2. 程式人生 > >Linux防火牆:iptables禁IP與解封IP常用命令

Linux防火牆:iptables禁IP與解封IP常用命令

阿新 發佈:2019-01-18

要封停一個IP,使用下面這條命令:

iptables -I INPUT -s ***.***.***.*** -j DROP

要解封一個IP,使用下面這條命令:

  1. iptables-D INPUT -***.***.***.***-j DROP

引數-I是表示Insert(新增),-D表示Delete(刪除)。後面跟的是規則,INPUT表示入站,***.***.***.***表示要封停的IP,DROP表示放棄連線。

此外,還可以使用下面的命令來檢視當前的IP規則表:

比如現在要將123.44.55.66這個IP封殺,就輸入:

  1. iptables -I INPUT -123.44.55.66-j DROP

要解封則將-I換成-D即可,前提是iptables已經有這條記錄。如果要想清空封掉的IP地址,可以輸入:

  1. iptables -flush

要新增IP段到封停列表中,使用下面的命令:

  1. iptables -I INPUT -121.0.0.0/8-j DROP

其實也就是將單個IP封停的IP部分換成了Linux的IP段表示式。關於IP段表示式網上有很多詳細解說的,這裡就不提了。

相信有了iptables的幫助,解決小的DDoS之類的攻擊也不在話下!

附:其他常用的命令

編輯 iptables 檔案

  1. vi /etc/sysconfig/iptables

關閉/開啟/重啟防火牆

  1. /etc/init.d/iptables stop
  2. #start 開啟
  3. #restart 重啟

驗證一下是否規則都已經生效:

  1. iptables -L

儲存並重啟iptables

  1. /etc/rc.d/init.d/iptables save
  2. service iptables restart

linux下實用iptables封ip段的一些常見命令:

封單個IP的命令是:

  1. iptables -I INPUT -211.1.0.0-j DROP

封IP段的命令是:

  1. iptables -I INPUT -211.1.0.0/16-j DROP
  2. iptables -I INPUT -211.2.0.0/16-j DROP
  3. iptables -I INPUT -211.3.0.0/16-j DROP

封整個段的命令是:

  1. iptables -I INPUT -211.0.0.0/8-j DROP

封幾個段的命令是:

  1. iptables -I INPUT -61.37.80.0/24-j DROP
  2. iptables -I INPUT -61.37.81.0/24-j DROP

想在伺服器啟動自執行的話有三個方法:

1、把它加到/etc/rc.local中

2、iptables-save >;/etc/sysconfig/iptables可以把你當前的iptables規則放到/etc/sysconfig/iptables中,系統啟動iptables時自動執行。

3、service iptables save 也可以把你當前的iptables規則放/etc/sysconfig/iptables中,系統啟動iptables時自動執行。

後兩種更好此,一般iptables服務會在network服務之前啟來,更安全。

解封的話:iptables -D INPUT -s IP地址 -j REJECTiptables -F 全清掉了

Linux防火牆Iptable如何設定只允許某個ip訪問80埠,只允許特定ip訪問某埠?參考下面命令,只允許46.166.150.22訪問本機的80埠。如果要設定其他ip或埠,改改即可。

  1. iptables -I INPUT -p TCP dport 80-j DROP
  2. iptables -I INPUT -46.166.150.22-p TCP dport 80-j ACCEPT

在root使用者下執行上面2行命令後,重啟iptables, service iptables restart

檢視iptables是否生效:

  1. [[email protected].xxx.com]# iptables -L
  2. Chain INPUT (policy ACCEPT)
  3. target           prot opt source               destination
  4. ACCEPT     tcp  46.166.150.22    anywhere            tcp dpt:http
  5. DROP         tcp    anywhere             anywhere            tcp dpt:http
  6. Chain FORWARD (policy ACCEPT)
  7. target     prot opt source               destination
  8. Chain OUTPUT (policy ACCEPT)
  9. target     prot opt source               destination

上面命令是針對整個伺服器(全部ip)禁止80埠,如果只是需要禁止伺服器上某個ip地址的80埠,怎麼辦?

下面的命令是隻允許來自174.140.3.190的ip訪問伺服器上216.99.1.216的80埠

  1. iptables -A FORWARD -174.140.3.190-216.99.1.216-p tcp -m tcp dport 80-j ACCEPT
  2. iptables -A FORWARD -216.99.1.216-p tcp -m tcp dport 80-j DROP

更多iptables參考命令如下:

1.先備份iptables

  1. # cp /etc/sysconfig/iptables /var/tmp

需要開80埠,指定IP和區域網

下面三行的意思:

先關閉所有的80埠

開啟ip段192.168.1.0/24端的80口

開啟ip段211.123.16.123/24端ip段的80口

  1. # iptables -I INPUT -p tcp –dport 80 -j DROP
  2. # iptables -I INPUT -s 192.168.1.0/24 -p tcp –dport 80 -j ACCEPT
  3. # iptables -I INPUT -s 211.123.16.123/24 -p tcp –dport 80 -j ACCEPT

以上是臨時設定。

2.然後儲存iptables

  1. # service iptables save

3.重啟防火牆

  1. #service iptables restart

===============以下是轉載================================================

以下是埠,先全部封再開某些的IP

  1. iptables -I INPUT -p tcp dport 9889-j DROP
  2. iptables -I INPUT -192.168.1.0/24-p tcp dport 9889-j ACCEPT

如果用了NAT轉發記得配合以下才能生效

  1. iptables -I FORWARD -p tcp dport 80-j DROP
  2. iptables -I FORWARD -192.168.1.0/24-p tcp dport 80-j ACCEPT

常用的IPTABLES規則如下:
只能收發郵件,別的都關閉

  1. iptables -Filter-m mac mac-source 00:0F:EA:25:51:37-j DROP
  2. iptables -Filter-m mac mac-source 00:0F:EA:25:51:37-p udp dport 53-j ACCEPT
  3. iptables -Filter-m mac mac-source 00:0F:EA:25:51:37-p tcp dport 25-j ACCEPT
  4. iptables -Filter-m mac mac-source 00:0F:EA:25:51:37-p tcp dport 110-j ACCEPT

IPSEC NAT 策略

  1. iptables -PFWanPriv-192.168.100.2-j ACCEPT
  2. iptables -t nat -A PREROUTING -p tcp dport 80-d $INTERNET_ADDR -j DNAT to-destination 192.168.100.2:80
  3. iptables -t nat -A PREROUTING -p tcp dport 1723-d $INTERNET_ADDR -j DNAT to-destination 192.168.100.2:1723
  4. iptables -t nat -A PREROUTING -p udp dport 1723-d $INTERNET_ADDR -j DNAT to-destination 192.168.100.2:1723
  5. iptables -t nat -A PREROUTING -p udp dport 500-d $INTERNET_ADDR -j DNAT to-destination 192.168.100.2:500
  6. iptables -t nat -A PREROUTING -p udp dport 4500-d $INTERNET_ADDR -j DNAT to-destination 192.168.100.2:4500

FTP伺服器的NAT

  1. iptables -PFWanPriv-p tcp dport 21-192.168.1.22-j ACCEPT

  2. 相關推薦

    Linux防火牆iptablesIPIP常用命令

    要封停一個IP,使用下面這條命令:iptables -I INPUT -s ***.***.***.*** -j DROP要解封一個IP,使用下面這條命令:iptables-D INPUT -s ***.***.***.***-j DROP引數-I是表示Insert(新增),-D表示Delete(刪除)。後面

    Linux防火墻iptablesIPIP常用命令

    for ip訪問 如果 攻擊 AD table cto dos mac地址 在Linux下,使用ipteables來維護IP規則表。要封停或者是解封IP,其實就是在IP規則表中對入站部分的規則進行添加操作。 要封停一個IP,使用下面這條命令: iptables -I INP

    Linux 防火牆關於 iptables 和 firewalld 的那些事

    以下是如何使用 iptables 和 firewalld 工具來管理 Linux 防火牆規則。 這篇文章摘自我的書《Linux in Action》,尚未釋出的第二個曼寧出版項目。 防火牆 防火牆是一組規則。當資料包進出受保護的網路區域時,進出內容(特別是關於其來

    LInux 學習Idea 的安裝配置

    第一步:解壓檔案到/usr/local tar zxvf ideaIU-2018.2.4.tar.gz -C /usr/local 第二步:通過命令開啟 /usr/local/idea-IU-18

    DEVOPS 運維開發系列九VLAN網段私網IP資源的自動化運維管理

    要解決的問題 傳統上,對於VLAN和私網IP地址這些資源與配置的使用管理上面我們多是事前規劃、事中實施、事後登記,對於一個持續運營中的系統與網路,各種資源數量的變更,總是讓我們會有很多機會反反覆覆做這些事。但時間長了就會出問題,會有不登記的情況、登記錯的情況,以及登記的資訊過時的情況。然

    相容繫結事件綁事件的相容程式碼

    <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>title</title> </head>

    Linux下載wget、yumapt-get用法及區別

    一般來說著名的linux系統基本上分兩大類: RedHat系列:Redhat、Centos、Fedora等 Debian系列:Debian、Ubuntu等 RedHat 系列  常見的安裝包格式 rpm包,安裝rpm包的命令是“rpm -引數” 包管

    linuxSUID、SGID詳

    備註: SUID:對二進位制檔案有效。 那麼SGID的功能是什麼呢?和SUID一樣,只是SGID是獲得該程式所屬使用者組的許可權。 這相SGID有幾點需要我們注意: 1、SGID對二進位制程式有用; 2、程式執行者對於該程式來說,需具備x的許可權; 3、SGID主要用在目錄上; 理解了SUID,我想SGID

    Linux防火牆iptables)設定

    下面是命令實現:iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT DROP再用命令 iptables -L -n 檢視 是否設定好, 好看到全部 DROP 了這樣的設定好了,我們只是臨時的, 重啟伺服器還是會恢復原來沒有設定的狀態

    專案檔案的壓縮

    檔案壓縮開發平臺:Visual Studio 2015開發技術:堆排序,哈夫曼樹專案描述:1.統計檔案中字元出現的次數,利用資料結構中的堆建造Huffman樹,字元出現次數多的編碼短,出現次數少的編碼長

    Linux--防火牆策略 iptables(續)

    ****************************************************************************************************

    Linux防火牆iptables入門

    一、防火牆的概念   什麼是防火牆?防火牆是一臺或一組裝置,用以在網路間實施訪問控制策略;事實上一個防火牆能夠包含OSI模型中的很多層,並且可能會涉及進行資料包過濾的裝置,它可以實施資料包檢查和過濾,在更高的層次中對某應用程式實現某一策略,或做更多類似的事情。防火牆的功能主要是隔離功能,工作在網路或主機邊緣,

    Linux防火牆iptables常用擴充套件匹配條件(一)

      上一篇博文講了iptables的基本匹配條件和隱式匹配條件,回顧請參考https://www.cnblogs.com/qiuhom-1874/p/12269717.html;今天在來說說iptabels的一些常用的顯示擴充套件匹配條件,所謂顯示擴充套件匹配條件?顯示擴充套件匹配條件就是我們需要用到一些擴充

    Linux防火牆iptables常用擴充套件匹配條件(二)

      上一篇博文我們講到了iptables的一些常用的擴充套件匹配模組以及擴充套件模組的一些選項的說明,回顧請參考https://www.cnblogs.com/qiuhom-1874/p/12273755.html;今天再來說說剩下的幾個比較長用的擴充套件模組。   1、limit,此模組主要是基於收發報文段

    Linux防火牆iptables常用擴充套件處理動作

      前文我們講了iptables的擴充套件匹配,一些常用的擴充套件模組以及它的專有選項的使用和說明,回顧請參考https://www.cnblogs.com/qiuhom-1874/p/12285152.html;今天我們來說說iptables的處理動作;iptables的處理動作分基本處理動作和擴充套件處理

    (轉)如何使VMware ip本機ip處於同一網段

    高級 nat 接下來 scripts post ica 我的電腦 n-n ipaddr 如何使VMware ip與本機ip處於同一網段 原創 2017年05月08日 17:28:56 1287 首先確認本機ip 可以看出一下信息: 本機ip: 192.16

    Linux下的壓縮(zip)壓(unzip)縮命令

    usr 文件夾 desc ont post text -s 解壓縮 mod 1.zip命令zip -r myfile.zip ./*將當前目錄下的所有文件和文件夾全部壓縮成myfile.zip文件,-r表示遞歸壓縮子目錄下所有文件.2.unzip命令unzip -o -

    阿里雲ip——ip白名單設定

    近來學了點HACK技術,心血來潮之下就想實踐一下。但是無端黑別人網站也不好,遂對自己部署在阿里雲上的網站下手了 自作孽不可活,直接被阿里給拉入ip黑名單了。。 解封辦法: 然後往裡面新增自己的ip即可,不要填區域網ip,百度搜索ip即可。 往後黑

    TCP/IP--TCP/IP可靠的原理 滑動視窗 擁塞視窗

    TCP和UDP處在同一層---運輸層,但是TCP和UDP最不同的地方是,TCP提供了一種可靠的資料傳輸服務,TCP是面向連線的,也就是說,利用TCP通訊的兩臺主機首先要經歷一個“撥打電話”的過程,等到通訊準備結束才開始傳輸資料,最後結束通話。所以TCP要比UDP可靠的多,U

    shell命令之檔案壓縮壓(常用

    .tar 解包:tar xvf FileName.tar 打包:tar cvf FileName.tar DirName (注:tar是打包,不是壓縮!) .gz 解壓1:gunzip FileName.gz 解壓2:gzip -d Fil