我的日常

登录/注册
您现在的位置:论坛 盖世程序员(我猜到了开头 却没有猜到结局) 运维优化 > linux下限制ip访问
总共48086条微博

动态微博

查看: 1570|回复: 0

linux下限制ip访问

[复制链接]
admin    

1244

主题

544

听众

1万

金钱

管理员

  • TA的每日心情

    2021-2-2 11:21
  • 签到天数: 36 天

    [LV.5]常住居民I

    管理员

    跳转到指定楼层
    楼主
    发表于 2016-03-15 10:38:08 |只看该作者 |倒序浏览
    linux下最直接限制ip访问的方式有两种:
    1.使用hosts.allow和hosts.deny来设置ip白名单和黑名单,/etc/目录下
    1. <span style="color: #003366;">优先级为先检查hosts.deny,再检查hosts.allow,
    2. 后者设定可越过前者限制,
    3. 例如:
    4. 1.限制所有的ssh,
    5. 除非从216.64.87.0 - 127上来。
    6. hosts.deny:
    7. in.sshd:ALL
    8. hosts.allow:
    9. in.sshd:216.64.87.0/255.255.255.128

    10. 2.封掉216.64.87.0 - 127的telnet
    11. hosts.deny
    12. in.sshd:216.64.87.0/255.255.255.128

    13. 3.限制所有人的TCP连接,除非从216.64.87.0 - 127访问
    14. hosts.deny
    15. ALL:ALL
    16. hosts.allow
    17. ALL:216.64.87.0/255.255.255.128

    18. 4.限制216.64.87.0 - 127对所有服务的访问
    19. hosts.deny
    20. ALL:216.64.87.0/255.255.255.128

    21. 其中冒号前面是TCP daemon的服务进程名称,通常系统
    22. 进程在/etc/inetd.conf中指定,比如in.ftpd,in.telnetd,in.sshd

    23. 其中IP地址范围的写法有若干中,主要的三种是:
    24. 1.网络地址--子网掩码方式:
    25. 216.64.87.0/255.255.255.0
    26. 2.网络地址方式(我自己这样叫,呵呵)
    27. 216.64.(即以216.64打头的IP地址)
    28. 3.缩略子网掩码方式,既数一数二进制子网掩码前面有多少个“1”比如:
    29. 216.64.87.0/255.255.255.0 -- 216.64.87.0/24

    30. 设置好后,要重新启动
    31. # /etc/rc.d/init.d/xinetd restart
    32. # /etc/rc.d/init.d/network restart</span>
    复制代码
    2.使用iptables命令
    1. <span style="color: #003366;">单个IP的命令是
    2. iptables -I INPUT -s 81.241.219.171 -j DROP

    3. 封IP段的命令是
    4. iptables -I INPUT -s 97.47.225.0/16 -j DROP
    5. iptables -I INPUT -s 97.47.225.0/16 -j DROP
    6. iptables -I INPUT -s 97.47.225.0/16 -j DROP

    7. 封整个段的命令是
    8. iptables -I INPUT -s 97.47.225.0/8 -j DROP

    9. 封几个段的命令是
    10. iptables -I INPUT -s 97.47.225.0/24 -j DROP
    11. iptables -I INPUT -s 97.47.225.0/24 -j DROP


    12. 服务器启动自运行
    13. 有三个方法:
    14. 1、把它加到/etc/rc.local中
    15. 2、vi /etc/sysconfig/iptables可以把你当前的iptables规则放到/etc/sysconfig/iptables中,系统启动iptables时自动执行。
    16. 3、service   iptables   save 也可以把你当前的iptables规则放/etc/sysconfig/iptables中,系统启动iptables时自动执行。
    17. 后两种更好些,一般iptables服务会在network服务之前启来,更安全

    18. 解封:
    19. iptables -L INPUT
    20. iptables -L --line-numbers 然后iptables -D INPUT 序号


    21. iptables 限制ip访问
    22. 通过iptables限制9889端口的访问(只允许192.168.1.100、192.168.1.101、192.168.1.102),其他ip都禁止访问
    23. iptables -I INPUT -p tcp --dport 9889 -j DROP
    24. iptables -I INPUT -s 192.168.1.100 -p tcp --dport 9889 -j ACCEPT
    25. iptables -I INPUT -s 192.168.1.101 -p tcp --dport 9889 -j ACCEPT
    26. iptables -I INPUT -s 192.168.1.102 -p tcp --dport 9889 -j ACCEPT</span>
    复制代码




    科帮网 1、本主题所有言论和图片纯属会员个人意见,与本社区立场无关
    2、本站所有主题由该帖子作者发表,该帖子作者与科帮网享有帖子相关版权
    3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者和科帮网的同意
    4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
    5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
    6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
    7、科帮网管理员和版主有权不事先通知发贴者而删除本文


    JAVA爱好者①群:JAVA爱好者① JAVA爱好者②群:JAVA爱好者② JAVA爱好者③ : JAVA爱好者③

    快速回复
    您需要登录后才可以回帖 登录 | 立即注册

       

    关闭

    站长推荐上一条 /1 下一条

    发布主题 快速回复 返回列表 联系我们 官方QQ群 科帮网手机客户端
    快速回复 返回顶部 返回列表