Linux防火墻iptables添加白名單

iptables

在linux系統(tǒng)中安裝yum install iptables-services

• 重啟防火墻的命令：service iptables restart 
• 保存到配置中：service iptables save ，該命令會將配置規(guī)則保存到/etc/sysconfig/iptables文件中。

添加白名單：

• 開放端口區(qū)間：iptables -A INPUT -p tcp --dport 3000:3006 -j ACCEPT
• 開放單個端口：iptables -A INPUT -p tcp --dport 3306 -j ACCEPT  #追加到鏈的末尾

拓展：

iptables命令最后的ACCEPT表示公網(wǎng)可訪問，換成whitelist則僅限服務(wù)器之間通過內(nèi)網(wǎng)訪問。

• iptables -I：默認(rèn)插入到第一行，原有規(guī)則后移。
• iptables -A：默認(rèn)追加到最后一行。

Linux防火墻白名單設(shè)置

在linux系統(tǒng)中安裝yum install iptables-services

然后 vi /etc/sysconfig/iptables

# Generated by iptables-save v1.4.7 on Sun Aug 28 12:14:02 2016
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#這里開始增加白名單服務(wù)器ip(請刪除當(dāng)前服務(wù)器的ip地址)
-N whitelist
-A whitelist -s 8.8.8.8 -j ACCEPT
-A whitelist -s x.x.x.x -j ACCEPT
#這些 ACCEPT 端口號，公網(wǎng)內(nèi)網(wǎng)都可訪問
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #允許接受本機(jī)請求之后的返回數(shù)據(jù) RELATED,是為FTP設(shè)置的
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 13020 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 1000:8000 -j ACCEPT  #開放1000到8000之間的所有端口
#下面是 whitelist 端口號，僅限 服務(wù)器之間 通過內(nèi)網(wǎng) 訪問
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j whitelist
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j whitelist
-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j whitelist
-A INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j whitelist
#為白名單ip開放的端口，結(jié)束
-A INPUT -j REJECT --reject-with icmp-host-prohibited 
-A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT

解釋：

添加防火墻過濾規(guī)則步驟如下;

1、查看現(xiàn)有防火墻過濾規(guī)則：

 iptables -nvL --line-number

2、添加防火墻過濾規(guī)則（設(shè)置白名單）：

1）添加白名單

iptables -I INPUT 3 -s 136.6.231.163 -p tcp --dport 1521 -j ACCEPT

命令詳解：

• -I：添加規(guī)則的參數(shù)  
• INPUT：表示外部主機(jī)訪問內(nèi)部資源

規(guī)則鏈：　　　　

• 1）INPUT——進(jìn)來的數(shù)據(jù)包應(yīng)用此規(guī)則鏈中的策略　　　　
• 2）OUTPUT——外出的數(shù)據(jù)包應(yīng)用此規(guī)則鏈中的策略　　　　
• 3）FORWARD——轉(zhuǎn)發(fā)數(shù)據(jù)包時應(yīng)用此規(guī)則鏈中的策略　　　　
• 4）PREROUTING——對數(shù)據(jù)包作路由選擇前應(yīng)用此鏈中的規(guī)則?。ㄓ涀。∷械臄?shù)據(jù)包進(jìn)來的時侯都先由這個鏈處理）　　　　
• 5）POSTROUTING——對數(shù)據(jù)包作路由選擇后應(yīng)用此鏈中的規(guī)則（所有的數(shù)據(jù)包出來的時侯都先由這個鏈處理）　　　　

3、表示添加到第三行（可以任意修改）

• -s：指定作為源地址匹配，這里不能指定主機(jī)名稱，必須是IP；
• -p: 用于匹配協(xié)議的（這里的協(xié)議通常有3種，TCP/UDP/ICMP）
• --dport: 用于匹配端口號
• -j: 用于匹配處理方式：

常用的ACTION：

• DROP：悄悄丟棄，一般我們多用DROP來隱藏我們的身份，以及隱藏我們的鏈表　　　　
• REJECT：明示拒絕　　　　
• ACCEPT：接受

2）查看添加結(jié)果

iptables -nvL --line-number

然后重啟防火墻即可生效

重啟防火墻的命令：service iptables restart

此時，防火墻規(guī)則只是保存在內(nèi)存中，重啟后就會失效。

使用以下命令將防火墻配置保存起來；

保存到配置中：service iptables save （該命令會將防火墻規(guī)則保存在/etc/sysconfig/iptables文件中。）

附：

開放端口段3000~3008

iptables -A INPUT -p tcp --dport 3000:3008 -j ACCEPT

開放ip段

iprange模塊提供了兩個匹配參數(shù)：

• --src-range: 匹配來源地址的范圍，例如，iptables -A INPUT -p tcp -m iprange --src-range 192.168.0.2-192.168.0.61 -j DROP
• --dst-range: 匹配目的地址的范圍，例如，iptables -A OUTPUT -p tcp -m iprange --dst-range 192.168.0.2-192.168.0.61 -j DROP 

禁止用戶訪問www.baidu.com

iptables -I FORWARD -d www.baidu.com -j DROP

iptables—命令(-A、-I、-D、-R、-L等)、

 View Code

釋義，可參考：Centos7.0-iptables linux的出站入站端口維護(hù)

Iptables防火墻規(guī)則使用梳理

規(guī)則的刪除等：linux下iptables的使用下面是可能用于防止慢連接攻擊的方式

#處理IP碎片數(shù)量,防止攻擊,允許每秒100個
iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
#設(shè)置ICMP包過濾,允許每秒1個包,限制觸發(fā)條件是10個包
iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

總結(jié)

以上為個人經(jīng)驗，希望能給大家一個參考，也希望大家多多支持腳本之家。

最新評論