开机扫描网络执行iptables控制,仅允许特定ip端口被同网段访问

已于 2022-08-26 16:53:39 修改
阅读量697 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: linux 文章标签: 网络 tcp/ip linux
于 2022-08-26 16:45:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u011501223/article/details/126546139
本文提供了一个用于配置iptables防火墙规则的Shell脚本实例。该脚本首先确保iptables服务已启动并运行,然后定义了一系列规则来限制特定端口的访问,并允许指定网段的流量通过。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

此处以samba服务为例

#!/bin/bash
# chkconfig: 2345 10 90
# description: iptables ctrl
export_path=/usr/local/iptables_ctrl.sh

function start_iptables_ctrl() {
    # start iptables
    iptables_status=$(systemctl status iptables | grep 'Active' | awk '{print $2}')
    if [[ ( -n $iptables_status ) && $iptables_status -eq 'Active' ]]; then
      echo "iptables started"
    else
      systemctl enable iptables
      systemctl start iptables
      echo "iptables restart"
    fi

    sleep 30
    echo `iptables -nL | grep 'Chain DBAAS'`
    iptables -t filter -N DBAAS # 创建DBaas链
    iptables -t filter -I INPUT -j DBAAS # 关联DBaas链

    iptables -I DBAAS -p tcp --dport 139 -j DROP  # 拒绝所有主机访问本机 tcp/udp xx 端口
    iptables -I DBAAS -p tcp --dport 445 -j DROP  # 拒绝所有主机访问本机 tcp/udp xx 端口
    iptables -I DBAAS -p udp --dport 137 -j DROP  # 拒绝所有主机访问本机 tcp/udp xx 端口
    iptables -I DBAAS -p udp --dport 138 -j DROP  # 拒绝所有主机访问本机 tcp/udp xx 端口

    ips=($(ip addr | grep -v inet6 | grep inet | awk '{print $2}'))

    for i in ${ips[@]} ; do
        echo $i
        ip1=$i
        ip1g=`echo $ip1 | awk -F '/' '{print $2}'`
        ip1cal=`ipcalc -n $ip1 | awk -F '=' '{print $2}'`
        ipresp=$ip1cal"/"$ip1g
        echo $ipresp

        iptables -I DBAAS -s $ipresp -p tcp --dport 139 -j ACCEPT # 配置允许某一网段访问本机所有端口
        iptables -I DBAAS -s $ipresp -p tcp --dport 445 -j ACCEPT # 配置允许某一网段访问本机所有端口
        iptables -I DBAAS -s $ipresp -p udp --dport 138 -j ACCEPT # 配置允许某一网段访问本机所有端口
        iptables -I DBAAS -s $ipresp -p udp --dport 137 -j ACCEPT # 配置允许某一网段访问本机所有端口
    done

    echo "config iptables success!"

    # start check task
#    sed -n  '/start_iptables_ctrl.sh/p' /var/spool/cron/root |grep start_iptables_ctrl.sh
#    let res=$?
#    if [[ $res = 1 ]]; then
#      echo "* * * * * ${export_path}/start_iptables_ctrl.sh" >> /var/spool/cron/root
#    fi
}

function main() {
    start_iptables_ctrl
}

main "$@"
exit $?


cd /etc/init.d

vi servicename  # 此步骤千万不要带文件后缀,这里只有服务名称,这里服务名称使用iptablesctrl,将脚本复制进来

chmod 755 servicename

chkconfig servicename on

reboot # 重启检查是否执行

iptables -nL # 查看规则添加情况

iptables -F DBAAS # 删除规则(此处仅记录经常使用命令,非必要执行)
(11)iptables-开放指定ip访问指定端口
Linwk的博客
09-24 1947
iptables实现拒绝所有访问8080端口ip开放172.22.200.220(172.22.200.1)访问8080端口。# 允许 IP 地址 172.22.200.220 访问端口 8080 (此处用的是虚拟机 所以要使用nat地址的网关)# 拒绝所有对端口 8080 的访问
2022全国职业技能大赛-网络安全赛题解析总结①(超详细)
热门推荐
Aluxian_的博客
05-11 2万+
2022全国职业技能大赛-网络安全赛题解析总结(自己得思路)模块A 基础设施设置与安全加固(20分)模块B 网络安全事件响应、数字取证调查和应用安全(40分)模块C CTF夺旗-攻击(20分)模块D CTF夺旗-防御(20分) 模块A 基础设施设置与安全加固(20分) 一、项目和任务描述: 假定你是某企业的网络安全工程师,对于企业的服务器系统,根据任务要求确保各服务正常运行,并通过综合运用登录安全加固、数据库安全策略、流量完整性策略、事件监控策略、防火墙策略、IP协议安全配置等多种安全策略来提升服务器系
iptables允许指定ip访问本机的指定端口
12-13 711
限制ip,要提高警惕,以免把自己给挡在防火墙外面了。 转载请注明出处:雨剑电脑http://www.expert58.com 只允许指定的ip访问本机的指定端口1521: 允许的的ip:192.168.1.123, 192.168.1.124, 192.168.1.100,其他ip都禁止访问。 切换到root用户 1、在tcp协议中,禁止所有的ip访问本机的1521端口。 ...
iptables防火墙,多IP环境下, 指定某个目的IP地址通过某个本地IP访问,策略路由!
最新发布
tersky的专栏
07-04 223
在CentOS7.9中配置从源IP 10.0.0.3访问目标网段1.1.1.0/24有三种方法:1)策略路由:创建自定义路由表,添加默认路由和策略规则,并绑定源IP;2)iptables SNAT:添加SNAT规则修改源IP;3)直接添加路由。配置后需验证规则是否生效,注意网关一致性、路由优先级和防火墙冲突。持久化配置需保存规则和路由表文件,并确保文件权限正确。验证方法包括查看策略规则、NAT规则和测试流量源IP
iptables允许指定网段ip访问
weixin_35753431的博客
01-18 3900
可以使用 iptables 规则限制指定网段IP 地址访问。示例如下: iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT iptables -A INPUT -j DROP 第一行允许来自 192.168.0.0/24 网段IP 地址访问。第二行拒绝其他所有 IP 地址的访问。 注意:此规则应在其他规则之前执行,以确保其生效。 ...
iptables允许指定网段ip访问端口配置
sunxunyong的博客
04-02 1066
yum install -y iptables-services #安装systemctl restart iptables.service #重启防火墙使配置生效systemctl enable iptables.service #设置防火墙开机启动systemctl disable iptables.service #禁止防火墙开机启动iptables -F 清除所有链的规则。
iptables
xiaogaoxiaoyuan的博客
01-14 1194
防火墙详解 什么是防火墙? 在计算中,防火墙是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 防火墙分为软件防火墙和硬件防火墙,他们的优缺点: **硬件防火墙:**拥有经过特别设计的硬件及芯片,性能高、成本高(当
15、linux命令-iptables命令详解
xuebo1129927648的博客
06-09 55
为了更清晰地呈现四表五链的执行顺序,我们以。
iptables教程
06-13 2922
如果一个数据包没有匹配到一个链中的任何一个规则,那么将对该数据包执行这个链的默认策略(default policy),默认策略可以是 ACCEPT 或 DROP。链中默认策略的存在使得我们在设计防火墙时可以有两种选择:设置默认策略 DROP 所有的数据包,然后添加规则接受(ACCEPT)来自可信 IP 地址的数据包,或访问我们的服务监听的端口的数据包,比如 bittorrent、FTP 服务器、Web 服务器、Samba 文件服务器等等。
Linux之安全配置和维护最佳实践
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
11-12 2518
一直跟Linux打交道,但是凡事多扰,一直未专门针对系统安全做过针对性总结,基于此,本文将记录总结一些Linux 安全配置过程中的常用实践,最后梳理成为安全最佳实践。
iptables允许某个ip访问
a936676463的专栏
08-01 9159
iptables -A INPUT -s  xx.xx.xx.xx  -j ACCEPT
[运维] iptables限制指定ip访问指定端口和只允许指定ip访问指定端口
梦醒贰零壹柒
06-07 1万+
iptables
Linux上通过iptables允许来自指定IP地址的访问
【昆山人在上海】
02-07 1473
iptables -I INPUT -s 185.23.234.219 -j ACCEPT
iptables允许一个ip访问本机的某个端口
weixin_34055910的博客
01-30 550
需求是redis允许特定客服端连接: -A INPUT -s 182.xx.xx.xxx/32 -p tcp --dport 6379 -j ACCEPT  
iptables访问规则
weixin_46627652的博客
12-16 1万+
vim /etc/sysctl.conf 删除 #net.ipv4.ip_forward=1 前的#号,开启ipv4 forward sudo sysctl –p 若运行后显示 net.ipv4.ip_forward = 1,表示修改生效了 目标地址转换: iptables -t nat -A PREROUTING -d 192.168.23.110 -p tcp --dport 80 -j DNAT --to-destination 192.168.23.111:8080 将本机的 80 端口转..
使用 iptables 限制 SSH 连接并允许特定来源 IP 访问的完整指南
广阔天地,大有作为
09-13 1789
通过本文介绍的方法,你可以有效地使用iptables限制 SSH 连接,只允许特定IP 地址访问你的服务器。此举能够显著提高服务器的安全性,防止未经授权的访问。希望本文能够帮助你更好地保护你的服务器安全。
如何通过iptables配置规则实现对特定IP地址的端口控制访问控制
10-30
要实现对特定IP地址的端口控制访问控制,可以使用iptables配置相应的规则。首先,确保你已经安装了iptables并且拥有管理员权限。以下是一个具体的操作步骤和示例代码,帮助你设置针对特定IP地址的端口控制访问控制规则: 参考资源链接:[Linux防火墙Iptables详解:规则、功能与实现](https://wenku.youkuaiyun.com/doc/65kgnu5z39) 1. 首先,清理当前的所有规则,以便开始一个新的配置。这一步非常关键,可以防止新规则与旧规则发生冲突: ``` iptables -F iptables -X iptables -Z ``` 2. 设置默认策略。为了确保安全性,你可以将默认策略设置为拒绝所有进入的连接: ``` iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT ``` 3. 添加规则以允许来自特定IP的连接。例如,如果你想允许IP地址为***.***.*.***的机器访问本机的HTTP(80端口)和HTTPS(443端口),可以使用以下命令: ``` iptables -A INPUT -s ***.***.*.*** -p tcp --dport 80 -j ACCEPT iptables -A INPUT -s ***.***.*.*** -p tcp --dport 443 -j ACCEPT ``` 4. 如果你还想限制来自IP的其他端口访问,例如只允许访问特定服务的端口,可以继续添加相应的规则: ``` iptables -A INPUT -s ***.***.*.*** -p tcp --dport 21 -j ACCEPT # 允许访问FTP服务端口 iptables -A INPUT -s ***.***.*.*** -p tcp --dport 22 -j ACCEPT # 允许访问SSH服务端口 ``` 5. 保存规则,以便在重启后规则依然有效。可以使用iptables的保存脚本或第三方工具如iptables-persistent: ``` service iptables save ``` 或者 ``` iptables-persistent save ``` 通过以上步骤,你可以对特定IP地址的端口进行控制访问控制。请记住,正确的配置防火墙规则对于网络安全至关重要。在应用规则之前,务必仔细检查每一条规则,避免误操作导致服务不可用或不必要的安全漏洞。 如果你希望进一步学习关于iptables的高级应用、安全策略的制定以及如何防御各种网络攻击,请查阅《Linux防火墙Iptables详解:规则、功能与实现》。这本书将为你提供更全面的iptables知识,帮助你成为网络安全领域内的专家。 参考资源链接:[Linux防火墙Iptables详解:规则、功能与实现](https://wenku.youkuaiyun.com/doc/65kgnu5z39)
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值