iptables之拓展知识(ping mac地址 拒绝指定主机 禁止某一网段)

最新推荐文章于 2024-04-15 08:51:17 发布
最新推荐文章于 2024-04-15 08:51:17 发布
阅读量1k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42816196/article/details/82496967
本文详细介绍了iptables防火墙的高级应用策略,包括禁ping策略、根据MAC地址、IP范围及多端口设置过滤规则的方法。通过实例展示了如何精确控制网络访问,确保网络安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

####禁ping的相关策略

####1)默认直接禁ping的问题?
[root@proxy ~]# iptables -I INPUT -p icmp -j DROP
//设置完上面的规则后,其他主机确实无法ping本机,但本机也无法ping其他主机
//当本机ping其他主机,其他主机回应也是使用icmp,对方的回应被丢弃
#####2)禁止其他主机ping本机,允许本机ping其他主机
[root@proxy ~]# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
//仅禁止入站的ping请求,不拒绝入站的ping回应包
#####注意:关于ICMP的类型,可以参考help帮助,参考命令如下:
[root@proxy ~]# iptables -p icmp --help
###防火墙扩展规则
1.根据MAC地址封锁主机
2.在一条规则中开放多个TCP服务
3.根据IP范围设置封锁规则

iptables在基本过滤条件的基础上还扩展了很多其他条件,在使用时需要使用-m参数来启动这些扩展功能,语法如下:
iptables 选项 链名称 -m 扩展模块 --具体扩展条件 -j 动作

####根据MAC地址过滤

#####1)根据IP过滤的规则,当对方修改IP后,防火墙会失效
[root@proxy ~]# iptables -F
[root@proxy ~]# iptables -I INPUT -s 192.168.4.100 -p tcp --dport 22 -j DROP
//设置规则禁止192.168.4.100使用ssh远程本机
#####但是,当client主机修改IP地址后,该规则就会失效,注意因为修改了IP,对client主机的远程连接会断开,需要使用virt-manager开启虚拟机操作:
[root@client ~]# ifconfig eth0 192.168.4.101
[root@client ~]# ssh 192.168.4.5 //依然成功
####根据MAC地址过滤,可以防止这种情况的发生
[root@client ~]# ip link show eth0 //查看client的MAC地址

eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT qlen 1000
link/ether 52:54:00:00:00:0b brd ff:ff:ff:ff:ff:ff

[root@proxy ~]# iptables -A INPUT -p tcp --dport 2 -m mac --mac-source 52:54:00:00:00:0b -j DROP
//拒绝52:54:00:00:00:0b这台主机远程本机

####步骤二:基于多端口设置过滤规则

#####1)一次需要过滤或放行很多端口时会比较方便
[root@proxy ~]# iptables -A INPUT -p tcp -m multiport --dports 20:22,25,80,110,143,16501:16800 -j ACCEPT
//一次性开启20,21,22,25,80,110,143,16501到16800所有的端口

提示,多端口还可以限制多个源端口,但因为源端口不固定,一般不会使用,限制多个源端口的参数是–sports.

####步骤三:根据IP地址范围设置规则

#####1)允许从 192.168.4.10-192.168.4.20 登录
[root@proxy ~]# iptables -A INPUT -p tcp --dport 22 -m iprange --src-range 192.168.4.10-192.168.4.20 -j ACCEPT

注意,这里也可以限制多个目标IP的范围,参数是–dst-range,用法与–src-range一致。

###2)禁止从 192.168.4.0/24 网段其他的主机登录
[root@proxy ~]# iptables -A INPUT -p tcp --dport 22 -s 192.168.4.0/24 -j DROP

MAC地址、多端口匹配、IP范围等扩展条件的防火墙规则设置
秦庚辰的博客
05-27 1254
问题 本案例要求熟悉针对MAC地址、多端口匹配、IP范围等扩展条件的防火墙规则设置,完成以下任务操作: 1)根据MAC地址封锁内网中指定主机 2)通过防火墙规则开放多个TCP服务,提高规则编写效率 3)根据指定的IP地址范围设置封锁或放行规则 方案 采用三台RHEL6虚拟机svr5、gw1、pc120,如图-1所示。其中,虚拟机svr5作为局域网络的测试机,接入NAT网络(virbr0)...
Docker-学习总结(原生网络、自定义网络、同主机不同容器通信、跨主机不同容器通信)
csdnlb的博客
02-14 884
文章目录概念原生网络自定义网络容器通信访问外网跨主机容器网络模型macvlan 概念 网络对 网络栈 docker - porxy 端口映射自动创建docker-proxy 网卡混杂模式 promisc 原生网络 bridge host容器和物理机网络共享 none 自定义网络 bridge-DNS 容器名 与 IP地址解析(单机) overlay(集群) macvlan(集群) 自定义 –sub...
禁止ping 通 本机ip
Serendipity的博客
06-19 785
linux禁止ping, 服务器防止ping拒绝服务网络攻击 为了服务器的安全, 防止网络攻击(DOS 攻击消耗网络宽带,CPU资源), 需要服务器设置 禁止ping 通常有两种方式 第种是通过防火墙 iptables 设置 第二种是内核设置 如果内核禁止ping , 防火墙设置允许ping 也是ping不通,内核设置允许ping, 防火墙设置不允许ping , 也是不能ping的 第种: 通过防火墙设置 # 禁止ping 丢弃ICMP包 iptables -A INPUT -p icmp -..
设置iptables阻止网段访问服务器
atec2000的专栏
06-16 1万+
要阻止网段,加入以下内容到/etc/sysconfig/iptables到chain的第行,重启iptables即可。 -A INPUT -s 100.97.15.0/24 -p tcp --dport 80 -j DROP
linux系统禁止其他主机ping本机
ctnj25957的博客
10-23 868
学习记录: Linux6.3系统 临时有效:#echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all 永久有效:#在/etc/sysctl.conf中添加行,n...
Windows拒绝Ping入的方法
Sky 的专栏
01-01 1650
大家应该知道,Ping命令般是用来判断网络是否连通,些别有用心的人也用来做DDOS,判断主机是否存在,初步对主机系统进行判断…如果我们设置禁止ping,那么对方也就无法使用Ping找到我们的电脑,从而可以防止部分Cracker攻击。下面就开始详解如何在WindowsXP下拒绝Ping如(本文对Windows各类系统适用) 首先我们打开本地安全策略,可以在开始菜单中的管理工具里找到,或者运行
MAC 下屏蔽特定网址
Code for Coffee
06-09 3024
只需要在Host中进行操作即可参考:教你两步在mac下屏蔽某指定网站 - 简书由于某种原因,我们希望在网络正常的情况下屏蔽掉些网站,今天我就教大家两步实现屏蔽特定网站的方法: 1,找到hosts文件 前往文件夹 输入如上面的地址/etc/ 点击前往后...https://www.jianshu.com/p/6abce616ae79...
计算机网络——搞定网络层!文教你如何用Linux手动配置IP地址
REPCHAOCHAO的博客
08-21 763
搞定网络层!文教你如何用Linux手动配置IP地址
docker之网络管理
莲藕粉的博客
03-29 392
文章目录基础理论libnetwork(CNM)介绍veth pair介绍网络驱动网络类型1、none模式网络2、host模式网络3、bridge模式网络(默认模式)4、container模式网络5、user-defined模式网络使用overlay实现的多host网络通信什么是 VXLAN?key-value 数据库overlay环境准备在overlay中运行容器 基础理论 在顶层设计中,Dock...
运维面试题
weixin_42690304的博客
09-18 2万+
运维面试题 NETWORK 1 请描述TCP/IP协议中主机主机之间通信的三要素 参考答案 IP地址(IP address) 子网掩码(subnet mask) IP路由(IP router) 2 请描述IP地址的分类及每类的范围 参考答案 A类1-26 B类128-191 C类192-223 D类224-239组播(多播) E类240-254科研 3 请描述A、B...
MAC地址iptables不管用的问题
Vegile的博客
06-10 2469
需求:对于台应用服务器,需要过滤访问用户,因为用户的ip重启电脑之火会变,尽管可以将hostname记录在iptables中,用iptables-restore 结果: MAC地址不能生效。查看资料因为应用服务器和本人的电脑不在同网段。同网段内的使用二层交换机,不同网段之间的使用三层交换机。二层交换机工作在数据链路层,三层交换机工作在网络层,三层交换机属于二层交换机与路由器的结
关于iptables禁止全部ip访问问题
飘然渡沧海的博客
09-17 8504
关于iptables禁止全部ip访问问题 旁边兄弟在iptables想要实现任何ip禁止访问,只开发个别端口供个别ip访问 开放ip端口 -A INPUT -s 192.168.1.1 -p tcp --dport 8848-j ACCEPT -A INPUT -s 192.168.1.1 -p tcp -m multiport --dports 22,8888,9999 -j ACCEPT 禁用所有ip -A INPUT -p tcp -j DROP 解决办法 -A INPUT -m state
iptables 针对网段/某段IP 操作
大西瓜的博客
07-12 1万+
iptables 针对网段/某段IP 操作 1、禁用某网段(-p后也可以是udp 也可以是all) iptables -I INPUT -p tcp -s 192.168.116.0/24 -j DROP 2、禁用某网段的22端口 iptables -I INPUT -p tcp -s 192.168.116.0/24 --dport 22 -j DROP 3、禁用192.168.116.1~192.168.116.20 IP段的 22 端口 iptables -I INPUT -m iprange -
linux服务器mac地址过滤,iptables 限制MAC或IP地址
weixin_35844236的博客
04-28 6830
1、阻止MAC地址为B8:EE:65:DE:17:E3主机的所有通信:iptables -A INPUT -m mac --mac-source B8:EE:65:DE:17:E3 -j DROP2、允许MAC地址为B8:EE:65:DE:17:E3主机访问22端口:iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source...
如何禁用/开启ping命令
qq_40177015的博客
12-06 2028
如何禁用/开启ping命令 先禁用ping # 进入管理员模式 sudo -s # 禁止ping iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP 接着开启ping # 查看禁止ping的语句 iptables -L INPUT --line-numbers # 删除语句编号 iptables -D INPUT 14 #14代表编号 # 开启ping iptables -A INPUT -p icmp --icmp-type echo-req
Windows下禁止ping命令(禁用ICMP协议访问)
weixin_33682719的博客
06-12 1070
怎么样禁止入,如何禁止Ping命令,关闭ping命令PING命令是个危险的命令,用它可以知道你的操作系统,IP等,为了安全禁PING是个很好的方法,也是防DDOS***的。应该是有外部网络试图连接你的UDP的1434端口,不知道你打了补丁没有。 ******时,大多使用Ping命令来检测主机,如果Ping不通,水平差的“***”大多就会知难而退。事实上,完全可以造成种假相,...
利用iptables屏蔽某网段和linux主机的通信
zy103118的博客
04-15 156
iptables主机防火墙
如何在 iOS 15 和 macOS Monterey 的 Safari 中隐藏 IP 地址
weixin_51577076的博客
07-01 641
IP 地址可以是您的位置、浏览历史记录等的窗口,不过恶意方或广告公司可能会滥用此信息,您现在可以在 iOS 15、iPadOS 15 和 macOS Monterey 的 Safari 中隐藏您的 IP 地址。 为什么要在 Safari 中隐藏 IP 地址? 虽然 Safari 已经阻止跟踪器跨网站跟踪您,但它们仍然可以跟踪您的 IP 地址。此外,经常加载网站的在线跟踪器可以将此数据转发给其他网站/应用程序/广告商等,从而导致严重的隐私泄露问题。因此,隐藏您的 IP 地址个明智的决定。 隐藏您的 IP
OpenWrt设置mac地址过滤和使用Iptables防火墙禁止mac地址上网
热门推荐
shile的专栏
08-15 4万+
本文介绍使用OpenWrt限制特定mac地址的方法,种是使用无线网络的mac地址过滤,种是使用Iptables防火墙阻止策略。 。使用mac-filter功能限制mac地址上网 方法1.web界面: 定位到菜单Network->wifi,如下图: 点击相应SSID的Edit, 如上图,在Interface Configuration栏目MAC-Fil
iptables指定mac地址封锁某主机访问本机
最新发布
06-12
<think>我们有个明确的需求:使用iptables基于MAC地址阻止特定主机访问本机。根据引用的内容,我们知道可以通过iptables的-mmac模块来匹配MAC地址,然后使用-jDROP来丢弃数据包。步骤:1.添加规则阻止特定MAC地址的流量。2.注意:由于MAC地址只在局域网内有效,所以该规则通常应用在INPUT链(针对进入本机的数据包)或FORWARD链(如果本机作为路由器)上。这里用户要求“访问本机”,所以是INPUT链。3.规则示例:iptables-AINPUT-mmac--mac-source00:11:22:33:44:55-jDROP解释:-AINPUT表示在INPUT链末尾追加规则;-mmac表示使用mac模块;--mac-source指定要匹配的源MAC地址;-jDROP表示丢弃匹配的数据包。4.但是要注意,在添加这条规则之前,我们需要确保默认策略或其他规则不会允许该MAC地址访问。通常,我们会将INPUT链的默认策略设置为DROP或REJECT,但这样可能会影响其他所有连接。因此,更安全的做法是在允许其他正常通信的基础上,单独禁止某个MAC地址。5.另外,根据引用[1]和引用[4],我们可以通过脚本批量添加,也可以将规则保存以便开机启动。6.引用[3]中提到了保存规则的方法:可以使用`serviceiptablessave`或者`iptables-save>/etc/sysconfig/iptables`(根据发行版不同路径可能不同)。7.注意:在测试规则之前,确保有另外的方式访问服务器(例如通过控制台),以免把自己锁在外面。因此,给出以下步骤:步骤1:使用如下命令添加基于MAC地址的过滤规则(以MAC地址00:11:22:33:44:55为例):sudoiptables-AINPUT-mmac--mac-source00:11:22:33:44:55-jDROP步骤2:如果需要同时允许其他MAC地址访问,我们可以先设置默认策略为允许,然后添加拒绝规则。但是更常见的做法是只拒绝特定的,而允许其他。注意,如果INPUT链默认策略是ACCEPT,那么添加这条规则后,该特定MAC地址的数据包会被丢弃,而其他的继续被接受。步骤3:如果INPUT链默认策略是DROP,那么我们需要在拒绝特定MAC地址之前允许其他MAC地址(或者按照需求允许某些MAC地址)。但是用户需求只是阻止特定主机,所以我们假设默认策略是ACCEPT,因此只需要添加DROP规则即可。步骤4:保存规则(确保重启后仍然有效):sudoserviceiptablessave#在CentOS6及之前,或者使用systemctl的系统中可能有不同命令或者sudoiptables-save>/etc/sysconfig/iptables#根据系统配置,可能保存到其他路径在Ubuntu等系统中,可能需要安装iptables-persistent包,然后使用netfilter-persistentsave。步骤5:如果以后需要解封,可以通过删除这条规则来实现:sudoiptables-LINPUT--line-numbers#查看规则,找到对应的行号sudoiptables-DINPUT[行号]或者直接使用命令删除(注意:如果规则很多,可能删除会比较麻烦):sudoiptables-DINPUT-mmac--mac-source00:11:22:33:44:55-jDROP注意:在引用[3]中提到了解封IP地址的方法,但是MAC地址同理。注意事项:-由于MAC地址可以被伪造,所以这种过滤方式并不是绝对安全。-在无线网络等环境中,MAC地址过滤可以用来控制接入设备,但同样存在被欺骗的风险。根据引用,我们还可以编写脚本批量添加,如引用[1]所示,从文件读取MAC地址并逐添加规则。因此,我们可以给出如下示例脚本(用于批量阻止多个MAC地址):```bash#!/bin/bash#批量阻止MAC地址访问本机#文件名:block_mac.sh#用法:将需要阻止的MAC地址每行个放入文件(如blocked_macs.txt),然后运行此脚本whileread-rmac;do#跳过空行和注释行(以#开头的行)[[-z$mac||$mac=~^#]]&&continue#添加规则到INPUT链,丢弃来自该MAC地址的数据包iptables-AINPUT-mmac--mac-source"$mac"-jDROPdone< blocked_macs.txt#保存规则(根据系统选择合适的方式)#例如在CentOS中:serviceiptablessave#或者在Ubuntu中使用iptables-persistent(需要提前安装):#netfilter-persistentsave```提醒:在使用脚本前,确保已经测试过单条命令,并且脚本中的保存规则命令适用于你的系统。最后,我们还可以参考引用[5]中关于隐含匹配条件的使用,这里我们使用的就是mac模块的匹配。因此,总结回答如下:</think> ### 如何使用iptables基于MAC地址阻止特定主机访问本机 #### 操作步骤 1. **添加MAC过滤规则** 使用`-m mac`模块匹配源MAC地址,通过`-j DROP`丢弃数据包: ```bash iptables -A INPUT -m mac --mac-source 00:11:22:33:44:55 -j DROP ``` - `-A INPUT`: 将规则添加到`INPUT`链(处理进入本机的数据包) - `--mac-source`: 指定要过滤的MAC地址(替换为实际值) - `-j DROP`: 丢弃符合条件的数据包[^1] 2. **设置默认策略**(可选) 如果需拒绝所有其他MAC地址访问: ```bash iptables -P INPUT DROP # 将INPUT链默认策略设为DROP ``` > ⚠️ 谨慎操作:确保先添加允许管理接口(如SSH)的规则,避免锁定服务器[^1] 3. **保存规则**(持久化配置) 防止重启后规则丢失: ```bash service iptables save # CentOS/RHEL # 或 iptables-save > /etc/sysconfig/iptables ``` 其他系统可使用: ```bash netfilter-persistent save # Debian/Ubuntu[^3][^4] ``` 4. **验证规则** 查看生效的规则: ```bash iptables -L -v --line-numbers ``` 输出应包含类似条目: ``` Chain INPUT (policy DROP) num pkts target prot opt source destination 1 0 DROP all -- anywhere anywhere MAC 00:11:22:33:44:55 ``` #### 关键注意事项 1. **MAC过滤的局限性** - 仅对**同局域网**生效(MAC地址在路由过程中会被替换) - MAC地址易被伪造,不可作为唯安全措施[^1] 2. **特殊场景处理** - **允许特定服务**:在DROP规则前添加放行规则(如SSH) ```bash iptables -A INPUT -p tcp --dport 22 -j ACCEPT ``` - **解封方法**: ```bash iptables -D INPUT -m mac --mac-source 00:11:22:33:44:55 -j DROP ``` 3. **脚本自动化** 批量过滤MAC地址(创建`blocked_macs.txt`文件): ```bash #!/bin/bash while read mac; do iptables -A INPUT -m mac --mac-source "$mac" -j DROP done < blocked_macs.txt iptables -P INPUT DROP service iptables save ``` > 📌 最佳实践:**结合IP和MAC过滤**(如`iptables -A INPUT -s 192.168.1.10 -m mac --mac-source 00:11:22:33:44:55 -j DROP`)可提升安全性[^3][^5]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

运维螺丝钉

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值