Linux 中使用 firewalld 或 iptables 设置黑名单,禁止指定 IP 连接特定端口

最新推荐文章于 2025-03-06 15:23:01 发布
最新推荐文章于 2025-03-06 15:23:01 发布
阅读量1.7k 收藏 11
点赞数 10
分类专栏: Linux 文章标签: linux tcp/ip 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a772304419/article/details/144499814
版权

在 Linux 系统中,可以使用 firewalld 或者 iptables 来设置防火墙规则,以阻止特定 IP 地址连接到 MySQL 的默认端口 3306。下面是针对这两种工具的设置方法。

使用 firewalld 设置黑名单

firewalld 是一个动态管理防火墙的工具,它支持网络/防火墙区域(zones)的概念,可以为不同的连接和接口定义规则。

1. 安装并启动 firewalld

确保 firewalld 已安装并且正在运行:

sudo systemctl start firewalld
sudo systemctl enable firewalld
2. 添加拒绝规则

要拒绝来自某个特定 IP 地址(例如:192.168.1.100)对 3306 端口的访问,你可以添加一条直接规则:

sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -s 192.168.1.100 -p tcp --dport 3306 -j REJECT

这里:

  • --direct 表示我们直接操作内核规则。
  • --add-rule 后面跟着的是规则的具体参数。
  • ipv4 filter INPUT 指定这是 IPv4 的输入链规则。
  • 0 是规则优先级,数字越小优先级越高。
  • -s 192.168.1.100 是源地址。
  • -p tcp --dport 3306 指定协议和目标端口号。
  • -j REJECT 表示拒绝连接。
3. 使规则永久生效

为了让这条规则在系统重启后仍然有效,需要将其标记为永久:

sudo firewall-cmd --runtime-to-permanent

或者直接添加永久规则:

sudo firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -s 192.168.1.100 -p tcp --dport 3306 -j REJECT
sudo firewall-cmd --reload

使用 iptables 设置黑名单

如果你更倾向于使用 iptables,可以通过以下命令来实现相同的效果:

1. 检查 iptables 状态

首先确认 iptables 是否已经启用:

sudo iptables -L -n
2. 添加拒绝规则

要拒绝来自 192.168.1.100 对 3306 端口的访问,可以添加如下规则:

sudo iptables -A INPUT -s 192.168.1.100 -p tcp --dport 3306 -j REJECT
3. 保存规则

为了让这些规则在系统重启后仍然有效,你需要保存它们。根据你的发行版不同,保存方式可能有所差异:

对于基于 Red Hat 的系统(如 CentOS, RHEL):

sudo service iptables save

对于 Debian 和 Ubuntu 系统:

sudo sh -c "iptables-save > /etc/iptables/rules.v4"

注意事项

  • 测试:在应用新的防火墙规则之前,最好先在一个非生产环境中进行测试,确保规则按预期工作。
  • 日志记录:考虑添加日志记录规则以便于故障排除。例如,在 REJECT 规则之前插入一条日志记录规则。
  • 备份现有规则:在修改防火墙规则前,建议备份当前配置,以防出现问题时能够快速恢复。
Linux操作系统:Firewalld
m0_51456787的博客
08-09 2061
1 、常用的两张表 : filter、nat , filter用于过滤数据包,nat用于路由转发功能 2 、常用的两条链 : INPUT、OUTPUT 3 、常见的三个行为 : ACCEPT、DROP、REJECT 4 、限制流量的三个特征 : 端口、协议、IP,对应的五元组 : - d - s -- dport -- sport - p 5 、端口转发 : 本机端口、远程端口。......
CentOS下载iptables-services代替firewalld使用,更改虚拟机的网关(从NAT模式变为仅主机模式), 使用iptables配置防火墙(白名单和黑名单
hjxloveqsx的博客
10-12 2001
注意:在这里我使用MobaXterm(一个ssh客户端)对虚拟机进行远程操作。下载网址:MobaXterm free Xserver and tabbed SSH client for Windows 1、
Linux 禁止某个IP地址访问的几种方法
Jay112011的博客
03-23 1万+
Linux 禁止某个IP地址访问的几种方法 一、概述 这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下: #服务进程名:主机列表:当规则匹配时可选的命令操作 server_name:hosts-list[:command] /etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。 /etc/hosts.allow和/e
centos 设置防火墙 iptables 如何 禁止某个IP访问 登陆
sunsineq的专栏
04-19 2916
防火墙常用命令: service iptables status可以查看到iptables服务的当前状态。 但是即使服务运行了,防火墙也不一定起作用,你还得看防火墙规则的设置 iptables -L 在此说一下关于启动和关闭防火墙的命令: 1) 重启后生效 开启: chkconfig iptables on 关闭: chkconfig ...
firewalld富规则配置黑名单
最新发布
weixin_53389944的博客
03-06 518
的富规则,可以灵活地屏蔽指定 IP 地址 IP 地址段。如果需要撤销规则,可以使用。参数确保规则持久化,并通过。
麒麟系统firewalld限制指定ip访问指定端口
weixin_59489713的博客
05-27 1307
accecpt 接受 reject 拒绝。然后第三个限制会把第四个第五个拦住。so 这个是错误案例。
centos防火墙firewall-cmd限定特定ip访问
gsl371的专栏
03-15 4935
firewall-cmd是centos防火墙的命令行管理客户端,提供了接口来管理运行时和持久的防火墙配置。 在firewalld中,运行时配置与永久配置是分开的。这意味着您可以在运行时配置永久配置中进行更改。
centos7使用firewall实现限制某个网段只开放单个ip地址访问本地6379端口
oSuiBian12345678的博客
03-28 1652
【代码】centos7使用firewall实现限制某个网段只开放单个ip地址访问本地6379端口
linux7防火墙拒绝ip访问,FirewallD防火墙常用经验——开放端口——拒绝某个IP访问...
weixin_42510604的博客
05-10 2645
firewall-cmd --zone=public --add-interface=eth0--permanent添加网卡eth0到public区域,永久生效firewall-cmd --zone=public --remove-interface=eth0--permanent 删除网卡eth0到public区域,永久生效firewall-cmd --get-active-zone查看系统所...
linux 禁止指定ip访问
hw1287789687的专栏
01-14 5402
linux中如何禁止指定ip访问呢? 比如被别人暴力破解,被别人使用不同的密码尝试登录: 所以我想直接禁用这些ip的访问.怎么办呢? 解决方案:修改配置文件/etc/hosts.deny 把要禁止ssh访问的ip都放在/etc/hosts.deny 中: 配置文件中有ip 117.136.38.47. 那么当这个ip尝试ssh登录时,就会: 直接就拒绝登录了,都不会校验用户名和密码.
linux 防火墙 阻止ip_linux iptables防火墙如何禁止指定IP访问
weixin_36077932的博客
02-17 4256
一般来说网站都是流量越多就越开心,不过也不是所有流量都这么受欢迎的。比如说攻击你的流量,再比如说采集器的流量,这些流量对你的网站没半点好处,除了拖累你的服务器,还白白占用你大量的带宽,更是影响正常访客的访问,这时候,我们就要对这些流量进行限制了。linux iptables防火墙如何禁止指定IP访问方法:过滤一些IP访问本服务器要封停一个IP使用下面这条命令:代码如下:iptables -I I...
Linuxiptables 禁止端口和开放端口
热门推荐
海涛的博客
12-23 22万+
iptables 禁止端口和开放端口(转载) 1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。 下面是命令实现: iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP 再用命令 iptables -L -n 查看 是否设置好, 好看到全部 DROP 了 这样的设置好了,只是临...
iptables屏蔽ip某个端口访问
喝醉酒的小白
07-15 6470
iptables屏蔽ip某个端口访问。
linuxfirewalld规则优先级,理解多区域配置中的 firewalld
weixin_34887221的博客
05-16 3230
现在的新闻里充斥着服务器被攻击和数据失窃事件。对于一个阅读过安全公告博客的人来说,通过访问错误配置的服务器,利用最新暴露的安全漏洞通过窃取的密码来获得系统控制权,并不是件多困难的事情。在一个典型的 Linux 服务器上的任何互联网服务都可能存在漏洞,允许未经授权的系统访问。因为在应用程序层面上强化系统以防范任何可能的威胁是不可能做到的事情,而防火墙可以通过限制对系统的访问提供了安全保证。防火墙基...
Linux防火墙-Netfilter和iptables
flytalei的博客
07-11 750
防火墙(FireWall ) :隔离功能,工作在网络主机边缘,对进出网络主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略,会将希望外网访问的主机放在DMZ(demilitarized zone)网络中.
Linux网络】防火墙工具iptables
云计算稿手的博客
05-23 1053
防火墙工具iptables
firewall-cmd限制和放行某个IP访问本机端口
qyq88888的专栏
04-29 2189
linux 系统 禁止192.168.5.101 访问本机的18080端口和1521端口linux 系统 只允许192.168.5.101 访问本机的3306端口
Linux-禁止某些IP访问
JustDI0209的博客
03-30 7572
1.现状 已经移交出的项目,其包含的应用服务还在连接我们这边的kafka,并且在短短1分钟的时间内,就发送了约100M大小的数据过来。 该kafka部署在测试环境,服务器磁盘空间就没有多少,这就导致我们这边频繁的服务器崩溃。 不得已,只能禁用对方服务器IP。 2.方法 执行以下命令需要 root 用户者具有 sudo 权限的用户 查看防火墙状态 sudo service iptables status 启动防火墙 sudo service iptables start 发现报错 ipt
centos中如何使用firewalld设置防火墙只让多个特定ip通过
12-17
在CentOS中,你可以使用firewalld设置防火墙以允许特定IP通过。以下是步骤: 1. 首先,确保已安装firewalld服务,如果尚未安装,可以使用命令: ``` sudo yum install firewalld ``` 2. 启动并设置firewalld为自动启动: ``` sudo systemctl start firewalld sudo systemctl enable firewalld ``` 3. 进入firewalld的配置模式,通常使用`sudo firewall-cmd --permanent`。然后添加规则,允许特定IP访问。例如,如果你想要允许IP地址192.168.1.100和192.168.1.101,可以执行: ```bash sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100,192.168.1.101" accept' ``` 重复此命令,将每个IP替换为相应的值。 4. 刷新firewalld使其应用新的规则: ``` sudo firewall-cmd --reload ``` 5. 确认规则已被应用,可以查看当前的防火墙规则: ``` sudo firewall-cmd --list-all ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

学亮编程手记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值