ICode9

精准搜索请尝试: 精确搜索
首页 > 系统相关> 文章详细

linux服务器iptables防火墙白名单添加方式

2019-09-11 14:08:03  阅读:112  来源: 互联网

标签:iptables 主机 端口 防火墙 linux 白名单 INPUT 172.31 3.191



1、Redhat操作系统只添加IP白名单,不限制端口

1.1、防火墙关闭状态示例

172.31.3.191主机防火墙为关闭状态

 

172.31.3.32与172.31.3.88两台主机均能正常telnet 172.31.3.191主机

 

 

1.2、防火墙开启状态示例

(1)、vim /etc/sysconfig/iptables 进入防火墙配置文件

(2)、添加需要访问服务器IP(白名单):-A INPUT -s 172.31.3.132 -j ACCEPT

 

(3)、启动防火墙并查看其状态

 

(4)、继续通过172.31.3.32与172.31.3.88两台主机telnet 172.31.3.191主机

172.31.3.32可以正常telnet 172.31.3.191主机

 

172.31.3.88则无法telnet 172.31.3.191主机

 

2、Redhat操作系统添加主机网段白名单,不限制端口

(1)、增加某个网段IP至防火墙配置文件:-A INPUT -s 136.160.123.0/24 -j ACCEPT

 

(2)、重启并查看防火墙状态

 

(3)、通过172.31.3.0及172.31.196.0网段telnet 172.31.3.191主机

 

 

上图所示,无法使用未添加的网段访问172.31.3.191主机。

3、Redhat操作系统先drop端口,再accept开放端口

(1)、在防火墙配置文件中写入以下配置:

-I INPUT -p tcp --dport 10001-j DROP

-I INPUT -s 172.31.3.32 -p tcp --dport 10001 -j ACCEPT

 

注意:开通172.31.3.88只是为了测试,现网环境只需要添加所需IP及端口即可。

 

(2)、重启并查看防火墙状态

 

(3)、通过172.31.3.32与172.31.3.88两台主机telnet 172.31.3.191主机

172.31.3.32可以正常telnet 172.31.3.191主机的10001端口

 

172.31.3.88则由于10001端口被限制且没有对其指定开放,所以无法访问10001端口。

 

4、Suse 11 SP2操作系统添加防火墙白名单

(1)、登陆服务器root用户

(2)、先drop端口,再指定IP访问该端口,与章节四一致,直接在命令行输入命令即可,例如:

iptables -A INPUT -s 132.232.34.0/24 -p tcp --dport 8080 -j ACCEPT

iptables -A INPUT -p tcp --dport 8080 -j DROP

iptables -A INPUT -s 192.168.117.0/24 -p tcp --dport 10001-j ACCEPT

iptables -A INPUT -p tcp --dport 10001-j DROP

添加完成后 iptables –L查看是否成功,如下图:

 

(3)、在命令行输入以上命令即可,无需提前开启防火墙,suse操作系统会默认开启,查看防火墙状态命令如下:

rcSuSEfirewall2 status

rcSuSEfirewall2 start

rcSuSEfirewall2 stop

rcSuSEfirewall2 restart

 

6、FAQ

以上安全加固方式可根据实际情况进行适配操作,

  1. 一般情况使用第一种方式则能解决,但由于安全扫描器选择项及特征库的不同会导致防火墙无法阻止;
  2. 第三种方式则能通过先禁用端口再指定IP访问所需端口进行安全加固,此方法可以规避除渗透扫描外的其余安全扫描方式,但需要限制较多端口则配置较多。


标签:iptables,主机,端口,防火墙,linux,白名单,INPUT,172.31,3.191

专注分享技术,共同学习,共同进步。侵权联系[admin#icode9.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有