未加星标

详解Linux防火墙iptables禁IP与解封IP常用命令

字体大小 | |
[运维安全 所属分类 运维安全 | 发布者 店小二05 | 时间 | 作者 红领巾 ] 0人收藏点击收藏

linux服务器被攻击的时候,有的时候会有几个主力IP。如果能拒绝掉这几个IP的攻击的话,会大大减轻服务器的压力,说不定服务器就能恢复正常了。

在Linux下封停IP,有封杀网段和封杀单个IP两种形式。一般来说,现在的攻击者不会使用一个网段的IP来攻击(太招摇了),IP一般都是散列的。于是下面就详细说明一下封杀单个IP的命令,和解封单个IP的命令。

Linux防火墙:iptables禁IP与解封IP常用命令

在Linux下,使用ipteables来维护IP规则表。要封停或者是解封IP,其实就是在IP规则表中对入站部分的规则进行添加操作。

要封停一个IP,使用下面这条命令:

iptables -I INPUT -s ***.***.***.*** -j DROP

要解封一个IP,使用下面这条命令:

iptables -D INPUT -s ***.***.***.*** -j DROP

参数-I是表示Insert(添加),-D表示Delete(删除)。后面跟的是规则,INPUT表示入站,***.***.***.***表示要封停的IP,DROP表示放弃连接。

此外,还可以使用下面的命令来查看当前的IP规则表:

iptables -list

比如现在要将123.44.55.66这个IP封杀,就输入:

iptables -I INPUT -s 123.44.55.66 -j DROP

要解封则将-I换成-D即可,前提是iptables已经有这条记录。如果要想清空封掉的IP地址,可以输入:

iptables -flush

要添加IP段到封停列表中,使用下面的命令:

iptables -I INPUT -s 121.0.0.0/8 -j DROP

其实也就是将单个IP封停的IP部分换成了Linux的IP段表达式。关于IP段表达式网上有很多详细解说的,这里就不提了。

相信有了iptables的帮助,解决小的DDoS之类的攻击也不在话下!

附:其他常用的命令

编辑 iptables 文件

vi /etc/sysconfig/iptables

关闭/开启/重启防火墙

/etc/init.d/iptables stop
#start 开启
#restart 重启

验证一下是否规则都已经生效:

iptables -L

保存并重启iptables

/etc/rc.d/init.d/iptables save
service iptables restart

linux下实用iptables封ip段的一些常见命令:

封单个IP的命令是:

iptables -I INPUT -s 211.1.0.0 -j DROP

封IP段的命令是:

iptables -I INPUT -s 211.1.0.0/16 -j DROP
iptables -I INPUT -s 211.2.0.0/16 -j DROP
iptables -I INPUT -s 211.3.0.0/16 -j DROP

封整个段的命令是:

iptables -I INPUT -s 211.0.0.0/8 -j DROP

封几个段的命令是:

iptables -I INPUT -s 61.37.80.0/24 -j DROP
iptables -I INPUT -s 61.37.81.0/24 -j DROP

想在服务器启动自运行的话有三个方法:

1、把它加到/etc/rc.local中

2、iptables-save >;/etc/sysconfig/iptables可以把你当前的iptables规则放到/etc/sysconfig/iptables中,系统启动iptables时自动执行。

3、service iptables save 也可以把你当前的iptables规则放/etc/sysconfig/iptables中,系统启动iptables时自动执行。

后两种更好此,一般iptables服务会在network服务之前启来,更安全。

解封的话:
iptables -D INPUT -s IP地址 -j REJECT
iptables -F 全清掉了

Linux防火墙Iptable如何设置只允许某个ip访问80端口,只允许特定ip访问某端口?参考下面命令,只允许46.166.150.22访问本机的80端口。如果要设置其他ip或端口,改改即可。

iptables -I INPUT -p TCP Cdport 80 -j DROP
iptables -I INPUT -s 46.166.150.22 -p TCP Cdport 80 -j ACCEPT

在root用户下执行上面2行命令后,重启iptables, service iptables restart

查看iptables是否生效:

[root@www.xxx.com]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp C 46.166.150.22 anywhere tcp dpt:http
DROP tcp C anywhere anywhere tcp dpt:http

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

上面命令是针对整个服务器(全部ip)禁止80端口,如果只是需要禁止服务器上某个ip地址的80端口,怎么办?

下面的命令是只允许来自174.140.3.190的ip访问服务器上216.99.1.216的80端口

iptables -A FORWARD -s 174.140.3.190 -d 216.99.1.216 -p tcp -m tcp Cdport 80 -j ACCEPT
iptables -A FORWARD -d 216.99.1.216 -p tcp -m tcp Cdport 80 -j DROP

更多iptables参考命令如下:

1.先备份iptables

# cp /etc/sysconfig/iptables /var/tmp

需要开80端口,指定IP和局域网

下面三行的意思:

先关闭所有的80端口

开启ip段192.168.1.0/24端的80口

开启ip段211.123.16.123/24端ip段的80口

# iptables -I INPUT -p tcp Cdport 80 -j DROP
# iptables -I INPUT -s 192.168.1.0/24 -p tcp Cdport 80 -j ACCEPT
# iptables -I INPUT -s 211.123.16.123/24 -p tcp Cdport 80 -j ACCEPT

以上是临时设置。

2.然后保存iptables

# service iptables save

3.重启防火墙

#service iptables restart

以下是端口,先全部封再开某些的IP

iptables -I INPUT -p tcp Cdport 9889 -j DROP
iptables -I INPUT -s 192.168.1.0/24 -p tcp Cdport 9889 -j ACCEPT

如果用了NAT转发记得配合以下才能生效

iptables -I FORWARD -p tcp Cdport 80 -j DROP
iptables -I FORWARD -s 192.168.1.0/24 -p tcp Cdport 80 -j ACCEPT
常用的IPTABLES规则如下:

只能收发邮件,别的都关闭

iptables -I Filter -m mac Cmac-source 00:0F:EA:25:51:37 -j DROP
iptables -I Filter -m mac Cmac-source 00:0F:EA:25:51:37 -p udp Cdport 53 -j ACCEPT
iptables -I Filter -m mac Cmac-source 00:0F:EA:25:51:37 -p tcp Cdport 25 -j ACCEPT
iptables -I Filter -m mac Cmac-source 00:0F:EA:25:51:37 -p tcp Cdport 110 -j ACCEPT

IPSEC NAT 策略

iptables -I PFWanPriv -d 192.168.100.2 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp Cdport 80 -d $INTERNET_ADDR -j DNAT Cto-destination 192.168.100.2:80
iptables -t nat -A PREROUTING -p tcp Cdport 1723 -d $INTERNET_ADDR -j DNAT Cto-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp Cdport 1723 -d $INTERNET_ADDR -j DNAT Cto-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp Cdport 500 -d $INTERNET_ADDR -j DNAT Cto-destination 192.168.100.2:500
iptables -t nat -A PREROUTING -p udp Cdport 4500 -d $INTERNET_ADDR -j DNAT Cto-destination 192.168.100.2:4500

FTP服务器的NAT

iptables -I PFWanPriv -p tcp Cdport 21 -d 192.168.1.22 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp Cdport 21 -d $INTERNET_ADDR -j DNAT Cto-destination 192.168.1.22:21

只允许访问指定网址

iptables -A Filter -p udp Cdport 53 -j ACCEPT
iptables -A Filter -p tcp Cdport 53 -j ACCEPT
iptables -A Filter -d www.ctohome.com -j ACCEPT
iptables -A Filter -d www.guowaivps.com -j ACCEPT
iptables -A Filter -j DROP

开放一个IP的一些端口,其它都封闭

iptables -A Filter -p tcp Cdport 80 -s 192.168.1.22 -d www.pconline.com.cn -j ACCEPT
iptables -A Filter -p tcp Cdport 25 -s 192.168.1.22 -j ACCEPT
iptables -A Filter -p tcp Cdport 109 -s 192.168.1.22 -j ACCEPT
iptables -A Filter -p tcp Cdport 110 -s 192.168.1.22 -j ACCEPT
iptables -A Filter -p tcp Cdport 53 -j ACCEPT
iptables -A Filter -p udp Cdport 53 -j ACCEPT
iptables -A Filter -j DROP

多个端口

复制代码 代码如下:

iptables -A Filter -p tcp -m multiport Cdestination-port 22,53,80,110 -s 192.168.20.3 -j REJECT

连续端口

复制代码 代码如下:

iptables -A Filter -p tcp -m multiport Csource-port 22,53,80,110 -s 192.168.20.3 -j REJECT iptables -A Filter -p tcp Csource-port 2:80 -s 192.168.20.3 -j REJECT

指定时间上网

iptables -A Filter -s 10.10.10.253 -m time Ctimestart 6:00 Ctimestop 11:00 Cdays Mon,Tue,Wed,Thu,Fri,Sat,Sun -j DROP
iptables -A Filter -m time Ctimestart 12:00 Ctimestop 13:00 Cdays Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT
iptables -A Filter -m time Ctimestart 17:30 Ctimestop 8:30 Cdays Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT

禁止多个端口服务

iptables -A Filter -m multiport -p tcp Cdport 21,23,80 -j ACCEPT

将WAN 口NAT到PC

复制代码 代码如下:

iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT Cto-destination 192.168.0.1

将WAN口8000端口NAT到192。168。100。200的80端口

复制代码 代码如下:

iptables -t nat -A PREROUTING -p tcp Cdport 8000 -d $INTERNET_ADDR -j DNAT Cto-destination 192.168.1.22:80

MAIL服务器要转的端口

iptables -t nat -A PREROUTING -p tcp Cdport 110 -d $INTERNET_ADDR -j DNAT Cto-destination 192.168.1.22:110
iptables -t nat -A PREROUTING -p tcp Cdport 25 -d $INTERNET_ADDR -j DNAT Cto-destination 192.168.1.22:25

只允许PING 202。96。134。133,别的服务都禁止

iptables -A Filter -p icmp -s 192.168.1.22 -d 202.96.134.133 -j ACCEPT
iptables -A Filter -j DROP

禁用BT配置

iptables CA Filter Cp tcp Cdport 6000:20000 Cj DROP

禁用QQ防火墙配置

iptables -A Filter -p udp Cdport ! 53 -j DROP
iptables -A Filter -d 218.17.209.0/24 -j DROP
iptables -A Filter -d 218.18.95.0/24 -j DROP
iptables -A Filter -d 219.133.40.177 -j DROP

基于MAC,只能收发邮件,其它都拒绝

iptables -I Filter -m mac Cmac-source 00:0A:EB:97:79:A1 -j DROP
iptables -I Filter -m mac Cmac-source 00:0A:EB:97:79:A1 -p tcp Cdport 25 -j ACCEPT
iptables -I Filter -m mac Cmac-source 00:0A:EB:97:79:A1 -p tcp Cdport 110 -j ACCEPT

禁用MSN配置

iptables -A Filter -p udp Cdport 9 -j DROP
iptables -A Filter -p tcp Cdport 1863 -j DROP
iptables -A Filter -p tcp Cdport 80 -d 207.68.178.238 -j DROP
iptables -A Filter -p tcp Cdport 80 -d 207.46.110.0/24 -j DROP

只允许PING 202。96。134。133 其它公网IP都不许PING

iptables -A Filter -p icmp -s 192.168.1.22 -d 202.96.134.133 -j ACCEPT
iptables -A Filter -p icmp -j DROP

禁止某个MAC地址访问internet:

iptables -I Filter -m mac Cmac-source 00:20:18:8F:72:F8 -j DROP

禁止某个IP地址的PING:

iptables CA Filter Cp icmp Cs 192.168.0.1 Cj DROP

禁止某个IP地址服务:

iptables CA Filter -p tcp -s 192.168.0.1 Cdport 80 -j DROP
iptables CA Filter -p udp -s 192.168.0.1 Cdport 53 -j DROP

只允许某些服务,其他都拒绝(2条规则)

iptables -A Filter -p tcp -s 192.168.0.1 Cdport 1000 -j ACCEPT
iptables -A Filter -j DROP

禁止某个IP地址的某个端口服务

iptables -A Filter -p tcp -s 10.10.10.253 Cdport 80 -j ACCEPT
iptables -A Filter -p tcp -s 10.10.10.253 Cdport 80 -j DROP

禁止某个MAC地址的某个端口服务

iptables -I Filter -p tcp -m mac Cmac-source 00:20:18:8F:72:F8 Cdport 80 -j DROP

禁止某个MAC地址访问internet:

iptables -I Filter -m mac Cmac-source 00:11:22:33:44:55 -j DROP

禁止某个IP地址的PING:

iptables CA Filter Cp icmp Cs 192.168.0.1 Cj DROP

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。


您可能感兴趣的文章:CentOS 7.0关闭默认防火墙启用iptables防火墙的设置方法CentOS7安装iptables防火墙的方法阿里云Centos配置iptables防火墙教程一键配置CentOS iptables防火墙的Shell脚本分享Linux防火墙iptables入门教程修改iptables防火墙规则解决vsftp登录后不显示文件目录的问题linux增加iptables防火墙规则的示例

本文运维安全相关术语:linux服务器代维 linux服务器搭建 运维管理 运维工程师 企业安全文章 企业安全管理 cf安全系统检测到游戏数据异常

主题: Linux服务器UT防火墙TI阿里云其实封单删除MSN
tags: iptables,Filter,Cdport,tcp,IP,ACCEPT iptables,INPUT,DROP iptables,端口
分页:12
转载请注明
本文标题:详解Linux防火墙iptables禁IP与解封IP常用命令
本站链接:https://www.codesec.net/view/573330.html


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 运维安全 | 评论(0) | 阅读(56)