91云(91yun.co)经常有人各种 sql 注入,扫描, ssh 用户名密码暴利破解啥的。一般都会有固定 IP 。这时如果把固定 ip 封了。可以减少很多服务器的负担。
在 Linux 下,使用 ipteables 来维护 IP 规则表。要封停或者是解封 IP ,其实就是在 IP 规则表中对入站部分的规则进行添加操作。
要封停一个 IP ,使用下面这条命令:
iptables -I INPUT -s ***.***.***.*** -j DROP
要解封一个 IP ,使用下面这条命令:
iptables -D INPUT -s ***.***.***.*** -j DROP
参数 -I 是表示 Insert (添加), -D 表示 Delete (删除)。后面跟的是规则, INPUT 表示入站, ***.***.***.*** 表示要封停的 IP , DROP 表示放弃连接。
此外,还可以使用下面的命令来查看当前的 IP 规则表:
iptables -list
比如现在要将 123.44.55.66 这个 IP 封杀,就输入:
iptables -I INPUT -s 123.44.55.66 -j DROP
要解封则将 -I 换成 -D 即可,前提是 iptables 已经有这条记录。如果要想清空封掉的 IP 地址,可以输入:
iptables -flush
要添加 IP 段到封停列表中,使用下面的命令:
iptables -I INPUT -s 121.0.0.0/8 -j DROP
其实也就是将单个 IP 封停的 IP 部分换成了 Linux 的 IP 段表达式。关于 IP 段表达式网上有很多详细解说的,这里就不提了。
相信有了 iptables 的帮助,解决小的 DDoS 之类的攻击也不在话下!
附:其他常用的命令
编辑 iptables 文件
vi /etc/sysconfig/iptables
关闭 / 开启 / 重启防火墙
/etc/init.d/iptables stop #start 开启 /etc/init.d/iptables start #restart 重启 /etc/init.d/iptables restart
验证一下是否规则都已经生效:
iptables -L
保存并重启 iptables
/etc/rc.d/init.d/iptables save service iptables restart
linux 下实用 iptables 封 ip 段的一些常见命令:
封单个 IP 的命令是:
iptables -I INPUT -s 211.1.0.0 -j DROP
封 IP 段的命令是:
iptables -I INPUT -s 211.1.0.0/16 -j DROP iptables -I INPUT -s 211.2.0.0/16 -j DROP iptables -I INPUT -s 211.3.0.0/16 -j DROP
封整个段的命令是:
iptables -I INPUT -s 211.0.0.0/8 -j DROP
封几个段的命令是:
iptables -I INPUT -s 61.37.80.0/24 -j DROP iptables -I INPUT -s 61.37.81.0/24 -j DROP
想在服务器启动自运行的话有三个方法:
1 、把它加到 /etc/rc.local 中
2 、 iptables-save >;/etc/sysconfig/iptables 可以把你当前的 iptables 规则放到 /etc/sysconfig/iptables 中,系统启动 iptables 时自动执行。
3 、 service iptables save 也可以把你当前的 iptables 规则放 /etc/sysconfig/iptables 中,系统启动 iptables 时自动执行。
后两种更好此,一般 iptables 服务会在 network 服务之前启来,更安全。
解封的话:
iptables -D INPUT -s IP 地址 -j REJECT
iptables -F 全清掉了
Linux 防火墙 Iptable 如何设置只允许某个 ip 访问 80 端口,只允许特定 ip 访问某端口?参考下面命令,只允许 46.166.150.22 访问本机的 80 端口。如果要设置其他 ip 或端口,改改即可。
iptables -I INPUT -p TCP – dport 80 -j DROP iptables -I INPUT -s 46.166.150.22 -p TCP – dport 80 -j ACCEPT
在 root 用户下执行上面 2 行命令后,重启 iptables , service iptables restart
查看 iptables 是否生效:
[[email protected]]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp – 46.166.150.22 anywhere tcp dpt:http DROP tcp – anywhere anywhere tcp dpt:http Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
上面命令是针对整个服务器(全部 ip )禁止 80 端口,如果只是需要禁止服务器上某个 ip 地址的 80 端口,怎么办?
下面的命令是只允许来自 174.140.3.190 的 ip 访问服务器上 216.99.1.216 的 80 端口
iptables -A FORWARD -s 174.140.3.190 -d 216.99.1.216 -p tcp -m tcp – dport 80 -j ACCEPT iptables -A FORWARD -d 216.99.1.216 -p tcp -m tcp – dport 80 -j DROP
常用的 IPTABLES 规则如下:
只能收发邮件,别的都关闭
iptables -I Filter -m mac – mac-source 00:0F:EA:25:51:37 -j DROP iptables -I Filter -m mac – mac-source 00:0F:EA:25:51:37 -p udp – dport 53 -j ACCEPT iptables -I Filter -m mac – mac-source 00:0F:EA:25:51:37 -p tcp – dport 25 -j ACCEPT iptables -I Filter -m mac – mac-source 00:0F:EA:25:51:37 -p tcp – dport 110 -j ACCEPT
IPSEC NAT 策略
iptables -I PFWanPriv -d 192.168.100.2 -j ACCEPT iptables -t nat -A PREROUTING -p tcp – dport 80 -d $INTERNET_ADDR -j DNAT – to-destination 192.168.100.2:80 iptables -t nat -A PREROUTING -p tcp – dport 1723 -d $INTERNET_ADDR -j DNAT – to-destination 192.168.100.2:1723 iptables -t nat -A PREROUTING -p udp – dport 1723 -d $INTERNET_ADDR -j DNAT – to-destination 192.168.100.2:1723 iptables -t nat -A PREROUTING -p udp – dport 500 -d $INTERNET_ADDR -j DNAT – to-destination 192.168.100.2:500 iptables -t nat -A PREROUTING -p udp – dport 4500 -d $INTERNET_ADDR -j DNAT – to-destination 192.168.100.2:4500
FTP 服务器的 NAT
iptables -I PFWanPriv -p tcp – dport 21 -d 192.168.1.22 -j ACCEPT iptables -t nat -A PREROUTING -p tcp – dport 21 -d $INTERNET_ADDR -j DNAT – to-destination 192.168.1.22:21
只允许访问指定网址
iptables -A Filter -p udp – dport 53 -j ACCEPT iptables -A Filter -p tcp – dport 53 -j ACCEPT iptables -A Filter -d www.ctohome.com -j ACCEPT iptables -A Filter -d www.guowaivps.com -j ACCEPT iptables -A Filter -j DROP
开放一个 IP 的一些端口,其它都封闭
iptables -A Filter -p tcp – dport 80 -s 192.168.1.22 -d www.pconline.com.cn -j ACCEPT iptables -A Filter -p tcp – dport 25 -s 192.168.1.22 -j ACCEPT iptables -A Filter -p tcp – dport 109 -s 192.168.1.22 -j ACCEPT iptables -A Filter -p tcp – dport 110 -s 192.168.1.22 -j ACCEPT iptables -A Filter -p tcp – dport 53 -j ACCEPT iptables -A Filter -p udp – dport 53 -j ACCEPT iptables -A Filter -j DROP
多个端口
iptables -A Filter -p tcp -m multiport – destination-port 22,53,80,110 -s 192.168.20.3 -j REJECT
连续端口
iptables -A Filter -p tcp -m multiport – source-port 22,53,80,110 -s 192.168.20.3 -j REJECT iptables -A Filter -p tcp – source-port 2:80 -s 192.168.20.3 -j REJECT
指定时间上网
iptables -A Filter -s 10.10.10.253 -m time – timestart 6:00 – timestop 11:00 – days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j DROP iptables -A Filter -m time – timestart 12:00 – timestop 13:00 – days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT iptables -A Filter -m time – timestart 17:30 – timestop 8:30 – days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT
禁止多个端口服务
iptables -A Filter -m multiport -p tcp – dport 21,23,80 -j ACCEPT
将 WAN 口 NAT 到 PC
iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT – to-destination 192.168.0.1
将 WAN 口 8000 端口 NAT 到 192 。 168 。 100 。 200 的 80 端口
iptables -t nat -A PREROUTING -p tcp – dport 8000 -d $INTERNET_ADDR -j DNAT – to-destination 192.168.1.22:80
MAIL 服务器要转的端口
iptables -t nat -A PREROUTING -p tcp – dport 110 -d $INTERNET_ADDR -j DNAT – to-destination 192.168.1.22:110 iptables -t nat -A PREROUTING -p tcp – dport 25 -d $INTERNET_ADDR -j DNAT – to-destination 192.168.1.22:25
只允许 PING 202 。 96 。 134 。 133, 别的服务都禁止
iptables -A Filter -p icmp -s 192.168.1.22 -d 202.96.134.133 -j ACCEPT iptables -A Filter -j DROP
禁用 BT 配置
iptables – A Filter – p tcp – dport 6000:20000 – j DROP
禁用 QQ 防火墙配置
iptables -A Filter -p udp – dport ! 53 -j DROP iptables -A Filter -d 218.17.209.0/24 -j DROP iptables -A Filter -d 218.18.95.0/24 -j DROP iptables -A Filter -d 219.133.40.177 -j DROP
基于 MAC ,只能收发邮件,其它都拒绝
iptables -I Filter -m mac – mac-source 00:0A:EB:97:79:A1 -j DROP iptables -I Filter -m mac – mac-source 00:0A:EB:97:79:A1 -p tcp – dport 25 -j ACCEPT iptables -I Filter -m mac – mac-source 00:0A:EB:97:79:A1 -p tcp – dport 110 -j ACCEPT
禁用 MSN 配置
iptables -A Filter -p udp – dport 9 -j DROP iptables -A Filter -p tcp – dport 1863 -j DROP iptables -A Filter -p tcp – dport 80 -d 207.68.178.238 -j DROP iptables -A Filter -p tcp – dport 80 -d 207.46.110.0/24 -j DROP
只允许 PING 202 。 96 。 134 。 133 其它公网 IP 都不许 PING
iptables -A Filter -p icmp -s 192.168.1.22 -d 202.96.134.133 -j ACCEPT iptables -A Filter -p icmp -j DROP
禁止某个 MAC 地址访问 internet:
iptables -I Filter -m mac – mac-source 00:20:18:8F:72:F8 -j DROP
禁止某个 IP 地址的 PING:
iptables – A Filter – p icmp – s 192.168.0.1 – j DROP
禁止某个 IP 地址服务:
iptables – A Filter -p tcp -s 192.168.0.1 – dport 80 -j DROP iptables – A Filter -p udp -s 192.168.0.1 – dport 53 -j DROP
只允许某些服务,其他都拒绝 (2 条规则 )
iptables -A Filter -p tcp -s 192.168.0.1 – dport 1000 -j ACCEPT iptables -A Filter -j DROP
禁止某个 IP 地址的某个端口服务
iptables -A Filter -p tcp -s 10.10.10.253 – dport 80 -j ACCEPT iptables -A Filter -p tcp -s 10.10.10.253 – dport 80 -j DROP
禁止某个 MAC 地址的某个端口服务
iptables -I Filter -p tcp -m mac – mac-source 00:20:18:8F:72:F8 – dport 80 -j DROP
禁止某个 MAC 地址访问 internet:
iptables -I Filter -m mac – mac-source 00:11:22:33:44:55 -j DROP
禁止某个 IP 地址的 PING:
iptables – A Filter – p icmp – s 192.168.0.1 – j DROP
更多 iptables 参考命令如下:
1. 先备份 iptables
cp /etc/sysconfig/iptables /var/tmp
需要开 80 端口,指定 IP 和局域网
下面三行的意思:
先关闭所有的 80 端口
开启 ip 段 192.168.1.0/24 端的 80 口
开启 ip 段 211.123.16.123/24 端 ip 段的 80 口
iptables -I INPUT -p tcp – dport 80 -j DROP iptables -I INPUT -s 192.168.1.0/24 -p tcp – dport 80 -j ACCEPT iptables -I INPUT -s 211.123.16.123/24 -p tcp – dport 80 -j ACCEPT
以上是临时设置。
2. 然后保存 iptables
service iptables save
3. 重启防火墙
service iptables restart
以下是端口,先全部封再开某些的 IP
iptables -I INPUT -p tcp – dport 9889 -j DROP iptables -I INPUT -s 192.168.1.0/24 -p tcp – dport 9889 -j ACCEPT
如果用了 NAT 转发记得配合以下才能生效
iptables -I FORWARD -p tcp – dport 80 -j DROP iptables -I FORWARD -s 192.168.1.0/24 -p tcp – dport 80 -j ACCEPT
以上是一些具体实例,希望大家可以举一反三。
