iptables设置黑白名单

最新推荐文章于 2023-11-13 16:19:07 发布
最新推荐文章于 2023-11-13 16:19:07 发布
阅读量3.8k 收藏 29
点赞数 3
分类专栏: linux命令 文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51627713/article/details/118965211
版权
本文介绍了iptables防火墙规则的配置,包括从默认允许(黑名单机制)到默认拒绝(白名单机制)的转变。通过示例展示了如何开启iptables服务,设置规则以允许特定端口和IP,以及如何保存和应用规则。此外,还提到了如何通过编辑配置文件实现白名单策略,以限制只允许特定IP访问特定端口。
摘要由CSDN通过智能技术生成

首先要明白两个概念:黑名单和白名单。

黑名单:把所有人当做好人,只拒绝坏人。
白名单:把所有人当做坏人,只放行好人。

看起来似乎白名单安全一点,黑名单接受的范围大一点。

对于iptables来说本来存在默认规则,通常默认规则设置为ACCEPT或者DROP。
如果默认规则是ACCEPT,那就是把所有人当做好人了,如此可以建立黑名单机制了。
如果默认规则是DROP,即是把所有人当做坏人,可以建立白名单机制。

使用C7 x86_64为实验环境
CentOS7默认的防火墙不是iptables,而是firewalle.
如果你没有安装iptables的话,你可以使用以下命令进行安装

systemctl stop firewalld
systemctl disable firewalld
systemctl mask firewalld

上面的意思是先屏蔽掉原有的firewall防火墙,下面我们就开始安装iptables,至于为什么要安装IPtables我就不讲了

yum install iptables iptables-services -y

设置规则
#查看iptables现有规则

iptables -L -n

#先允许所有,不然有可能会杯具

iptables -P INPUT ACCEPT

#清空所有默认规则

iptables -F

#清空所有自定义规则

iptables -X

#所有计数器归0

iptables -Z

#允许来自于lo接口的数据包(本地访问)

iptables -A INPUT -i lo -j ACCEPT

#开放22端口

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#开放21端口(FTP)

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

#开放80端口(HTTP)

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#开放443端口(HTTPS)

iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#允许ping

iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

#允许接受本机请求之后的返回数据 RELATED,是为FTP设置的

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#其他入站一律丢弃

iptables -P INPUT DROP

#所有出站一律绿灯

iptables -P OUTPUT ACCEPT

#所有转发一律丢弃

iptables -P FORWARD DROP

其他规则设定
#如果要添加内网ip信任(接受其所有TCP请求)

iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT

#过滤所有非以上规则的请求

iptables -P INPUT DROP

#要封停一个IP,使用下面这条命令:

iptables -I INPUT -s ... -j DROP

#要解封一个IP,使用下面这条命令:

iptables -D INPUT -s ... -j DROP

#保存上述规则

service iptables save

开启iptables服务
#注册iptables服务
#相当于以前的chkconfig iptables on

systemctl enable iptables.service

#开启服务

systemctl start iptables.service

#查看状态

systemctl status iptables.service

也可以直接编写iptables配置文件来设置白名单
#vim /etc/sysconfig/iptables

# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

#定义白名单群组
-N whitelist
#设置白名单IP,开放ip可以访问设备,白名单就按类似规则增加就可以
-A whitelist -s  192.168.1.100     -j ACCEPT
-A whitelist -s  100.20.30.40     -j ACCEPT
-A whitelist -s  1.2.3.4      -j ACCEPT
-A whitelist -s  25.36.47.58     -j ACCEPT
#开放所有设备主动访问的服务器,处在RELATED,ESTABLISHED状态可以通信,这样设备需要主动访问的服务器就不用一个一个添加到白名单了
-A INPUT -m state --state RELATED,ESTABLISHED -j whitelist
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
#白名单端口
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j whitelist
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j whitelist
-A INPUT -m state --state NEW -m tcp -p tcp --dport 9000 -j whitelist
#也可以这样写
#-A INPUT -m state --state NEW -m tcp -p tcp --dport  3306,80,9000 -j whitelist
#拒绝白名单以外IP访问指定端口
-A INPUT  -p tcp  -m  multiport --dports  3306,80,9000  -j  DROP
COMMIT

配置文件编辑完成后重启iptables使配置生效

systemctl resatrt iptables.service
zoujiangMr
关注
专栏目录
基于iptables 实现 ip 黑名单白名单
nextvary的博客
05-23 1541
基于iptables 实现 ip 黑名单白名单
iptables白名单机制
大圣欲何的博客
12-26 5049
请注意: 本博文内的实验请在虚拟机上做,因为操作不当,会引发无法连接到远程主机(文中有讲到)首先要明白两个概念:黑名单白名单黑名单:把所有人当做好人,只拒绝坏人。 白名单:把所有人当做坏人,只放行好人。看起来似乎白名单安全一点,黑名单接受的范围大一点。对于iptables来说本来存在默认规则,通常默认规则设置为ACCEPT或者DROP。 如果默认规则是ACCEPT,那就是把所有人当做好人
iptables白名单
weixin_30628801的博客
05-30 735
++++++++++++++++++++++++++++++++++标题:iptables基本策略内容:iptables白名单黑名单时间:2019年5月24日++++++++++++++++++++++++++++++++++ 在上面的内容中我们学习关于系统防火墙的原理性知识,能够简单的了解请求(数据包)通过防火墙所需要的一个过程。那么现在可能会有人存在一个疑问:如果匹配到规则按照...
iptables--配置白名单
qq_42924855的博客
05-15 818
1.服务器22端口开通给指定IP iptables -A INPUT -s 192.111.1.51 -p all -j ACCEPT //开放所有端口给指定ip:192.111.1.51 [root@node2 sysconfig]# iptables -t filter -nL INPUT Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all – 0.0.0.0/
iptables--白名单配置
weixin_30752377的博客
06-11 227
1.服务器22端口和1521端口开通给指定IP [root@node2 sysconfig]# iptables -t filter -nL INPUT Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0...
iptables限制ip访问_使用ipset工具设置iptables防火墙黑名单白名单
weixin_39581945的博客
12-01 1378
官方介绍IP集是Linux内核内部的一个框架,可以通过ipset实用程序进行管理 。根据类型的不同,IP集可以以某种方式存储IP地址,网络,(TCP / UDP)端口号,MAC地址,接口名称或它们的组合,以确保将条目与该集匹配时的闪电速度。如果你想一口气存储多个IP地址或端口号,并通过iptables与集合进行匹配 ;针对IP地址或端口动态更新iptables规则,而不会影响性能;使用一个ipta...
简单iptables添加白名单的方法
热门推荐
AmyAndTommy的博客
07-11 3万+
今天接到个任务,现场人员要给服务器设置iptables防火墙白名单,问研发要具体操作方法....由于手头上暂时有空,被指派任务。本人第一次接触iptables,查了一下资料,上服务器上试了一下,总结了一个简单的步骤,更全面的资料请参考:http://www.360doc.com/content/18/0609/00/51888465_760828169.shtmlhttps://www.linux...
linux iptables防火墙黑名单(封IP) Connection reset by peer
01-11
linux iptables防火墙黑名单(封IP) Connection reset by peer
详解Android 利用Iptables实现网络白名单(防火墙)
01-05
为了使读此简笔的人对Iptables有一个简单的了解,此处强行百度了一波概念,如果想深入的了解Iptables的各种配置规则和内核对其的管理运行机制请自行www.baidu.com,这些并不是本简笔的目的所在。 闲言少叙,开始正文...
iptables实现IP白名单功能
Dancer__Sky的博客
04-26 7319
概述: 在我们嵌入式设备,可能有时候为了安全会有白名单功能,黑名单模式:在黑名单的IP就不能访问我们的设备,白名单模式: 只有白名单的IP可以访问我们的设备,其他IP均不能访问我们设备。这里我们就是用iptables完成想要的功能。 一,了解iptables基本操作 已经有很多博客解释了这个iptables怎么使用了,我就不多写了,附上参考链接: ...
防火墙白名单设置方法_iptables_centos6
10-31
防火墙白名单设置方法_iptables_centos6 防火墙白名单设置方法_iptables_centos6 防火墙白名单设置方法_iptables_centos6
iptables白名单
qq_42279718的博客
03-13 2987
iptables
Linux使用iptables设置白名单
weixin_34319817的博客
05-25 469
使用ipset工具 1,下面我先说下iptables的基本配置规则,然后再说ipset以下使用C7 x86_64为实验环境CentOS7默认的防火墙不是iptables,而是firewalle.如果你没有安装iptables的话,你可以使用以下命令进行安装systemctl stop firewalldsystemctl disable firewalldsystemctl mask firew...
iptables ip 白名单操作
zaqwsx20的专栏
06-21 1629
iptables 常用操作
使用 iptables实现IP网段的屏蔽(白名单
最新发布
weixin_72098711的博客
11-13 971
将 IP 地址段 10.1.0.0/16 的所有访问流量拦截,从而有效的隔离这个 IP 段的所有网络请求。
iptables配置白名单
sinat_38390607的博客
09-14 8872
iptables 白名单配置
iptables白名单模板_centOS7 下利用iptables配置IP地址白名单的方法
weixin_39880318的博客
02-16 363
编辑iptables配置文件,将文件内容更改为如下,则具备了ip地址白名单功能#vim /etc/sysconfig/iptables*filter:INPUT ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [0:0]-N whitelist-A whitelist -s 1.2.3.0/24 -j ACCEPT-A whitelist -s 4....
Linux使用iptables设置白名单使用ipset工具
weixin_33796205的博客
08-02 320
1,下面我先说下iptables的基本配置规则,然后再说ipset以下使用C7 x86_64为实验环境CentOS7默认的防火墙不是iptables,而是firewalle.如果你没有安装iptables的话,你可以使用以下命令进行安装systemctl stop firewalldsystemctl disable firewalldsystemctl mask firewalld上面的意...
iptables+黑名单
10-23
iptables是Linux系统中的一个强大的防火墙工具,可以用于过滤网络数据包,实现网络安全控制。黑名单是一种常见的网络安全控制手段,可以通过将某些IP地址或者端口列入黑名单,来限制这些IP地址或者端口的访问。 在使用iptables实现黑名单功能时,可以通过以下步骤实现: 1. 创建一个名为“blacklist”的链,用于存放黑名单中的IP地址或者端口。 2. 将需要限制访问的IP地址或者端口添加到“blacklist”链中。 3. 在INPUT或者FORWARD链中添加规则,将“blacklist”链中的IP地址或者端口拒绝访问。 具体实现步骤如下: 1. 创建“blacklist”链: ``` iptables -N blacklist ``` 2. 将需要限制访问的IP地址或者端口添加到“blacklist”链中: ``` iptables -A blacklist -s 192.168.1.100 -j DROP iptables -A blacklist -p tcp --dport 22 -j DROP ``` 上述命令将IP地址为192.168.1.100和TCP端口为22的访问添加到“blacklist”链中,并将其拒绝访问。 3. 在INPUT或者FORWARD链中添加规则,将“blacklist”链中的IP地址或者端口拒绝访问: ``` iptables -A INPUT -j blacklist iptables -A FORWARD -j blacklist ``` 上述命令将“blacklist”链中的IP地址或者端口拒绝访问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值