Simple IPTables Firewall with Whitelist and Blacklist

最新推荐文章于 2024-07-28 06:00:00 发布
转载 最新推荐文章于 2024-07-28 06:00:00 发布 · 1.5k 阅读 · 0

本文介绍了一个简单的IPTables防火墙脚本,可用于CentOS v6和Ubuntu v12等系统。该脚本包括了白名单和黑名单功能,并允许自定义开放端口。文章还提供了设置步骤和注意事项。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

The following is a simple IPTables firewall script that can be used for general purposes.  It includes a port list and whitelist/blacklist.  The script was tested on CentOS v6 and Ubuntu v12.

Create the whitelist & blacklist files

These can remain empty until needed.

# touch /usr/local/etc/whitelist.txt
# touch /usr/local/etc/blacklist.txt

Enter one IP or domain per line as needed to permit or deny.  For example, to permit 1.1.1.1 and somedomain.com

# nano /usr/local/etc/whitelist.txt
1.1.1.1
​somedomain.com

Note about DNS domains and iptables.

If your whitlist specifies a domain it is the DNS resolved IP address that is added to the ipables rule.  So any change in the IP address of a domain in a whitelist or blacklist will require the firewall script to be re-run.

Create the firewall script

Located IPtables on your distribution and alter the IPTABLES= line in the script accordingly.

# which iptables
# which iptables-save

For non standard SSH port and to allow or deny other ports alter ALLOWED= line accordingly

# nano /usr/local/etc/firewall.sh
#!/bin/bash
#
## Simple IPTables Firewall with Whitelist & Blacklist
#
## List Locations
#

WHITELIST=/usr/local/etc/whitelist.txt
BLACKLIST=/usr/local/etc/blacklist.txt

#
## Specify ports you wish to use.
## For port listing reference see http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
#

ALLOWED="22 25 53 80 443 465 587 993"

#
## Specify where IP Tables is located
#

IPTABLES=/sbin/iptables
IPTABLES_SAVE=/sbin/iptables-save

#
## Save current iptables running configuration in case we want to revert back
## To restore using our example we would run "/sbin/iptables-restore < /usr/src/iptables.last"
#

$IPTABLES_SAVE > /usr/local/etc/iptables.last

#
## Clear current rules
#
## If current INPUT policy is set to DROP we will be locked out once we flush the rules
## so we must first ensure it is set to ACCEPT.
#
$IPTABLES -P INPUT ACCEPT
echo 'Setting default INPUT policy to ACCEPT'

$IPTABLES -F
echo 'Clearing Tables F'
$IPTABLES -X
echo 'Clearing Tables X'
$IPTABLES -Z
echo 'Clearing Tables Z'

#Always allow localhost.
echo 'Allowing Localhost'
$IPTABLES -A INPUT -s 127.0.0.1 -j ACCEPT

#
## Whitelist
#

for x in `grep -v ^# $WHITELIST | awk '{print $1}'`; do
echo "Permitting $x..."
$IPTABLES -A INPUT -s $x -j ACCEPT
done

#
## Blacklist
#

for x in `grep -v ^# $BLACKLIST | awk '{print $1}'`; do
echo "Denying $x..."
$IPTABLES -A INPUT -s $x -j DROP
done

#
## Permitted Ports
#

for port in $ALLOWED; do
echo "Accepting port TCP $port..."
$IPTABLES -A INPUT -p tcp --dport $port -j ACCEPT
done

for port in $ALLOWED; do
echo "Accepting port UDP $port..."
$IPTABLES -A INPUT -p udp --dport $port -j ACCEPT
done

#
##The following rule ensures that replies are not blocked.
##It also allows for things that may be related but not part of those connections such as ICMP.
#

$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#
## NOTE: Test this script first to make sure it works as expected.
## Run "iptables -v -n -L" to ensure the rules are as expected and that your SSH port is correct.
##
## When you are sure this script works properly uncomment the following 2 lines to enforce the rules.
#

# $IPTABLES -A INPUT -p udp -j DROP
# $IPTABLES -A INPUT -p tcp --syn -j DROP

#
## Save the rules so they are persistent on reboot.
#
/etc/init.d/iptables save
Make the script executable and run.
# chmod +x /usr/local/etc/firewall.sh
# /usr/local/etc/firewall.sh点击打开链接
Check rules.
​# iptables -v -n -L

Once you are sure the script is working properly with the proper SSH port allowed you can uncommend the two lines at the bottom of the script and run again to fully enable it.

Ubuntu iptables persistence

If using Ubuntu, install the persistent package.

# apt-get install iptables-persistent 

Change the last line in the firewall script to:

$IPTABLES_SAVE > /etc/iptables/rules.v4
Linux下设置iptables防火墙白名单
InjeProgram的博客
09-29 2120
在网络安全中,白名单是一种常见的策略,它允许只有在白名单中的特定IP地址或端口才能与系统进行通信。通过创建一个新的iptables链并添加白名单规则,然后配置防火墙的策略,我们可以实现只允许白名单中的IP地址或端口进行通信的防火墙设置。接下来,我们需要将白名单规则应用到防火墙上,以确保只有在白名单中的IP地址可以访问系统。在这一步,我们需要配置防火墙的默认策略,并将所有不在白名单中的传入连接丢弃。完成上述步骤后,你的Linux系统的防火墙将只允许白名单中的IP地址或端口进行通信,其他连接将被阻止。
linux添加ip白名单_centOS7 下利用iptables配置IP地址白名单的方法
weixin_31784241的博客
01-17 1471
编辑iptables配置文件,将文件内容更改为如下,则具备了ip地址白名单功能#vim /etc/sysconfig/iptables*filter:INPUT ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [0:0]-N whitelist-A whitelist -s 1.2.3.0/24 -j ACCEPT-A whitelist -s 4....
iptables白名单
qq_42279718的博客
03-13 3093
iptables
Linux防火墙iptables添加白名单
So丶easy的博客
09-03 6791
iptables 在linux系统中安装yum install iptables-services 重启防火墙的命令:service iptables restart 保存到配置中:service iptables save ,该命令会将配置规则保存到/etc/sysconfig/iptables文件中。 添加白名单: 开放端口区间:iptables -A INPUT -p tcp --dport 3000:3006 -j ACCEPT 开放单个端口:iptables -A INPUT -p tcp -
iptables白名单模板_iptables白名单配置
weixin_39995943的博客
01-17 1228
白名单配置总结1、操作系统[root@localhost ~]# uname -r2.6.32-279.el6.x86_64[root@localhost ~]# cat /etc/redhat-releaseCentOS release 6.8 (Final)2、第一种方法,间接法编辑防火墙规则配置文件iptables vim /etc/sysconfig/iptables:INPUT ACCE...
Firewall--防火墙设置(iptablesfirewalld)
暖风吹起云之博客
05-12 1838
防火墙的原理,iptabls配置以及firewalld的配置
android防火墙规则添加分析iptables -a -i 区别
dreamfly130的博客
05-22 1029
当防火墙进行包匹配时,它会按照规则链中规则的顺序,从上到下依次检查每一条规则,直到找到与数据包匹配的规则并执行相应的操作。总结来说,-A和-I的主要区别在于它们将规则添加到规则链的不同位置,从而影响匹配的顺序和优先级。使用-A添加的规则会位于规则链的末尾,而使用-I添加的规则则会位于规则链的开头,具有最高的匹配优先级。因为白名单默认DROP,所以添加白名单时,被允许的应用匹配后,直接return不执行后面的DROP规则,所以RETURN规则要在DROP规则前,所以用-I。
android实现网络防火墙控制app访问wifi/移动数据网络
cyj88jyc的专栏
02-28 8718
iptables是Linux的一个命令行工具,通过设置一些规则可以直接把指定uid或网址的数据包从ip层过滤掉,从而实现网络防火墙的功能,这部分已经比较成熟,android或厂商只是对iptables命令进行了封装,让android app可以通过iptables命令进行防火墙设置,iptables有很多复杂的功能,我们主要看看怎么设置白名单只让指定的uid app可以联网和设置黑名单让指定的ui...
Android powersave模式网络限制流程
b178903294的博客
04-04 2556
由 b178903294创建, 最后修改于9月 01, 2020 当用户在settings打开省电模式的开关后,系统会进入到省电模式,在各种方面进行限制以尽可能的省电。今天我们来分析一下,省电模式限制网络连接的逻辑。 前言:首先分析一下打开省电模式按钮之后发生了什么: 1、先来看一下Battery saver的switch开关,当我们打开Battery saver的时候 //packages/apps/Settings/src/com/android/settings...
网站防刷方案
最新发布
07-28 1400
Web 服务器也可以实现前面所说的防火墙等设备3/4层的功能,同时具备七层功能,很多负载均衡设备7层采用web服务器实现,例如 F5 7层的高级功能是由 Apache httpd 来完成(apache 是经过二次开发的), 所以7层的部门我们主要在这里深入讨论。下面是Jquery例子。这是讲述如何防止重复请求你的网站, 包括如,爬虫,数据采集,刷排名,批量注册,批量发帖,利用漏洞获取网站数据等等。验证码,最常用的,最有效的方法,分为图片扭曲法,问提/答案 法,手机验证码,语音验证码等等方法,形式多重多样。
iptables白名单模板_iptables配置IP地址白名单放行百度云CDN加速
weixin_42295859的博客
01-17 1074
背景:使用vps性能不是太好,总是有恶意的访问增加流量,而此时呢,想用云加速,但一加速就被iptables分析日志干成黑名单了,有时一访问太快了给nginx拒绝了,实现方法见Url:http://justwinit.cn/post/7671/ 。如何防止误伤到去加速呢,百度提供出了他们的IP地址,我们可以用白名单写入到iptables里于是就好了。实践证明:https://justwinit.cn...
iptables白名单模板_iptables 端口白名单应该如何设置才能生效?
weixin_29871753的博客
02-16 609
我设置了 80 和 443 端口只运行白名单 IP 访问,但是发现没有用,实际上任何 IP 都能访问。然后我又测试删除 80 端口的 INPUT 规则,之后依然能访问。明明有 -A INPUT -j DROP。但是 Ben IP 又正常生效 -A INPUT -s 120.26.72.89/32 -j DROP。-A INPUT -i lo -j ACCEPT-A INPUT -m state -...
Firewalld中的whitelist并不是规则白名单
denghe6366的博客
07-21 883
原文地址:http://www.excelib.com/article/292/show whitelist的含义 白名单跟防火墙结合在一起大家很容易将其理解为规则白名单,不过在Firewalld中whitelist却并不是规则白名单的含义。 对于一个防火墙来说,最重要的当然就是规则了,Firewalld当然也不例外,学生前面也给大家介绍了很多规则相关的配置方法,不过大家有没有意识...
iptables-ipset仅允许国内访问---端口白名单
endzhi的博客
03-23 2155
为实现仅china大陆地址访问,在业务端口如这里的80,使用iptables防火墙+ipset过滤实现访问控制,对于访问量不大的业务可考虑使用。
Firewall】服务器访问限制白名单
qq_51417587的博客
04-25 1377
修改配置文件/etc/hosts.allow。修改配置文件/etc/hosts.deny。源自IP或子网的流量导向指定的区域。允许指定ip访问指定服务。允许指定ip访问指定端口。允许指定网段访问指定端口。允许指定ip的所有流量。允许指定ip的指定协议。
【网络安全】通过iptables和ipset完成服务器防火墙黑名单和白名单功能
没枕头我咋睡觉
07-28 1728
通过iptables和ipset完成服务器防火墙黑名单和白名单功能
Linux使用iptables设置黑白名单使用ipset工具
weixin_33796205的博客
08-02 347
1,下面我先说下iptables的基本配置规则,然后再说ipset以下使用C7 x86_64为实验环境CentOS7默认的防火墙不是iptables,而是firewalle.如果你没有安装iptables的话,你可以使用以下命令进行安装systemctl stop firewalldsystemctl disable firewalldsystemctl mask firewalld上面的意...
Linux使用iptables设置黑白名单
lier的博客
12-21 2707
(转者注:此文为转载,iptables在Ubuntu上亲测可用,特此码住) 原文如下: 使用ipset工具 1,下面我先说下iptables的基本配置规则,然后再说ipset 以下使用C7 x86_64为实验环境 CentOS7默认的防火墙不是iptables,而是firewalle. 如果你没有安装iptables的话,你可以使用以下命令进行安装 systemctl stop firewalld...
Failed to start IPv4 firewall with iptables.
05-28
这个错误通常是由于iptables配置文件中存在错误或者iptables服务未正确安装导致的。你可以尝试运行以下命令来检查iptables服务是否已正确安装: ``` sudo systemctl status iptables ``` 如果该命令返回“Unit iptables.service could not be found”或者“iptables.service loaded failed”,则说明iptables服务未正确安装。你可以使用以下命令来安装iptables服务: ``` sudo yum install iptables-services ``` 安装完成后,你可以使用以下命令来启动iptables服务: ``` sudo systemctl start iptables ``` 如果该命令返回“Failed to start iptables.service: Unit iptables.service not found”错误,则你需要手动创建iptables.service文件。你可以使用文本编辑器打开/etc/systemd/system/iptables.service文件,并将以下内容复制到文件中: ``` [Unit] Description=IPv4 firewall with iptables After=syslog.target network.target [Service] Type=oneshot ExecStart=/usr/libexec/iptables/iptables.init start ExecStop=/usr/libexec/iptables/iptables.init stop [Install] WantedBy=multi-user.target ``` 保存文件后,使用以下命令来重新加载systemd服务并启动iptables服务: ``` sudo systemctl daemon-reload sudo systemctl start iptables ``` 如果iptables服务启动仍然失败,请尝试查看系统日志以获取更多信息: ``` sudo tail /var/log/messages ``` 该命令将显示iptables服务启动失败的详细信息,你可以根据提示进行进一步的排查。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值