 如果默认规则是DROP,即是把所有人当做坏人,可以建立白名单机制。

使用C7 x86_64为实验环境 CentOS7默认的防火墙不是iptables,而是firewalle. 如果你没有安装iptables的话,你可以使用以下命令进行安装

systemctl stop firewalld systemctl disable firewalld systemctl mask firewalld

上面的意思是先屏蔽掉原有的firewall防火墙,下面我们就开始安装iptables,至于为什么要安装IPtables我就不讲了

yum install iptables iptables-services -y

设置规则 #查看iptables现有规则

iptables -L -n

#先允许所有,不然有可能会杯具

iptables -P INPUT ACCEPT

#清空所有默认规则

iptables -F

#清空所有自定义规则

iptables -X

#所有计数器归0

iptables -Z

#允许来自于lo接口的数据包(本地访问)

iptables -A INPUT -i lo -j ACCEPT

#开放22端口

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#开放21端口(FTP)

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

#开放80端口(HTTP)

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#开放443端口(HTTPS)

iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#允许ping

iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

#允许接受本机请求之后的返回数据 RELATED,是为FTP设置的

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#其他入站一律丢弃

iptables -P INPUT DROP

#所有出站一律绿灯

iptables -P OUTPUT ACCEPT

#所有转发一律丢弃

iptables -P FORWARD DROP

其他规则设定 #如果要添加内网ip信任(接受其所有TCP请求)

iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT

#过滤所有非以上规则的请求

iptables -P INPUT DROP

#要封停一个IP,使用下面这条命令:

iptables -I INPUT -s ... -j DROP

#要解封一个IP,使用下面这条命令:

iptables -D INPUT -s ... -j DROP

#保存上述规则

service iptables save

开启iptables服务 #注册iptables服务 #相当于以前的chkconfig iptables on

systemctl enable iptables.service

#开启服务

systemctl start iptables.service

#查看状态

systemctl status iptables.service

也可以直接编写iptables配置文件来设置白名单 #vim /etc/sysconfig/iptables

# sample configuration for iptables service # you can edit this manually or use system-config-firewall # please do not ask us to add additional ports/services to this default configuration *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] #定义白名单群组 -N whitelist #设置白名单IP,开放ip可以访问设备,白名单就按类似规则增加就可以 -A whitelist -s 192.168.1.100 -j ACCEPT -A whitelist -s 100.20.30.40 -j ACCEPT -A whitelist -s 1.2.3.4 -j ACCEPT -A whitelist -s 25.36.47.58 -j ACCEPT #开放所有设备主动访问的服务器,处在RELATED,ESTABLISHED状态可以通信,这样设备需要主动访问的服务器就不用一个一个添加到白名单了 -A INPUT -m state --state RELATED,ESTABLISHED -j whitelist -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT #白名单端口 -A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j whitelist -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j whitelist -A INPUT -m state --state NEW -m tcp -p tcp --dport 9000 -j whitelist #也可以这样写 #-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306,80,9000 -j whitelist #拒绝白名单以外IP访问指定端口 -A INPUT -p tcp -m multiport --dports 3306,80,9000 -j DROP COMMIT

配置文件编辑完成后重启iptables使配置生效

systemctl resatrt iptables.service


【本文地址】


今日新闻

推荐新闻

CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3