iptables允许部分网段

最新推荐文章于 2025-04-02 15:47:57 发布
原创 最新推荐文章于 2025-04-02 15:47:57 发布 · 7.4k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#input #output #tcp #path #access #server

博客涉及TCP相关内容,包含输入、输出、访问路径以及服务器等方面信息,这些信息技术领域的关键元素构成了博客核心内容。

iptables允许部分网段


#!/bin/bash
#edit by luweinet at Apr 27 2005 ,just for allow which ip/net to access the server
#you must make sure the allowip.txt is exits. or it just allow hhstu net~~
export PATH=$PATH:/sbin:/usr/sbin:/bin
iptables="/sbin/iptables"
dev=bond0
allowip=/home/kernel/allowip.txt
inet=202.197.*.*
$iptables -F
$iptables -X
$iptables -Z
$iptables -P FORWARD DROP
$iptables -P INPUT DROP
$iptables -P OUTPUT DROP
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ipt_state
#set state
$iptables -N STATE
$iptables -A STATE -m state --state INVALID -j DROP
$iptables -A STATE -m state --state RELATED,ESTABLISHED -j ACCEPT
#check flags
$iptables -N FLAGS
$iptables -A FLAGS -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
$iptables -A FLAGS -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$iptables -A FLAGS -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
$iptables -A INPUT -i $dev -s 10.0.0.0/8 -j DROP
$iptables -A INPUT -i $dev -s 192.168.0.0/16 -j DROP
#$iptables -A INPUT -i lo -j ACCEPT
 
#$iptables -A INPUT -d 59.70.16.0/20 -j ACCEPT  # always allow hhstu
$iptables -A INPUT -s 202.197.208.0/20 -j ACCEPT
$iptables -A OUTPUT -d 202.197.208.0/20 -j ACCEPT
 
$iptables -A INPUT -s 59.70.16.0/20 -j ACCEPT
$iptables -A OUTPUT -d 59.70.16.0/20 -j ACCEPT
 
#allow other which at /home/kernel/allowip.txt
        for ip in `cat $allowip`
         do
                $iptables -A INPUT -s $ip -d $inet -j ACCEPT
                $iptables -A OUTPUT -d $ip -s $inet -j ACCEPT
        done
 
 
#$iptables -A INPUT -f -m limit --limit 100/s --limit-burst 300 -j ACCEPT
if [ -e /proc/sys/net/ipv4/conf/all/accept_source_route ]; then
   for i in /proc/sys/net/ipv4/conf/*/accept_source_route; do
   echo "0" > $i;
   done
fi
 
/etc/init.d/iptables save
/etc/init.d/iptables restart

# 缺点是链太乱,不过能实现那功能~~

iptables 针对网段/某段IP 操作
大西瓜的博客
07-12 1万+
iptables 针对网段/某段IP 操作 1、禁用某网段(-p后也可以是udp 也可以是all) iptables -I INPUT -p tcp -s 192.168.116.0/24 -j DROP 2、禁用某网段的22端口 iptables -I INPUT -p tcp -s 192.168.116.0/24 --dport 22 -j DROP 3、禁用192.168.116.1~192.168.116.20 IP段的 22 端口 iptables -I INPUT -m iprange -
ubuntu通过iptables设置某一个ip网段禁用所有端口
Android/Linux驱动开发,让驱动入门门槛更低!
08-25 2439
iptables其实不是真正的防火墙,我们可以把它理解成一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的”安全框架”中,这个”安全框架”才是真正的防火墙,这个框架的名字叫netfilter。 netfilter才是防火墙真正的安全框架(framework),netfilter位于内核空间。iptables其实是一个命令行工具,位于用户空间,我们用这个工具操作真正的框架。 1、安装iptables应用 sudo apt-get install iptables 2、执行iptab
iptables实现的跨网络通信
运维老生常谈
08-08 809
所谓转发就是当主机拥有多块网卡时,其中一块收到数据包,根据数据包的目的ip地址将数据包发往本机另一块网卡,该网卡根据路由表继续发送数据包(通常这是需要路由器来实现的功能)。在很多业务场景下,会遇上很多诡异的需求,不仅限于文章提及的需求,还有各种五花八门的需求,大部份的这些需求的产生都是来源于以前设计、规划上导致的问题。# 但在主机B的eth0的网卡并没有发现icmp包, 这是什么原因?# 在主机B的eth1网卡进行抓包查看,发现icmp包已经过来了。# 在主机A发现去访问10.0.44.1的icmp通了。
iptables 配置文件中开放指定网段访问
weixin_35756373的博客
01-18 1475
可以使用 iptables 的 "-s" 参数指定允许访问网段。例如,要允许 192.168.0.0/24 网段中的主机访问,可以使用以下命令: iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT ...
iptables允许指定网段ip访问
weixin_35753431的博客
01-18 3969
可以使用 iptables 规则限制指定网段的 IP 地址访问。示例如下: iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT iptables -A INPUT -j DROP 第一行允许来自 192.168.0.0/24 网段的 IP 地址访问。第二行拒绝其他所有 IP 地址的访问。 注意:此规则应在其他规则之前执行,以确保其生效。 ...
iptables添加防火墙限制,允许某ip或网段访问此端口
爱辉弟的博客
10-18 9811
1、在tcp协议中,禁止所有的ip访问本机的80端口 [root@node1 ~ 17:11:28]# iptables -I INPUT -p tcp --dport 80 -j DROP [root@node1 ~ 17:13:54]# service iptables save iptables: Saving firewall rules to /etc/sysconfig/iptabl...
iptables允许指定网段的ip访问某端口配置
sunxunyong的博客
04-02 1400
yum install -y iptables-services #安装systemctl restart iptables.service #重启防火墙使配置生效systemctl enable iptables.service #设置防火墙开机启动systemctl disable iptables.service #禁止防火墙开机启动iptables -F 清除所有链的规则。
iptables网段划分
weixin_34290096的博客
11-13 1124
iptables网段分段处理 24指的是32-24共2^8-2台主机 32是只单独的纯IP iptables禁止IP段划分 1.#屏蔽单个IP的命令是 2.iptables-IINPUT-s123.45.6.7-jDROP 3.#封整个段即从123.0.0.1到123.255.255.254的命令 4.iptables...
linux允许网段访问服务器,Linux下iptables允许指定IP访问某应用端口
weixin_42522275的博客
04-28 3270
指定公网ip地址或者内网网段访问80站点开启网段10.0.0.0/8可以访问80端口,和允许公网IP123.125.65.82可以访问80端口# iptables -I INPUT -p tcp --dport 80 -j DROP# iptables -I INPUT -s 10.0.0.0/8 -p tcp --dport 80 -j ACCEPT# iptables -I INPUT -s ...
iptables限制ip访问_网络防御-防火墙设置IP网段规则
weixin_39924573的博客
11-28 2563
前言熟悉Linux系统的朋友,都应该知道系统防火墙的威力,我们一般在网络的世界里,只会开放某些端口进行对外服务。但是开放也意味着会受到攻击,如何降低风险,这里将分享一点知识给大家,希望大家喜欢。让我们加把锁实际需求为了更形象讲解好处,我以我的两个实际需求例子来说明限制IP的好处。需求1:由于我所在的办公室有固定的出口IP,这样的话,就方便我限制IP登录某些公网IP。需求2:我要开放A服务器给某些内...
iptables防火墙只允许指定ip连接指定端口、访问指定网站
热门推荐
记事本
08-02 5万+
iptables防火墙只允许指定ip连接指定端口、访问指定网站
iptables网段转发
Bpazy的博客
03-21 3344
网络结构如下 需求 PC 只能访问到 Linux,需要 Linux 转发数据包,使得 PC 可以访问到路由器。 使用 iptables 转发 iptables -t nat -I PREROUTING -p tcp --dport 10000 -j DNAT --to-destination 192.168.0.1:80 iptables -t nat -I POSTROUTING -p tcp...
iptables访问规则
weixin_46627652的博客
12-16 1万+
vim /etc/sysctl.conf 删除 #net.ipv4.ip_forward=1 前的#号,开启ipv4 forward sudo sysctl –p 若运行后显示 net.ipv4.ip_forward = 1,表示修改生效了 目标地址转换: iptables -t nat -A PREROUTING -d 192.168.23.110 -p tcp --dport 80 -j DNAT --to-destination 192.168.23.111:8080 将本机的 80 端口转..
Linux iptables IP映射 跨网段访问
Chasing_Chasing的博客
03-11 7149
Linux iptables IP映射 跨网段访问 19.1 前言 开发中,遇到一个跨多个网段访问设备内部局域网的问题。刚开始对这个跨网段的问题无从下手,但后面想了又想,难道不能让一个网口直接桥接到另外一个网口吗?顺着这个想法,于是就想到了IP映射,后面又深入到Linux中的netfilter机制。我们可以使用Linux中netfilter的机...
linux iptables 关闭端口和网段
weixin_30267691的博客
10-24 2624
封单个IP的命令:iptables -I INPUT -s 124.115.0.199 -j DROP 封IP段的命令:iptables -I INPUT -s 124.115.0.0/16 -j DROP 封整个段的命令:iptables -I INPUT -s 194.42.0.0/8 -j DROP 封几个段的命令:iptables -I INPUT -s 61.37.80.0/24 ...
【Linux】iptables允许指定网段的ip访问某端口
廿四画生的博客
05-17 1万+
#先关闭所有的80端口 iptables -I INPUT -p tcp --dport 80 -j DROP #开启ip段192.168.1.0/24端的80口 iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT 开启ip段211.123.16.123/24端ip段的80口 # iptables -I INPUT -s 211.123.16.123/24 -p tcp --dport 80 -j ACCEPT (19...
使用iptables配置访问规则
Sdianti的博客
08-15 1622
执行iptables -L 或 iptables -L -n命令,查看iptables默认规则,发现在默认规则下,INTPUT链允许来自任何主机的访问。首先,我们需要清空所有已经存在的iptables规则,然后设置默认策略为DROP,这样我们就可以开始设置我们自己的规则了。如果之前已经设置过规则,建议执行如下命令,备份原有的iptables文件,避免之前设置的规则丢失。执行如下命令,查看iptables是否成功启动。执行如下命令,设置iptables开机启动。执行如下命令,启动iptables
Iptables+squid 多网段透明代理的实现
weixin_34026484的博客
07-26 439
首先,还是将我的测试环境介绍一下: 代理服务器: OS:RedHat Enterprise LINUX AS 4.0 Proxy Server Version: squid-2.5.STABLE6-3.4E.5 (系统自带) 网卡设置 Eth0:192.168.0.251 (连接外网) Eth1:192.168.1.254 (连接内网) 路由器:(主要是用...
iptables详解
wdt3385的专栏
12-25 5309
看完下面这个iptables的讲解一下子豁然开朗,写的很详细 一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的
iptables 禁止所有其他网段访问
最新发布
08-20
<think>首先,用户的问题是关于iptables的:他们想配置iptables来阻止所有其他网段访问。用户说“我想配置iptables阻止其他网段访问”,意思是阻止所有其他网段访问他们的系统。 从系统级指令来看: - 所有行内数学表达式必须使用$...$格式。 - 独立公式必须使用$$...$$格式并单独成段。 - LaTeX语法正确。 - 使用中文回答。 - 生成相关问题。 - 回答中引用的段落末尾自然地添加引用标识。 - 回答结构清晰,帮助用户逐步解决问题,尽量保证回答真实可靠。 参考站内引用: - 引用[1]: 关于使用iptables阻断到某个IP某个端口的访问,并如何解除规则。 - 引用[2]: 关于iptables允许指定网段的IP访问某端口配置。 用户的问题具体是:“我想配置iptables阻止其他网段访问 请问iptables 如何禁止所有其他网段访问”。所以,我需要解释如何配置iptables来阻止所有其他网段访问。 在iptables中,阻止特定网段通常涉及设置规则来拒绝来自特定IP范围的流量。用户说“禁止所有其他网段访问”,这可能意味着只允许某些网段访问,而阻止所有其他网段。这类似于白名单设置。 从引用[2]中,有关于“iptables允许指定网段的ip访问某端口配置”的信息,这相关。 我的回答应该: 1. **结构清晰**:逐步解释如何配置。 2. **使用中文**。 3. **生成相关问题**:在最后添加相关问题。 4. **添加引用标识**:在回答中自然地添加引用标识,如[^1]。 关键步骤: - 理解用户需求:只允许特定网段访问,阻止所有其他网段。 - 在iptables中,可以使用`-A INPUT`链来添加规则。 - 首先,允许特定网段。 - 然后,拒绝所有其他流量。 - 注意:iptables规则有顺序,所以先允许再拒绝。 从引用[2]:它提到了安装iptables-services,重启防火墙等。 具体配置: - 例如,允许192.168.1.0/24网段访问所有端口:`iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT` - 然后拒绝所有其他:`iptables -A INPUT -j DROP` - 但用户可能想指定端口,或者所有访问?用户说“访问”,可能是所有端口或特定端口。用户没有指定端口,所以可能是所有访问。 用户说“阻止其他网段访问”,没有指定端口,所以可能意味着阻止所有访问(如SSH、HTTP等)。 为了安全,通常建议只允许必要的端口。 在回答中,我应该: - 解释基本概念。 - 提供示例命令。 - 强调规则顺序的重要性。 - 提到如何保存规则(使用iptables-save或service)。 生成相关问题: - 在最后,添加“相关问题”部分,类似示例。 回答结构: 1. **介绍**:简要解释iptables和需求。 2. **步骤**:逐步指导如何配置。 - a. 安装和启动iptables(如果需要)。 - b. 添加允许规则。 - c. 添加拒绝规则。 - d. 保存规则。 3. **示例**:提供具体命令示例。 4. **注意事项**:规则顺序、保存、测试。 5. **相关问题**:生成2-3个相关问题。 添加引用: - 在相关部分添加引用标识。例如,提到解除规则时引用[1],提到配置时引用[2]。 最终,添加相关问题部分。 相关问题想法: 1. 如何只允许特定IP访问某个端口? 2. 如何配置iptables允许HTTP和HTTPS流量? 3. 如何保存iptables规则以防止重启后丢失? 确保回答真实可靠:基于标准iptables知识。</think>### iptables 配置禁止所有其他网段访问 要配置 iptables 禁止所有其他网段访问,本质上是设置一个“白名单”:只允许特定网段访问,而拒绝所有其他来源的流量。这可以通过在 `INPUT` 链中添加规则来实现。规则顺序至关重要——先允许特定网段,再拒绝所有其他流量。以下是逐步配置指南,使用中文解释。确保在操作前备份当前规则(如 `sudo iptables-save > /etc/iptables/rules.v4`),以免丢失重要配置。 #### 步骤 1: 安装和启动 iptables(如果尚未安装) 如果您的系统未安装 iptables,请先安装相关服务。这通常适用于 CentOS/RHEL 系统;Ubuntu/Debian 系统可能默认已安装。 ```bash sudo yum install -y iptables-services # 安装 iptables sudo systemctl start iptables.service # 启动服务 sudo systemctl enable iptables.service # 设置开机启动[^2] ``` #### 步骤 2: 添加允许特定网段的规则 首先,定义您允许访问网段(例如,允许本地网段 `192.168.1.0/24`)。规则应添加到 `INPUT` 链的开头(使用 `-I` 而非 `-A` 确保顺序)。 - **命令格式**: `sudo iptables -I INPUT -s <允许网段> -j ACCEPT` 例如,允许 `192.168.1.0/24` 网段的所有访问: ```bash sudo iptables -I INPUT -s 192.168.1.0/24 -j ACCEPT ``` - **解释**: - `-I INPUT`:将规则插入到 `INPUT` 链的开头(优先级高)。 - `-s 192.168.1.0/24`:指定源 IP 范围为该网段。 - `-j ACCEPT`:接受匹配的流量。 #### 步骤 3: 添加拒绝所有其他网段的规则 在允许规则后,添加一条规则拒绝所有其他来源的流量。使用 `-A` 添加到链的末尾。 - **命令格式**: `sudo iptables -A INPUT -j DROP` 示例: ```bash sudo iptables -A INPUT -j DROP ``` - **解释**: - `-A INPUT`:将规则添加到 `INPUT` 链的末尾。 - `-j DROP`:丢弃所有未匹配允许规则的流量(即来自其他网段访问)。 - **注意规则顺序**:如果顺序颠倒(先拒绝后允许),允许规则可能无效,因此务必先允许再拒绝。 #### 步骤 4: 保存并应用规则 iptables 规则默认不保存到重启后,需手动保存。 - **保存规则**: ```bash sudo service iptables save # 适用于 CentOS/RHEL # 或 sudo iptables-save > /etc/iptables/rules.v4 # 适用于 Ubuntu/Debian ``` - **重启服务使生效**: ```bash sudo systemctl restart iptables.service[^2] ``` #### 步骤 5: 验证规则 检查规则是否正确添加: ```bash sudo iptables -L --line-numbers ``` 输出应类似: ``` Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT all -- 192.168.1.0/24 anywhere 2 DROP all -- anywhere anywhere ``` - **测试**:从其他网段(如 `10.0.0.1`)尝试访问您的系统(如 ping 或 SSH),应被阻止。 #### 注意事项 - **端口限制**:上述规则阻止所有端口的访问。如果您只想阻止特定端口(如 HTTP 端口 80),需修改规则。例如,只允许 `192.168.1.0/24` 访问 80 端口: ```bash sudo iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 80 -j DROP ``` - **安全性**:确保允许规则包含您自己的管理 IP,否则可能将自己锁在系统外。如果误操作,可通过本地控制台或预先设置的允许 IP 解除规则(参考删除规则的方法[^1])。 - **性能影响**:大量规则可能影响网络性能,建议仅添加必要规则。 通过以上步骤,您可以有效禁止所有其他网段访问,仅允许指定网段。如果需要更精细控制(如按端口或协议),可扩展规则。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值