Denna artikel är en spegelartikel om maskinöversättning, klicka här för att hoppa till originalartikeln.

Architect_Programmer_Code Jordbruksnätverket»Arkitekt Andra teknologier Windows/Linux iptables brandvägg tillåter endast en viss IP att komma åt en viss port och en specifik webbplats ...
Utsikt: 14541|Svar: 1

[Linux] iptables brandvägg tillåter endast vissa IP-adresser att komma åt vissa portar och specifika webbplatser

[Kopiera länk]
Publicerad på 2015-12-17 22:02:49 | | |
1. Säkerhetskopiera iptables först

# cp /etc/sysconfig/iptables /var/tmp
Du behöver öppna port 80 och ange IP- och LAN-adressen
Betydelsen av följande tre rader:
Stäng alla portar 80 först
Öppna 80 portar på IP-segmentet 192.168.1.0/24
Öppna 80 portar av IP-segmentet i IP-segmentet 211.123.16.123/24
# iptables -I INPUT -p tcp --dport 80 -j DROP
# iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPTERA
# iptables -I INPUT -s 211.123.16.123/24 -p tcp --dport 80 -j ACCEPTERA
Ovanstående är en tillfällig situation.
2. Spara sedan iptables
# Tjänst Iptables Spara
3. Starta om brandväggen
#service iptables startar om
===============Följande är en återutgåva ================================================
Följande är portarna, alla blockeras innan vissa IP-adresser öppnas
iptables -I INPUT -p tcp --dport 9889 -j DROP
iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 9889 -j ACCEPTERA
Om NAT-vidarebefordran används, kom ihåg att samarbeta med följande för att träda i kraft
iptables -I FORWARD -p tcp --dport 80 -j DROP
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPTERA


De vanliga IPTABLES-reglerna är följande:
Du kan bara skicka och ta emot mejl, allt annat är stängt
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -j DROP
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p udp --dport 53 -j ACCEPTERA
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 25 -j ACCEPTERA
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 110 -j ACCEPTERA

IPSEC NAT-policy
iptables -I PFWanPriv -d 192.168.100.2 -j ACCEPTERA
iptables -t nat -A PREROUTING -p tcp --dport 80 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:80
iptables -t nat -A PREROUTING -p tcp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:500
iptables -t nat -A PREROUTING -p udp --dport 4500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:4500

NAT för FTP-server
iptables -I PFWanPriv -p tcp --dport 21 -d 192.168.100.200 -j ACCEPTERA
iptables -t nat -A PREROUTING -p tcp --dport 21 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:21

Endast den angivna URL:en är tillåten
iptables -A Filter -p udp --dport 53 -j ACCEPTERA
iptables -A Filter -p tcp --dport 53 -j ACCEPTERA
iptables -A Filter -d www.3322.org -j ACCEPTERA
iptables -A Filter -d img.cn99.com -j ACCEPTERA
iptables -A Filter -j DROP

Vissa portar till en IP är öppna, och andra är stängda
iptables -A Filter -p tcp --dport 80 -s 192.168.100.200 -d www.pconline.com.cn -j ACCEPTERA
iptables -A Filter -p tcp --dport 25 -s 192.168.100.200 -j ACCEPTERA
iptables -A Filter -p tcp --dport 109 -s 192.168.100.200 -j ACCEPTERA
iptables -A Filter -p tcp --dport 110 -s 192.168.100.200 -j ACCEPTERA
iptables -A Filter -p tcp --dport 53 -j ACCEPTERA
iptables -A Filter -p udp --dport 53 -j ACCEPTERA
iptables -A Filter -j DROP

Flera portar
iptables -A Filter -p tcp -m multiport --destination-port 22,53,80,110 -s 192.168.20.3 -j REJECT

Kontinuerlig port
iptables -A Filter -p tcp -m multiport --source-port 22,53,80,110 -s 192.168.20.3 -j REJECT iptables -A Filter -p tcp --source-port 2:80 -s 192.168.20.3 -j REJECT

Ange tiden för att surfa på internet
iptables -A Filter -s 10.10.10.253 -m tid --tidstart 6:00 --tidsstopp 11:00 --dagar måndag, tisdag, ons, torsdag, fre, lör, sön -j DROP
iptables -A Filter -m tid --tidstart 12:00 --tidstopp 13:00 --dagar måndag, tis, ons, torsdag, fre, lör, sön -j acceptera
iptables -A Filter -m tid --tidstart 17:30 --tidstopp 8:30 --dagar mån, tis, ons, tor, fre, lör, sön -j acceptera
Flera hamntjänster är förbjudna
iptables -A Filter -m multiport -p tcp --dport 21,23,80 -j ACCEPTERA

NAT WAN-porten till PC:n
iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --to-destination 192.168.0.1

NAT-port 8000 till 192. 168。 100。 200 portar om 80
iptables -t nat -A PREROUTING -p tcp --dport 8000 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:80

Porten som MAIL-servern vill vidarebefordra
iptables -t nat -A PREROUTING -p tcp --dport 110 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:110
iptables -t nat -A PREROUTING -p tcp --dport 25 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:25

Endast PING 202 är tillåtet. 96。 134。 133. Andra tjänster är förbjudna
iptables -A Filter -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ACCEPTERA
iptables -A Filter -j DROP
Inaktivera BT-konfigurationen
iptables –A Filter –p tcp –dport 6000:20000 –j DROP
Inaktivera QQ-brandväggens konfiguration
iptables -A Filter -p udp --dport ! 53 -j DROP
iptables -A Filter -d 218.17.209.0/24 -j DROP
iptables -A Filter -d 218.18.95.0/24 -j DROP
iptables -A Filter -d 219.133.40.177 -j DROP
Baserat på MAC kan den bara skicka och ta emot e-post, och avvisa alla andra
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -j SLÄPP
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 25 -j ACCEPTERA
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 110 -j ACCEPTERA
Inaktivera MSN-konfiguration
iptables -A Filter -p udp --dport 9 -j DROP
iptables -A Filter -p tcp --dport 1863 -j DROP
iptables -A Filter -p tcp --dport 80 -d 207.68.178.238 -j DROP
iptables -A Filter -p tcp --dport 80 -d 207.46.110.0/24 -j DROP
Endast PING 202 är tillåtet. 96。 134。 133 PING är inte tillåtet på andra offentliga nätverks-IP-adresser
iptables -A Filter -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ACCEPTERA
iptables -A Filter -p icmp -j DROP
Förbjud en MAC-adress att komma åt Internet:
iptables -I Filter -m mac --mac-source 00:20:18:8F:72:F8 -j SLÄPP
Ping till en IP-adress:
iptables –A Filter –p icmp –s 192.168.0.1 –j DROP
Förbjud en IP-adress att tillhandahålla:
iptables –A Filter -p tcp -s 192.168.0.1 --dport 80 -j DROP
iptables –A Filter -p udp -s 192.168.0.1 --dport 53 -j DROP
Endast vissa tjänster är tillåtna, andra avvisas (2 regler)
iptables -A Filter -p tcp -s 192.168.0.1 --dport 1000 -j ACCEPTERA
iptables -A Filter -j DROP
En porteringstjänst för en IP-adress är förbjuden
iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j ACCEPTERA
iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j DROP
Förbjud en porttjänst för en MAC-adress
iptables -I Filter -p tcp -m mac --mac-source 00:20:18:8F:72:F8 --dport 80 -j DROP
Förbjud en MAC-adress att komma åt Internet:
iptables -I Filter -m mac --mac-source 00:11:22:33:44:55 -j SLÄPP
Ping till en IP-adress:
iptables –A Filter –p icmp –s 192.168.0.1 –j DROP




Föregående:Är det bättre att installera WordPress under Linux med Apache eller nginx?
Nästa:Skillnaden mellan en byte och ett ord

Relaterade inlägg
 Hyresvärd| Publicerad på 2015-12-17 22:16:55 |
iptables -I INPUT -p tcp --dport 3306 -j DROP
Service iptables spar
Service IPTABLES restart
Friskrivning:
All programvara, programmeringsmaterial eller artiklar som publiceras av Code Farmer Network är endast för lärande- och forskningsändamål; Ovanstående innehåll får inte användas för kommersiella eller olagliga ändamål, annars kommer användarna att bära alla konsekvenser. Informationen på denna sida kommer från internet, och upphovsrättstvister har inget med denna sida att göra. Du måste helt radera ovanstående innehåll från din dator inom 24 timmar efter nedladdning. Om du gillar programmet, vänligen stöd äkta programvara, köp registrering och få bättre äkta tjänster. Om det finns något intrång, vänligen kontakta oss via e-post.
Mail To:help@itsvse.com