配置限制访问ip的iptables实例

公司有一个平台要提升安全力度,几位老大开会研究了半天得出的结论是“放弃了阿里云的slb而改用了自建的nginx来代替slb”,这个时候就需要运维人员在这台nginx上做iptables,现在公司的出口ip有60.191.94.118-120和60.12.11.48四个地址,而且需要开放的端口是80和443,于是乎在nginx的交互窗口里,我们就需要输入如下的语句:

iptables -A INPUT -s 60.191.94.118/32 -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 60.191.94.119/32 -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 60.191.94.120/32 -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 60.12.11.48/32 -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j DROP

iptables -A INPUT -s 60.191.94.118/32 -p tcp -m tcp --dport 443 -j ACCEPT
iptables -A INPUT -s 60.191.94.119/32 -p tcp -m tcp --dport 443 -j ACCEPT
iptables -A INPUT -s 60.191.94.120/32 -p tcp -m tcp --dport 443 -j ACCEPT
iptables -A INPUT -s 60.12.11.48/32 -p tcp -m tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 443 -j DROP

输入完毕之后,使用#service iptables save#service iptables restart来保存iptables规则。然后在阿里云的域名绑定的地方把这台nginx的外网地址绑定到对应的域名里,在浏览器测试一下使用域名是否可以正确访问到服务。如果成功即代表正向流通。

然后测试一下反向,假设我现在使用的公司出口是60.191.94.120,#iptables -L看到的结果是这样的:

看到120这个ip在第三行,那么我们就禁止这个ip,使用#iptables -D INPUT 3,在另一个浏览器输入刚才的域名,这时候应该无法访问,这样就达到了反向验证的目的。而#service iptables restart的话,就会恢复正确访问。

参考资料:http://www.zsythink.net/archives/1199

时间: 2024-10-12 00:05:55

配置限制访问ip的iptables实例的相关文章

linux iptables 实例1

柘扑图: shell脚本: 说明:内网可以正常上网,只能通过端口访问DMZ里的服务器 firewall服务器和DMZ里的器不能上网,但是可以指定访问外网某个IP 外网可以通过访问DNAT映射访问内网web和FTP服务器 指定某个IP进行管理iptables,不允许外网进行管理 服务器不能主动上外网 [[email protected] ~]# cat /opt/firewall.sh #!/bin/bash /sbin/modprobe nf_conntrack_ftp /sbin/modpro

Linux下VNC配置使用总结:开启+桌面配置+安全访问

操作环境:CentOS 5.3 + Windows XP SP3 32bit + RealVNC 4.1.2 i386 + TigerVNC. 参考:潇湘隐者-Linux系统VNC配置实践总结,萨米的博客-VNC配置,孤叶风铃-Linux 开启VNCSERVER,远程桌面设置:利用putty进行vnc + ssh tunneling VNC是基于RFB(Remote FrameBuffer)的一款开源的远程桌面控制软件.目前,原来的AT&T版本已经不再使用,因为更多有重大改善的分支版本已经出现,

OkHttp配置HTTPS访问+服务器部署

目录 1 概述 2 OkHttp介绍 3 准备工作 4 OkHttp部分 4.1 暴力方案 4.2 推荐方案 4.2.1 HostnameVerifier 4.2.2 X509TrustManager 5 服务器部署 5.1 上传工程 5.2 Tomcat配置 6 验证与源码 7 常见问题 7.1 Tomcat HTTPS无法访问 7.2 OkHttp HTTPS无法访问 8 参考链接 1 概述 OkHttp配置HTTPS访问,核心为以下三个部分: sslSocketFactory() Host

Windows server 2012 搭建VPN图文教程(三)配置VPN访问账户

Windows server 2012 搭建VPN图文教程(一)安装VPN相关服务 Windows server 2012 搭建VPN图文教程(二)配置路由和远程访问服务 Windows server 2012 搭建VPN图文教程(三)配置VPN访问账户 Windows server 2012 搭建VPN图文教程(四)客户端访问VPN测试 Part III 配置VPN访问账户 本部分主要介绍如何配置VNP相关服务以及配置VPN访问账户的方法,具体如下: 选择路由和远程访问服务器,右键,选择"属性

wamp server中配置php访问sqlsever

wamp server中配置php访问sqlsever 网上介绍的大部分是对的,关键的几点没写,愁死个人啊 1.windows server 2008 或R2的版本,如果是64位系统也要安wamp server 32位,要不然驱动不好用啊,血的教训啊 2.下面的例子中php5.4要改为php_sqlsrv_54_ts.dll 3.php5.5官方没有,有第三方的,网址:http://www.hmelihkara.com/files/php_sqlsrv_55.rar 4.thinkphp对sql

虚拟IP---Linux下一个网卡配置多个IP

转:http://blog.csdn.net/turkeyzhou/article/details/16971225 Linux下配置网卡ip别名何谓ip别名?用windows的话说,就是为一个网卡配置多个ip.什么场合增加ip别名能派上用场?布网需要.多ip访问测试.特定软件对多ip的需要...and so on. 下面通过几个例子简单介绍一下如何使用ifconfig命令给网卡配置ip别名.一.首先为服务器网卡配置静态ip地址#ifconfig eth0 192.168.6.99 netmas

一种基于自定义代码的asp.net网站访问IP过滤方法!

对于一些企业内部核心系统,特别是外网访问的时候,为了信息安全,可能需要对外部访问的IP地址作限制,虽然IIS中也提供了根据IP地址或IP地址段进行限制或允许,但并没有提供根据IP地址所在的城市进行限制或允许.本文主要通过自定义扩展IHttpModule接口,考虑到性能IP数据库主要采用QQwry纯真IP数据库(但此数据库并非是官方的,我之前与ip138网站对比过,IP地址信息的准确性大概在90%左右),主要实现不仅可以根据IP地址或IP地址段进行限制或允许(与IIS的功能相同),而且可以根据IP

一个网卡配置多个ip配置实现,centos7系统

仅一个网卡情况下,配置多个ip可以让该设备通过几个ip被访问,或隐藏常用ip,让其他人访问临时ip 一.永久性增加一个IP 方法1: vim /etc/sysconfig/network-scripts/ifcfg-em1 DEVICE="em1" ONBOOT=yes NETBOOT=yes UUID="07b62e50-0d4c-4a77-a5e2-b62d07d5b121" IPV6INIT=yes BOOTPROTO=static HWADDR="

iptables实例

(1)查看本机关于IPTABLES的设置情况 默认查看INPUT FORWARD OUTPUT三个表的策略. [[email protected] ~]# iptables -L -n   Chain INPUT (policy ACCEPT)  Chain INPUT (policy DROP)  target     prot opt source               destination  ACCEPT     all  --  0.0.0.0/0            0.0.