白名单配置总结
1、 操作系统
[[email protected] ~]# uname -r
2.6.32-279.el6.x86_64
[[email protected] ~]# cat /etc/redhat-release
CentOS release 6.8 (Final)
2、 第一种方法,间接法
编辑防火墙规则配置文件 iptables vim /etc/sysconfig/iptables
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#1、自定义一个链,用于跟白名单链进行结合
:RH-Firewall-1-INPUT - [0:0]
#2、自定义白名单的源IP的链
-N whitelist
-A whitelist -s 115.159.107.148 -j ACCEPT
-A whitelist -s 115.159.69.178 -j ACCEPT
-A whitelist -s 123.206.205.105 -j ACCEPT
-A whitelist -s 119.130.228.62 -j ACCEPT
#3、把自定义的链跟系统的链进行关联
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
#4、添加自定义链的规则跟白名单源地址结合,也可以不结合白名单链写自己的规则-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 50020 -j whitelist
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
#-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
这样白名单就配置好了,可以看到两个链有关联
没有关联的情况:
去掉
#5、添加自定义链的规则跟白名单源地址结合
#-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 50020 -j whitelist
白名单的链没有生效,没有关联成功。
2、第二种方法,直接法
编辑防火墙规则配置文件 iptables vim /etc/sysconfig/iptables
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#1、自定义白名单的源IP的链
-N whitelist
-A whitelist -s 115.159.107.148 -j ACCEPT
-A whitelist -s 115.159.69.178 -j ACCEPT
-A whitelist -s 123.206.205.105 -j ACCEPT
-A whitelist -s 119.130.228.62 -j ACCEPT
-A whitelist -s 218.19.99.194 -j ACCEPT
#2、直接把系统INPUT链跟whitelist关联
-A INPUT -m state --state NEW -m tcp -p tcp --dport 50020 -j whitelist
3、第三种方法,折中的方法
编辑防火墙规则配置文件 iptables vim /etc/sysconfig/iptables
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#1、自定义白名单的源IP的链
-N whitelist
-A whitelist -s 115.159.107.148 -j ACCEPT
-A whitelist -s 115.159.69.178 -j ACCEPT
-A whitelist -s 123.206.205.105 -j ACCEPT
-A whitelist -s 119.130.228.62 -j ACCEPT
-A whitelist -s 218.19.99.194 -j ACCEPT
#2、直接把系统INPUT链跟whitelist关联,还可以更灵活给whitelist加策略。
-A INPUT -j whitelist
-A whitelist -m state --state NEW -m tcp -p tcp --dport 50000 -j ACCEPT