Artikel ini adalah artikel cermin dari terjemahan mesin, silakan klik di sini untuk melompat ke artikel aslinya.

Jaringan Pertanian Architect_Programmer_Code»Arsitek Teknologi Lainnya Windows/Linux iptables firewall hanya memungkinkan IP tertentu untuk mengakses port tertentu dan mengakses situs web tertentu ...
Melihat: 14541|Jawab: 1

[linux] iptables firewall hanya memungkinkan IP tertentu untuk mengakses port tertentu dan situs web tertentu

[Salin tautan]
Diposting pada 17/12/2015 22.02.49 | | |
1. Cadangkan iptables terlebih dahulu

# cp /etc/sysconfig/iptables /var/tmp
Anda perlu membuka port 80 dan menentukan alamat IP dan LAN
Arti dari tiga baris berikut:
Tutup semua port 80 terlebih dahulu
Buka 80 port pada segmen IP 192.168.1.0/24
Buka 80 port segmen IP segmen IP 211.123.16.123/24
# iptables -I INPUT -p tcp --dport 80 -j DROP
# iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j TERIMA
# iptables -I INPUT -s 211.123.16.123/24 -p tcp --dport 80 -j TERIMA
Di atas adalah pengaturan sementara.
2. Kemudian simpan iptables
# layanan iptables menyimpan
3. Mulai ulang firewall
#service iptables restart
===============Berikut ini adalah cetak ulang ================================================
Berikut ini adalah port, semuanya diblokir sebelum beberapa IP dibuka
iptables -I INPUT -p tcp --dport 9889 -j DROP
iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 9889 -j TERIMA
Jika penerusan NAT digunakan, ingatlah untuk bekerja sama dengan hal-hal berikut agar berlaku
iptables -I FORWARD -p tcp --dport 80 -j DROP
iptables -I MAJU -s 192.168.1.0/24 -p tcp --dport 80 -j TERIMA


Aturan IPTABLES yang umum digunakan adalah sebagai berikut:
Anda hanya dapat mengirim dan menerima email, yang lainnya ditutup
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -j DROP
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p udp --dport 53 -j TERIMA
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 25 -j TERIMA
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 110 -j TERIMA

Kebijakan NAT IPSEC
iptables -I PFWanPriv -d 192.168.100.2 -j TERIMA
iptables -t nat -A PREROUTING -p tcp --dport 80 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:80
iptables -t nat -A PREROUTING -p tcp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:500
iptables -t nat -A PREROUTING -p udp --dport 4500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:4500

NAT untuk server FTP
iptables -I PFWanPriv -p tcp --dport 21 -d 192.168.100.200 -j TERIMA
iptables -t nat -A PREROUTING -p tcp --dport 21 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:21

Hanya URL yang ditentukan yang diizinkan
iptables -A Filter -p udp --dport 53 -j TERIMA
iptables -A Filter -p tcp --dport 53 -j TERIMA
iptables -A Filter -d www.3322.org -j TERIMA
iptables -A Filter -d img.cn99.com -j ACCEPT
iptables -A Filter -j DROP

Beberapa port IP terbuka, dan yang lainnya tertutup
iptables -A Filter -p tcp --dport 80 -s 192.168.100.200 -d www.pconline.com.cn -j TERIMA
iptables -A Filter -p tcp --dport 25 -s 192.168.100.200 -j TERIMA
iptables -A Filter -p tcp --dport 109 -s 192.168.100.200 -j TERIMA
iptables -A Filter -p tcp --dport 110 -s 192.168.100.200 -j TERIMA
iptables -A Filter -p tcp --dport 53 -j TERIMA
iptables -A Filter -p udp --dport 53 -j TERIMA
iptables -A Filter -j DROP

Beberapa port
iptables -A Filter -p tcp -m multiport --destination-port 22,53,80,110 -s 192.168.20.3 -j REJECT

Port berkelanjutan
iptables -A Filter -p tcp -m multiport --source-port 22,53,80,110 -s 192.168.20.3 -j REJECT iptables -A Filter -p tcp --source-port 2:80 -s 192.168.20.3 -j REJECT

Tentukan waktu untuk menjelajahi Internet
iptables -A Filter -s 10.10.10.253 -m time --timestart 6:00 --timestop 11:00 --days Senin, Selasa, Rabu, Kamis, Jumat, Sabtu, Minggu -j DROP
iptables -A Filter -m waktu --timestart 12:00 --timestop 13:00 --hari Senin, Selasa, Rabu, Kamis, Jumat, Sabtu, Minggu -j TERIMA
iptables -A Filter -m time --timestart 17:30 --timestop 8:30 --days Senin, Selasa, Rabu, Kamis, Jumat, Sabtu, Minggu -j TERIMA
Layanan beberapa pelabuhan dilarang
iptables -A Filter -m multiport -p tcp --dport 21,23,80 -j TERIMA

NAT port WAN ke PC
iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --to-destination 192.168.0.1

Port NAT 8000 hingga 192. 168。 100。 200 port 80
iptables -t nat -A PREROUTING -p tcp --dport 8000 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:80

Port yang ingin diteruskan oleh server MAIL
iptables -t nat -A PREROUTING -p tcp --dport 110 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:110
iptables -t nat -A PREROUTING -p tcp --dport 25 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:25

Hanya PING 202 yang diperbolehkan. 96。 134。 133. Layanan lain dilarang
iptables -A Filter -p icmp -s 192.168.100.200 -d 202.96.134.133 -j TERIMA
iptables -A Filter -j DROP
Nonaktifkan konfigurasi BT
iptables –A Filter –p tcp –dport 6000:20000 –j DROP
Nonaktifkan konfigurasi firewall QQ
iptables -A Filter -p udp --dport ! 53 -j JATUH
iptables -A Filter -d 218.17.209.0/24 -j DROP
iptables -A Filter -d 218.18.95.0/24 -j DROP
iptables -A Filter -d 219.133.40.177 -j DROP
Berdasarkan MAC, itu hanya dapat mengirim dan menerima email, dan menolak semua yang lain
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -j DROP
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 25 -j TERIMA
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 110 -j TERIMA
Nonaktifkan konfigurasi MSN
iptables -A Filter -p udp --dport 9 -j DROP
iptables -A Filter -p tcp --dport 1863 -j DROP
iptables -A Filter -p tcp --dport 80 -d 207.68.178.238 -j DROP
iptables -A Filter -p tcp --dport 80 -d 207.46.110.0/24 -j DROP
Hanya PING 202 yang diperbolehkan. 96。 134。 133 PING tidak diizinkan di IP jaringan publik lainnya
iptables -A Filter -p icmp -s 192.168.100.200 -d 202.96.134.133 -j TERIMA
iptables -A Filter -p icmp -j DROP
Melarang alamat MAC mengakses Internet:
iptables -I Filter -m mac --mac-source 00:20:18:8F:72:F8 -j DROP
Ping ke alamat IP:
iptables –A Filter –p icmp –s 192.168.0.1 –j DROP
Melarang alamat IP ditayangkan:
iptables –A Filter -p tcp -s 192.168.0.1 --dport 80 -j DROP
iptables –A Filter -p udp -s 192.168.0.1 --dport 53 -j DROP
Hanya layanan tertentu yang diperbolehkan, yang lain ditolak (2 aturan)
iptables -A Filter -p tcp -s 192.168.0.1 --dport 1000 -j TERIMA
iptables -A Filter -j DROP
Layanan port untuk alamat IP dilarang
iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j TERIMA
iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j DROP
Melarang layanan port untuk alamat MAC
iptables -I Filter -p tcp -m mac --mac-source 00:20:18:8F:72:F8 --dport 80 -j DROP
Melarang alamat MAC mengakses Internet:
iptables -I Filter -m mac --mac-source 00:11:22:33:44:55 -j DROP
Ping ke alamat IP:
iptables –A Filter –p icmp –s 192.168.0.1 –j DROP




Mantan:Apakah lebih baik menginstal wordpress di bawah linux dengan apache atau nginx?
Depan:Perbedaan antara byte dan kata

Pos terkait
 Tuan tanah| Diposting pada 17/12/2015 22.16.55 |
iptables -I INPUT -p tcp --dport 3306 -j DROP
layanan iptables menyimpan
Layanan iptables restart
Sanggahan:
Semua perangkat lunak, materi pemrograman, atau artikel yang diterbitkan oleh Code Farmer Network hanya untuk tujuan pembelajaran dan penelitian; Konten di atas tidak boleh digunakan untuk tujuan komersial atau ilegal, jika tidak, pengguna akan menanggung semua konsekuensi. Informasi di situs ini berasal dari Internet, dan sengketa hak cipta tidak ada hubungannya dengan situs ini. Anda harus sepenuhnya menghapus konten di atas dari komputer Anda dalam waktu 24 jam setelah pengunduhan. Jika Anda menyukai program ini, harap dukung perangkat lunak asli, pembelian pendaftaran, dan dapatkan layanan asli yang lebih baik. Jika ada pelanggaran, silakan hubungi kami melalui email.
Mail To:help@itsvse.com