iptables 封ip

要封停一个IP,使用下面这条命令:

iptables -I INPUT -s ***.***.***.*** -j DROP

要解封一个IP,使用下面这条命令:

  1. iptables -D INPUT -s ***.***.***.*** -j DROP

参数-I是表示Insert(添加),-D表示Delete(删除)。后面跟的是规则,INPUT表示入站,***.***.***.***表示要封停的IP,DROP表示放弃连接。

此外,还可以使用下面的命令来查看当前的IP规则表:

  1. iptables -list

比如现在要将123.44.55.66这个IP封杀,就输入:

  1. iptables -I INPUT -s 123.44.55.66 -j DROP

要解封则将-I换成-D即可,前提是iptables已经有这条记录。如果要想清空封掉的IP地址,可以输入:

  1. iptables -flush

要添加IP段到封停列表中,使用下面的命令:

  1. iptables -I INPUT -s 121.0.0.0/8 -j DROP

其实也就是将单个IP封停的IP部分换成了Linux的IP段表达式。关于IP段表达式网上有很多详细解说的,这里就不提了。

相信有了iptables的帮助,解决小的DDoS之类的攻击也不在话下!

附:其他常用的命令

编辑 iptables 文件

  1. vi /etc/sysconfig/iptables

关闭/开启/重启防火墙

  1. /etc/init.d/iptables stop
  2. #start 开启
  3. #restart 重启

验证一下是否规则都已经生效:

  1. iptables -L

保存并重启iptables

  1. /etc/rc.d/init.d/iptables save
  2. service iptables restart

linux下实用iptables封ip段的一些常见命令:

封单个IP的命令是:

  1. iptables -I INPUT -s 211.1.0.0 -j DROP

封IP段的命令是:

  1. iptables -I INPUT -s 211.1.0.0/16 -j DROP
  2. iptables -I INPUT -s 211.2.0.0/16 -j DROP
  3. iptables -I INPUT -s 211.3.0.0/16 -j DROP

封整个段的命令是:

  1. iptables -I INPUT -s 211.0.0.0/8 -j DROP

封几个段的命令是:

  1. iptables -I INPUT -s 61.37.80.0/24 -j DROP
  2. iptables -I INPUT -s 61.37.81.0/24 -j DROP

想在服务器启动自运行的话有三个方法:

1、把它加到/etc/rc.local中

2、iptables-save >;/etc/sysconfig/iptables可以把你当前的iptables规则放到/etc/sysconfig/iptables中,系统启动iptables时自动执行。

3、service iptables save 也可以把你当前的iptables规则放/etc/sysconfig/iptables中,系统启动iptables时自动执行。

后两种更好此,一般iptables服务会在network服务之前启来,更安全。

解封的话:
iptables -D INPUT -s IP地址 -j REJECT
iptables -F 全清掉了

Linux防火墙Iptable如何设置只允许某个ip访问80端口,只允许特定ip访问某端口?参考下面命令,只允许46.166.150.22访问本机的80端口。如果要设置其他ip或端口,改改即可。

  1. iptables -I INPUT -p TCP –dport 80 -j DROP
  2. iptables -I INPUT -s 46.166.150.22 -p TCP –dport 80 -j ACCEPT

在root用户下执行上面2行命令后,重启iptables, service iptables restart

查看iptables是否生效:

  1. [[email protected].xxx.com]# iptables -L
  2. Chain INPUT (policy ACCEPT)
  3. target           prot opt source               destination
  4. ACCEPT     tcp  –  46.166.150.22    anywhere            tcp dpt:http
  5. DROP         tcp  –  anywhere             anywhere            tcp dpt:http
  6. Chain FORWARD (policy ACCEPT)
  7. target     prot opt source               destination
  8. Chain OUTPUT (policy ACCEPT)
  9. target     prot opt source               destination

上面命令是针对整个服务器(全部ip)禁止80端口,如果只是需要禁止服务器上某个ip地址的80端口,怎么办?

下面的命令是只允许来自174.140.3.190的ip访问服务器上216.99.1.216的80端口

  1. iptables -A FORWARD -s 174.140.3.190 -d 216.99.1.216 -p tcp -m tcp –dport 80 -j ACCEPT
  2. iptables -A FORWARD -d 216.99.1.216 -p tcp -m tcp –dport 80 -j DROP

更多iptables参考命令如下:

1.先备份iptables

  1. # cp /etc/sysconfig/iptables /var/tmp

需要开80端口,指定IP和局域网

下面三行的意思:

先关闭所有的80端口

开启ip段192.168.1.0/24端的80口

开启ip段211.123.16.123/24端ip段的80口

  1. # iptables -I INPUT -p tcp –dport 80 -j DROP
  2. # iptables -I INPUT -s 192.168.1.0/24 -p tcp –dport 80 -j ACCEPT
  3. # iptables -I INPUT -s 211.123.16.123/24 -p tcp –dport 80 -j ACCEPT

以上是临时设置。

2.然后保存iptables

  1. # service iptables save

3.重启防火墙

  1. #service iptables restart

===============以下是转载================================================

以下是端口,先全部封再开某些的IP

  1. iptables -I INPUT -p tcp –dport 9889 -j DROP
  2. iptables -I INPUT -s 192.168.1.0/24 -p tcp –dport 9889 -j ACCEPT

如果用了NAT转发记得配合以下才能生效

  1. iptables -I FORWARD -p tcp –dport 80 -j DROP
  2. iptables -I FORWARD -s 192.168.1.0/24 -p tcp –dport 80 -j ACCEPT

常用的IPTABLES规则如下:
只能收发邮件,别的都关闭

  1. iptables -I Filter -m mac –mac-source 00:0F:EA:25:51:37 -j DROP
  2. iptables -I Filter -m mac –mac-source 00:0F:EA:25:51:37 -p udp –dport 53 -j ACCEPT
  3. iptables -I Filter -m mac –mac-source 00:0F:EA:25:51:37 -p tcp –dport 25 -j ACCEPT
  4. iptables -I Filter -m mac –mac-source 00:0F:EA:25:51:37 -p tcp –dport 110 -j ACCEPT

IPSEC NAT 策略

  1. iptables -I PFWanPriv -d 192.168.100.2 -j ACCEPT
  2. iptables -t nat -A PREROUTING -p tcp –dport 80 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.100.2:80
  3. iptables -t nat -A PREROUTING -p tcp –dport 1723 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.100.2:1723
  4. iptables -t nat -A PREROUTING -p udp –dport 1723 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.100.2:1723
  5. iptables -t nat -A PREROUTING -p udp –dport 500 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.100.2:500
  6. iptables -t nat -A PREROUTING -p udp –dport 4500 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.100.2:4500

FTP服务器的NAT

  1. iptables -I PFWanPriv -p tcp –dport 21 -d 192.168.1.22 -j ACCEPT
  2. iptables -t nat -A PREROUTING -p tcp –dport 21 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.1.22:21

只允许访问指定网址

  1. iptables -A Filter -p udp –dport 53 -j ACCEPT
  2. iptables -A Filter -p tcp –dport 53 -j ACCEPT
  3. iptables -A Filter -d www.ctohome.com -j ACCEPT
  4. iptables -A Filter -d www.guowaivps.com -j ACCEPT
  5. iptables -A Filter -j DROP

开放一个IP的一些端口,其它都封闭

  1. iptables -A Filter -p tcp –dport 80 -s 192.168.1.22 -d www.pconline.com.cn -j ACCEPT
  2. iptables -A Filter -p tcp –dport 25 -s 192.168.1.22 -j ACCEPT
  3. iptables -A Filter -p tcp –dport 109 -s 192.168.1.22 -j ACCEPT
  4. iptables -A Filter -p tcp –dport 110 -s 192.168.1.22 -j ACCEPT
  5. iptables -A Filter -p tcp –dport 53 -j ACCEPT
  6. iptables -A Filter -p udp –dport 53 -j ACCEPT
  7. iptables -A Filter -j DROP

多个端口

  1. iptables -A Filter -p tcp -m multiport –destination-port 22,53,80,110 -s 192.168.20.3 -j REJECT

连续端口

  1. iptables -A Filter -p tcp -m multiport –source-port 22,53,80,110 -s 192.168.20.3 -j REJECT iptables -A Filter -p tcp –source-port 2:80 -s 192.168.20.3 -j REJECT

指定时间上网

  1. iptables -A Filter -s 10.10.10.253 -m time –timestart 6:00 –timestop 11:00 –days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j DROP
  2. iptables -A Filter -m time –timestart 12:00 –timestop 13:00 –days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT
  3. iptables -A Filter -m time –timestart 17:30 –timestop 8:30 –days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT

禁止多个端口服务

  1. iptables -A Filter -m multiport -p tcp –dport 21,23,80 -j ACCEPT

将WAN 口NAT到PC

  1. iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT –to-destination 192.168.0.1

将WAN口8000端口NAT到192。168。100。200的80端口

  1. iptables -t nat -A PREROUTING -p tcp –dport 8000 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.1.22:80

MAIL服务器要转的端口

  1. iptables -t nat -A PREROUTING -p tcp –dport 110 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.1.22:110
  2. iptables -t nat -A PREROUTING -p tcp –dport 25 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.1.22:25

只允许PING 202。96。134。133,别的服务都禁止

  1. iptables -A Filter -p icmp -s 192.168.1.22 -d 202.96.134.133 -j ACCEPT
  2. iptables -A Filter -j DROP

禁用BT配置

  1. iptables –A Filter –p tcp –dport 6000:20000 –j DROP

禁用QQ防火墙配置

  1. iptables -A Filter -p udp –dport ! 53 -j DROP
  2. iptables -A Filter -d 218.17.209.0/24 -j DROP
  3. iptables -A Filter -d 218.18.95.0/24 -j DROP
  4. iptables -A Filter -d 219.133.40.177 -j DROP

基于MAC,只能收发邮件,其它都拒绝

  1. iptables -I Filter -m mac –mac-source 00:0A:EB:97:79:A1 -j DROP
  2. iptables -I Filter -m mac –mac-source 00:0A:EB:97:79:A1 -p tcp –dport 25 -j ACCEPT
  3. iptables -I Filter -m mac –mac-source 00:0A:EB:97:79:A1 -p tcp –dport 110 -j ACCEPT

禁用MSN配置

  1. iptables -A Filter -p udp –dport 9 -j DROP
  2. iptables -A Filter -p tcp –dport 1863 -j DROP
  3. iptables -A Filter -p tcp –dport 80 -d 207.68.178.238 -j DROP
  4. iptables -A Filter -p tcp –dport 80 -d 207.46.110.0/24 -j DROP

只允许PING 202。96。134。133 其它公网IP都不许PING

  1. iptables -A Filter -p icmp -s 192.168.1.22 -d 202.96.134.133 -j ACCEPT
  2. iptables -A Filter -p icmp -j DROP

禁止某个MAC地址访问internet:

  1. iptables -I Filter -m mac –mac-source 00:20:18:8F:72:F8 -j DROP

禁止某个IP地址的PING:

  1. iptables –A Filter –p icmp –s 192.168.0.1 –j DROP

禁止某个IP地址服务:

  1. iptables –A Filter -p tcp -s 192.168.0.1 –dport 80 -j DROP
  2. iptables –A Filter -p udp -s 192.168.0.1 –dport 53 -j DROP

只允许某些服务,其他都拒绝(2条规则)

  1. iptables -A Filter -p tcp -s 192.168.0.1 –dport 1000 -j ACCEPT
  2. iptables -A Filter -j DROP

禁止某个IP地址的某个端口服务

  1. iptables -A Filter -p tcp -s 10.10.10.253 –dport 80 -j ACCEPT
  2. iptables -A Filter -p tcp -s 10.10.10.253 –dport 80 -j DROP

禁止某个MAC地址的某个端口服务

  1. iptables -I Filter -p tcp -m mac –mac-source 00:20:18:8F:72:F8 –dport 80 -j DROP

禁止某个MAC地址访问internet:

  1. iptables -I Filter -m mac –mac-source 00:11:22:33:44:55 -j DROP

禁止某个IP地址的PING:

  1. iptables –A Filter –p icmp –s 192.168.0.1 –j DROP
时间: 2024-12-28 21:40:30

iptables 封ip的相关文章

Linux防火墙:iptables禁IP与解封IP常用命令

在Linux下,使用ipteables来维护IP规则表.要封停或者是解封IP,其实就是在IP规则表中对入站部分的规则进行添加操作. 要封停一个IP,使用下面这条命令: iptables -I INPUT -s ***.***.***.*** -j DROP 要解封一个IP,使用下面这条命令: iptables -D INPUT -s ***.***.***.*** -j DROP 参数-I是表示Insert(添加),-D表示Delete(删除).后面跟的是规则,INPUT表示入站,***.***

一个自动封IP防御DDOS脚本

DDoS deflate 工作原理 每分钟检测一次IP连接状况,当某些IP连接超过配置脚本限制的连接数,程序会自动禁止这些IP一段时间,以达到防御攻击的目的 DDoS deflate官方网站:http://deflate.medialayer.com/ Installation 安装 wget http://www.inetbase.com/scripts/ddos/install.sh  chmod 0700 install.sh  ./install.sh Uninstallation 卸载

对nginx服务器进行日志分析并且封IP

简单的日志分析排除命令,不过建议使用goacess日志分析视图化观察比较好,面对一些爬虫攻击,可以在nginx.conf配置文件里调用limit requst模块来限制连接数,如限制每秒钟的请求数:rate=10r/s,这是要依据业务情况来设置的. 1  分析日志封IP cd /nginx/logs [[email protected]]# awk '{print $1}' blog-access_log |sort|uniq -c|sort -rn -k1 280 "192.168.183.1

Linux 使用 iptables屏蔽IP段

netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加.编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则.这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中.在信息包过滤表中,规则被分组放在我们所谓的链(chain)中. [喝小酒的网摘]http://blog.hehehehehe.cn/a/7674.htm netfilter/iptables 的最大优点是它可以配置有状态的防火墙,这是 ipfwadm 和 ipc

nginx封ip,禁用IP段的设置说明

nginx的ngx_http_access_module 模块可以封配置内的ip或者ip段,语法如下: deny IP; deny subnet; allow IP; allow subnet; # block all ips deny all; # allow all ips allow all; 如果规则之间有冲突,会以最前面匹配的规则为准. 如何配置禁用ip或ip段呢? 下面说明假定nginx的目录在/usr/local/nginx/ 首先要建一个封ip的配置文件blockips.conf

面对攻击和爬虫,封ip策略的不可靠之处

今天看到有人讨论有关封锁IP问题.本站经验之谈,认为非常不可取. 针对公网IP到户用户,可行性最高 国内网络结构在前面的博客里多次提到,国际上,公网IP已经分配完成,用光了全部资源.很多国内运营商公网IP资源不足.国内首先是联通手里,由于收购网通获得的大量IP资源.其次电信起步早,在南方等地区会拥有较多的公网IP资源.因此国内家庭线路,也就联通电信可以公网到户.回归主题,封IP策略,仅仅对这种用户,误伤最小 针对电信,地区性二级运营商,可行性减小 比如北方电信,某些小的二级网络服务商,往往城市级

使用python控制nginx禁封ip

python控制nginx禁封ip nginx中的access.log最近有大量的用户访问,怎么样屏蔽掉在一定时间段内访问次数多的ip呢? 测试准备: 两个tomcat,一个nginx做均衡负载,服务器上装有python3 python脚本 #服务器每60s循环一次,抓取到超过200次以上的ip地址写入rainbol_ip.conf文件中,重启nginx禁封生效 import time import datetime import os point = 0 while True: with op

爬虫如何避免封IP

做爬虫,碰到最多的问题不是代码bug,而是封IP.开发好一个爬虫,部署好服务器,然后开始抓取信息,不一会儿,就提示封IP了,这时候的内心是崩溃的.那么,有什么办法不封IP呢?首先,要知道为什么会封IP,这样才能更好的避免封IP.有些网站反爬措施比较弱,伪装下IP就可以绕过了,修改X-Forwarded-for就万事大吉.但现在这样的网站比较少了,大部分的网站的反爬措施都在不断加强,不断升级,这给避免封IP带来更大的困难.有人说,使用代理IP就万事大吉了.诚然,使用大量的优质代理IP可以解决大部分

linux下使用iptables统计ip/端口流量

1.添加ip/端口的流量统计 入网流量: iptables -A INPUT -d 0.0.0.0 -p tcp --dport 8087 出网流量: iptables -A OUTPUT -s 172.12.5.25 -p tcp --sport 8283 2.查看流量统计信息 iptables -L -v -n -x 结果示例: Chain INPUT (policy ACCEPT 29059 packets, 7794993 bytes) pkts bytes target prot op