iptables阻止服务器被攻击

最新推荐文章于 2024-07-24 10:16:22 发布
最新推荐文章于 2024-07-24 10:16:22 发布
阅读量187 收藏
点赞数
文章标签: 网络 数据库 运维
本文详细介绍了如何使用iptables命令来配置防火墙规则,包括阻止特定IP范围的访问、开放指定端口以及屏蔽或开启常用端口的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

下列规则将会阻止来自某一特定IP范围内的数据包,因为该IP地址范围被管理员怀疑有大量恶意攻击者在活动: 
# iptables -t filter -A INPUT -s 123.456.789.0/24 -j DROP 
也可以很轻易地阻止所有流向攻击者IP地址的数据包,该命令稍有不同:
 # iptables -t filter -A OUTPUT -d 123.456.789.0/24 -j DROP 
 
注意这里的A选项,使用它说明是给现有的链添加规则
基于TCP协议的原理,为了彻底阻断攻击IP的连接,所以需要把流入流出到该IP的数据包都DROP掉
 
 
最后补充一下,如果想针对某IP进行单独开放端口可以如下配置:
 
如果我需要对内网某机器单独开放mysql端口,应该如下配置:   
iptables -A INPUT -s 192.168.2.6 -p tcp -m tcp --dport 3306 -j ACCEPT   
iptables -A OUTPUT -s 192.168.2.6 -p tcp -m tcp --sport 3306 -j ACCEPT  
 
 
彻底禁止某IP访问:
 
#屏蔽单个IP的命令是   
iptables -I INPUT -s 123.45.6.7 -j DROP   
#封整个段即从123.0.0.1到123.255.255.254的命令   
iptables -I INPUT -s 123.0.0.0/8 -j DROP   
#封IP段即从123.45.0.1到123.45.255.254的命令   
iptables -I INPUT -s 124.45.0.0/16 -j DROP   
#封IP段即从123.45.6.1到123.45.6.254的命令是   
iptables -I INPUT -s 123.45.6.0/24 -j DROP   
指令I是insert指令 但是该指令会insert在正确位置并不像A指令看你自己的排序位置,因此用屏蔽因为必须在一开始就要加载屏蔽IP,所以必须使用I命令加载,然后注意执行/etc/rc.d/init.d/iptables save进行保存后重启服务即可  
 
 
屏蔽或开启常见端口
 
屏蔽或开启常用的TCP、UDP端口:
 
#可以使用DROP替换ACCEPT,实现端口屏蔽。  
#打开22端口(SSH)  
# iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT  
# iptables -A INPUT -p tcp -s 192.168.1.0/24 -m state --state NEW --dport 22 -j ACCEPT  
#打开TCP/UDP631端口(打印服务)  
# iptables -A INPUT -p udp -s 192.168.1.0/24 -m udp --dport 631 -j ACCEPT  
# iptables -A INPUT -p tcp -s 192.168.1.0/24 -m tcp --dport 631 -j ACCEPT  
# 打开123端口,允许局域网用户进行NTP时间同步  
# iptables -A INPUT -p udp -s 192.168.1.0/24 -m state --state NEW --dport 123 -j ACCEPT  
#打开25端口(SMTP)  
# iptables -A INPUT -p tcp -m state --state NEW --dport 25 -j ACCEPT  
# 打开DNS端口  
# iptables -A INPUT -p udp -m state --state NEW --dport 53 -j ACCEPT  
# iptables -A INPUT -p tcp -m state --state NEW --dport 53 -j ACCEPT  
#打开http/https端口  
# iptables -A INPUT -p tcp -m state --state NEW --dport 80 -j ACCEPT  
# iptables -A INPUT -p tcp -m state --state NEW --dport 443 -j ACCEPT  
#打开TCP110端口(POP3)  
# iptables -A INPUT -p tcp -m state --state NEW --dport 110 -j ACCEPT  
#打开TCP143端口  
# iptables -A INPUT -p tcp -m state --state NEW --dport 143 -j ACCEPT  
#为局域网用户开启Samba访问  
# iptables -A INPUT -p tcp -s 192.168.1.0/24 -m state --state NEW --dport 137 -j ACCEPT  
# iptables -A INPUT -p tcp -s 192.168.1.0/24 -m state --state NEW --dport 138 -j ACCEPT  
# iptables -A INPUT -p tcp -s 192.168.1.0/24 -m state --state NEW --dport 139 -j ACCEPT  
# iptables -A INPUT -p tcp -s 192.168.1.0/24 -m state --state NEW --dport 445 -j ACCEPT  
#为局域网用户开启代理服务器访问  
# iptables -A INPUT -p tcp -s 192.168.1.0/24 -m state --state NEW --dport 3128 -j ACCEPT  
#为局域网用户开启MySQL访问  
# iptables -I INPUT -p tcp --dport 3306 -j ACCEPT
使用iptables防ddos攻击的问题
fanzhang1990的专栏
07-23 7603
最近要求做一个防ddos攻击
服务器安全之iptables iptables
ZRJ142098的博客
01-13 2115
[iptables防火墙简介 Netfilter/Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的安全自由的基于包过滤的防火墙工具,它的功能十分强大,使用非常灵活,可以对流入和流出服务器的数据包进行很精细的控制。特别是它可以在一台非常低的硬件配置下跑的非常好 Iptables是Linux2.4及2.6内核中集成的服务。其功能与安全性比其ipfwadm,ipchains强大的多,iptables主要工作在OSI七层的二、三、四层,如果重新编译内核,iptables
linux: 使用iptables阻断到某个ip某个端口的访问
十年运维开发经验的王义杰在此分享自己的知识和经验
11-16 5285
和规则的行号来删除它。在进行这些操作时,请确保具有足够的权限,并且对操作的影响有充分的了解,以免意外中断网络服务。阻断到特定 IP 地址的特定端口的访问,我们可以遵循以下步骤。在对网络配置进行更改时,确保我们完全了解这些更改的后果,以避免不必要的网络中断。:和添加规则一样,删除规则后也需要保存更改。命令或相应的方法来保存这些规则,具体取决于你的 Linux 发行版。:使用以下命令来添加一条规则,阻断到指定 IP 和端口的访问。:一旦我们找到了要删除的规则的行号,使用。设置的阻断规则,我们可以使用。
网安技术与应用(4)——配置iptables防御常见攻击
Netceor的博客
04-28 3019
一 实验目的 掌握如何设计防火墙的高级过滤策略以抵御各种类型的攻击。 二 实验内容 防止端口扫描; 防止 ping 攻击; 防止 ip 碎片攻击; 丢弃坏的 TCP包; 防止 SYN攻击。 三 实验原理 参见 网安技术与应用(3)——Linux防火墙iptables的使用 四 实验条件 1、仪器设备条件:PC 及其网络环境; 2、物质条件:Linux(kernel 2.6包含 Iptables); 3、相关文献资料:教学网站所提供的电子文档 五 实验过程 1、默认规则 # 启动防火墙 modprobe
iptables来防止web服务器被CC***
weixin_33735077的博客
02-04 83
转自 xiaomei's blog当apache站点受到严重的cc***,我们可以用iptables来防止web服务器被CC***,实现自动屏蔽IP的功能。1.系统要求(1)LINUX 内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。(2)iptables版本:1.3.72. 安装安装iptabl...
使用iptables进行IP封锁与阻止攻击
在Linux系统中,iptables是一种功能强大的防火墙工具,也是实现IP封锁和阻止攻击的主要手段之一。它能够基于不同的网络协议和端口,对数据包进行过滤、修改、重定向等操作,从而实现网络流量的控制和安全
Linux服务器安全加固:利用iptables加强服务器的保护措施
不安全的服务器容易受到黑客攻击、恶意软件感染等威胁,导致数据泄露、服务中断等严重后果。因此,服务器安全是网络安全体系中至关重要的一环。 ## 1.2 常见的服务器安全威胁 在互联网环境下,服务器面临各种安
iptables防止ddos
weixin_43820206的博客
05-11 972
参考https://blog.51cto.com/huangzp/1896586 使用ab工具模拟ddos攻击 说明:ab是做压力测试的工具 安装ab: yum install -y httpd-tools 格式:ab -n 连接总数 -c 并发客户端数 网站 ddos攻击检测方法: 方法一:用脚本检查是否有ddos攻击方法 netstat -ntu | awk ‘{print $5}’ | ...
DDOS攻击类型以及iptables防范ddos脚本.docx
10-29
DDOS攻击类型以及iptables防范DDOS脚本 一、DDOS攻击类型 DDOS攻击(Distributed Denial of Service)是一种...这个脚本会把处于SYN_RECV状态的IP地址统计出来,并将其加入到iptables的INPUT链中,以便阻止DDOS攻击
linux iptables 阻止访问ip,Linux 防火墙iptables 禁止某些 IP访问
weixin_29738537的博客
05-04 1699
Linux 防火墙iptables 禁止某些 IP 访问http://www.doczj.com/doc/493526120c22590103029d02.html 编辑:phper 来源:转载在Linux下,使用ipteables来维护IP规则表。要封停或者是解封IP,其实就是在IP规则表中对入站部分的规则进行添加操作。方法一,过滤一些IP访问本服务器要封停一个IP,使用下面这条命令:代码如下复...
iptable模拟丢包和阻断特定网络包的命令
最新发布
wjh_84的专栏
07-24 550
可以通过指定udp 源ip和端口号过滤并停止特定的网络数据:iptables -A INPUT -p udp -s 172.16.186.155 --sport 56586 -j DROP。也可以通过指定udp目的ip和端口号过滤并停止特定的网络数据:iptables -A INPUT -p udp -d 172.18.78.19 --dport 8352 -j DROP。UDP表示网络包是属于UDP的传输协议,表示tcp,对应iptables参数-p udp。
使用iptables拒绝恶意攻击
Steven的博客
10-11 1291
平时在家需要远程维护的时候我都是通过公司的跳板机连接回公司。公司使用的是固定IP,我在公司的VPN上做了一个端口映射,使用ssh远程过去。昨天学习了使用lastb去查看失败的登录,然后到公司的跳板机上去运行lastb,我了个去,里面记录了三个IP登录失败的信息,其中有一个IP 一个下午失败了1230次 运行命令: lastb |awk '{print $3,$5,$6}'|sort|grep '^
iptables设置防火墙规则
皮卡丘在充电
11-20 1117
1、查看当前iptables规则 iptables -L --line-numbers 指令: -A Append -I Insert -D Delete iptables -D chain firewall-rule / iptables -D chain rulenum 注意:删完一条其它编号会变 -R Replace 参数: -p 协议 -s 源地址 -d 目的地址 -sport 源端口 -dport 目的端口 -i 入站接口 -o 出站接口 -j 跳转:指定当某个数据包满足该规则的时候的就跳..
nginx 自动屏蔽攻击者ip
qq_25934401的博客
07-17 3126
脚本的大体实现思路: 过滤最近30分钟的日志,通过去重,过滤出访问网站的客户ip,在30分钟内访问某些接口超过500次的,自动写到black_ip文件里。nginx使用deny ip; 的方式拒绝提供服务。 因为日志没有做切割,所以使用tail -n 40000 的方式获取最近30分钟的日志,由于我们网站的日志量不是很大,我过滤的40000行的数据完全覆盖了最近30分钟的日志数据。需要注意。 还有...
iptables时区_iptables阻止端口80和443上的一些流量什么时候不应该?
weixin_36075067的博客
12-24 1186
我正在管理的Web服务器显示目标端口443上IPv4地址的奇怪iptables拒绝,尽管明确允许HTTPS流量.端口80也允许在同一规则中,但该站点仅支持HTTPS,并且80立即被nginx重定向到443.事情是:浏览网站的工作原理.你可以加载所有页面,所有资源都很好等等.但是这里显然有些不妥,这可能会损害页面加载性能.以下是分别在端口443和80中记录在/var/log/iptables_den...
42 | iptables的使用方法
u013916029的博客
12-16 1952
iptables
服务器安全策略之《通过IP安全策略阻止某个IP访问的设置方法》
weixin_30800987的博客
07-11 1747
现在我们在布署好了一个网站,发布到外网后就意味着将会接受来自四面八方的黑客攻击,这个情况很常见,我们的网站基本上每天都要接受成千上万次的攻击,有SQL注入的、有代码注入的、有CC攻击等等。。。而我作为一个程序员出生的,其实对于服务器管理方面是懂得很少的,而公司现在基本上我就是站长,我必须什么都得弄,什么都得去学会。我们曾经也被攻击成功后,大量网页被注入代码,文件中也注入了大量的后门,为此公安局还找...
使用iptables抵抗常见攻击
韦编二绝
01-10 6995
文章出处:http://drops.wooyun.org/tips/1424#yjs_add_arg=65871 1.  防止syn攻击 思路一:限制syn的请求速度(这个方式需要调节一个合理的速度值,不然会影响正常用户的请求) iptables -N syn-flood iptables -A INPUT -p tcp --syn -j syn-flood iptabl
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值