Linux系统使用iptables创建可访问白名单

最新推荐文章于 2024-05-26 20:52:11 发布
最新推荐文章于 2024-05-26 20:52:11 发布
阅读量2.5w 收藏 22
点赞数 7
分类专栏: linux 文章标签: iptables linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/syilt/article/details/78298844
版权

目前由于项目要求需要修复一些linux系统的漏洞,部分使用了iptables的功能,因此研究了一下iptables的原理,并讲述创建系统访问白名单的过程。

1.iptables的工作机制

首先列出iptables在linux内核中涉及的五个位置:
1.内核空间中:从一个网络接口进来,到另一个网络接口去的
2.数据包从内核流入用户空间的
3.数据包从用户空间流出的
4.进入/离开本机的外网接口
5.进入/离开本机的内网接口

这五个位置也被称为五个钩子函数(hook functions),也叫五个规则链。
1.PREROUTING (路由前)
2.INPUT (数据包流入口)
3.FORWARD (转发管卡)
4.OUTPUT(数据包出口)
5.POSTROUTING(路由后)
这是NetFilter规定的五个规则链,任何一个数据包,只要经过本机,必将经过这五个链中的其中一个链。

2.iptables规则写法

iptables定义规则的方式比较复杂:
格式:iptables [-t table] COMMAND chain CRETIRIA -j ACTION
-t table :3个filter nat mangle
COMMAND:定义如何对规则进行管理
chain:指定你接下来的规则到底是在哪个链上操作的,当定义策略的时候,是可以省略的
CRETIRIA:指定匹配标准
-j ACTION :指定如何进行处理

 比如:不允许202.110.0.0/24的进行访问。
 iptables -t filter -A INPUT -s 202.110.0.0/16 -p udp --dport 53 -j DROP
 当然你如果想拒绝的更彻底:
 iptables -t filter -R INPUT 1 -s 202.110.0.0/16 -p udp --dport 53 -j REJECT

 iptables -L -n -v  #查看定义规则的详细信息

3.iptables配置文件

iptables配置文件在系统的/etc/sysconfig/目录下,主要记录系统中iptables的规则,下面是定义某些ip为系统可访问白名单的配置,主要是在INPUT (数据包流入口)这个规则下拦截白名单以外的ip进行具体端口的访问:

# Generated by iptables-save v1.4.7 on Sun Sep 18 11:49:08 2016
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [382404:29851692]

#定义白名单变量名
-N whitelist
#设置白名单ip段
-A whitelist -s 120.25.122.0 -j ACCEPT
-A whitelist -s 120.25.122.1 -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j whitelist
-A INPUT -i lo -j ACCEPT

#开放http/https端口外界访问
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT

#系统远程连接及数据库端口规定白名单ip才可访问
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j whitelist
-A INPUT -p tcp -m state --state NEW -m tcp --dport 1521 -j whitelist
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j whitelist
-A INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j whitelist
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

修改完iptables配置文件还需要通过命令:
service iptables save 进行保存
service iptables save && service iptables restart 重启iptables

youngerTree
关注
  • 7
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
centOS7 下利用iptables配置IP地址白名单的方法
wanlitengfei的专栏
03-09 1456
centOS7 下利用iptables配置IP地址白名单的方法
Linux使用iptables限制多个IP访问你的服务器
09-15
iptables一个管理netfilter的工具。这篇文章主要介绍了Linux使用iptables限制多个IP访问你的服务器的相关知识,需要的朋友可以参考下
添加IP白名单的方法,你知道几个?
D0126_的博客
07-31 5602
优势在于,即使您的IP地址发生变化,您的域名仍然指向正确的IP地址。代理将您的网络流量路由到其服务器,然后通过服务器访问目标网站或服务,使得目标站点无法获取您的真实IP地址。这是最简单的方法,只需通过登录网站的控制台或管理后台,找到IP白名单设置的选项,然后手动添加您的IP地址。在各种网络操作中,不同网站和服务可能会对来源IP地址进行限制,为了正常访问,我们需要将自己的IP地址添加到白名单中。本文将为您详细介绍添加IP白名单的几种方法以及它们之间的优劣比较,同时分享可能遇到的问题和解决方案。
iptables详细讲解及用法
最新发布
wyf_wyf_001的博客
05-26 1474
防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制机制做出相应的动作。#把访问网卡是eth0 的,使用tcp协议,访问端口为2346,目标地址为218.29.30.31的IP 转换成目标地址为192.168.1.6:22的IP。功能体系,iptables位于/sbin/iptables,用来管理防火墙规则的工具,管理员通过iptables给netfilter变更规则实现防火墙作用。
如何查看linux服务器的白名单,linux服务器iptables防火墙白名单添加方式
weixin_35819860的博客
04-29 6704
1、Redhat操作系统只添加IP白名单,不限制端口1.1、防火墙关闭状态示例172.31.3.191主机防火墙为关闭状态172.31.3.32与172.31.3.88两台主机均能正常telnet 172.31.3.191主机1.2、防火墙开启状态示例(1)、vim /etc/sysconfig/iptables 进入防火墙配置文件(2)、添加需要访问服务器IP(白名单):-A INPUT -s ...
iptables配置ip白名单
qq_40844663的博客
12-06 7664
假设主机是:192.111.51.44 (要root权限) ①清空iptables的配置,即还原到初始状态 //注意:执行以下操作后,所有远程连接都会失效,因此不适用于远程配置 iptables -F //删除INPUT,OUTPUT,FORWARD三个链的配置 iptables -X //删除所有用户配置的规则 ②配置接入、输出、转接三个链 iptables -P IN...
iptables 防火墙设置查看开放端口号白名单
UMSA
12-04 8941
iptablesLinux系统网络流量管理的强力工具。 iptables规则是即时生效的,无需重启服务或加载配置。因此,必须非常小心,否则会把你自己锁在系统之外。 不要同时运行firewald和ipatables。 总是优先应用可以让你进入系统的规则。 1、iptables基本操作命令 查询防火墙状态: service iptables status (systemctl status iptables.service) 停止防火墙 : service iptables stop (system
Linux防火墙iptables添加白名单
So丶easy的博客
09-03 6472
iptableslinux系统中安装yum install iptables-services 重启防火墙的命令:service iptables restart 保存到配置中:service iptables save ,该命令会将配置规则保存到/etc/sysconfig/iptables文件中。 添加白名单开放端口区间:iptables -A INPUT -p tcp --dport 3000:3006 -j ACCEPT 开放单个端口:iptables -A INPUT -p tcp -
iptables ip 白名单操作
zaqwsx20的专栏
06-21 1575
iptables 常用操作
iptables
weixin_44620146的博客
08-01 762
iptables
防火墙白名单设置方法_iptables_centos6
10-31
防火墙白名单设置方法_iptables_centos6 防火墙白名单设置方法_iptables_centos6 防火墙白名单设置方法_iptables_centos6
使用 iptables实现IP网段的屏蔽(白名单
weixin_72098711的博客
11-13 724
将 IP 地址段 10.1.0.0/16 的所有访问流量拦截,从而有效的隔离这个 IP 段的所有网络请求。
基于iptables 实现 ip 黑名单、白名单
nextvary的博客
05-23 795
基于iptables 实现 ip 黑名单、白名单
iptables设置黑白名单
m0_51627713的博客
07-21 3492
首先要明白两个概念:黑名单和白名单。 黑名单:把所有人当做好人,只拒绝坏人。 白名单:把所有人当做坏人,只放行好人。 看起来似乎白名单安全一点,黑名单接受的范围大一点。 对于iptables来说本来存在默认规则,通常默认规则设置为ACCEPT或者DROP。 如果默认规则是ACCEPT,那就是把所有人当做好人了,如此可以建立黑名单机制了。 如果默认规则是DROP,即是把所有人当做坏人,可以建立白名单机制。 使用C7 x86_64为实验环境 CentOS7默认的防火墙不是iptables,而是firewalle
Linux加网络白名单
热门推荐
liwb94的博客
04-26 1万+
  原文地址:https://blog.csdn.net/syilt/article/details/78298844 1.iptables的工作机制 首先列出iptableslinux内核中涉及的五个位置: 1.内核空间中:从一个网络接口进来,到另一个网络接口去的 2.数据包从内核流入用户空间的 3.数据包从用户空间流出的 4.进入/离开本机的外网接口 5.进入/离开本机的内网接口 ...
iptables白名单模板_iptables 端口白名单应该如何设置才能生效?
weixin_29871753的博客
02-16 511
我设置了 80 和 443 端口只运行白名单 IP 访问,但是发现没有用,实际上任何 IP 都能访问。然后我又测试删除 80 端口的 INPUT 规则,之后依然能访问。明明有 -A INPUT -j DROP。但是 Ben IP 又正常生效 -A INPUT -s 120.26.72.89/32 -j DROP。-A INPUT -i lo -j ACCEPT-A INPUT -m state -...
Linux安全之iptables白名单
mengmeng_921的博客
09-14 1605
既将 INPUT 链的默认策略设置为了 ACCEPT,同时又使用白名单机制,因为如果报文符合放行条件,则会被前面的放行规则匹配到,如果报文不符合放行条件,则会被最后一条拒绝规则匹配到,此刻,即使我们误操作,执行了 iptables -F 操作,也能保证管理员能够远程到主机上进行维护,因为默认策略仍然是 ACCEPT。转载文章链接: https://www.escapelife.site/posts/39bc1a0b.html。我们就来做一个简单的白名单,只放行被规则匹配到的报文,其他报文一律拒绝。
linux iptables放开网页白名单
06-08
要在Linux iptables中放开网页白名单,你需要使用以下命令: 1. 首先,创建一个名为“whitelist”的自定义链: ``` iptables -N whitelist ``` 2. 添加你想要允许的网页IP地址或域名到whitelist链中,比如允许...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值