iptables防火墙屏蔽指定ip的端口

已于 2023-02-22 13:37:40 修改
阅读量4.9k 收藏 7
点赞数 1
分类专栏: 服务器 网络 安全 文章标签: tcp/ip 网络 hadoop
于 2023-02-14 07:48:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shy_snow/article/details/129020171
版权
本文介绍了如何使用iptables在Hadoop服务器上屏蔽特定IP并逐步放开端口以允许客户端程序进行通信。通过查看和编辑INPUT和OUTPUT链的规则,允许SSH的22端口,然后逐步放开8020(Namenode)和1004(Datanode)等端口,以实现客户端的正常下载。在测试完成后,需谨慎删除规则。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

因为需要测试客户端程序与hadoop服务器之间正常通信需要开通的端口, 所以在hadoop各服务器上使用iptables防火墙屏蔽了测试客户端程序的ip和所有端口。然后,根据报错信息提示的端口号来逐步放开直到能正常通信下载文件。

  1. 在服务器端屏蔽指定ip访问所有端口
    在这里插入图片描述
    在这里插入图片描述
#查看防火墙状态,没启动的要启动
service iptables status
service iptables start

#查看已有规则和规则号,iptables的链是从上到下匹配到就结束
iptables -nL --line-number
# ssh用的22端口不要限制
iptables -I INPUT 1 -p tcp --dport 22 -j ACCEPT
iptables -I OUTPUT 1 -p tcp --dport 22 -j ACCEPT

#尾部插入一条记录,拒绝ip访问除了22端口以外的所有端口
iptables -A INPUT -s 192.1.217.54 -p tcp -m tcp ! --dport 22  -j REJECT
  1. 测试客户端程序报错端口,然后再放开单个端口
    报错无法和namenode通信,需要放开8020端口
    在这里插入图片描述
#iptables -nL --line-number 查看规则在第几行
# 在第1行插入一条放行的端口,一定要插入在上面那个REJECT屏蔽ip的上面,因为iptables的链是从上到下匹配到就结束
iptables -I INPUT 1 -s 192.1.217.54 -p tcp -m tcp --dport 8020  -j ACCEPT
# 命令说明, 
# -I代表插入规则
# INPUT代表是INPUT进入来的链路
# -s 是匹配源,这里是指定了ip
# -p tcp 协议类型,指定了匹配tcp的
#

可以读取目录了,继续测试get下载文件,报错1004端, 继续放开1004端口,和上面放开端口的方法一样,iptables -I INPUT 1 -s 192.1.217.54 -p tcp -m tcp --dport 1004 -j ACCEPT。这个端口是datanode的服务端口,需要把hadoop集群的所有datanode机器防火墙上1004端都做处理,因为你也不知道文件会在哪个datanode上保存着。

#iptables -nL --line-number 查看规则在第几行
#在第1行插入一条放行的端口,一定要插入在上面那个REJECT屏蔽ip的上面,因为iptables的链是从上到下匹配到就结束
iptables -I INPUT 1 -s 192.1.217.54 -p tcp -m tcp --dport 1004  -j ACCEPT

开放namenode的8020和datanode的1004端口后,可以下载hdfs文件了。
测试完成后删除规则

#删除规则,谨慎操作, iptables -nL --line-number查看规则前的编号
iptables -D INPUT 规则编号

在这里插入图片描述

简单介绍下防火墙的使用:
#根据网络的进出链路,有几个可以增加规则进行控制的地方,一般只会用到INPUT和OUTPUT。
#可以对规则进行指定行号插入-I,修改-R也可以新增-A
#规则内有匹配规则,
#规则匹配后的处理是ACCEPT放行还是REJECT拒绝还是DROP直接抛弃
#在一个链路内,是匹配到规则就结束

  1. 参考
    [1]https://blog.csdn.net/wxh0000mm/article/details/106239509
    [2]https://blog.csdn.net/weixin_53139887/article/details/122418822
    [3]https://blog.csdn.net/choukuad381324/article/details/100945546
    [4]https://blog.csdn.net/shy_snow/article/details/129020171
    [5]https://blog.csdn.net/waghaiping/article/details/118048947
    [6]https://blog.51cto.com/benny27/1952689
    [7]https://blog.csdn.net/m0_59432158/article/details/120369973
linux 使用iptables阻断到某个ip某个端口访问_iptables禁止某个ip访问80端口
2301_76328475的博客
05-05 1509
在对网络配置进行更改时,确保我们完全了解这些更改的后果,以避免不必要的网络中断。请注意,操作 iptables 需要 root 权限,因此在大多数命令前使用了。继续以之前的例子为例,即删除阻止到。设置的阻断规则,我们可以使用。
iptables防火墙详解
Linux运维老纪的博客
07-28 977
iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)这篇文章给大家介绍下iptables防火墙防火墙大致分三种,分别是硬件、软件和云防火墙。硬件的话部署在企业网络的入口,有三层路由的H3C、华为、Cisco(思科),还有深信服等等;软件的话一般是开源软件,写在网站内部,最常见的有iptables(写入Linux内核)和firewalld(CentOS7有的),云防火墙就是阿里云业务的安全组等等。
Iptables关闭端口
11-08
Linux 环境Iptables关闭端口
linux: 使用iptables阻断到某个ip某个端口访问
十年运维开发经验的王义杰在此分享自己的知识和经验
11-16 5093
和规则的行号来删除它。在进行这些操作时,请确保具有足够的权限,并且对操作的影响有充分的了解,以免意外中断网络服务。阻断到特定 IP 地址的特定端口访问,我们可以遵循以下步骤。在对网络配置进行更改时,确保我们完全了解这些更改的后果,以避免不必要的网络中断。:和添加规则一样,删除规则后也需要保存更改。命令或相应的方法来保存这些规则,具体取决于你的 Linux 发行版。:使用以下命令来添加一条规则,阻断到指定 IP端口访问。:一旦我们找到了要删除的规则的行号,使用。设置的阻断规则,我们可以使用。
windows防火墙禁用端口(以win10为例)
最新发布
欲买桂花同载酒的博客
04-21 1349
在工作中,如果想禁用掉windows系统的某个端口不让外界访问,该如何解决呢?
iptables屏蔽ip某个端口访问
喝醉酒的小白
07-15 6547
iptables屏蔽ip某个端口访问
iptables 屏蔽端口
Jinnizz的博客
09-06 2385
iptables除了服务依赖部分,屏蔽其他无关访问
iptables封禁端口
solocao的专栏
08-13 5930
iptables封禁固定端口
Linux上iptables防火墙的基本应用教程.docx
10-29
iptables 是 Linux 上常用的防火墙软件,本教程将介绍 iptables 的安装、清除 iptables 规章、iptables 只开放指定端口iptables 屏蔽指定 IPIP 段及解封、删除已添加的 iptables 规章等 iptables 的基本应用。...
iptables防火墙的基本应用规则配置
weixin_44837958的博客
02-03 1086
为了服务器的安全,建议大家安装启用防火墙设置,这里推荐使用iptables防火墙。第一步、查看系统是否安装了iptables打开SSH终端,输入whereis iptables如果能看到如下类似信息,说明你已经安装了iptables如果不是这个提示,或者没有任何提示,那你的系统上可能没有安装iptables第二步、安装iptables防火墙如果没有安装iptables需要先安装,CentOS执行:Debian/Ubuntu执行:第三步、清除已有iptables规则第四步、开放指定端口
Linux上iptables防火墙的应用教程
10-16
iptables 防火墙的基本应用包括安装、清除规则、开放指定端口屏蔽指定 IP、删除已添加的规则等。 安装 iptables 防火墙 若要使用 iptables 防火墙,需要先安装它。对于 CentOS,可以使用 yum install iptables ...
Linux下iptables 禁止端口和开放端口
热门推荐
海涛的博客
12-23 22万+
iptables 禁止端口和开放端口(转载) 1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。 下面是命令实现: iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP 再用命令 iptables -L -n 查看 是否设置好, 好看到全部 DROP 了 这样的设置好了,只是临...
Linux下iptables屏蔽IP端口
weixin_34144450的博客
06-23 202
http://blog.csdn.net/kobejayandy/article/details/24332597   iptables 屏蔽端口
iptables拒绝所有端口放开特定端口方法流程,iptables允许ping和拒绝ping、hosts阻止所有ip指定放开ip方法流程、脚本检测日志异常并自动执行封堵
崔崇鑫的博客,你linux/云运维工作中的百科全书。
11-27 4930
其实上面的iptables已经限制的死死的了,但怕iptables出意外,所以用hosts加固一下。是无法清除上面规则的,同时ping也不能使用。注:上面执行以后,看不到具体规则且。【我这就执行了这个进的】
CentOS使用iptables禁止IP访问
owenzhang的博客
10-22 6110
​小知识,大挑战!本文正在参与“程序员必备小知识”创作活动。 CentOS配置iptables规则并使其永久生效 #添加屏蔽IP #禁止IP访问服务器 iptables -I INPUT -s 1.2.3.4 -j DROP 或 iptables -A INPUT -s 1.2.3.4 -j DROP #禁止服务器访问IP iptables -A OUTPUT -d 1.2.3.4 -j ...
利用iptables来配置linux禁止所有端口登陆和开放指定端口
weixin_33727510的博客
11-09 3987
1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。 下面是命令实现: iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP 再用命令 iptables -L -n 查看 是否设置好, 好看到全部 DROP 了 这样的设置好了,我们只是临时的, 重...
iptables命令整理,禁止固定端口(例5500)的访问
solocao的专栏
08-13 589
iptables禁止端口访问
iptables限制开放端口访问
weixin_46941625的博客
04-15 1007
说明:6台服务器是一个k8s集群,8200端口是service暴露端口,转发到集群所有节点,所以iptables规则所有服务器都要执行。#开放所有node节点源地址10.165.10.x访问集群内的8200端口。#先单独对需要访问22的集群节点放行(一定得多开几个窗口)#在node节点上禁止所有IP访问8200端口。#以上步骤需要在集群内的所有节点执行一次。修复Es相关漏洞(8200端口)#然后屏蔽所有对22端口访问。###限制和开放某个网段访问。###限制8200端口访问。####禁止22端口访问
IPTABLES配置指定范围IP访问端口
04-02
### 使用 IPTABLES 配置特定 IP访问端口 为了实现通过 IPTABLES 允许特定 IP访问某个端口的功能,可以按照以下方法操作: #### 1. 创建规则以允许指定IP访问目标端口 可以通过 `-s` 参数来定义源地址范围,并结合 `--dport` 来限定目标端口号。例如,如果要允许来自 IP 范围 `192.168.1.0/24` 的设备访问端口 `3306`,则可执行如下命令: ```bash iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 3306 -j ACCEPT ``` 此命令的作用是接受来自子网 `192.168.1.0/24` 中的所有主机对端口 `3306` 的 TCP 连接请求[^1]。 #### 2. 禁止其他所有 IP 访问端口 为了让上述规则生效并确保安全性,还需要阻止除指定 IP 段外的所有流量尝试连接到这个端口。这一步骤通常放在最后一条匹配规则之后完成: ```bash iptables -A INPUT -p tcp --dport 3306 -j DROP ``` 这条指令会丢弃任何未被前面规则显式许可的数据包到达端口 `3306` 上[^2]。 #### 完整脚本实例 下面给出一个完整的例子用于演示如何设置 MySQL 数据库服务器(默认监听于 3306 端口),使其仅仅能够由本地网络内的客户端机器进行远程管理而拒绝外部世界的未经邀请者接入: ```bash #!/bin/bash # 清理现有规则 (谨慎使用, 可能中断当前会话) iptables -F # 开放 SSH(22号端口),防止断开SSH连接 iptables -I INPUT -p tcp --dport 22 -j ACCEPT # 授权局域网中的计算机访问数据库服务 iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 3306 -j ACCEPT # 屏蔽其余一切针对3306端口的入站请求 iptables -A INPUT -p tcp --dport 3306 -j DROP # 启用回环接口通信以及已建立或相关联的链接保持畅通无阻状态 iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 默认策略设为DROP以防万一遗漏某些潜在威胁项 iptables -P INPUT DROP ``` 以上脚本首先清除了现有的防火墙规则;接着开放了必要的 SSH 和 MySQL 数据库服务入口;再设定好内外部防护屏障后才最终确立起整个系统的安全基线架构体系结构[^3]。 ### 注意事项 - 在实际部署前务必测试新加入的过滤条件不会误伤合法业务流程。 - 如果操作系统重启可能会丢失临时性的 iptables 修改成果,因此建议保存配置文件或者利用工具如 `service iptables save` 命令永久保留更改记录。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值