Linux服务器防火墙白名单设置

本文介绍如何在服务器上配置iptables防火墙,包括添加白名单IP地址和开放特定端口的方法。通过编辑防火墙配置文件,可以精确控制服务器的访问权限。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

登上服务器,编辑防火墙配置文件

  vi /etc/sysconfig/iptables

  把需要访问本台服务器的其他服务器ip地址,以及本台服务器需要开放的端口号添加上

  如下:

复制代码
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#这里开始增加白名单服务器ip(请删除当前服务器的ip地址)
-N whitelist
-A whitelist -s 192.168.111.xxx -j ACCEPT
-A whitelist -s 192.168.111.xxx -j ACCEPT
-A whitelist -s 192.168.111.xxx -j ACCEPT
-A whitelist -s 192.168.111.xxx -j ACCEPT
-A whitelist -s 192.168.111.xxx -j ACCEPT
#这里结束白名单服务器ip
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 13020 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 1000:8000 -j ACCEPT  //开放1000到8000之间的所有端口
//上面这些 ACCEPT 端口号,公网内网都可以访问

//下面这些 whitelist 端口号,仅限服务器之间通过内网访问
#这里添加为白名单ip开放的端口
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j whitelist
-A INPUT -m state --state NEW -m tcp -p tcp --dport 13009 -j whitelist
-A INPUT -m state --state NEW -m tcp -p tcp --dport 10080 -j whitelist
#这结束为白名单ip开放的端口
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT
复制代码

编辑完之后,别忘了重启防火墙

  service iptables restart


#######################

转自:http://www.cnblogs.com/yashi/p/7550669.html

Linux系统的防火墙是一种网络安全策略工具,它通过控制进出主机的数据包流量来保护系统免受攻击。其中,“白名单防火墙策略是指只允许特定IP地址、端口或服务的访问,而对于其他请求则予以拒绝。 ### Linux系统防火墙白名单详解 #### 1. **配置原理** - 白名单防火墙的核心思想是在网络接入点设置规则,只允许已知来源(即白名单内的IP地址)发起连接尝试,并对所有未列出的来源自动阻断。 - 这种方法相对于黑名单更为安全,因为它默认假设一切未知的流量都是潜在威胁,并主动阻止它们。 #### 2. **常见应用** - 系统管理员可以使用白名单来限制外部服务器对内部系统的访问,尤其是当内部网络需要对外部提供有限的服务时,如Web服务器、数据库服务等。 - 对于关键基础设施或敏感数据处理环境,采用严格的白名单策略能显著提高安全性,减少非预期的外部访问风险。 #### 3. **实现方式** - **iptables**: 这是一个广泛使用的Linux命令行防火墙工具。通过iptables规则,可以配置白名单策略。例如,允许特定IP地址的TCP连接: ```bash sudo iptables -A INPUT -s [白名单IP] -p tcp --dport [目标端口] -j ACCEPT ``` - **Firewalld**: 作为iptables的一个图形界面替代品,firewalld提供更易于管理的防火墙规则。创建自定义区域并添加白名单规则: ```bash sudo firewall-cmd --permanent --zone=public --add-service=http sudo firewall-cmd --reload ``` 上述命令示例允许公共区域能访问HTTP服务,其中`[白名单IP]`需替换为你想要添加到白名单的具体IP。 #### 4. **注意事项** - 配置白名单时务必谨慎,因为一旦将错误的IP地址误认为“可信”,可能会导致新的安全漏洞。 - 定期更新和审核白名单列表,移除不再需要的或已知有问题的条目。 - 使用白名单的同时应考虑结合其他的网络安全措施,比如入侵检测系统(IDS)、入侵防御系统(IPS)等,构建多层次的安全防护体系。 --- **相关问题**: 1. **如何在Linux上使用iptables配置白名单防火墙规则?** 2. **在实际部署中,什么时候应该启用白名单防火墙策略?** 3. **白名单策略与黑名单策略相比,在实施过程中有哪些优势和劣势?**
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值