在Linux服务器被口诛笔伐的时候,有时会有多少个老将IP。假诺能拒绝掉那多少个IP的口诛笔伐的话,会大大缓慢化解服务器的压力,说不定服务器就能够恢复生机符合规律了。

在Linux下封停IP,有封闭扼杀网段和封闭扼杀单个IP二种方式。一般的话,今后的攻击者不会选拔三个网段的IP来攻击(太猖獗了),IP一般都以散列的。于是上边就详细说美赞臣下封闭扼杀单个IP的指令,和解封单个IP的通令。

Linux防火墙:iptables禁IP与解封IP常用命令

在Linux下,使用ipteables来保证IP准则表。要封停只怕是解封IP,其实就是在IP准则表中对入站部分的条条框框进行增多操作。

要封停二个IP,使用上边这条命令:

iptables -I INPUT -s ***.***.***.*** -j DROP

要解封三个IP,使用上面那条命令:

iptables -D INPUT -s ***.***.***.*** -j DROP

参数-I是代表Insert(增多),-D表示Delete(删除)。后边跟的是平整,INPUT表示入站,***.***.***.***表示要封停的IP,DROP表示扬弃连接。

其余,仍是可以应用上面包车型地铁命令来查看当前的IP法则表:

iptables -list

比如说未来要将123.44.55.66这么些IP封闭扼杀,就输入:

iptables -I INPUT -s 123.44.55.66 -j DROP

要解封则将-I换成-D就可以,前提是iptables已经有那条记下。如若要想清空封掉的IP地址,能够输入:

iptables -flush

要加多IP段到封停列表中,使用下边的吩咐:

iptables -I INPUT -s 121.0.0.0/8 -j DROP

事实上也正是将单个IP封停的IP部分换到了Linux的IP段说明式。关于IP段表明式网络有为数相当的多详实表明的,这里就不提了。

相信有了iptables的帮衬,消除小的DDoS之类的抨击也无庸赘述!

附:别的常用的授命

编辑 iptables 文件

vi /etc/sysconfig/iptables

闭馆/开启/重启防火墙

/etc/init.d/iptables stop
#start 开启
#restart 重启

证实一下是还是不是平整都曾经生效:

iptables -L

封存同等对待启iptables

/etc/rc.d/init.d/iptables save
service iptables restart

linux下实用iptables封ip段的有个别广大命令:

封单个IP的命令是:

iptables -I INPUT -s 211.1.0.0 -j DROP

封IP段的通令是:

iptables -I INPUT -s 211.1.0.0/16 -j DROP
iptables -I INPUT -s 211.2.0.0/16 -j DROP
iptables -I INPUT -s 211.3.0.0/16 -j DROP

封整个段的吩咐是:

iptables -I INPUT -s 211.0.0.0/8 -j DROP

封多少个段的下令是:

iptables -I INPUT -s 61.37.80.0/24 -j DROP
iptables -I INPUT -s 61.37.81.0/24 -j DROP

想在服务器运营自运营的话有七个方法:

1、把它加到/etc/rc.local中

2、iptables-save
>;/etc/sysconfig/iptables能够把你眼下的iptables准则放到/etc/sysconfig/iptables中,系统运转iptables时自动施行。

3、service iptables save
也能够把您近些日子的iptables法则放/etc/sysconfig/iptables中,系统运转iptables时自动推行。

后三种更加好此,一般iptables服务会在network服务在此以前启来,更安全。

解封的话:
iptables -D INPUT -s IP地址 -j REJECT
iptables -F 全清掉了

Linux防火墙Iptable如何设置只同意有些ip访问80端口,只允许特定ip访问某端口?参考上边发号施令,只同意46.166.150.22做客本机的80端口。倘若要安装任何ip或端口,改改就可以。

iptables -I INPUT -p TCP –dport 80 -j DROP
iptables -I INPUT -s 46.166.150.22 -p TCP –dport 80 -j ACCEPT

在root用户下施行上边2行命令后,重启iptables, service iptables restart

查阅iptables是或不是见效:

[root@www.xxx.com]# iptables -L
Chain INPUT (policy ACCEPT)
target      prot opt source        destination
ACCEPT   tcp – 46.166.150.22  anywhere      tcp dpt:http
DROP     tcp – anywhere       anywhere      tcp dpt:http

Chain FORWARD (policy ACCEPT)
target   prot opt source        destination

Chain OUTPUT (policy ACCEPT)
target   prot opt source        destination

地方命令是针对全体服务器(全体ip)禁止80端口,如若只是索要禁止服务器上某些ip地址的80端口,如何做?

上边包车型地铁指令是只允许来自174.140.3.190的ip访问服务器上216.99.1.216的80端口

iptables -A FORWARD -s 174.140.3.190 -d 216.99.1.216 -p tcp -m tcp –dport 80 -j ACCEPT
iptables -A FORWARD -d 216.99.1.216 -p tcp -m tcp –dport 80 -j DROP

越来越多iptables参谋命令如下:

1.先备份iptables

# cp /etc/sysconfig/iptables /var/tmp

要封停一个IP。亟需开80端口,钦赐IP和局域网

上边三行的意味:

先关闭全部的80端口

要封停一个IP。开启ip段192.168.1.0/24端的80口

开启ip段211.123.16.123/24端ip段的80口

# iptables -I INPUT -p tcp –dport 80 -j DROP
# iptables -I INPUT -s 192.168.1.0/24 -p tcp –dport 80 -j ACCEPT
# iptables -I INPUT -s 211.123.16.123/24 -p tcp –dport 80 -j ACCEPT

如上是一时安装。

2.然后保存iptables

# service iptables save

3.重启防火墙

#service iptables restart

以下是端口,先全体封再开某个的IP

iptables -I INPUT -p tcp –dport 9889 -j DROP
iptables -I INPUT -s 192.168.1.0/24 -p tcp –dport 9889 -j ACCEPT

要是用了NAT转载记得合作之下手艺立见成效

iptables -I FORWARD -p tcp –dport 80 -j DROP
iptables -I FORWARD -s 192.168.1.0/24 -p tcp –dport 80 -j ACCEPT

常用的IPTABLES法则如下:

只可以收发邮件,其他都关门

iptables -I Filter -m mac –mac-source 00:0F:EA:25:51:37 -j DROP
iptables -I Filter -m mac –mac-source 00:0F:EA:25:51:37 -p udp –dport 53 -j ACCEPT
iptables -I Filter -m mac –mac-source 00:0F:EA:25:51:37 -p tcp –dport 25 -j ACCEPT
iptables -I Filter -m mac –mac-source 00:0F:EA:25:51:37 -p tcp –dport 110 -j ACCEPT

IPSEC NAT 策略

iptables -I PFWanPriv -d 192.168.100.2 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp –dport 80 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.100.2:80
iptables -t nat -A PREROUTING -p tcp –dport 1723 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp –dport 1723 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp –dport 500 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.100.2:500 
iptables -t nat -A PREROUTING -p udp –dport 4500 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.100.2:4500

FTP服务器的NAT

iptables -I PFWanPriv -p tcp –dport 21 -d 192.168.1.22 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp –dport 21 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.1.22:21

要封停一个IP。只允许访问钦命网站

iptables -A Filter -p udp –dport 53 -j ACCEPT
iptables -A Filter -p tcp –dport 53 -j ACCEPT
iptables -A Filter -d www.ctohome.com -j ACCEPT
iptables -A Filter -d www.guowaivps.com -j ACCEPT
iptables -A Filter -j DROP

吐放八个IP的一部分端口,其余都封闭

iptables -A Filter -p tcp –dport 80 -s 192.168.1.22 -d www.pconline.com.cn -j ACCEPT
iptables -A Filter -p tcp –dport 25 -s 192.168.1.22 -j ACCEPT
iptables -A Filter -p tcp –dport 109 -s 192.168.1.22 -j ACCEPT
iptables -A Filter -p tcp –dport 110 -s 192.168.1.22 -j ACCEPT
iptables -A Filter -p tcp –dport 53 -j ACCEPT
iptables -A Filter -p udp –dport 53 -j ACCEPT
iptables -A Filter -j DROP

八个端口

复制代码 代码如下:

iptables -A Filter -p tcp -m multiport –destination-port 22,53,80,110 -s
192.168.20.3 -j REJECT

要封停一个IP。连接端口

复制代码 代码如下:

iptables -A Filter -p tcp -m multiport –source-port 22,53,80,110 -s
192.168.20.3 -j REJECT iptables -A Filter -p tcp –source-port 2:80 -s
192.168.20.3 -j REJECT

指定期期上网

iptables -A Filter -s 10.10.10.253 -m time –timestart 6:00 –timestop 11:00 –days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j DROP
iptables -A Filter -m time –timestart 12:00 –timestop 13:00 –days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT
iptables -A Filter -m time –timestart 17:30 –timestop 8:30 –days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT

禁绝多少个端口服务

iptables -A Filter -m multiport -p tcp –dport 21,23,80 -j ACCEPT

将WAN 口NAT到PC

复制代码 代码如下:

iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j
DNAT –to-destination 192.168.0.1

将WAN口8000端口NAT到192。168。100。200的80端口

复制代码 代码如下:

iptables -t nat -A PREROUTING -p tcp –dport 8000 -d $INTERNET_ADDR -j
DNAT –to-destination 192.168.1.22:80

MAIL服务器要转的端口

iptables -t nat -A PREROUTING -p tcp –dport 110 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.1.22:110
iptables -t nat -A PREROUTING -p tcp –dport 25 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.1.22:25

只同意PING 202。96。134。133,其余服务都禁止

iptables -A Filter -p icmp -s 192.168.1.22 -d 202.96.134.133 -j ACCEPT
iptables -A Filter -j DROP

禁用BT配置

iptables –A Filter –p tcp –dport 6000:20000 –j DROP

剥夺QQ防火墙配置

iptables -A Filter -p udp –dport ! 53 -j DROP
iptables -A Filter -d 218.17.209.0/24 -j DROP
iptables -A Filter -d 218.18.95.0/24 -j DROP
iptables -A Filter -d 219.133.40.177 -j DROP

依据MAC,只好收发邮件,别的都推辞

iptables -I Filter -m mac –mac-source 00:0A:EB:97:79:A1 -j DROP
iptables -I Filter -m mac –mac-source 00:0A:EB:97:79:A1 -p tcp –dport 25 -j ACCEPT
iptables -I Filter -m mac –mac-source 00:0A:EB:97:79:A1 -p tcp –dport 110 -j ACCEPT

禁用MSN配置

iptables -A Filter -p udp –dport 9 -j DROP
iptables -A Filter -p tcp –dport 1863 -j DROP
iptables -A Filter -p tcp –dport 80 -d 207.68.178.238 -j DROP
iptables -A Filter -p tcp –dport 80 -d 207.46.110.0/24 -j DROP

只同意PING 202。96。134。133 其余公网IP都不可能PING

iptables -A Filter -p icmp -s 192.168.1.22 -d 202.96.134.133 -j ACCEPT
iptables -A Filter -p icmp -j DROP

取缔有个别MAC地址访问internet:

iptables -I Filter -m mac –mac-source 00:20:18:8F:72:F8 -j DROP

不准有些IP地址的PING:

iptables –A Filter –p icmp –s 192.168.0.1 –j DROP

禁止有个别IP地址服务:

iptables –A Filter -p tcp -s 192.168.0.1 –dport 80 -j DROP
iptables –A Filter -p udp -s 192.168.0.1 –dport 53 -j DROP

只同意一些服务,其余都不容(2条平整)

iptables -A Filter -p tcp -s 192.168.0.1 –dport 1000 -j ACCEPT
iptables -A Filter -j DROP

取缔有些IP地址的某部端口服务

iptables -A Filter -p tcp -s 10.10.10.253 –dport 80 -j ACCEPT
iptables -A Filter -p tcp -s 10.10.10.253 –dport 80 -j DROP

不准有个别MAC地址的某部端口服务

iptables -I Filter -p tcp -m mac –mac-source 00:20:18:8F:72:F8 –dport 80 -j DROP

取缔某些MAC地址访问internet:

iptables -I Filter -m mac –mac-source 00:11:22:33:44:55 -j DROP

不准某些IP地址的PING:

iptables –A Filter –p icmp –s 192.168.0.1 –j DROP

如上就是本文的全体内容,希望对我们的上学抱有帮忙,也愿意大家多多支持脚本之家。

你恐怕感兴趣的小说:

  • CentOS
    7.0休息暗中认可防火墙启用iptables防火墙的安装方法
  • CentOS7设置iptables防火墙的点子
  • Ali云Centos配备iptables防火墙教程
  • 一键安插CentOS
    iptables防火墙的Shell脚本分享
  • Linux防火墙iptables入门教程
  • 修改iptables防火墙法规解决vsftp登入后不显示文件目录的主题素材
  • linux增添iptables防火墙准绳的示范

相关文章