服务器禁止访问外网策略配置

于 2024-01-03 11:00:38 发布
阅读量1.1k 收藏 11
点赞数 6
分类专栏: 网络协议 Linux 文章标签: 服务器 运维 网络
本文链接:https://blog.csdn.net/qq_43681990/article/details/135358444
版权

我什么要禁用外网

抵御外网入侵风险要从根上做起,即在服务器主机上写外网防护策略。如果服务器只有内网业务,没有外网业务,可以禁掉所有外网访问请求。

内网IP段

10.0.0.0-10.255.255.255
172.16.0.0-172.31.255.255
192.168.0.0-192.168.255.255

外网IP段

0.0.0.0-9.255.255.255
11.0.0.0-172.15.255.255
172.32.0.0-192.167.255.255
192.169.0.0-255.255.255.255

主角IPSET上场

Linux 下的禁外网主机策略可以这么写,先在主机上创建一个 ipset www ,将所有的外网网段加入到这个 ipset 集合中。然后在 iptables 中引用这个 ipset 。

ipset 创建网段集合的命令为
ipset create www hash:net family inet hashsize 1024 maxelem 65536
ipset 添加地址段的命令为
ipset add www 0.0.0.0-9.255.255.255

这里要注意,x.x.x.x - y.y.y.y 的地址段格式在 ipset 添加后将转为 CIDR 格式,即网段加掩码的格式:

ipset list www
Name: www
Type: hash:net
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 8596
References: 0
Members:
0.0.0.0/5
8.0.0.0/7

并且 ipset 存在一个 bug,即网段过大时,CIDR 转化会失败:

ipset flush www
ipset add www 11.0.0.0-172.15.255.255
ipset list www
Name: www
Type: hash:net
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 8532
References: 0
Members:

比如以上例子,当添加 11.0.0.0-172.15.255.255 网段时,ipset 添加会失败。www 集合中并没有加进去任何网段,所以安全的做法是直接添加 CIDR 格式的网段。将外网网段 x.x.x.x - y.y.y.y 换为 CIDR 格式的后为:

0.0.0.0/5
8.0.0.0/7
11.0.0.0/8
12.0.0.0/6
16.0.0.0/4
32.0.0.0/3
64.0.0.0/2
128.0.0.0/3
160.0.0.0/5
168.0.0.0/6
172.0.0.0/12
172.32.0.0/11
172.64.0.0/10
172.128.0.0/9
173.0.0.0/8
174.0.0.0/7
176.0.0.0/4
192.0.0.0/9
192.128.0.0/11
192.160.0.0/13
192.169.0.0/16
192.170.0.0/15
192.172.0.0/14
192.176.0.0/12
192.192.0.0/10
193.0.0.0/8
194.0.0.0/7
196.0.0.0/6
200.0.0.0/5
208.0.0.0/4
224.0.0.0/3

将这些地址段加入到 www ipset 中,命令如下:

ipset add www 0.0.0.0/5
ipset add www 8.0.0.0/7
ipset add www 11.0.0.0/8
ipset add www 12.0.0.0/6
ipset add www 16.0.0.0/4
ipset add www 32.0.0.0/3
ipset add www 64.0.0.0/2
ipset add www 128.0.0.0/3
ipset add www 160.0.0.0/5
ipset add www 168.0.0.0/6
ipset add www 172.0.0.0/12
ipset add www 172.32.0.0/11
ipset add www 172.64.0.0/10
ipset add www 172.128.0.0/9
ipset add www 173.0.0.0/8
ipset add www 174.0.0.0/7
ipset add www 176.0.0.0/4
ipset add www 192.0.0.0/9
ipset add www 192.128.0.0/11
ipset add www 192.160.0.0/13
ipset add www 192.169.0.0/16
ipset add www 192.170.0.0/15
ipset add www 192.172.0.0/14
ipset add www 192.176.0.0/12
ipset add www 192.192.0.0/10
ipset add www 193.0.0.0/8
ipset add www 194.0.0.0/7
ipset add www 196.0.0.0/6
ipset add www 200.0.0.0/5
ipset add www 208.0.0.0/4
ipset add www 224.0.0.0/3

出站入站规则添加

之后就可以在 iptables 中正常引用 www ipset,在 INPUT 和 OUTPUT 出入站中禁用外网,命令如下:

iptables -I INPUT -m set --match-set www src -j DROP
iptables -I OUTPUT -m set --match-set www dst -j DROP

通过以上两条基础策略可以阻止服务器访问互联网或互联网访问服务器,同时又不会对内网造成影响。

如果去掉 OUTPUT 出站策略,再配合以下策略可以让服务器访问互联网但外网IP无法主动访问服务器:

iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

一般入出站策略需要配对写,如果在出站策略中把包全封死了,入站的包将无法回包。此时也相当于把回去的路封死了,大多数策略只写一半,另一半默认放行,即在入站中写禁止,出站默认放行。

iptables 管理起来比较灵活,但复杂度也随之上升。做完安全策略一定要进行测试,存在漏洞的策略是非常危险的。

IT技术伪专家
关注
  • 6
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
linux禁止Linux访问外网
BIG BOSS的博客
02-03 5683
修改ip时,不配置GATEWAY就行了
配置防火墙,禁止服务器访问外网
loody1的博客
03-26 575
背景:通过配置防火墙,禁止Windows Server2019访问外网,只能访问内网的资源。内网是10开头的IP。原理:主要配置Windows安全中心-防火墙和网络保护-高级设置-出站规则,具体如下。
Linux系统firewalld防火墙的应用实操(禁止屏蔽海外国外IP访问
小康师兄
08-16 7444
Linux系统firewalld防火墙的应用实操(禁止屏蔽海外国外IP访问
Linux使用iptables实现内网隔断与外网控制
kelenwait的博客
03-05 2083
在内网部署了一台linux服务器,因是直接连接的路由器,不好搭建单独的内网,同时该服务器有存在重要资料,为保证网络环境的安全,故想切断该服务器外网的连接,查阅网上资料,加上自己的实践与整理,经过不断的重启和配置及踩坑,最终得以实现,分享与需要的朋友。
Linux -- 常见问题:系统突然出现无法访问外网
fly8726581的博客
08-20 1545
Centos7 系统突然出现无法访问外网情况 阿里云 ECS 2台Centos7.9 服务器分别部署相同服务,当业务请求量大时,突然轮流出现无法访问外网问题情况。 出现问题后到度娘上搜了下,不得不说度娘的结果都是些重复性结果基本没什么用了,由于是阿里云的ECS服务器,那就提个工单好了 但是让人郁闷的是,一顿的授权,最后技术支持给出的最后结果就是,重启系统,果然重系统后恢复正常。但是这么一个大炸弹,这怎么玩 一顿排查,一顿和阿里沟通,但是毫无结果,阿里技术最后给出要不直接迁移一台物理机好了,但是我感觉这不像是
通过路由条目拒绝国外IP屏蔽国外IP访问服务器
最新发布
06-23
为了解决这一问题,提高服务器的安全性,一种有效的策略是在操作系统层面设置路由规则,仅允许来自可信区域的流量访问服务器。本文将详细介绍如何通过修改路由表来实现拒绝国外IP访问的目的。 #### 解决方案 对于...
Apache2.4.x版wampserver本地php服务器如何让外网访问及启用.htaccess
09-10
首先,为了允许外网访问你的本地Apache服务器,你需要修改`httpd.conf`配置文件。在Apache2.2中,你可以通过将`Order deny,allow`和`Deny from all`更改为`Order allow,deny`和`Allow from all`来实现。然而,在...
Shell脚本实现防止国外ip访问服务器
09-15
标题中的“Shell脚本实现防止国外ip访问服务器”是指通过编写Shell脚本来阻止非本国IP地址对服务器访问。在描述中提到了一种方法,即利用IP地址库,结合iptables防火墙规则,来禁止国外IP的访问。接下来,我们将...
Nginx服务器屏蔽与禁止屏蔽网络爬虫的方法
09-29
在处理网络爬虫的策略中,Nginx可以用来限制或禁止特定爬虫的访问,以保护服务器资源和数据安全。以下是关于Nginx服务器屏蔽与禁止屏蔽网络爬虫的方法的详细说明: 首先,我们可以通过Nginx的配置文件来识别并阻止...
phpmyadmin中禁止外网使用的方法
12-18
总之,禁止外网访问phpMyAdmin是加强服务器安全的重要步骤,通过修改配置文件和调整服务器设置,可以有效地保护你的数据库管理工具不被未经授权的用户访问。同时,保持对服务器和应用程序的持续监控,以及定期备份,...
开启关闭外网数据库的方法
qq_30359627的博客
02-24 478
问题描述: 数据库数据无故丢失,怀疑是开发人员操作数据库导致的 解决方案: 关闭开启数据库外网端口的方法 1、进入服务器 编辑下列文档 取消或者加上53306的注释 /etc/vnetc/client.conf 2、保存后执行以下命令 ps -ef|grep vne|grep -v grep |awk ‘{print $2}’|xargs kill -9 && /usr/local/bin/vnetc -c /etc/vnetc/client.conf & ...
Linux系统中不能访问外网的问题
Ranmelissa的博客
09-29 1342
已经安装配置好了Tomcat,但是在浏览器上输入IP+端口号时依旧不能显示Apache Tomcat主页面: 关键问题:一定要先将防火墙关掉。 相应的指令是:iptables stop 然后重新再进入浏览器输入地址和端口号就可以成功了。 总结:问题总是源源不断,重要的是增强内心的强大,以及波澜不惊解决问题的能力。
Linux 禁止某个IP地址访问的几种方法
热门推荐
Jay112011的博客
03-23 1万+
Linux 禁止某个IP地址访问的几种方法 一、概述 这两个文件是tcpd服务器配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下: #服务进程名:主机列表:当规则匹配时可选的命令操作 server_name:hosts-list[:command] /etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。 /etc/hosts.allow和/e
linux 局域网无法访问 防火墙已关,使用iptables配置防火墙后本机无法访问外部网络...
weixin_29439509的博客
05-13 910
在一台centos和ubuntu的主机上使用配置了防火墙,就是添加几条简单规则。规则确实是生效了,因为很好的屏蔽掉外部的非法请求,但是本机却无法和外部通信,包括同一个局域网的其他机器和外部互联网上的机器,连最基本的ping都无法成功。在防火墙规则里面只是对INPUT做了限制,OUTPUT和FORWORD没有任何限制,这有点想不通,只好google一把,发现有人也是遇到这样的问题,解决的办法是添加如...
服务器禁止用ip访问站点,windows服务器禁止ip访问方法介绍
weixin_42104181的博客
07-31 6176
下边是方法控制面板—管理工具—本地安全策略 或者命令 gpedit.msc选择创建 IP 安全策略点选下一步我们就是要禁止他,不和他说话,那么,取消勾选直接按完成.那个勾选是默认的注意右下的”添加向导”,如果勾选了,取消他,然后点击”添加”选中刚刚建立的 禁止ip 点 编辑(@添加ip)把”添加向导”的勾选取消 , 然后点添加地址和目标别写反了,把自己给封了// 然后切换到 “协议” 面板...
linux服务器不能访问外网的问题
记事本
01-17 2096
最近碰到了一个非常奇怪的问题,那就是Linux服务器不能访问外部网站,比如访问zihou.me是不行的,但如果是访问网站的IP,比如zihou.me的IP是63.234.12.43,那么却又是可以的,用ping命令也是一样,如果是ping zihou.me,那么是不行的,但如果ping 63.234.12.43却是没有问题的,不知何故? 而且刚启动服务器时是没有问题的,但服务器运行一段时间后
Linux 查看进程和删除进程
张青志的专栏
05-06 942
1. 在 LINUX 命令平台输入 1-2 个字符后按 Tab 键会自动补全后面的部分(前提是要有这个东西,例如在装了 tomcat 的前提下, 输入 tomcat 的 to 按 tab)。 2. ps 命令用于查看当前正在运行的进程。 grep 是搜索 例如: ps -ef | grep java 表示查看所有进程里 CMD 是 java 的进程信息 ps -aux | grep ja
解决linux无法访问外网
j8465005的博客
11-02 4715
问题: 某台Linux服务器ping不通域名, 如下提示: [root@localhost ~]# ping www.baidu.com ping: unknown host www.baidu.com 准备: 首先确定已经连接上路由器,并且路由器能够访问外网,可以通过访问网关进行确定。 [root@localhost ~]# ping 192.168.1.1 PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data. 64 bytes from 192.1.
linux禁止访问外网
05-18
禁止 Linux 访问外网,可以通过防火墙规则或者网络配置来实现。以下是两种方法: 1. 使用防火墙规则 可以使用 iptables 或者 firewalld 来设置防火墙规则,禁止 Linux 访问外网的方法如下: 使用 iptables: ``` iptables -A OUTPUT -d 0.0.0.0/0 -j DROP ``` 使用 firewalld: ``` firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -d 0.0.0.0/0 -j DROP firewall-cmd --reload ``` 2. 配置网络 可以通过配置网络禁止 Linux 访问外网,具体方法如下: 编辑 /etc/resolv.conf 文件,将 nameserver 设置为本地 DNS 服务器的 IP 地址。这样就可以禁止 Linux 访问外网。 如果没有本地 DNS 服务器,可以将 nameserver 设置为一个不存在的 IP 地址,这样也可以禁止 Linux 访问外网。 ``` nameserver 192.168.1.1 # 本地 DNS 服务器的 IP 地址 ``` 或者 ``` nameserver 10.10.10.10 # 不存在的 IP 地址 ``` 需要注意的是,这种方法只是禁止了 DNS 解析请求,如果使用 IP 地址直接访问外网,仍然可以访问成功。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IT技术伪专家

你的认可是对我最大的支持!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值