转载 iptables 禁用与 解封ip

Linux下,使用ipteables来维护IP规则表。要封停或者是解封IP,其实就是在IP规则表中对入站部分的规则进行添加操作。

要封停一个IP,使用下面这条命令:

iptables -I INPUT -s ***.***.***.*** -j DROP

要解封一个IP,使用下面这条命令:



    

  1. iptables -D INPUT -s ***.***.***.*** -j DROP
    2. 



参数-I是表示Insert(添加),-D表示Delete(删除)。后面跟的是规则,INPUT表示入站,***.***.***.***表示要封停的IP,DROP表示放弃连接。


此外,还可以使用下面的命令来查看当前的IP规则表:




    

  1. iptables -list
    2. 



比如现在要将123.44.55.66这个IP封杀,就输入:




    

  1. iptables -I INPUT -s 123.44.55.66 -j DROP
    2. 



要解封则将-I换成-D即可,前提是iptables已经有这条记录。如果要想清空封掉的IP地址,可以输入:




    

  1. iptables -flush
    2. 



要添加IP段到封停列表中,使用下面的命令:




    

  1. iptables -I INPUT -s 121.0.0.0/8 -j DROP
    2. 



其实也就是将单个IP封停的IP部分换成了Linux的IP段表达式。关于IP段表达式网上有很多详细解说的,这里就不提了。


相信有了iptables的帮助,解决小的DDoS之类的攻击也不在话下!


附:其他常用的命令


编辑 iptables 文件




    

  1. vi /etc/sysconfig/iptables
    2. 



关闭/开启/重启防火墙




    

  1. /etc/init.d/iptables stop
    2. 

  2. #start 开启
    3. 

  3. #restart 重启
    4. 



验证一下是否规则都已经生效:




    

  1. iptables -L
    2. 



保存并重启iptables




    

  1. /etc/rc.d/init.d/iptables save
    2. 

  2. service iptables restart
    3. 



linux下实用iptables封ip段的一些常见命令:


封单个IP的命令是:




    

  1. iptables -I INPUT -s 211.1.0.0 -j DROP
    2. 



封IP段的命令是:




    

  1. iptables -I INPUT -s 211.1.0.0/16 -j DROP
    2. 

  2. iptables -I INPUT -s 211.2.0.0/16 -j DROP
    3. 

  3. iptables -I INPUT -s 211.3.0.0/16 -j DROP
    4. 



封整个段的命令是:




    

  1. iptables -I INPUT -s 211.0.0.0/8 -j DROP
    2. 



封几个段的命令是:




    

  1. iptables -I INPUT -s 61.37.80.0/24 -j DROP
    2. 

  2. iptables -I INPUT -s 61.37.81.0/24 -j DROP
    3. 



想在服务器启动自运行的话有三个方法:


1、把它加到/etc/rc.local中


2、iptables-save >;/etc/sysconfig/iptables可以把你当前的iptables规则放到/etc/sysconfig/iptables中,系统启动iptables时自动执行。


3、service iptables save 也可以把你当前的iptables规则放/etc/sysconfig/iptables中,系统启动iptables时自动执行。


后两种更好此,一般iptables服务会在network服务之前启来,更安全。


解封的话:
iptables -D INPUT -s IP地址 -j REJECT
iptables -F 全清掉了


Linux防火墙Iptable如何设置只允许某个ip访问80端口,只允许特定ip访问某端口?参考下面命令,只允许46.166.150.22访问本机的80端口。如果要设置其他ip或端口,改改即可。




    

  1. iptables -I INPUT -p TCP –dport 80 -j DROP
    2. 

  2. iptables -I INPUT -s 46.166.150.22 -p TCP –dport 80 -j ACCEPT
    3. 



在root用户下执行上面2行命令后,重启iptables, service iptables restart


查看iptables是否生效:




    

  1. [[email protected].xxx.com]# iptables -L
    2. 

  2. Chain INPUT (policy ACCEPT)
    3. 

  3. target           prot opt source               destination
    4. 

  4. ACCEPT     tcp  –  46.166.150.22    anywhere            tcp dpt:http
    5. 

  5. DROP         tcp  –  anywhere             anywhere            tcp dpt:http
    6. 

  6. Chain FORWARD (policy ACCEPT)
    7. 

  7. target     prot opt source               destination
    8. 

  8. Chain OUTPUT (policy ACCEPT)
    9. 

  9. target     prot opt source               destination
    10. 



上面命令是针对整个服务器(全部ip)禁止80端口,如果只是需要禁止服务器上某个ip地址的80端口,怎么办?


下面的命令是只允许来自174.140.3.190的ip访问服务器上216.99.1.216的80端口




    

  1. iptables -A FORWARD -s 174.140.3.190 -d 216.99.1.216 -p tcp -m tcp –dport 80 -j ACCEPT
    2. 

  2. iptables -A FORWARD -d 216.99.1.216 -p tcp -m tcp –dport 80 -j DROP
    3. 



更多iptables参考命令如下:


1.先备份iptables




    

  1. # cp /etc/sysconfig/iptables /var/tmp
    2. 



需要开80端口,指定IP和局域网


下面三行的意思:


先关闭所有的80端口


开启ip段192.168.1.0/24端的80口


开启ip段211.123.16.123/24端ip段的80口




    

  1. # iptables -I INPUT -p tcp –dport 80 -j DROP
    2. 

  2. # iptables -I INPUT -s 192.168.1.0/24 -p tcp –dport 80 -j ACCEPT
    3. 

  3. # iptables -I INPUT -s 211.123.16.123/24 -p tcp –dport 80 -j ACCEPT
    4. 



以上是临时设置。


2.然后保存iptables




    

  1. # service iptables save
    2. 



3.重启防火墙




    

  1. #service iptables restart
    2. 



===============以下是转载================================================


以下是端口,先全部封再开某些的IP




    

  1. iptables -I INPUT -p tcp –dport 9889 -j DROP
    2. 

  2. iptables -I INPUT -s 192.168.1.0/24 -p tcp –dport 9889 -j ACCEPT
    3. 



如果用了NAT转发记得配合以下才能生效




    

  1. iptables -I FORWARD -p tcp –dport 80 -j DROP
    2. 

  2. iptables -I FORWARD -s 192.168.1.0/24 -p tcp –dport 80 -j ACCEPT
    3. 



常用的IPTABLES规则如下:
只能收发邮件,别的都关闭




    

  1. iptables -I Filter -m mac –mac-source 00:0F:EA:25:51:37 -j DROP
    2. 

  2. iptables -I Filter -m mac –mac-source 00:0F:EA:25:51:37 -p udp –dport 53 -j ACCEPT
    3. 

  3. iptables -I Filter -m mac –mac-source 00:0F:EA:25:51:37 -p tcp –dport 25 -j ACCEPT
    4. 

  4. iptables -I Filter -m mac –mac-source 00:0F:EA:25:51:37 -p tcp –dport 110 -j ACCEPT
    5. 



IPSEC NAT 策略




    

  1. iptables -I PFWanPriv -d 192.168.100.2 -j ACCEPT
    2. 

  2. iptables -t nat -A PREROUTING -p tcp –dport 80 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.100.2:80
    3. 

  3. iptables -t nat -A PREROUTING -p tcp –dport 1723 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.100.2:1723
    4. 

  4. iptables -t nat -A PREROUTING -p udp –dport 1723 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.100.2:1723
    5. 

  5. iptables -t nat -A PREROUTING -p udp –dport 500 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.100.2:500
    6. 

  6. iptables -t nat -A PREROUTING -p udp –dport 4500 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.100.2:4500
    7. 



FTP服务器的NAT




    

  1. iptables -I PFWanPriv -p tcp –dport 21 -d 192.168.1.22 -j ACCEPT
    2. 

  2. iptables -t nat -A PREROUTING -p tcp –dport 21 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.1.22:21
    3. 



只允许访问指定网址




    

  1. iptables -A Filter -p udp –dport 53 -j ACCEPT
    2. 

  2. iptables -A Filter -p tcp –dport 53 -j ACCEPT
    3. 

  3. iptables -A Filter -d www.ctohome.com -j ACCEPT
    4. 

  4. iptables -A Filter -d www.guowaivps.com -j ACCEPT
    5. 

  5. iptables -A Filter -j DROP
    6. 



开放一个IP的一些端口,其它都封闭




    

  1. iptables -A Filter -p tcp –dport 80 -s 192.168.1.22 -d www.pconline.com.cn -j ACCEPT
    2. 

  2. iptables -A Filter -p tcp –dport 25 -s 192.168.1.22 -j ACCEPT
    3. 

  3. iptables -A Filter -p tcp –dport 109 -s 192.168.1.22 -j ACCEPT
    4. 

  4. iptables -A Filter -p tcp –dport 110 -s 192.168.1.22 -j ACCEPT
    5. 

  5. iptables -A Filter -p tcp –dport 53 -j ACCEPT
    6. 

  6. iptables -A Filter -p udp –dport 53 -j ACCEPT
    7. 

  7. iptables -A Filter -j DROP
    8. 



多个端口




    

  1. iptables -A Filter -p tcp -m multiport –destination-port 22,53,80,110 -s 192.168.20.3 -j REJECT
    2. 



连续端口




    

  1. iptables -A Filter -p tcp -m multiport –source-port 22,53,80,110 -s 192.168.20.3 -j REJECT iptables -A Filter -p tcp –source-port 2:80 -s 192.168.20.3 -j REJECT
    2. 



指定时间上网




    

  1. iptables -A Filter -s 10.10.10.253 -m time –timestart 6:00 –timestop 11:00 –days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j DROP
    2. 

  2. iptables -A Filter -m time –timestart 12:00 –timestop 13:00 –days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT
    3. 

  3. iptables -A Filter -m time –timestart 17:30 –timestop 8:30 –days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT
    4. 



禁止多个端口服务




    

  1. iptables -A Filter -m multiport -p tcp –dport 21,23,80 -j ACCEPT
    2. 



将WAN 口NAT到PC




    

  1. iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT –to-destination 192.168.0.1
    2. 



将WAN口8000端口NAT到192。168。100。200的80端口




    

  1. iptables -t nat -A PREROUTING -p tcp –dport 8000 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.1.22:80
    2. 



MAIL服务器要转的端口




    

  1. iptables -t nat -A PREROUTING -p tcp –dport 110 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.1.22:110
    2. 

  2. iptables -t nat -A PREROUTING -p tcp –dport 25 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.1.22:25
    3. 



只允许PING 202。96。134。133,别的服务都禁止




    

  1. iptables -A Filter -p icmp -s 192.168.1.22 -d 202.96.134.133 -j ACCEPT
    2. 

  2. iptables -A Filter -j DROP
    3. 



禁用BT配置




    

  1. iptables –A Filter –p tcp –dport 6000:20000 –j DROP
    2. 



禁用QQ防火墙配置




    

  1. iptables -A Filter -p udp –dport ! 53 -j DROP
    2. 

  2. iptables -A Filter -d 218.17.209.0/24 -j DROP
    3. 

  3. iptables -A Filter -d 218.18.95.0/24 -j DROP
    4. 

  4. iptables -A Filter -d 219.133.40.177 -j DROP
    5. 



基于MAC,只能收发邮件,其它都拒绝




    

  1. iptables -I Filter -m mac –mac-source 00:0A:EB:97:79:A1 -j DROP
    2. 

  2. iptables -I Filter -m mac –mac-source 00:0A:EB:97:79:A1 -p tcp –dport 25 -j ACCEPT
    3. 

  3. iptables -I Filter -m mac –mac-source 00:0A:EB:97:79:A1 -p tcp –dport 110 -j ACCEPT
    4. 



禁用MSN配置




    

  1. iptables -A Filter -p udp –dport 9 -j DROP
    2. 

  2. iptables -A Filter -p tcp –dport 1863 -j DROP
    3. 

  3. iptables -A Filter -p tcp –dport 80 -d 207.68.178.238 -j DROP
    4. 

  4. iptables -A Filter -p tcp –dport 80 -d 207.46.110.0/24 -j DROP
    5. 



只允许PING 202。96。134。133 其它公网IP都不许PING




    

  1. iptables -A Filter -p icmp -s 192.168.1.22 -d 202.96.134.133 -j ACCEPT
    2. 

  2. iptables -A Filter -p icmp -j DROP
    3. 



禁止某个MAC地址访问internet:




    

  1. iptables -I Filter -m mac –mac-source 00:20:18:8F:72:F8 -j DROP
    2. 



禁止某个IP地址的PING:




    

  1. iptables –A Filter –p icmp –s 192.168.0.1 –j DROP
    2. 



禁止某个IP地址服务:




    

  1. iptables –A Filter -p tcp -s 192.168.0.1 –dport 80 -j DROP
    2. 

  2. iptables –A Filter -p udp -s 192.168.0.1 –dport 53 -j DROP
    3. 



只允许某些服务,其他都拒绝(2条规则)




    

  1. iptables -A Filter -p tcp -s 192.168.0.1 –dport 1000 -j ACCEPT
    2. 

  2. iptables -A Filter -j DROP
    3. 



禁止某个IP地址的某个端口服务




    

  1. iptables -A Filter -p tcp -s 10.10.10.253 –dport 80 -j ACCEPT
    2. 

  2. iptables -A Filter -p tcp -s 10.10.10.253 –dport 80 -j DROP
    3. 



禁止某个MAC地址的某个端口服务




    

  1. iptables -I Filter -p tcp -m mac –mac-source 00:20:18:8F:72:F8 –dport 80 -j DROP
    2. 



禁止某个MAC地址访问internet:




    

  1. iptables -I Filter -m mac –mac-source 00:11:22:33:44:55 -j DROP
    2. 



禁止某个IP地址的PING:




    

  1. iptables –A Filter –p icmp –s 192.168.0.1 –j DROP
    2. 




原文地址:https://www.cnblogs.com/black-humor/p/8963280.html
				


				
时间: 2024-08-02 01:14:38 

		


		


	

	
	

		


		
转载 iptables 禁用与 解封ip的相关文章


								

		

			

                Linux防火墙:iptables禁IP与解封IP常用命令
			

		

		

									

				在Linux下,使用ipteables来维护IP规则表.要封停或者是解封IP,其实就是在IP规则表中对入站部分的规则进行添加操作. 要封停一个IP,使用下面这条命令: iptables -I INPUT -s ***.***.***.*** -j DROP 要解封一个IP,使用下面这条命令: iptables -D INPUT -s ***.***.***.*** -j DROP 参数-I是表示Insert(添加),-D表示Delete(删除).后面跟的是规则,INPUT表示入站,***.***			

		

	

				

		

			

                【转载】iptables、tc和ip命令
			

		

		

									

				2.3 CommandListener中的命令 CL一共定义了11个命令,这些命令充分反映了Netd在Android系统中网络管理和控制方面的职责.本节首先介绍Linux系统中常用的三个网络管理工具,然后再分类介绍CL中的相关命令. 2.3.1 iptables.tc和ip命令 网络管理和控制一直是一项比较复杂和专业的工作,由于Linux系统中原本就有一些强大的网络管理工具,故Netd也毫不犹豫充分利用了它们.目前Netd中最依赖三个网络管控工具,即iptables.tc和ip. 1. ipta			

		

	

				

		

			

                linux下通过iptables只允许指定ip地址访问指定端口的设置方法
			

		

		

									

				这篇文章主要介绍了linux下通过iptables只允许指定ip地址访问指定端口的设置方法,需要的朋友可以参考下. 首先,清除所有预设置 iptables -F#清除预设表filter中的所有规则链的规则 iptables -X#清除预设表filter中使用者自定链中的规则 其次,设置只允许指定ip地址访问指定端口 其次,设置只允许指定ip地址访问指定端口 iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp --dport 22 -j ACCEPT iptab			

		

	

				

		

			

                centos7配置iptables禁用firewalld
			

		

		

									

				centos7默认防火墙不是iptables,而是firewlld 安装iptables : yum install iptables -y yum update iptables yum install iptables-services ---------------------------------- 禁用/停止自带的firewalld服务 systemctl stop firewalld    //停止firewalld systemctl mask firewalld  //禁用fi			

		

	

				

		

			

                iptables 自动绑定动态IP
			

		

		

									

				由于公司的svn服务器放在外网,为了安全只允许特定的IP才能访问.(公司用PPPOE拨号) 几乎每天都要去刷公司的IP,这样很不方便.于是就想通过自动刷新动IP的想法. 具备条件: 1.路由器DDNS服务,如果没有那就用电脑下载花生壳客户端. 实现动态刷新shell核心代码如下: dyIP=$(ping **.kmdns.net -c1 | grep PING | awk '{ print $3 }' | cut -c 2- | cut -d\) -f1)iptables -A INPUT -s			

		

	

				

		

			

                利用CentOS系统IPtables防火墙添加网站IP白名单
			

		

		

									

				参考博文: 利用CentOS系统IPtables防火墙添加360网站卫士节点IP白名单 centos6.5添加白名单如下: 在防火墙 配置文件中加入白名单  ip -A INPUT -s 183.136.133.0/24 -j ACCEPT 批量添加  参考博文 如上! 查看iptables规则是否生效 [[email protected] ~]# iptables -nL centos7添加白名单参考博文: centOS7 下利用iptables配置IP地址白名单			

		

	

				

		

			

                [转载] iptables配置实践
			

		

		

									

				原文: http://wsgzao.github.io/post/iptables/ iptables配置实践 By wsgzao 发表于 2015-07-24 文章目录 1. 前言 2. 更新历史 3. 基础知识 3.1. 关闭iptables 3.2. 基础语法 4. 配置iptables白名单机制 5. 设置crontab脚本 前言 在大企业中防火墙角色主要交给硬件来支持,效果自然没话说只是需要增加一点点成本,但对于大多数个人或者互联网公司来说选择系统自带的iptables或者第三方云防火			

		

	

				

		

			

                iptables只允许指定ip地址访问指定端口
			

		

		

									

				首先,清除所有预设置 iptables -F#清除预设表filter中的所有规则链的规则 iptables -X#清除预设表filter中使用者自定链中的规则 其次,设置只允许指定ip地址访问指定端口 iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -d xxx.xxx.xxx.xxx -p tcp --sport 22 -j ACCEPT iptables -A INPUT			

		

	

				

		

			

                编写iptables模块实现不连续IP地址的DNAT-POOL
			

		

		

									

				1.背景 <路由应用-使用路由实现负载流量均衡>的第3.3节,并没有给出如何配置一个pool,那是因为在Linux 2.6.10之上,已经不再支持配置不连续IP地址的pool了,如果看iptables的man手册,将会得到以下信息: In  Kernels up to 2.6.10 you can add several --to-destination options. For those kernels, if you specify more than one destination