linux中如何限制IP访问服务器

最新推荐文章于 2024-05-22 13:32:09 发布
转载 最新推荐文章于 2024-05-22 13:32:09 发布 · 1.7w 阅读 · 4

本文介绍如何通过配置Linux的hosts.allow与hosts.deny文件实现精确的远程访问控制,并展示了在AIX系统中利用IP安全过滤规则进行访问权限管理的方法。

http://purpen.iteye.com/blog/1135342

==============================Linux===========================

hosts.allow与hosts.deny两个文件均在/etc/目录下,优先级为先检查hosts.deny,再检查hosts.allow, 后者设定可越过前者限制。 

例如: 
1.限制所有的ssh, 
除非从218.64.87.0——127

vi /etc/hosts.deny
hosts.deny: 
in.sshd:ALL

-------------------------------------------------

vi /etc/hosts.allow
hosts.allow: 
in.sshd:218.64.87.0/255.255.255.128 
in.sshd:218.64.88.10
---------------------------------
hosts.allow:
ALL:192.100.248.247 

2.封掉218.64.87.0——127的telnet 
hosts.deny:
in.sshd:218.64.87.0/255.255.255.128 

3.限制所有人的TCP连接,除非从218.64.87.0——127访问 
hosts.deny:
ALL:ALL 


hosts.allow: 
ALL:218.64.87.0/255.255.255.128 


4.限制218.64.87.0——127对所有服务的访问 
hosts.deny 
ALL:218.64.87.0/255.255.255.128 

其中冒号前面是TCP daemon的服务进程名称,通常系统进程在/etc/inetd.conf中指定,比如in.ftpd,in.telnetd,in.sshd 

其中IP地址范围的写法有若干中,主要的三种是: 
1.网络地址——子网掩码方式: 
218.64.87.0/255.255.255.0 


2.网络地址方式(我自己这样叫,呵呵) 
218.64.(即以218.64打头的IP地址) 

3.缩略子网掩码方式,既数一数二进制子网掩码前面有多少个“1”比如: 
218.64.87.0/255.255.255.0《====》218.64.87.0/24 
______________________________
设置好后,要重新启动
# /etc/rc.d/init.d/xinetd restart
# /etc/rc.d/init.d/network restart

==============================AIX============================

1.增加一个过滤规则以允许接受从10.152.129.49发来的ftp请求:
# smitty ipsec4---> Advanced IP Security Configuration------> Configure IP Security Filter Rules---------> Add an IP Security Filter Rule ->Add an IP Security Filter Rule
* Rule Action -----------------------------------[permit] +
* IP Source Address -----------------------------[10.152.129.49]
* IP Source Mask --------------------------------[255.255.255.255]
IP Destination Address --------------------------[]
IP Destination Mask ---------------------------- []
* Apply to Source Routing? (PERMIT/inbound only) [yes]+
* Protocol --------------------------------------[all]+
* Source Port / ICMP Type Operation -------------[any]+
* Source Port Number / ICMP Type ----------------[0] #
* Destination Port / ICMP Code Operation --------[eq]+
* Destination Port Number / ICMP Type -----------[21] #
* Routing ---------------------------------------[both] +
* Direction -------------------------------------[both]+
* Log Control -----------------------------------[no]+
* Fragmentation Control -------------------------[0]+
* Interface -------------------------------------[all] +
其他缺省值
2. 增加另一个过滤规则以拒绝其它所有向10.110.157.151发出的ftp请求:
Add an IP Security Filter Rule
* Rule Action -----------------------------------[deny]+
* IP Source Address -----------------------------[0.0.0.0]
* IP Source Mask --------------------------------[0.0.0.0]—
IP Destination Address ------------------------[10.110.157.151]—
IP Destination Mask ---------------------------[255.255.255.255] *
Apply to Source Routing? (PERMIT/inbound only) [yes] +
* Protocol --------------------------------------[all]+
* Source Port / ICMP Type Operation -------------[any] +
* Source Port Number / ICMP Type ----------------[0] #
* Destination Port / ICMP Code Operation --------[eq]+
* Destination Port Number / ICMP Type -----------[21]#
* Routing ---------------------------------------[both]+
* Direction -------------------------------------[both]+
* Log Control -----------------------------------[no] +
* Fragmentation Control ------------------------ [all packets]+
* Interface ------------------------------------ [all] +


2. 激活设置的过滤规则:
# smitty ipsec4---> Advanced IP Security Configuration----> Activate/Update/Deactivate IP ---->Security Filter Rule ---------> Activate / Update


3. 上面的操作进行完后,用户将只能从10.152.129.49 ftp至 10.110.157.151,任何其它机器试图ftp至10.110.157.151的操作将失败。

Linux只限定某个地址远程登录,如何限制登录终端服务的地址
weixin_34501374的博客
05-07 1282
2 )再建一条规则,只允许192.168.0.120这一个IP连接到服务器的3389端口,这样后建的允许规则就会在拒绝规则的上方,实现一个IP筛选的功能。操作步骤:首先,打开组策略编辑器,在【开始】【运行】里输入”gpedit.msc”命令,运行组策略,如图1-1所示:图1-1 运行组策略命令然后,选择计算机配置-->>Windows设置-->>IP安全策略,右键创建IP策...
Linux服务器限制远程IP登录的深入指南
weixin_65837469的博客
08-06 2037
在当今的数字化时代,Linux服务器的安全性是企业个人用户不可忽视的重要方面。远程登录,尤其是通过SSH(Secure Shell)协议,是服务器管理中最常见的操作之一。然而,不限制远程登录的IP地址可能会暴露服务器于潜在的安全风险中。本文将深入探讨如何在Linux服务器上配置以限制远程IP登录,从而增强服务器的安全防护。
linux限制访问IP
Matrix的博客
10-23 1950
多个网段或端口之间用,隔开。如下表示允许95.96.3.23地址192.168.222段的地址访问。添加如下代码:表示放行192.168.222段所有的地址访问。在Linux系统中,配置限制访问IP
linux限制IP访问
wangxiaofei2006的专栏
12-24 4952
设置hosts.allow与hosts.deny屏蔽IP hosts.allow与hosts.deny 两个文件均在/etc/目录下 优先级为先检查hosts.deny,再检查hosts.allow, 后者设定可越过前者限制, 例如: 1.限制所有的ssh, 除非从192.168.1.0——127上来。 hosts.deny: in.sshd:ALL hosts
Linux系统中如何禁止IP或者网段访问服务
lck_csdn的博客
05-07 3810
方法一 登录实例,编辑 /etc/hosts.deny 文件,添加如下内容,然后保存并退出。 sshd:203.XXX.XXX.189 #禁止203.XXX.XXX.189对服务器SSH的访问 sshd:203.XXX.XXX.0/255.XXX.XXX.0 #禁止203.XXX.XXX.0~255.XXX.XXX.0对服务器SSH的访问 执行如下命令,重启服务使配置生效。 service xinetd restart 方法二 登录实例,编辑 /etc/rc.local 文件,添加如
linux服务器限制IP访问
Wanglas的博客
04-18 1万+
修改/etc/hosts.deny,在其中加入 sshd:ALL 修改:/etc/hosts.allow,在其中进行如下设置: sshd:你的ip
Linux中通过iptables限制多个IP访问服务器
08-04
这篇文章主要讲解了 Linux 系统中如何利用 iptables 来限制多个 IP 地址访问服务器的相关知识,有这方面需求的朋友可以了解一下。 iptables 是用于管理 netfilter 的工具。在 Linux 系统中,服务器的安全性至关重要...
Linux使用iptables限制多个IP访问你的服务器
09-15
iptables是一个管理netfilter的工具。这篇文章主要介绍了Linux使用iptables限制多个IP访问你的服务器的相关知识,需要的朋友可以参考下
linux服务器(nginx或者apache)限制IP访问.docx
09-26
Linux 服务器限制 IP 访问是指通过配置 Nginx 或 Apache 服务器,屏蔽或限制特定的 IP 地址访问服务器,以防止垃圾评论、攻击或恶意访问。 Nginx 环境下的 IP 限制 在 Nginx 环境下,可以创建一个名为 denyip.conf...
linux服务器端作了ip访问限制,Linux 服务器限制IP访问
weixin_39598472的博客
05-11 202
上传资源的时候发现迅雷确实有吸血行为,连接性甚好,以至于pt完全没速度运行ifstat -S命令,发现带宽被占用了6-8mb之多,但是实际给迅雷上传只有3mb左右通过netstat -p 命令获得ip及连接信息,发现主要有三个ip段于是依次屏蔽掉iptables -I INPUT -s 114.80.183.0/24 -j DROPiptables -I INPUT -s 122.143.1.0/...
Linux-禁止某些IP访问
JustDI0209的博客
03-30 7691
1.现状 已经移交出的项目,其包含的应用服务还在连接我们这边的kafka,并且在短短1分钟的时间内,就发送了约100M大小的数据过来。 该kafka部署在测试环境,服务器磁盘空间就没有多少,这就导致我们这边频繁的服务器崩溃。 不得已,只能禁用对方服务器IP。 2.方法 执行以下命令需要 root 用户或者具有 sudo 权限的用户 查看防火墙状态 sudo service iptables status 启动防火墙 sudo service iptables start 发现报错 ipt
Linux 禁止某个IP地址访问的几种方法
热门推荐
Jay112011的博客
03-23 1万+
Linux 禁止某个IP地址访问的几种方法 一、概述 这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下: #服务进程名:主机列表:当规则匹配时可选的命令操作 server_name:hosts-list[:command] /etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。 /etc/hosts.allow/e
Linux 服务器限制IP访问
iteye_12890的博客
05-07 494
近期在服务器上线了一个奖金活动,于是每天都会出现一些人攻击服务器的情况,这里简单介绍一种限制指定IP访问的办法。 单个IP的命令是 iptables -I INPUT -s 59.151.119.180 -j DROP 封IP段的命令是 iptables -I INPUT -s 211.1.0.0/16 -j DROP iptables -I INPUT -s 211.2.0...
Linux禁止ip访问方法
lvfl的博客
05-18 6513
Linux禁止ip访问方法 1、通过防火墙 # 1.停止 注销 systemctl 防火墙 systemctl stop firewalld # 2.安装 iptables 防火墙 systemctl mask firewalld # 3.设置开机自启 systemctl enable iptables # 4.基本使用:service iptables [save|stop|start|restart] # []里分别对应保存,停止,启动重启 # 二、屏蔽 IP iptabl...
Linux 使用 iptables 禁止某些 IP 访问
Summer的博客
04-07 3892
一般来说,现在的攻击者不会使用一个网段的IP来攻击(太招摇了),IP一般都是散列的。于是下面就详细说明一下封杀单个IP的命令,解封单个IP的命令。后面跟的是规则,INPUT表示入站,***.***.***.***表示要封停的IP,DROP表示放弃连接。如果能拒绝掉这几个IP的攻击的话,会大大减轻服务器的压力,说不定服务器就能恢复正常了。要封停或者是解封IP,其实就是在IP规则表中对入站部分的规则进行添加操作。其实也就是将单个IP封停的IP部分换成了LinuxIP段表达式。关闭/开启/重启防火墙。
Linux】关于如何屏蔽IP服务器访问
MacwinWin的博客
02-08 3256
前几天由于接口收到某些互联网爬虫的请求导致服务出现若干异常请求,就想到对服务器进行配置,以达到对某些IP的屏蔽。我想到的方法有如下几种: 阿里云控制面板上配置黑名单; 服务器上配置iptables、ufw、firewalld之类的防火墙; 服务器上配置hosts.deny之类的配置文件; 配置Nginx、Apache之类的服务器 由于公司有统一的阿里云服务器安全策略,想针对某台服务器单独进行配置比较繁琐,故第1种方式被pass掉了。由于之前一直没有启用防火墙,担心启用防火墙后对现有服务产生不可预知的影响
Liunx设定白名单黑名单,限制IP访问
gaozhonghua12的专栏
05-22 2367
【代码】Liunx设定白名单黑名单,限制IP访问
linux 防火墙IPTABLES 设置IP连接限制
sylalak123的博客
11-30 4184
iptables文件里增加一下规则: -A INPUT -p tcp -m tcp --dport 8080 -m state --state NEW -m recent --update --seconds 60 --hitcount 20 --name DEFAULT --rsource -j DROP -A INPUT -p tcp -m tcp --dport 8080 -m state --state NEW -m recent --set --name DEFAULT --rsource -
linux防火墙仅允许特定IP访问服务器
最新发布
11-13
Linux系统中,常用的防火墙管理工具有`iptables``firewalld` ,以下是使用这两种工具设置仅允许特定IP访问服务器的方法。 ### 使用`iptables`设置 `iptables`是Linux下经典的防火墙管理工具,以下是设置仅允许特定IP访问服务器的示例代码: ```bash # 清空当前所有规则 iptables -F # 允许本地回环接口 iptables -A INPUT -i lo -j ACCEPT # 允许已建立的相关的连接 iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT # 允许特定IP(例如192.168.1.100)访问服务器的所有端口 iptables -A INPUT -s 192.168.1.100 -j ACCEPT # 拒绝其他所有的输入连接 iptables -A INPUT -j DROP # 允许所有输出连接 iptables -P OUTPUT ACCEPT # 保存规则(不同发行版保存方式不同,以CentOS为例) service iptables save ``` 上述代码首先清空了当前的所有规则,然后允许本地回环接口已建立的连接,接着允许特定IP访问,拒绝其他所有输入连接,并允许所有输出连接,最后保存规则。 ### 使用`firewalld`设置 `firewalld`是CentOS 7及以后版本默认的防火墙管理工具,以下是使用`firewalld`设置仅允许特定IP访问服务器的示例代码: ```bash # 开启firewalld服务 systemctl start firewalld # 查看firewalld状态 systemctl status firewalld # 允许特定IP(例如192.168.1.100)访问服务器的所有端口 firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" accept' # 拒绝其他所有IP访问 firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="0.0.0.0/0" reject' # 重新加载防火墙规则 firewall-cmd --reload ``` 上述代码首先启动并检查`firewalld`服务状态,然后添加允许特定IP访问的规则拒绝其他所有IP访问的规则,最后重新加载防火墙规则使设置生效。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值