标签:iptables 主机 端口 防火墙 linux 白名单 INPUT 172.31 3.191
1、Redhat操作系统只添加IP白名单,不限制端口
1.1、防火墙关闭状态示例
172.31.3.191主机防火墙为关闭状态
172.31.3.32与172.31.3.88两台主机均能正常telnet 172.31.3.191主机
1.2、防火墙开启状态示例
(1)、vim /etc/sysconfig/iptables 进入防火墙配置文件
(2)、添加需要访问服务器IP(白名单):-A INPUT -s 172.31.3.132 -j ACCEPT
(3)、启动防火墙并查看其状态
(4)、继续通过172.31.3.32与172.31.3.88两台主机telnet 172.31.3.191主机
172.31.3.32可以正常telnet 172.31.3.191主机
172.31.3.88则无法telnet 172.31.3.191主机
2、Redhat操作系统添加主机网段白名单,不限制端口
(1)、增加某个网段IP至防火墙配置文件:-A INPUT -s 136.160.123.0/24 -j ACCEPT
(2)、重启并查看防火墙状态
(3)、通过172.31.3.0及172.31.196.0网段telnet 172.31.3.191主机
上图所示,无法使用未添加的网段访问172.31.3.191主机。
3、Redhat操作系统先drop端口,再accept开放端口
(1)、在防火墙配置文件中写入以下配置:
-I INPUT -p tcp --dport 10001-j DROP
-I INPUT -s 172.31.3.32 -p tcp --dport 10001 -j ACCEPT
注意:开通172.31.3.88只是为了测试,现网环境只需要添加所需IP及端口即可。
(2)、重启并查看防火墙状态
(3)、通过172.31.3.32与172.31.3.88两台主机telnet 172.31.3.191主机
172.31.3.32可以正常telnet 172.31.3.191主机的10001端口
172.31.3.88则由于10001端口被限制且没有对其指定开放,所以无法访问10001端口。
4、Suse 11 SP2操作系统添加防火墙白名单
(1)、登陆服务器root用户
(2)、先drop端口,再指定IP访问该端口,与章节四一致,直接在命令行输入命令即可,例如:
iptables -A INPUT -s 132.232.34.0/24 -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j DROP
iptables -A INPUT -s 192.168.117.0/24 -p tcp --dport 10001-j ACCEPT
iptables -A INPUT -p tcp --dport 10001-j DROP
添加完成后 iptables –L查看是否成功,如下图:
(3)、在命令行输入以上命令即可,无需提前开启防火墙,suse操作系统会默认开启,查看防火墙状态命令如下:
rcSuSEfirewall2 status
rcSuSEfirewall2 start
rcSuSEfirewall2 stop
rcSuSEfirewall2 restart
6、FAQ
以上安全加固方式可根据实际情况进行适配操作,
- 一般情况使用第一种方式则能解决,但由于安全扫描器选择项及特征库的不同会导致防火墙无法阻止;
- 第三种方式则能通过先禁用端口再指定IP访问所需端口进行安全加固,此方法可以规避除渗透扫描外的其余安全扫描方式,但需要限制较多端口则配置较多。
标签:iptables,主机,端口,防火墙,linux,白名单,INPUT,172.31,3.191 来源: https://blog.csdn.net/SuHaner/article/details/100733978
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。