linux远程白名单,Linux的Iptables命令实战2—设置白名单
一、場(chǎng)景模擬
購(gòu)買(mǎi)一臺(tái)新的云服務(wù)器需要做好防護(hù),最簡(jiǎn)單的就是設(shè)置白名單,默認(rèn)設(shè)置全部DROP。我司白名單IP如下:192.168.0.10/24
注:這個(gè)192.168.0.10/24是私網(wǎng)網(wǎng)段,只是一個(gè)舉例說(shuō)明;如果是按照實(shí)際情況,需要填寫(xiě)貴司的辦公網(wǎng)出口的公網(wǎng)IP段或者其他的公網(wǎng)IP。
二、配置
在Ubuntu或者Centos等linux系統(tǒng)的命令行進(jìn)行操作
iptables -F
iptables -Z
iptables -X
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT //這里填寫(xiě)您的需要允許的公網(wǎng)IP
iptables -A INPUT -p udp -m -udp --sprot 22 -j ACCEPT //避免您白名單沒(méi)設(shè)置好,導(dǎo)致遠(yuǎn)程中斷
iptables -P INPUT DROP
service iptables save //保存策略
注:Centos或者Redhat配置文件在: /etc/sysconfig/iptables(也可以通過(guò)修改配置文件然后重啟iptables服務(wù))Ubuntu沒(méi)有配置文件,需要自己創(chuàng)建。
三、舉一反三
1.允許源地址192.168.0.10/24網(wǎng)段的所有IP訪問(wèn)(已包括192.168.0.1/32這個(gè)IP)
iptables -A INPUT -s 192.168.0.1/32 -j ACCEPT
iptables -A INPUT -s 192.168.0.10/24 -j ACCEPT
2.允許tcp和udp協(xié)議的80訪問(wèn)
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 80 -j ACCEPT
3.在默認(rèn)DROP的情況下,允許icmp協(xié)議的訪問(wèn),例如可以ping通本服務(wù)器IP
iptables --A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
4.允許源端口是3306的訪問(wèn)
iptables -A INPUT -p udp -m udp --sport 3306 -j ACCEPT
5.允許源端口范圍是3306-20000的訪問(wèn)
例子:iptables -A INPUT -p udp -m udp --sport 3306:20000 -j ACCEPT
以上只是部分例子,其他參數(shù)建議您讀完iptables基礎(chǔ)知識(shí)后,您也能靈活使用。
本期內(nèi)容就這么多,下一期會(huì)手把手教您如何安裝和使用iptables。
總結(jié)
以上是生活随笔為你收集整理的linux远程白名单,Linux的Iptables命令实战2—设置白名单的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: linux on android分区,l
- 下一篇: linux debian 自动安装,de