2. 程式人生 > >Linux系統使用iptables建立可訪問白名單

Linux系統使用iptables建立可訪問白名單

阿新 發佈:2019-01-05

目前由於專案要求需要修復一些linux系統的漏洞,部分使用了iptables的功能,因此研究了一下iptables的原理,並講述建立系統訪問白名單的過程。

1.iptables的工作機制

首先列出iptables在linux核心中涉及的五個位置:
1.核心空間中:從一個網路介面進來,到另一個網路介面去的
2.資料包從核心流入使用者空間的
3.資料包從使用者空間流出的
4.進入/離開本機的外網介面
5.進入/離開本機的內網介面

這五個位置也被稱為五個鉤子函式(hook functions),也叫五個規則鏈。
1.PREROUTING (路由前)
2.INPUT (資料包流入口)
3.FORWARD (轉發管卡)
4.OUTPUT(資料包出口)
5.POSTROUTING(路由後)
這是NetFilter規定的五個規則鏈,任何一個數據包,只要經過本機,必將經過這五個鏈中的其中一個鏈。

2.iptables規則寫法

iptables定義規則的方式比較複雜:
格式:iptables [-t table] COMMAND chain CRETIRIA -j ACTION
-t table :3個filter nat mangle
COMMAND:定義如何對規則進行管理
chain:指定你接下來的規則到底是在哪個鏈上操作的,當定義策略的時候,是可以省略的
CRETIRIA:指定匹配標準
-j ACTION :指定如何進行處理

 比如:不允許202.110.0.0/24的進行訪問。
 iptables -t filter -A INPUT -s 202.110.0.0/16 -p udp --dport 53 -j DROP
 當然你如果想拒絕的更徹底:
 iptables -t filter -R INPUT 1 -s 202.110.0.0/16 -p udp --dport 53 -j REJECT

 iptables -L -n -v  #檢視定義規則的詳細資訊

3.iptables配置檔案

iptables配置檔案在系統的/etc/sysconfig/目錄下,主要記錄系統中iptables的規則,下面是定義某些ip為系統可訪問白名單的配置,主要是在INPUT (資料包流入口)這個規則下攔截白名單以外的ip進行具體埠的訪問:

# Generated by iptables-save v1.4.7 on Sun Sep 18 11:49:08 2016
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [382404:29851692]

#定義白名單變數名
-N whitelist

 
#設定白名單ip段
-A whitelist -s 120.25.122.0 -j ACCEPT
-A whitelist -s 120.25.122.1 -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j whitelist
-A INPUT -i lo -j ACCEPT

#開放http/https埠外界訪問
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT

#系統遠端連線及資料庫埠規定白名單ip才可訪問
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j whitelist
-A INPUT -p tcp -m state --state NEW -m tcp --dport 1521 -j whitelist
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j whitelist
-A INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j whitelist
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

修改完iptables配置檔案還需要通過命令:
service iptables save 進行儲存
service iptables save && service iptables restart 重啟iptables

相關推薦

Linux系統使用iptables建立訪問名單

目前由於專案要求需要修復一些linux系統的漏洞,部分使用了iptables的功能,因此研究了一下iptables的原理,並講述建立系統訪問白名單的過程。 1.iptables的工作機制 首先列出iptables在linux核心中涉及的五個位置: 1.

oracle配置訪問名單教程

文件 reload div 當前 star lan 進入 .net 參考 出於提高數據安全性等目地,我們可能想要對oracle的訪問進行限制,允許一些IP連接數據庫或拒絕一些IP訪問數據庫。 當然使用iptables也能達到限制的目地,但是從監聽端口變更限制扔可生效、只針對

Windows遠程連接server(Linux系統)及視化

命令行 enter lin -1 用戶 ssi arm mar 下載文件 方法1:命令行連接後使用server上安裝好的可視化編輯器IDE:   Step 1: 工具準備:putty.exe;Xming-6-9-0-31-setup.exe;Xming-fonts-7-7-

linux系統iptables的使用

防火墻 iptables firewalld 一,iptables和firewalld比較 在CentOS 7系統中,firewalld防火墻取代了iptables防火墻。其實,iptables與firewalld都不是真正的防火墻,它們都只是用來定義防火墻策略的防火墻管理工具或者服務。iptab

linux系統smb安裝,windows訪問smb共享文件夾和虛擬機vm與真機的互ping

記住密碼 cmd system 文件夾路徑 相對 配置文件 防火 去掉 conf 直接上技!首先要明白smb是用來幹什麽的?後面提的虛擬機vm與真機互ping只是一個實驗.這裏使用的linux版本為 redhat 7.4 一、smb配置註意:在這裏我們是將linux系統當做

Linux系統root使用者強制踢其它登入使用者

Linux系統root使用者可強制踢其它登入使用者,首先可用w命令檢視登入使用者資訊     [[email protected] ~]# w      強制踢人命令格式:pkill -kill -t tty  

Android 修改系統原始碼實現應用安裝名單黑名單攔截功能

本文原創,旨在記錄。有不對或者可改進之處,歡迎大家指出。謝謝 方法一:系統自動掃描apk安裝方式 frameworks\base\services\java\com\android\server\pm下 修改PackageManagerService下的createDataDirsLI(

修改docker私庫的地址(設定docker訪問名單

方法一 1、進入虛擬 docker bash 中: docker-machine ssh [Docker虛擬主機名稱] 2、 開啟並編輯 /var/lib/boot2docker/profile 檔案中的 EXTRA_ARGS 資訊: sudo vi /var/lib/

Linux系統建立tomcat快捷啟動、停止以及檢視日誌方式的方式

1.建立bash指令碼tomcat檔案 vi /etc/init.d/tomcat 2.在tomcat中寫入一下指令碼內容 # !/bin/bash # Description: start or stop the tomcat # Usage: tom

Win平臺Web訪問名單設定指令碼(IP安全性原則)

最近老是有使用者申請開通某網站的訪問許可權,我接手之前瀏覽許可權的設定方法是修改 tomcat 下的 server.xml 配置檔案,通過定義 allow="IP.."的訪問規則來控制瀏覽許可權。這種方法有個很不好的地方,每加一次許可權,你就得重啟一次 tomcat,使用者老是擠牙膏一樣,一次一兩個 IP

linux系統批量建立資料夾

在windows系統中需要藉助matlab,pycharm等程式設計工具,而在linux系統僅僅只需要一行程式碼就可以搞定 mkdir -p ./gaussian/{1..20} 建立20個以數字為名字的新資料夾

使用ln命令在Linux系統建立連結檔案

在Linux中ln命令用來為檔案建立連線,連線型別分為硬連線(Hard Link)和符號連線(Symbolic Link)兩種,預設的連線型別是硬連線。如果要建立符號連線必須使用"-s"選項。 關於軟硬連線解釋 硬連線 硬連線是指通過索引節點來進行連線。在Linux的

[WebServer] Tomcat 配置訪問限制:訪問名單訪問黑名單

最近公司的阿里雲伺服器上配置的 Tomcat 伺服器執行 java的環境,但是通過觀察 Tomcat 這幾天的日誌發現,有很多莫名其妙的 IP 訪問主機下莫名其妙的地址,如:/80、/testproxy.php、/cache/global/img/gs.gif、CONNECT

如何在Linux系統下查詢執行檔案

可執行檔案是指可移植可執行的檔案,用於程式的執行,那麼Linux下要如何查詢可執行檔案呢? linux下查詢可執行檔案   ls -F|grep “*”   這樣就可以了! 如果要遞迴查詢,可以這樣: ls -FR|grep "*" 我們來看看ls -F的作用:

nginx設定訪問名單(ip)

針對要配置的域名配置檔案: server {     listen       443;     server_name  abc.com;     #access_log  /server/nginx/log/abc.com.log  main;     ssl     

linux系統建立檔案系統

任何硬碟和u盤等儲存介質都需要建立檔案系統之後,才能使用。我們u盤和硬碟之所以跟買的容量不一樣,就是因為裡面儲存著檔案系統。沒有檔案系統,那就是純粹的硬體,我們是不能使用的。windows中我們可以格式化u盤建立檔案系統,linux系統中,我們可以使用命令建立檔案系統。檔案系

linux系統呼叫 建立檔案 file_creat.c

 void creat_file(char * filename) {     if(creat(filename,0755)<0)      {        printf("create file %s failure!\n",filename);        exit(EXIT_FAILURE

使用ln命令在Linux系統建立連線檔案

導讀 在Linux中ln命令用來為檔案建立連線,連線型別分為硬連線(Hard Link)和符號連線(Symbolic Link)兩種,預設的連線型別是硬連線。如果要建立符號連線必須使用"-s"選項。 關於軟硬連線解釋 硬連線 硬連線是指通過索引節點來進行連線。在Li

用C語言在Linux系統建立守護程序(Daemon)

      守護程序(daemon)是指在後臺執行的,沒有控制終端與之相連的程序。它獨立於控制終端,週期性地執行某種任務。Linux的大多數伺服器就是用守護程序的方式實現的。如web伺服器程序http等。守護程序在後臺執行,類似於Windows中的系統服務。      

Linux系統建立SSH伺服器別名

如果你經常通過 SSH 訪問許多不同的遠端系統,這個技巧將為你節省一些時間。你可以通過 SSH 為頻繁訪問的系統建立 SSH 別名