iptables 限制ip配置

最新推荐文章于 2025-10-31 12:01:37 发布
原创 最新推荐文章于 2025-10-31 12:01:37 发布 · 7.1k 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #iptables #网络 #telnet

本文介绍了iptables的基本概念及其作为客户端代理的角色,并详细说明了如何利用iptables限制特定IP的访问,包括命令行操作步骤、规则执行顺序及配置保存方法。

介绍

很多时候我们都叫他防火墙但是其实iptables不算是真正的防火墙,我们其实可以把它理解为一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的安全框架中,而这个安全框架才是真正的防火墙,这个框架名字叫netfilter。

netfilter才是防火墙真正的安全框架(framework),netfilter位于内核空间,而iptables其实是一个命令行工具,位于用户空间,我们用这个工具去操作真正的框架。

iptables功能非常强大且免费,这里只记录限制IP的功能

对于iptables原理讲解我推荐下面这位博主的博客有兴趣可以去看看,博主讲的很通俗易懂

iptables详解(1):iptables概念-朱双印博客这篇文章图文并茂的解释了什么是iptables,超详细解析iptables概念https://www.zsythink.net/archives/1199

限制IP

(1)查看iptables规则

规则其实就是网络管理员预定义的条件,规则一般定义为“如果数据包头符合这样的条件,就这样处理这个数据包”

[root@RK356X:/]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain blacklist (0 references)
target     prot opt source               destination         

Chain icmppacket (0 references)
target     prot opt source               destination         

Chain whitelist (0 references)
target     prot opt source               destination

现在这个规则表是空的还没有添加规则

(2)插入禁止访问的规则

[root@RK356X:/]# iptables -I INPUT  -p tcp --dport 23 -j DROP

这句话的意思是禁止端口号为23的所有ip以tcp的方式访问

(3)对特定ip解除限制

[root@RK356X:/]# iptables -I INPUT -s 172.16.81.24 -p tcp --dport 23 -j ACCEPT

注意:如果是使用网络连接开发板的在输入命令的时候千万不能将这两个命令分开输入,不然在输入第一个限制访问的命令之后你自己的主机就不能访问开发板了,需要将两个命令合在一起输入可以用;或者是&& 连接两个命令

$ iptables -I INPUT  -p tcp --dport 23 -j DROP && iptables -I INPUT -s 172.16.81.24 -p tcp --dport 23 -j ACCEPT

(4)查看规则

[root@RK356X:/]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  172.16.81.24         anywhere             tcp dpt:telnet
DROP       tcp  --  anywhere             anywhere             tcp dpt:telnet

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain blacklist (0 references)
target     prot opt source               destination         

Chain icmppacket (0 references)
target     prot opt source               destination         

Chain whitelist (0 references)
target     prot opt source               destination

iptables的规则执行顺序是从上往下的,上面的例子的意思就是先ACCEPT 172.16.81.24 对23端口的访问,再拒绝其他ip对23端口的访问

(5)保存防火墙配置(否则重启失效)

$ service iptables save

(6)清除规则

# 清除所有规则
$ iptables -F

2021全国职业技能大赛-网络安全赛题解析———防火墙篇iptables(超详细)
Aluxian_的博客
10-26 1万+
2021全国职业技能大赛-网络安全赛题解析———防火墙篇模块A防火墙的基本规则操作什么是防火墙(iptables):有问题私信博主 模块A防火墙的基本规则操作 什么是防火墙(iptables): IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这
Android14.0 系统限制上网系列之iptables用IOemNetd实现ip白名单的实现
安卓兼职framework和app工程师的博客
12-24 444
在14.0的系统rom定制化开发中,在system中netd网络这块的产品需求中,对于系统限制网络的使用,会要求设置屏蔽ip地址之内的功能, liunx中iptables命令也是比较重要的,接下来就来在IOemNetd这块实现ip白名单的的相关功能,就是在app中只能允许某个网址上网,就是除了这个网址,其他的都不能上网,最后在framework自定义服务中实现接口调用
关于iptables禁止全部ip访问问题
飘然渡沧海的博客
09-17 8617
关于iptables禁止全部ip访问问题 旁边兄弟在iptables想要实现任何ip禁止访问,只开发个别端口供个别ip访问 开放ip端口 -A INPUT -s 192.168.1.1 -p tcp --dport 8848-j ACCEPT -A INPUT -s 192.168.1.1 -p tcp -m multiport --dports 22,8888,9999 -j ACCEPT 禁用所有ip -A INPUT -p tcp -j DROP 解决办法 -A INPUT -m state
Linux 防火墙配置:用 iptables 限制特定 IP 访问
最新发布
gshjvklkl的博客
10-31 284
iptablesLinux内核集成的包过滤工具,通过配置规则控制网络流量。要限制特定IP访问,主要操作。示例:仅允许办公室IP(203.0.113.5)访问Web服务器。链(控制进入本机的流量)。--dport 端口。
iptables 针对网/某IP 操作
热门推荐
大西瓜的博客
07-12 1万+
iptables 针对网/某IP 操作 1、禁用某网(-p后也可以是udp 也可以是all) iptables -I INPUT -p tcp -s 192.168.116.0/24 -j DROP 2、禁用某网的22端口 iptables -I INPUT -p tcp -s 192.168.116.0/24 --dport 22 -j DROP 3、禁用192.168.116.1~192.168.116.20 IP的 22 端口 iptables -I INPUT -m iprange -
Linux禁止IP、解封IP的方法
1
08-10 3764
注意,如果想让写入的规则永久有效,请执行 service iptables save iptables -A INPUT -s 222.89.227.30/32 -j ACCEPT   加入规则表 iptables -A INPUT -s 116.255.169.12 -j DROP 删除规则表 在Linux服务器被攻击的时候,有的时候会有几个主力IP。如果能拒绝掉这几个IP的攻
iptables 限制端口仅特定IP访问
liulilittle的博客
07-23 1084
需要用源地址(-s),而不是目的地址(-d)
iptables 限制IP的使用方式
LiF29103的博客
06-29 1万+
iptables 是一个非常好用的工具,一些简单的防火墙功能都可以通过 iptables 实现,今天给大家分享下最常用的两种用法:封禁指定 IP,以及封禁 IP 的写法。1、封禁 IP例如这里要封禁 IP 地址 114.232.9.171: 2、封禁 IP 例如这里要封禁 117.41.187.* 这个 IP : 3、封禁效果查看查看命令如下 如下图所示:......
使用 iptables 限制 SSH 连接并允许特定来源 IP 访问的完整指南
广阔天地,大有作为
09-13 2272
通过本文介绍的方法,你可以有效地使用iptables限制 SSH 连接,只允许特定的 IP 地址访问你的服务器。此举能够显著提高服务器的安全性,防止未经授权的访问。希望本文能够帮助你更好地保护你的服务器安全。
iptables限制开放端口访问
weixin_46941625的博客
04-15 1148
说明:6台服务器是一个k8s集群,8200端口是service暴露端口,转发到集群所有节点,所以iptables规则所有服务器都要执行。#开放所有node节点源地址10.165.10.x访问集群内的8200端口。#先单独对需要访问22的集群节点放行(一定得多开几个窗口)#在node节点上禁止所有IP访问8200端口。#以上步骤需要在集群内的所有节点执行一次。修复Es相关漏洞(8200端口)#然后屏蔽所有对22端口的访问。###限制和开放某个网访问。###限制8200端口访问。####禁止22端口访问
centos8.0 如何设置iptables限制ip
10-16
在 CentOS 8.0 中,iptables 可用于实现网络流量的控制,包括限制特定 IP 地址的访问。以下是如何设置基本的 IP 地址限制: 1. **安装iptables**: 首先,你需要确认iptables已安装。如果尚未安装,可以使用命令行...
Centos7利用iptables限制访问ip及端口提升服务器的安全性
chiluguan2548的博客
01-04 3056
背景:昨天是2017年第一天上班,作者依然开开心心的带着2017年新的目标来到了公司,一如既往的打开电脑,打开“程序猿”们都熟悉的idea准备开始工作,呵呵!有点啰嗦。当我打开常用的数据库mongo客户端时发现,咦?怎么多了个奇怪的数据库,于是打开查看了一下顿时傻眼! 哎吆!我去!17年收到...
Linux使用iptables限制多个IP访问你的服务器
09-15
iptables是一个管理netfilter的工具。这篇文章主要介绍了Linux使用iptables限制多个IP访问你的服务器的相关知识,需要的朋友可以参考下
Linux下如何用iptables限制IP访问服务器
qq_30994477的博客
09-24 823
iptables限制IP访问服务器
iptables屏蔽ip某个端口访问
喝醉酒的小白
07-15 7127
iptables屏蔽ip某个端口访问
linux: 使用iptables阻断到某个ip某个端口的访问
十年运维开发经验的王义杰在此分享自己的知识和经验
11-16 5681
和规则的行号来删除它。在进行这些操作时,请确保具有足够的权限,并且对操作的影响有充分的了解,以免意外中断网络服务。阻断到特定 IP 地址的特定端口的访问,我们可以遵循以下步骤。在对网络配置进行更改时,确保我们完全了解这些更改的后果,以避免不必要的网络中断。:和添加规则一样,删除规则后也需要保存更改。命令或相应的方法来保存这些规则,具体取决于你的 Linux 发行版。:使用以下命令来添加一条规则,阻断到指定 IP 和端口的访问。:一旦我们找到了要删除的规则的行号,使用。设置的阻断规则,我们可以使用。
iptables限制宿主机跟Docker IP和端口访问(安全整改)
m0_66406345的博客
04-05 3448
您可以结合使用-s或--src-range与-d或--dst-range一起控制连续源地址和连续目标地址。经查阅大量资料,发现Docker容器创建时会自动创建iptables策略,Docker使用的i规则链是DOCKER-USER,所以需使用iptables对DOCKER-USER链做限制。#注意拒绝其他所有IP地址进行访问,此规则因该在其他规则之前执行,以确保其生效。整改:对端口做限制,只允许平台服务器的网对该端口进行访问,其余都拒绝。,请在DOCKER-USER过滤器链的顶部插入一个否定的规则。
iptables命令配置IP访问限制
01-09
### 如何使用 `iptables` 配置 IP 访问控制规则 #### 设置默认策略 为了确保安全性,默认情况下可以拒绝所有的入站流量,这可以通过设置默认策略来实现。 ```bash iptables -P INPUT DROP ``` 这条命令会将所有未匹配其他规则的入站数据包丢弃[^3]。 #### 允许已建立的连接 为了避免中断已经存在的合法连接,在应用任何新的限制之前应该允许已知良好的通信: ```bash iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT ``` 此指令让通过状态跟踪模块识别为既定或相关的连接继续正常工作[^2]。 #### 添加特定 IP访问权限 如果希望只允许来自某个特定 IP 地址的数据进入,则可如下操作: ```bash iptables -A INPUT -s 192.0.2.42 -j ACCEPT ``` 这里 `-s` 参数指定了源地址 (source),即哪个 IP 可以发送请求给服务器;而 `-j ACCEPT` 表示接受这些请求。请注意替换上面例子中的 `192.0.2.42` 为你实际想要放行的那个 IP 地址。 #### 拒绝未知来源的访问尝试 对于那些不在白名单上的 IP 尝试发起的新连接,应当予以阻止: ```bash iptables -A INPUT -p tcp --dport ssh -j REJECT --reject-with tcp-reset ``` 上述命令针对目标端口为 SSH (`--dport ssh`) 的 TCP 流量执行拒绝动作,并向客户端返回 RST 数据包告知其连接已被重置。 #### 保存更改后的防火墙规则 最后一步非常重要——确保所做的修改不会因为重启机器而丢失。不同 Linux 发行版有不同的方法来持久化存储 `iptables` 规则集。例如,在某些系统上可以用下面这样的方式完成这项任务: ```bash service iptables save ``` 或者如果是基于 Debian/Ubuntu 的发行版本可能需要这样处理: ```bash apt-get install iptables-persistent netfilter-persistent save ``` 以上就是关于如何利用 `iptables` 来实施基本的 IP 白名单机制的一个简单介绍和实践指导。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Enosji

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值