centos防火墙配置端口白名单限制

已于 2022-07-28 21:40:22 修改
阅读量8.7k 收藏 36
点赞数
分类专栏: 运维 文章标签: centos
于 2021-10-09 16:43:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdncjh/article/details/120672915
版权

需求:

由于一些公共组件例如redis,elasticsearch会有漏洞扫出,用户需要安全加固,使用升级组件方式加固,需要大量时间,并且所有客户端都需要更新,代价太大。因此统一针对组件的端口设置ip白名单,减少维护成本。cenos6和centos7的配置方式略有不同,因此分别总结。

查看cenos版本

cat /etc/redhat-release

一.cenos6的端口白名单配置

1.启动防火墙

# 查看防火墙状态
service iptables status
 
# 停止防火墙
service iptables stop
 
# 启动防火墙
service iptables start
 
# 重启防火墙
service iptables restart
 
# 永久关闭防火墙
chkconfig iptables off
 
# 永久关闭后重启
chkconfig iptables on

2.修改配置文件

vi /etc/sysconfig/iptables

#针对6379端口的白名单配置
iptables -A INPUT -p tcp -s 10.128.55.162 --dport 6379 -j ACCEPT
iptables -A INPUT -p tcp -s 10.128.55.10 --dport 6379 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.169.52 --dport 6379 -j ACCEPT
iptables -A INPUT -p tcp -s 127.0.0.1 --dport 6379 -j ACCEPT
iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 6379 -j DROP

#针对8161端口的白名单配置
iptables -A INPUT -p tcp -s 10.128.55.190 --dport 8161 -j ACCEPT
iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 8161 -j DROP

3.重启防火墙

# 重启防火墙
service iptables restart

二.cenos7的端口白名单配置

方式1

1、启动firewalld服务并设置开机自动启动,下面的命令必须在防火墙开启的状态下才可用 ,由于firewalld默认不是放行所有端口,所以启动firewalld会造成该机器的某些端口无法访问。

sudo systemctl enable firewalld
sudo systemctl start firewalld

# 更改防火墙默认区域为trusted,默认放行所有连接请求
sudo firewall-cmd --set-default-zone=trusted

2.新建一个zone,将想要访问本机80端口的ip,如:192.168.1.123 ,添加的这个zone中,同时在这个zone中放行端口。

sudo firewall-cmd --permanent --new-zone=newzone

3.配置ip白名单

sudo firewall-cmd --permanent --zone=newzone --add-source=10.98.201.1
sudo firewall-cmd --permanent --zone=newzone --add-source=10.98.201.10
sudo firewall-cmd --permanent --zone=newzone --add-source=10.98.201.11
sudo firewall-cmd --permanent --zone=newzone --add-source=10.98.201.12

4.配置开发的端口

sudo firewall-cmd --permanent --zone=newzone --add-port=7003/tcp
sudo firewall-cmd --permanent --zone=newzone --add-port=7004/tcp
sudo firewall-cmd --permanent --zone=newzone --add-port=7005/tcp

5.除192.168.1.123这个ip以外的地址访问本机时会使用当前默认的trusted这个zone里的规则,即禁止访问本机的80端口。

sudo firewall-cmd --permanent --zone=trusted --add-rich-rule="rule family="ipv4" port protocol="tcp" port="7003" drop"
sudo firewall-cmd --permanent --zone=trusted --add-rich-rule="rule family="ipv4" port protocol="tcp" port="7004" drop"
sudo firewall-cmd --permanent --zone=trusted --add-rich-rule="rule family="ipv4" port protocol="tcp" port="7005" drop"

6.重启防火墙

sudo systemctl restart firewalld

也可以重载配置

firewall-cmd --reload

7.查看配置是否生效

sudo firewall-cmd --list-all-zone
sudo firewall-cmd --list-all

也可以直接查看配置文件

vi /etc/firewalld/zones/public.xml

放行指定端口

#添加指定需要开放的端口: 

firewall-cmd --add-port=123/tcp --permanent

#重载入添加的端口: 

firewall-cmd --reload

#查询指定端口是否开启成功: 

firewall-cmd --query-port=123/tcp

放行指定IP

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="172.16.110.55" accept"

#重新载入 

firewall-cmd --reload

#来源

Centos7防火墙放行指定IP和端口 - 园子里的瓜 - 博客园

 centos7 指定ip访问端口

1. 查看防火墙端口开放列表

firewall-cmd --list-all

2. 指定ip端口

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="3306" accept"

连续端口 

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="3306-3309" accept"

ip网段 

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="3306" accept"

3.重新载入,使配置生效

firewall-cmd --reload

4.删除规则

firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="3306" accept"

来源:

https://www.csdn.net/tags/Mtjacg1sMjgyNTMtYmxvZwO0O0OO0O0O.html

cenos7开放及查看端口

1、开放端口

firewall-cmd --zone=public --add-port=5672/tcp --permanent   # 开放5672端口

firewall-cmd --zone=public --remove-port=5672/tcp --permanent  #关闭5672端口

firewall-cmd --reload   # 配置立即生效

2、查看防火墙所有开放的端口

firewall-cmd --zone=public --list-ports

来源

Centos7开放及查看端口 - heqiuyong - 博客园

csdncjh
关注
  • 0
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
centOS7 下利用iptables配置IP地址白名单的方法
wanlitengfei的专栏
03-09 1453
centOS7 下利用iptables配置IP地址白名单的方法
centos7 firewalld ip与端口白名单配置等,开放端口与ip白名单
热门推荐
jnloverll的博客
09-16 1万+
1.查看firewalld.service服务状态 #查看firewalld.service服务状态 systemctl status firewalld #查看firewall运行状态 firewall-cmd --state 2.手动启动/重启/停止 firewalld.service服务 #启动 systemctl start firewalld #重启 systemctl restart firewalld #停止 systemctl stop firewalld 3.展示当前配置
CentOS7 自带防火墙固系统,只允许白名单IP地址访问服务器22端口
weixin_37931204的博客
04-17 829
一般的运维人员,一拿到服务器,首先就是关闭本机防火墙,这样的做法在有硬件防火墙控制的条件下是可以的,但是如果没有硬件防火墙,不建议将linux操作系统本机防火墙关闭,而且应该遵循默认全部不通的原则,什么业务需要访问,再通过防火墙规则放通,确保服务器的安全。
CentOS7防火墙固,设置白名单IP地址访问服务器22端口(漏扫专用,以免每次升级SSH)
最新发布
weixin_43741718的博客
06-04 513
【代码】CentOS7防火墙固,设置白名单IP地址访问服务器22端口(漏扫专用,以免每次升级SSH)
centos7怎么查看防火墙以及添白名单
青春不打烊的博客
04-13 2686
其中,`--zone=public` 表示将规则应用于公共区域,`--add-service=ssh` 表示允许 SSH 流量通过,`--add-service=http` 和 `--add-service=https` 表示允许 HTTP 和 HTTPS 流量通过。需要注意的是,如果你的系统上已经安装了 `iptables`,那么 `firewall` 和 `iptables` 可能会产生冲突,建议只使用其中一个来管理防火墙。如果你的服务器是运行在云端的虚拟机上,那么可能还需要检查云服务商的安全组设置。
centos 7 防火墙配置白名单问题
IChen.的博客
10-13 1117
查看防火墙状态: systemctl status firewalld 开启防火墙并设置开机自启 •systemctl start firewalld •systemctl enable firewalld 1. 开放 22端口: firewall-cmd --zone=public --add-port=22/tcp --permanent 重新载入一下: firewall-cmd --reload 查看下是否生效: firewall-cmd --zone=public --query-port
Linux黑白名单功能
ywtool博客
02-05 1784
linux运维工具-ywtool access命令介绍
Centos7 防火墙策略rich-rule 限制ip访问-----图文详解
冰恋云的专栏
03-13 7056
查看防火墙策略。
防火墙白名单设置方法_iptables_centos6
10-31
防火墙白名单设置方法_iptables_centos6 防火墙白名单设置方法_iptables_centos6 防火墙白名单设置方法_iptables_centos6
防火墙白名单设置方法_firewalld_centos7.pdf
10-31
为firewall设置访问白名单,仅允许合法的ip访问特定端口,如下以9089端口以及5672端口为例
centos防火墙配置
11-08
centos防火墙配置,以及端口的开放与关闭
Linux服务器配置ip白名单防止远程登录以及端口暴露的问题
01-10
1、阿里云的服务器,本身并没有防火墙,但是我们可以安装一个IPtable防火墙(这里阿里云的服务器系统为Centos),这样的话,就需要防火墙和阿里云网址配置白名单同时生效才可以喽。 1、服务器防火墙 1.1、下面这个...
Apache简介及安全配置方案
09-15
13. IP白名单访问控制:仅允许特定IP访问特定目录,如内部接口。 14. 拒绝特定文件类型:通过指令限制对日志文件等敏感文件类型的访问。 15. 修改默认监听端口:更改Apache监听的TCP端口,增被扫描发现的难度。 ...
服务器端口白名单设置,使用ipset设置防火墙端口白名单,只让指定国家访问...
weixin_42370743的博客
07-30 2177
1、安装ipset#Debian/Ubuntu系统apt-get-yinstallipset#CentOS系统yum-yinstallipsetCentOS7还需要关闭firewall防火墙:systemctlstopfirewalld.servicesystemctldisablefirewalld.service2、创建规则#创建一个名为cnip的规则ipset-Nc...
linux关闭防火墙以及其他命令
lw_jack的博客
02-12 864
查看防火墙是否开启 systemctl status firewalld 若没有开启则是开启状态 systemctl start firewalld 关闭则start改为stop 查看所有开启的端口 firewall-cmd --list-ports 注:启动防火墙后,默认没有开启任何端口,需要手动开启端口 防火墙开启端口访问 firewall-cmd --zone=public --add-port=80/tcp --permanent 命令含义: --zone #作用域 --add-port=
对于linux的进站白名单ip和端口配置
GinChou的萌新博客
09-03 1万+
环境: uname -a(命令) : Linux localhost.localdomain 3.10.0-862.el7.x86_64 #1 SMP Fri Apr 20 16:44:24 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux more /etc/redhat-release(命令): CentOS Linux release 7.5.1804 (...
linux设置ip白名单都,CentOS 7中如何设置ip白名单
weixin_39980917的博客
05-04 1736
CentOS 7中设置ip白名单我想安装CentOS 7防火墙,所有传入的请求将被封锁,除了IP白名单。对于白名单的IP的所有端口都要访问?adding sources to a zone. First checkout which sources there are for your zone:firewall-cmd --permanent --zone=public --list-sourc...
CENTOS 给iptables防火墙允许访问 的端口(添端口白名单
qq_28347599的博客
05-09 8236
tcp协议的端口是 iptables -A INPUT -p tcp -m tcp --dport 要开放的端口 -j ACCEPT 增udp协议的端口是 iptables -A INPUT -p udp -m udp --dport 要开放的端口 -j ACCEPT 这样添以后仅仅是临时有效,服务器或者iptables重启后就失效了 如果要永久保存的话 ser
centos 配置端口白名单
06-10
如果您想在 CentOS配置端口白名单,可以使用firewalld进行设置。下面是一些常用的命令: 1. 查看当前开放的端口: ``` firewall-cmd --list-ports ``` 2. 开放端口: ``` firewall-cmd --add-port=80/tcp --permanent ``` 其中,80/tcp是要开放的端口,--permanent参数表示永久生效。 3. 关闭端口: ``` firewall-cmd --remove-port=80/tcp --permanent ``` 4. 重新防火墙规则: ``` firewall-cmd --reload ``` 通过以上命令,可以实现在 CentOS配置端口白名单。如果您需要更详细的操作指南,可以参考 CentOS 官方文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值