提前了解:
假设希望仅仅允许 111.111.0.0/16 IP 段 ssh 登录,而禁止其他所有 ip 登录。
最简单的命令是:
iptables -I INPUT -p tcp --dport 22 -j DROP
iptables -I INPUT -s 111.111.0.0/16 -p tcp --dport 22 -j ACCEPT
第一句 禁止了所有对 22 端口的入访问,第二句允许 111.111.0.0/16 的访问。
这两句命令的关键在于 “-I” 选项,这个选项表示将当前规则插入到第一条,因此上面两条执行完之后,新
增的两条规则是(用 iptables -L 列出所有规则):
ACCEPT$$$$ tcp$ --$ 111.111.0.0/16$$$$$$$ anywhere$$$$$$$$$$$$ tcp dpt:ssh
DROP$$$$$$ tcp$ --$ anywhere$$$$$$$$$$$$ anywhere$$$$$$$$$$$$ tcp dpt:ssh
当有新链接请求时,iptables 就使用这些规则:
首先查看第一条:ACCEPT$$$$ tcp$ --$ 111.111.0.0/16$$$$$$$ anywhere$$$$$$$$$$$$ tcp dpt:ssh
如果这个 ip 在地址段里,那么允许。如果不在,才查看下一条规则:
DROP$$$$$$ tcp$ --$ anywhere$$$$$$$$$$$$ anywhere$$$$$$$$$$$$ tcp dpt:ssh
也就是禁止访问。
这样就实现了最初设定的目标。
注意:设置完保存 service iptables save 不然下次重启规则就失效了
以 22 端口为例:
--1.添加规则:禁用端口外部访问
iptables -I INPUT -p tcp --dport 22 -j DROP
--2.添加规则:开放端口给指定 ip
iptables -I INPUT -s 172.16.9.77 -p tcp --dport 22 -j ACCEPT
--3.删除指定规则
iptables -D INPUT -s 172.16.9.77 -p tcp --dport 22 -j ACCEPT
使用 iptables 禁止 ping 包功能
$禁止入向 ping 包:
iptables -I INPUT 1 -p icmp --icmp-type echo-request -j DROP
ip6tables -I INPUT 1 -p icmpv6 --icmpv6-type echo-request -j DROP
取消禁止:
iptables -D INPUT -p icmp --icmp-type echo-request -j DROP
ip6tables -D INPUT -p icmpv6 --icmpv6-type echo-request -j DROP
禁止应答入向 ping 包:
iptables -I OUTPUT 1 -p icmp --icmp-type echo-reply -j DROP
ip6tables -I OUTPUT 1 -p icmpv6 --icmpv6-type echo-reply -j DROP
禁止出向 ping 包:
iptables -I OUTPUT 1 -p icmp --icmp-type echo-request -j DROP
ip6tables -I OUTPUT 1 -p icmpv6 --icmpv6-type echo-request -j DROP
评论0