iptable实例-禁止QQ,使能www以及局域网内不同ip具有不用访问权限

最新推荐文章于 2021-03-23 04:53:56 发布
最新推荐文章于 2021-03-23 04:53:56 发布
阅读量1.2k 收藏
点赞数
分类专栏: Lunix 
iptables实战记录 
netfilter/iptables这个玩意儿似乎很复杂一直没太搞懂它的原理,所以从给公司配置服务器开始就从未使用过它,让同事们共享上网时才用了一下它的伪装,当时也只是从网上看到了那行iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE,仍然不知道它究竟都干了些什么。最近觉得QQ这个东西的确有些影响同事们工作,所以下决心摸索一下iptables,看看能不能提供一下生产力。

我的网络情况:linux服务器既是上网的拨号服务器,同时也是公司的web server、mail server、ftp server等,域名动态解析,同时它与公司其它windows客户端构成了一个局域网,内网IP为192.168.0.1(eth1接口),外网网卡(eth0接口),拨号接口为ppp0,网内其它计算机的IP也都是192.168.0网段。192.168.0.2到192.168.0.16为公司工作人员(公司比较小,只有10来个人),192.168.0.240到192.168.0.243这几个IP是我和其它两个同事在用,需要实现的目标是外网只能访问服务器的www、mail、ftp、tomcat这几个服务、内网192.168.0.2到192.168.0.16这个IP段的同事们上班时间只能上外网的www、mail、ftp、tomcat并禁止使用QQ、192.168.0.240到192.168.0.243这个IP段的同事们可以无限制上网。下面是我的脚本内容。

work_firewall.sh:
# Display start message
echo "Starting iptables rules..."
# 设置变量
IPT=/sbin/iptables
INTERNET_SERVER=192.168.0.1
IP_ME="127.0.0.1"
IP_SPEC_RANGE="192.168.0.240/30"
IP_WORK_RANGE="192.168.0.2/28"
IP_ALL="192.168.0.0/24"
# 清除所有规则
$IPT -F
$IPT -t nat -F
# 重置所有链默认设置
$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
# 1. 限制internet对web服务器的访问
# (1) 允许自己无限制访问自己
$IPT -A INPUT -s $IP_ME -j ACCEPT
# (2) 允许访问www服务
$IPT -A INPUT -p tcp --dport 80 -j ACCEPT
# (3) 允许访问ftp服务
$IPT -A INPUT -p tcp --dport 20 -j ACCEPT
$IPT -A INPUT -p tcp --dport 21 -j ACCEPT
# (4) 允许访问mail服务
$IPT -A INPUT -p tcp --dport 110 -j ACCEPT
$IPT -A INPUT -p tcp --dport 143 -j ACCEPT
$IPT -A INPUT -p tcp --dport 25 -j ACCEPT
# (5) 允许访问tomcat服务
$IPT -A INPUT -p tcp --dport 8080 -j ACCEPT
# 2. 允许工作人员通过局域网访问服务器
$IPT -A INPUT -s $IP_SPEC_RANGE -j ACCEPT
$IPT -A INPUT -s $IP_WORK_RANGE -j ACCEPT
# 3. 允许特殊IP无限制上网
$IPT -t nat -A PREROUTING -s $IP_SPEC_RANGE -j ACCEPT
# 4. 对工作范围内IP限制部分上网功能
# (1) 允许访问DNS和ECHO
$IPT -t nat -A PREROUTING -s $IP_WORK_RANGE -d 0/0 -p udp --dport 53 -j ACCEPT
$IPT -t nat -A PREROUTING -s $IP_WORK_RANGE -d 0/0 -p udp --dport 42 -j ACCEPT
$IPT -t nat -A PREROUTING -s $IP_WORK_RANGE -d 0/0 -p udp --dport 7 -j ACCEPT
# (2) 禁止QQ的TCP登录
$IPT -t nat -A PREROUTING -s $IP_WORK_RANGE -d 219.133.38.5 -p tcp -j DROP
$IPT -t nat -A PREROUTING -s $IP_WORK_RANGE -d 218.18.95.165 -p tcp -j DROP
$IPT -t nat -A PREROUTING -s $IP_WORK_RANGE -d 218.17.209.23 -p tcp -j DROP
$IPT -t nat -A PREROUTING -s $IP_WORK_RANGE -d 218.18.95.153 -p tcp -j DROP
# (3) 禁止MSN登录
$IPT -t nat -A PREROUTING -s $IP_WORK_RANGE -d 207.46.104.20 -j DROP
# (4) 允许访问www
$IPT -t nat -A PREROUTING -s $IP_WORK_RANGE -d 0/0 -p tcp --dport 80 -j ACCEPT
# (5) 允许访问ftp
$IPT -t nat -A PREROUTING -s $IP_WORK_RANGE -d 0/0 -p tcp --dport 20 -j ACCEPT
$IPT -t nat -A PREROUTING -s $IP_WORK_RANGE -d 0/0 -p tcp --dport 21 -j ACCEPT
# (6) 允许访问mail
$IPT -t nat -A PREROUTING -s $IP_WORK_RANGE -d 0/0 -p tcp --dport 110 -j ACCEPT
$IPT -t nat -A PREROUTING -s $IP_WORK_RANGE -d 0/0 -p tcp --dport 143 -j ACCEPT
$IPT -t nat -A PREROUTING -s $IP_WORK_RANGE -d 0/0 -p tcp --dport 25 -j ACCEPT
# (7) 允许访问tomcat
$IPT -t nat -A PREROUTING -s $IP_WORK_RANGE -d 0/0 -p tcp --dport 8080 -j ACCEPT
# (8) 禁止访问其它服务
$IPT -t nat -A PREROUTING -s $IP_WORK_RANGE -d ! $IP_ALL -j DROP
# 5. 共享上网
$IPT -t nat -A POSTROUTING -o ppp+ -j MASQUERADE
# 显示结束信息
echo "Completed iptables rules."


网上讲解iptables命令如何使用的文章已经数不胜数了,但真正要理解它的工作原理还是不太容易,也许是自己太笨周六那天竟然午饭都没吃苦苦思索了整整一天才慢慢有所领悟。netfilter/iptables共有三组规则表:filter、nat和mangle。filter表用于一般的信息包过滤,如我的网络中192.168.0.1服务器自己访问internet资源时或者外网访问服务器本身时使用filter表规则;nat表用于转发的信息包过滤,如我的局域网内客户端需要通过服务器访问外网时就需要用到nat表规则;mangle表用于高级路由,我此次没有用到,因此也没有深究,有空了再看看^_^。filter表包括INPUT链、OUTPUT链和FORWARD链;nat表包括PREROUTING链、POSTROUTING链和OUTPUT链;mangle表包括PREROUTING链和OUTPUT链。filter表为默认规则表。
表名
 功能
 
filter 用于一般的信息包过滤,包括INPUT链、OUTPUT链和FORWARD链,如我的网络中192.168.0.1服务器自己访问internet资源时或者外网访问服务器本身时使用filter表规则 
nat 用于转发的信息包过滤,包括PREROUTING链、POSTROUTING链和OUTPUT链,如我的局域网内客户端需要通过服务器访问外网时就需要用到nat表规则 
mangle 用于高级路由,包括PREROUTING链和OUTPUT链 

上面的脚本先清除了所有链的所有规则并重置了默认设置,其中INPUT链默认不接受外来访问服务器的任何数据包,接着第1步开放了服务器的80、20、21、110、143、25和8080端口,第2步允许局域网内的192.168.0.2到192.168.0.16及192.168.0.240到192.168.0.243的客户端访问服务器,第3步允许192.168.0.240及192.168.0.243无限制访问外 

http://blog.chinaunix.net/uid-20564848-id-73943.html
feixiaku
关注
专栏目录
LINUX IPTABLE禁止指定IP访问,拦截攻击
SHELLCODE_8BIT的博客
09-15 425
例如禁止192.168.1.1访问,则输入如下命令。
【qingcloud】k8s iptable -F/L
突围
12-22 759
qinglcoud上清理了,还是不行 发现清理了,依旧有K8S防火墙规则? k8s的防火墙 [root@k1c2g1m-worker1 ~]# iptables -F [root@k1c2g1m-worker1 ~]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination KUBE-NODE-PORT all -- anywhere ..
linux下iptables实战
weixin_34380296的博客
01-09 81
netfilter/iptables这个玩意儿似乎很复杂一直没太搞懂它的原理,所以从给公司配置服务器开始就从未使用过它,让同事们共享上网时才用了一下它的伪装,当时也只是从网上看到了那行iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE,仍然不知道它究竟都干了些什么。最近觉得QQ这个东西的确有些影响同事们工作,所以下决心摸索...
利用iptable屏蔽特定网站
卢阳
04-10 2068
<br />在学校实验室环境中,为了督促大家学习,不得不屏蔽一些特定的网站。参考网上的资料,自己修改了一份脚本文件,修复了原来文件的几个bug.脚本文件如下:<br />#!/bin/sh #Filename: block_ip.sh # Purpose: blocks all IP address/network found in a text file # The text file must have one IP address or network per li
windows 安装 企业QQ后,个人qq无法登录
Dafei4的博客
11-01 2704
电脑安装企业qq后,个人qq无法登录问题;  参考地址:  禁止(卸载)企业QQ版安全助手运行 文件地址 :  C:\Program Files (x86)\kingsoft\Enterprise Security C:\Program Files (x86)\kingsoft\Enterprise Security ...
68.168.16.153/forum/index.php,BT没死!305个国外BT资源聚合站点大全
weixin_42503813的博客
03-23 4万+
1. BTChina关门不代表BT死了,2. VeryCD停业不代表Emule不能用了!3. PS:好好利用emule自己的搜索功能4. CDMSSharehttp://www.cdmsshare.org/5. Descargatorrenthttp://descargatorrent.webcindario.com/6. eChule.NEThttp://www.echule.net/7. El...
iptable forward转发实现docker -p 功能共局域网内其他主机访问
weixin_43129902的博客
09-04 2843
测试环境需要临摹开发k8s调度环境,搭建本地minikube时,局域网中别的机器无法访问: 1.minikube version: v0.28.1 无法设置type=loadbalancer; 2.type=nodeport只能通过`minikube ip`:${port}实现本机访问。 故需要配置iptable forward 1./proc/sys/net/ipv4/ip_forw...
iptables教程-linux-iptable防火墙-基本认识.docx
11-29
iptables教程-linux-iptable防火墙-基本认识.docx
suse iptable ip及端口禁止访问配置命令
最新发布
09-25
在SUSE Linux系统中,要禁止特定的IP地址或端口访问,你需要编辑iptables规则。下面是一些基本的步骤: 1. 打开iptables的编辑器,通常是使用`sudo vi /etc/sysconfig/iptables`(如果你正在使用SLES,则可能是`...
破解企业QQ对个人QQ登陆的限制(原创)
cxzhq2002的杂记
12-04 3166
 运行系统:WIN7 破解时间:2014-02-19 破解思路:自从2013-11-11的1.85版企业qq更新后,网上流传的破解方法(运行文件BeatQQEIM.bat)已经不起作用了,可以同时登陆,但1分钟后就会被强制退出。原来想的一个办法是制作“定时任务”,每隔30秒运行一次BeatQQEIM.bat,但是试了下,win7下系统自带的定时任务,时间间隔最短是5分钟,故此方法不通。后
Linux禁止IP、解封IP的方法
1
08-10 3531
注意,如果想让写入的规则永久有效,请执行 service iptables save iptables -A INPUT -s 222.89.227.30/32 -j ACCEPT   加入规则表 iptables -A INPUT -s 116.255.169.12 -j DROP 删除规则表 在Linux服务器被攻击的时候,有的时候会有几个主力IP。如果能拒绝掉这几个IP的攻
iptables脚本封ip
asdfghj1221的博客
08-19 220
##自动封IP:分析web或应用日志或者网络连接状态封掉垃圾IP #!/bin/sh /bin/netstat -na|grep ESTABLISHED|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -rn|head -10|grep -v -E '192.168|127.0'|awk '{if ($2!=null...
iptables只允许指定ip访问本机的指定端口
cn_yaojin
01-12 5075
原文地址:https://blog.csdn.net/zyc88888/article/details/73274456   查看端口情况 1.netstat -ntpl 2.iptables -F 清除预设表filter中的所有规则链的规则 3.iptables -X 清除预设表filter中使用者自定链中的规则 4.iptables -L -n 查看本机关于IPTABLES的设置情况  【...
Linux服务器使用iptables配置屏蔽ip
我是寒风的博客
05-13 1129
首先安装iptables yum -y install iptables 然后检查是否能够使用iptables iptables -L 如果能显示 就清空原有规则 //注意 如果防火墙有配置信息 确认后再清除! iptables -F 添加要屏蔽的ip iptables -A INPUT -s 11.11.11.11 -j DROP //单条ip iptables...
framework层和native层实现联网控制(iptable方式)
weixin_30240349的博客
03-05 180
最近工作中,需要开发一个功能----联网控制,这个功能其实用过root的安卓机应该都知道,禁止某个应用连接移动网络或者wifi。 root后,通过su去执行iptable的命令就可以根据uid去控制应用联网权限 但是由于公司是做手机系统开发,手机生产出来不允许带有root权限,所以我们完成这个功能也是不可以使用root权限去实现的。 由于第一次做这种功能,刚开始我居然天真的以为系统...
公司内网限制qq微信登陆--解决办法
热门推荐
bieqianggun1568的博客
01-15 5万+
公司内网限制qq微信登陆–解决办法 1.使用情景 公司内网能上网但是不能使用微信,QQ,网盘等联系方式 2.解决办法: 2.1 使用服务器代理 自己买服务器搭建,然后通过搭建好的服务器连接QQ。服务器厂商就不介绍了,如果有国外网站访问需求的可以买国外的服务器,但是相对国内价格高点。 2.2 使用网络代理(接下来介绍的免费网络代理) 1).这是介绍的是waysonline网络代理。直接百度搜索wa...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值