iptables 只拒绝某个ip的所有连接

Linux IPTABLES配置详解:禁用特定IP与规则保存
最新推荐文章于 2025-01-09 03:00:00 发布
原创 最新推荐文章于 2025-01-09 03:00:00 发布 · 1.6w 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 

linux下IPTABLES配置详解

如果你的IPTABLES基础知识还不了解,建议先去看看.
开始配置
我们来配置一个filter表的防火墙.
(1)查看本机关于IPTABLES的设置情况
[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target       prot opt source                 destination         
Chain FORWARD (policy ACCEPT)
target       prot opt source                 destination         
Chain OUTPUT (policy ACCEPT)
target       prot opt source                 destination         
Chain RH-Firewall-1-INPUT (0 references)
target       prot opt source                 destination         
ACCEPT       all    --    0.0.0.0/0              0.0.0.0/0           
ACCEPT       icmp --    0.0.0.0/0              0.0.0.0/0             icmp type 255 
ACCEPT       esp    --    0.0.0.0/0              0.0.0.0/0           
ACCEPT       ah     --    0.0.0.0/0              0.0.0.0/0           
ACCEPT       udp    --    0.0.0.0/0              224.0.0.251           udp dpt:5353 
ACCEPT       udp    --    0.0.0.0/0              0.0.0.0/0             udp dpt:631 
ACCEPT       all    --    0.0.0.0/0              0.0.0.0/0             state RELATED,ESTABLISHED 
ACCEPT       tcp    --    0.0.0.0/0              0.0.0.0/0             state NEW tcp dpt:22 
ACCEPT       tcp    --    0.0.0.0/0              0.0.0.0/0             state NEW tcp dpt:80 
ACCEPT       tcp    --    0.0.0.0/0              0.0.0.0/0             state NEW tcp dpt:25 
REJECT       all    --    0.0.0.0/0              0.0.0.0/0             reject-with icmp-host-prohibited 
可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口.

如果你在安装linux时没有选择启动防火墙,是这样的
[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target       prot opt source                 destination    
     
Chain FORWARD (policy ACCEPT)
target       prot opt source                 destination         

Chain OUTPUT (policy ACCEPT)
target       prot opt source                 destination  
什么规则都没有.


(2)清除原有规则.
不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.
[root@tp ~]# iptables -F        清除预设表filter中的所有规则链的规则
[root@tp ~]# iptables -X        清除预设表filter中使用者自定链中的规则
我们在来看一下
[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target       prot opt source                 destination         
Chain FORWARD (policy ACCEPT)
target       prot opt source                 destination         
Chain OUTPUT (policy ACCEPT)
target       prot opt source                 destination      
什么都没有了吧,和我们在安装linux时没有启动防火墙是一样的.(提前说一句,这些配置就像用命令配置IP一样,重起就会失去作用),怎么保存.

[root@tp ~]# /etc/rc.d/init.d/iptables save
这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.

[root@tp ~]# service iptables restart
现在IPTABLES配置表里什么配置都没有了,那我们开始我们的配置吧




如何用 iptables 禁止某个ip?

1、添加对 114.32.207.47 的过滤(直接 DROP 掉)

iptables -I INPUT -s 114.32.207.47 -j DROP

 

2、检查设置是否正常

iptables --list

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  114-32-207-47.HINET-IP.hinet.net  anywhere            
 
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination   


单个IP的命令是    
iptables -I INPUT -s 115.236.160.83 -j DROP

Android14.0 系统限制上网系列之iptables用IOemNetd实现ip白名单的实现
安卓兼职framework和app工程师的博客
12-24 373
在14.0的系统rom定制化开发中,在system中netd网络这块的产品需求中,对于系统限制网络的使用,会要求设置屏蔽ip地址之内的功能, liunx中iptables命令也是比较重要的,接下来就来在IOemNetd这块实现ip白名单的的相关功能,就是在app中只能允许某个网址上网,就是除了这个网址,其他的都不能上网,最后在framework自定义服务中实现接口调用
修改 **iptables** 为 **全部允许**的详细步骤
最新发布
笔者从事电信媒体开发多年,愿意将多年的开发经验分享给同行
04-27 245
通过以上步骤,您可将 iptables 配置为允许所有流量。请根据实际环境评估安全风险后再操作。输出应显示所有链的规则为。
linux: 使用iptables阻断到某个ip某个端口的访问
十年运维开发经验的王义杰在此分享自己的知识和经验
11-16 5427
和规则的行号来删除它。在进行这些操作时,请确保具有足够的权限,并且对操作的影响有充分的了解,以免意外中断网络服务。阻断到特定 IP 地址的特定端口的访问,我们可以遵循以下步骤。在对网络配置进行更改时,确保我们完全了解这些更改的后果,以避免不必要的网络中断。:和添加规则一样,删除规则后也需要保存更改。命令或相应的方法来保存这些规则,具体取决于你的 Linux 发行版。:使用以下命令来添加一条规则,阻断到指定 IP 和端口的访问。:一旦我们找到了要删除的规则的行号,使用。设置的阻断规则,我们可以使用。
linux拒绝一个ip访问,linux设置iptables禁止某个IP访问
weixin_42506884的博客
05-04 4645
1. 查看本机关于IPTABLES的设置情况# iptables -L -n2. 清除原有规则# iptables -F 清除预设表filter中的所有规则链的规则# iptables -X 清除预设表filter中使用者自定链中的规则3. 保存设置规则(因配置随系统重启而失效)# /etc/rc.d/init.d/iptables save保存规则到/etc/sysconfig/iptables...
iptables屏蔽ip某个端口访问
喝醉酒的小白
07-15 6948
iptables屏蔽ip某个端口访问。
Linux 使用 iptables 禁止某些 IP 访问
Summer的博客
04-07 3759
一般来说,现在的攻击者不会使用一个网段的IP来攻击(太招摇了),IP一般都是散列的。于是下面就详细说明一下封杀单个IP的命令,和解封单个IP的命令。后面跟的是规则,INPUT表示入站,***.***.***.***表示要封停的IP,DROP表示放弃连接。如果能拒绝掉这几个IP的攻击的话,会大大减轻服务器的压力,说不定服务器就能恢复正常了。要封停或者是解封IP,其实就是在IP规则表中对入站部分的规则进行添加操作。其实也就是将单个IP封停的IP部分换成了Linux的IP段表达式。关闭/开启/重启防火墙。
centos6 下使用 iptables 只允许某ip对本机某端口的访问
iamzxt999的专栏
05-13 6130
iptables的基础知识可以查看 《http://wangcong.org/articles/learning-iptables.cn.html (写得非常棒) iptables的一些术语之间的包含关系:表包含链,链包含规则,规则由匹配和目标组成。 匹配当然是指从网络进来的数据包匹配你制定的匹配条件了,目标则是说匹配成功后将会做什么操作(即目标)。 iptables的整个流程会读取四个表,
Android 14.0 系统限制上网系列之iptables用IOemNetd实现app某个时间段禁止上网的功能实现
安卓兼职framework和app工程师的博客
01-09 381
在14.0的系统rom定制化开发中,对于系统限制网络的使用的这块需求开发中,在system中netd网络这块的产品需要中,会要求设置app某个时间段禁止上网的功能, liunx中iptables命令也是比较重要的,接下来就来在IOemNetd这块实现app某个时间段禁止上网的的相关功能,就是在 系统中只能允许某个app某个时间段禁止上网,就是在其他时间段这个app都能上网,最后在framework自定义服务中实现接口调用
Android 11.0 系统限制上网系统之iptables用IOemNetd实现app上网白名单的功能实现
安卓兼职framework和app工程师的博客
08-01 1156
在10.0的系统rom定制化开发中,对于系统限制网络的使用,在system中netd网络这块的产品需要中,会要求设置app上网白名单的功能, liunx中iptables命令也是比较重要的,接下来就来在IOemNetd这块实现app上网白名单的的相关功能,就是在 系统中只能允许某个app上网,就是除了这个app,其他的app都不能上网,最后在framework自定义服务中实现接口调用
Linux 中使用 firewalld 或 iptables 设置黑名单,禁止指定 IP 连接特定端口
学亮编程手记
12-16 2869
在 Linux 系统中,可以使用firewalld或者iptables来设置防火墙规则,以阻止特定 IP 地址连接到 MySQL 的默认端口 3306。下面是针对这两种工具的设置方法。
iptables 使用
weixin_34345560的博客
04-19 465
原文链接 本文介绍25个常用的iptables用法。如果你对iptables还不甚了解,可以参考上一篇iptables详细教程:基础、架构、清空规则、追加规则、应用实例,看完这篇文章,你就能明白iptables的用法和本文提到的基本术语。 一、iptables:从这里开始 删除现有规则 iptables -F (OR) iptables --flush 设置默认链策略 ipta...
linux防火墙iptablesIP拒绝指定IP和网段的办法
weixin_37707670的博客
11-22 1226
转载:https://www.qumai8.cn/2017/06/21/1049.html service iptables status可以查看到iptables服务的当前状态 /etc/init.d/iptables stop /etc/init.d/iptables start 单个IP的命令是 iptables -I INPUT -s 211.1.0.0 -j DROP 封IP段的命令是 iptables -I INPUT -s 211.1.0.0/16 -j DROP iptables -I IN
iptables设置禁止公网访问
weixin_35750953的博客
01-18 578
首先,打开终端并使用root用户登录。然后执行以下命令: iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT iptables...
Linux使用iptables命令禁止指定IP地址的机器和主机进行连接
BBBBBBB
08-18 2011
1.禁止指定IP地址的主机进行连接 iptables -I INPUT -s .***.***. -j DROP 2.解除禁止指定IP地址的主机进行连接 iptables -D INPUT -s .***.***. -j DROP [参数]-[规则]: -I Insert (添加) -D表示 Delete (删除) Linux使用iptables命令禁止指定IP地址的机器和主机进行连接 ...
通过iptables 过滤IP IP
zj0910
10-20 5779
1. 封单个IP iptables  -I INPUT -s IP地址 -j DROP   2. 封IPiptables -I INPUT -s 192.168.1.0/24 -j DROP   3. 解封: iptables -D INPUT -s IP地址 -j REJECT   4. iptables -F 全部清掉
iptables 必须先拒绝所有 在允许
trigfj的博客
11-12 7741
iptables 必须先拒绝所有 在允许
Linux 禁止某个IP地址访问的几种方法
热门推荐
Jay112011的博客
03-23 1万+
Linux 禁止某个IP地址访问的几种方法 一、概述 这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下: #服务进程名:主机列表:当规则匹配时可选的命令操作 server_name:hosts-list[:command] /etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。 /etc/hosts.allow和/e
iptables 之 REJECT 与 DROP 对比
weixin_34209851的博客
12-29 4063
前言 在访问国外网站时,F12 看 console,下面两种错误很常见: (1),Failed to load resource: net::ERR_CONNECTION_REFUSED(2),Failed to load resource: net::ERR_CONNECTION_TIMEOUT 不考虑网络状况的情况下,一般是不同的 i...
IPTABLES配置指定范围IP访问端口
04-02
### 使用 IPTABLES 配置特定 IP 段访问端口 为了实现通过 IPTABLES 允许特定 IP 段访问某个端口的功能,可以按照以下方法操作: #### 1. 创建规则以允许指定的 IP 段访问目标端口 可以通过 `-s` 参数来定义源地址范围,并结合 `--dport` 来限定目标端口号。例如,如果要允许来自 IP 范围 `192.168.1.0/24` 的设备访问端口 `3306`,则可执行如下命令: ```bash iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 3306 -j ACCEPT ``` 此命令的作用是接受来自子网 `192.168.1.0/24` 中的所有主机对端口 `3306` 的 TCP 连接请求[^1]。 #### 2. 禁止其他所有 IP 访问该端口 为了让上述规则生效并确保安全性,还需要阻止除指定 IP 段外的所有流量尝试连接到这个端口。这一步骤通常放在最后一条匹配规则之后完成: ```bash iptables -A INPUT -p tcp --dport 3306 -j DROP ``` 这条指令会丢弃任何未被前面规则显式许可的数据包到达端口 `3306` 上[^2]。 #### 完整脚本实例 下面给出一个完整的例子用于演示如何设置 MySQL 数据库服务器(默认监听于 3306 端口),使其仅仅能够由本地网络内的客户端机器进行远程管理而拒绝外部世界的未经邀请者接入: ```bash #!/bin/bash # 清理现有规则 (谨慎使用, 可能中断当前会话) iptables -F # 开放 SSH(22号端口),防止断开SSH连接 iptables -I INPUT -p tcp --dport 22 -j ACCEPT # 授权局域网中的计算机访问数据库服务 iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 3306 -j ACCEPT # 屏蔽其余一切针对3306端口的入站请求 iptables -A INPUT -p tcp --dport 3306 -j DROP # 启用回环接口通信以及已建立或相关联的链接保持畅通无阻状态 iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 默认策略设为DROP以防万一遗漏某些潜在威胁项 iptables -P INPUT DROP ``` 以上脚本首先清除了现有的防火墙规则;接着开放了必要的 SSH 和 MySQL 数据库服务入口;再设定好内外部防护屏障后才最终确立起整个系统的安全基线架构体系结构[^3]。 ### 注意事项 - 在实际部署前务必测试新加入的过滤条件不会误伤合法业务流程。 - 如果操作系统重启可能会丢失临时性的 iptables 修改成果,因此建议保存配置文件或者利用工具如 `service iptables save` 命令永久保留更改记录。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

scan724

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值