Linux限制白名单访问

iptables防火墙

1.查看系统白名单配置

iptables -L -n

2.增加白名单

#19.40.145.xxx是需要增加的服务器IP

iptables -I INPUT -s 19.40.145.xxx/32 -p tcp -j ACCEPT

3.重启防火墙

#重启防火墙使配置生效

service iptables restart

#查看防火墙状态：

service iptables status

4.测试

telnet 192.168.222.11 22

5.实操

5.1原来的

vim /etc/sysconfig/iptables

# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT 

-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT

5.2新的

配置白名单和暴露端口

5.2.1 暴露22、80、8080端口

5.2.2 添加白名单 192.168.86.xxx、10.128.73.xxx

一定要把自己当前的ip输入进去小心自己也登录不了!!!!!

# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

#定义白名单变量名
-N whitelist
#设置白名单ip段
-A whitelist -s 116.90.86.196 -j ACCEPT
-A whitelist -s 116.90.86.197 -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j whitelist
-A INPUT -i lo -j ACCEPT


-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j whitelist
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT

6.相关命令

#查看防火墙的服务
chkconfig --list | grep iptables
#永久关闭防火墙
chkconfig iptables off
#永久开启防火墙
chkconfig iptables on

#保存配置
service iptables save或 /etc/rc.d/init.d/iptables save

允许所有服务器访问指定端口

#例如放开常用端口22

iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

防火墙指定IP（允许/禁止）访问

 # 允许ip访问

iptables -A INPUT -p tcp -s 192.168.xx.x -j ACCEPT

# 禁止ip访问

iptables -A INPUT -p tcp -s 192.168.xx.x -j DROP

防火墙指定IP（允许/禁止）访问指定端口 

# 允许访问3306
iptables -A INPUT -s 192.168.xx.x -p tcp -m tcp --dport 3306 -j ACCEPT
# 禁止访问3306
iptables -A OUTPUT -s 192.168.xx.x -p tcp -m tcp --sport 3306 -j DROP

–参数说明

参数	说明
-A	添加一条INPUT的规则
-p	指定是什么协议（TCP/UDP）
--dport	就是目标端口，当数据从外部进入服务器为目标端口
--sport	数据从服务器出去，则为数据原端口
-j	就是指定是ACCEPT接受或阻止DROP

firewall防火墙

1.首先查看防火墙是否开启

#查看防火墙状态
systemctl status firewalld

如果未启动，开启防火墙并设置开机启动。

#开启防火墙
systemctl start firewalld
#开机启动
systemctl enable firewalld

2.关闭端口访问，确保端口关闭

如果已开放则关闭端口。此处端口如果开放，是所有ip都可以进行访问。

#查询打开的端口
firewall-cmd --zone=public --list-ports

关闭端口，如果端口未开启则无需关闭。

#关闭端口9000
firewall-cmd --zone=public --remove-port=9000/tcp --permanent
#重新载入一下防火墙设置，使设置生效
firewall-cmd --reload
#查询打开的端口
firewall-cmd --zone=public --list-ports

3.开放ip访问

#允许ip192.168.0.xxx访问9000端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.xxx" port protocol="tcp" port="9000" accept"
#重新载入一下防火墙设置，使设置生效
firewall-cmd --reload
#查看已设置规则
firewall-cmd --zone=public --list-rich-rules

4.其他命令

#查看防火墙清单

firewall-cmd --list-all

#重新载入一下防火墙设置，使设置生效
firewall-cmd --reload
#通过如下命令查看9000是否生效
firewall-cmd --zone=public --query-port=9000/tcp
#系统打开的所有端口
firewall-cmd --zone=public --list-ports

#同理，批量限制端口为：

firewall-cmd --zone=public --remove-port=9000-9003/tcp --permanent

firewall-cmd --reload

如设置未生效，可尝试直接编辑规则文件，删掉原来的设置规则，重新载入一下防火墙即可

vi /etc/firewalld/zones/public.xml