Linux限制端口
1 firewall-cmd方式
查看防火墙状态
systemctl status firewalld
这说明服务是启动着的。
- 设置启动/关闭 开机自启
- 一般需要重启一下机器,不然后面做的设置可能不会生效
systemctl start firewalld
systemctl stop firewalld
systemctl restart firewalld
systemctl enable firewalld
开放端口
- 其中
--permanent
的作用是使设置永久生效,不加的话机器重启之后失效 - 只有防火墙开启状态下,才能够进行防火墙策略配置
开放22端口
firewall-cmd --zone=public --add-port=22/tcp --permanent
重新载入一下防火墙设置,使设置生效
firewall-cmd --reload
查看是否生效
firewall-cmd --zone=public --query-port=22/tcp
查看当前系统打开的所有端口
firewall-cmd --zone=public --list-ports
限制端口
限制22端口
firewall-cmd --zone=public --remove-port=22/tcp --permanent
重新载入一下防火墙设置,使设置生效
firewall-cmd --reload
查看当前系统打开的所有端口
firewall-cmd --zone=public --list-ports
批量开放/限制端口
1、批量开放端口
批量开放端口,如从100到500这之间的端口我们全部要打开
firewall-cmd --zone=public --add-port=100-500/tcp --permanent
重新载入一下防火墙设置,使设置生效
firewall-cmd --reload
查看系统所有开放的端口
firewall-cmd --zone=public --list-ports
2、批量限制端口
firewall-cmd --zone=public --remove-port=100-500/tcp --permanent
firewall-cmd --reload
限制IP地址访问
(1)比如限制IP为192.168.0.200的地址禁止访问80端口即禁止访问机器
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.200" port protocol="tcp" port="80" reject"
(2)重新载入一下防火墙设置,使设置生效
firewall-cmd --reload
(3)查看已经设置的规则
firewall-cmd --zone=public --list-rich-rules
开放IP地址访问
(1)解除刚才被限制的192.168.0.200
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.200" port protocol="tcp" port="80" accept"
(2)重新载入一下防火墙设置,使设置生效
firewall-cmd --reload
(3)再查看规则设置发现已经没有192.168.0.200的限制了
firewall-cmd --zone=public --list-rich-rules
限制IP地址段
(1)如我们需要限制10.0.0.0-10.0.0.255这一整个段的IP,禁止他们访问
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.0.0.0/24" port protocol="tcp" port="80" reject"
(2)重新载入一下防火墙设置,使设置生效
firewall-cmd --reload
(3)查看规则,确认是否生效
firewall-cmd --zone=public --list-rich-rules
(4)同理,打开限制为
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.0.0.0/24" port protocol="tcp" port="80" accept"
firewall-cmd --reload
(5)删除已经添加的规则
firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="10.0.0.0/24" port protocol="tcp" port="80" accept'
firewall-cmd --reload
(6)添加对协议的控制,不涉及端口
firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="10.0.0.0/24" protocol value="tcp" accept'
firewall-cmd --reload
(7)移除防火墙中的服务
firewall-cmd --remove-service=ssh --permanent
开放与限制IP访问
开放
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.0.0.0/24" accept'
firewall-cmd --reload
firewall-cmd --list-all
限制
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.0.0.0/24" reject'
firewall-cmd --reload
firewall-cmd --list-all
移除规则
firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="10.0.0.0/24" accept'
firewall-cmd --reload
firewall-cmd --list-all
只限制IP不限制端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.111.82.121" accept"
firewall-cmd --reload
firewall-cmd --list-all
限制IP与一段端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.111.164.0/22" port protocol="tcp" port="9080-9095" accept"
2 iptables方式
查看防火墙状态
状态
service iptables status
停止
service iptables stop
启动
service iptables start
重启
service iptables restart
开放端口
iptables -I INPUT -p tcp --dport 9100 -j ACCEPT
service iptables save
service iptabels restart
限制端口
iptables -I INPUT -p tcp --dport 9100 -j DROP
service iptables save && service iptables restart
批量开放/限制端口
iptables -A INPUT -p tcp -m multiport --dports 21:23,25,80,110,16500:16800 -j ACCEPT
- 说明
- 先指定大的协议如tcp,然后再指定扩展协议
- 21:23指21到23间的所有端口,16500:16800同理,不连续的用,分开
限制IP地址访问
iptables -I INPUT -s 10.10.10.250 -p tcp --dport 9100 -j DROP
开放IP地址访问
iptables -I INPUT -s 10.10.10.250 -p tcp --dport 9100 -j ACCEPT
限制IP地址段
iptables -A INPUT -p tcp --dport 22 -m iprange --src-range 192.168.8.20-192.168.8.60 -j ACCEPT
- 允许20-60间的主机可以通过22端口远程访问本机
iptables -A INPUT -p tcp --dport 22 -s 192.168.4.0/24 -j DROP
- 禁止4.0/24网段的访问
经验
- 针对于漏洞整改,限制IP访问某端口
- 先关闭某端口的所有访问权限
- 在针对于特定的IP开启端口访问权限
- ssh登录服务器
只允许某些IP地登录,在`/etc/hosts.allow`文件中添加数据
sshd:192.168.95.5
限制某些IP地址登录,在`/etc/hosts.deny`文件中添加数据
sshd:all