前言熟悉Linux系统的朋友应该知道系统防火墙的威力。一般在网络世界,我们只开放部分端口对外服务。但开放也意味着被攻击。如何降低风险?在这里我给大家分享一些知识。我希望你喜欢它。
我们来加一把锁
实际需求
为了更形象地说明好处,我用两个我实际需求的例子来说明限制IP的好处。需求一:因为我的办公室有固定的出口IP,方便我限制IP登录一些公共IP。需求2:我要把A服务器打开到某个内网其他服务器的IP才能访问。
那么怎么做呢?以CentOS6为例。请注意,这里的默认防火墙是拒绝输入。
iptables防火墙指定源地址
1。我们打开系统防火墙规则配置文件,直接添加规则
vim/etc/sys config/iptables
或者直接用iptables命令
2操作。将pass参数添加到新规则中 # 8211;来源/ # 8211;Src/-s指定源地址(此处/表示或)
-A输入-S 10.4.17.0/24-J接受通过 # 8211;来源/ # 8211;Src/-s指定源地址(此处/表示或)
3。可以使用以下方法指定目的地址:
A .使用完整的域名,如 # 8221;www . Baidu . com # 8221;;
B .使用ip地址,例如 # 8221;192.168.1.1#8243;;
C .使用x.x.x.x/x.x.x.x指定网络地址,例如 # 8221;192.168.1.0/255.255.255.0#8243;;
D .用x.x.x.x/x指定网络地址,比如 # 8221;192.168.1.0/24#8243;这里24表示子网掩码的有效位数,通常在UNIX环境下使用;
E .默认子网掩码号是32,这意味着指定192.168.1.1相当于192.168.1.1/32。
IP/8后带掩码的位数(16,24,32)
A类IP地址默认子网掩码为255.0.0.0(由于255在二进制中相当于8位1,所以也缩写为“/8”,表示网络号占8位);B类为255 . 255 . 0 . 0(/16);C类是255.255.255.0(/24)。/30是255.255.255.252。/32是255.255.255.255。
例如,密封单个IP的命令是# iptables-iinput-S211.1.0.0-jdrop,密封一个IP段的命令是:(例如,密封211 . 1 . 0 . 0到211.10.0.0的IP段)# iptables-I input-s 211。iptables-I input-s 211 . 2 . 0 . 0/16-j drop # iptables-I input-s 211 . 3 . 0 . 0/16-j drop此处,密封整段的命令是:(例如,密封掉211 . 0 . 0 # 8211;211 . 255 . 255 . 255)# iptables-I input-s 211 . 0 . 0/8-j drop密封几个段的命令是:(例如密封061 . 037 . 080 . 000- gt;061.037.081.255)# iptables -I输入-s 61.37.80.0/24 -j跌落# iptables -I输入-s 61.37.81.0/24 -j跌落
