1.
顺序不可乱,否则,任何IP都访问不了
首先,放行要允许的IP
2.最后,拒绝所有IP
iptables是按照规则顺序进行匹配的,一旦遇到拒绝规则,对这个端口/服务的规则就不往下走了。
所以,切记,允许在前,拒绝在后。
而且,拒绝最后不可少,否则,达不到,只允许特定IP访问的目的。不把拒绝规则放在最后的话,则是所有IP都能访问。
时间: 2024-10-10 16:36:00
iptables要只允许某些IP,切记先放行这些IP,最后拒绝所有IP,顺序不能乱,且拒绝规则不可少
iptables要只允许某些IP,切记先放行这些IP,最后拒绝所有IP,顺序不能乱,且拒绝规则不可少的相关文章
《TCP/IP详解卷2:实现》笔记--IP的分片和重装
IP首部内有三个字段实现分片和重装:标识字段(ip_id).标志字段(ip_off的3个高位比特)和偏移字段(ip_off的13个低位 比特).标志字段由3个1bit标志组成.比特0是保留的必须为0,:比特1是"不分片"(DF)标志:比特2是"更多分片"(MF)标志. Net/3中,标志和偏移字段结合起来,由ip_off访问,如下图所示: ip_off的其他13bit指出在原始数据报内分片的位置,以8字节为单位计算.因此,除最后一个分片外,其他的分片都希望是一个 8
《TCP/IP详解卷2:实现》笔记--IP编址
1.接口和地址 在本文中讨论的所有接口和地址结构的一个例子配置如下图所示: 上图中显示了我们三个接口例子:以太网接口,SLIP接口和环回接口.它们都有一个链路层地址作为地址列表中的第一个结点. 显示的以太网接口有两个IP地址,SLIP接口有一个IP地址,并且环回接口有一个IP地址和一个OSI地址. 所有的IP地址都被链接到in_ifaddr列表中,并且所有链路层地址能从ifnet_addrs数组访问. 后面的部分讨论上图的数据结构以及用来查看和修改这些结构的IP专用ioctl命令. 2.sock
《TCP/IP详解卷2:实现》笔记--IP多播
D类IP地址(224.0.0.0到239.255.255.255)不识别互联网内的单个接口,但识别接口组,被称为多播组. 单个网络上的组成员利用IGMP协议在系统之间通信.多播路由器用多播选录协议,如DVMRP(distance vector multicast routing protocol,距离向量多播路由选择协议)传播成员信息. 在Net/3中,如果某个接口支持多播,那么在接口ifnet结构中的if_flags的标识IFF_MULTICAST比特就被打开. RFC 1112描述了多播对主
Nginx 拒绝指定IP访问
来源 : http://www.ttlsa.com/nginx/nginx-deny-ip-access/ 闲来无事,登陆服务器,发现有个IP不断的猜测路径.试图往服务器上传文件(木马).于是查看了之前的日志,无奈鄙站被攻击者盯上了,不断的有不同的IP试图上传木马.看来坏人还是有的.由于不想让鄙站沦为肉鸡,所以就想写个简单的脚本,来阻止攻击者的IP访问. 攻击者: 195.154.216.165 - - [28/Nov/2015:23:10:40 +0800] "POST /wp-conte
《TCP/IP详解卷2:实现》笔记--IP选项处理
IP输入函数(ipintr)将在验证分组格式(检验和,长度等)之后,确定分组是否到达目的地之前,对选项进行处理.这表明分组所 遇到的每个路由器以及最终的目的主机都对要分组的选项进行处理. IP分组内可以包含某些在分组被转发或被接收之前处理的可选字段.IP实现可以用任意顺序处理选项.标准IP首部之后最多可跟 40字节的选项. 1.选项格式 IP选项字段可能包含0个或多个单独选项.选项有两种类型,单字节和多字节.如图所示: 所有选项都以1字节类型type字段开始.在多字节选项中,类型字段后面紧接着一
对TCP/IP协议的一些看法(5):IP地址
其中255.255.255.255表示广播地址,127开头的表示本机地址,例如ping 127.0.0.1专门用于检测本机的TCP/IP协议是否安装正确.上一篇讲到网络层的一个重要的协议--IP协议,今天就讲一下最最重要的IP地址.大家都知道没有IP地址你就无法连上互联网,IP地址采用一种叫点分十进制法的方法来表示.IP地址为32位,以每8位一个点号将其断开,若这8位用0和1来表示,则记忆过于困难,因此将每8位二进制数变为10进制数便于记忆,这就是点分十进制法. IP地址可以分为主机部分和网络部
阿里云X-Forwarded-For 发现tomcat记录的日志全部来自于SLB转发的IP地址,不能获取到请求的真实IP。
1.背景:阿里云的SLB的负载均衡,在tomcat中获取不到真实IP,而是阿里的内网IP,SLB中俩台或者3台本身是局域网,这里是SLB原理,可以看看,没怎么看懂,呵呵,要细细读下. 2.需要开启tomcat的X-Forwarded-For,在tomcat/conf/server.xml中有一个如下的AccessLogValve 日志纪录功能,当配置中的pattern=common时,对应的日志是如下,无论正常请求和非法请求都会记录. <Valve className="org.apach
shell脚本,提取ip地址和子网掩码,和查外网ip地址信息。
#提取IP地址和子网掩码 [[email protected] ~]# ifconfig eth0|grep 'inet addr'|awk -F'[ :]+' '{print $4"/"$8}' 192.168.16.110/255.255.255.0 [[email protected] ~]# #查外网IP地址 [[email protected] ~]# curl -s ipecho.net/plain;echo 114.93.99.39 #查外网ip地址是什么宽带<br
《TCP/IP具体解释卷2:实现》笔记--IP多播
D类IP地址(224.0.0.0到239.255.255.255)不识别互联网内的单个接口,但识别接口组,被称为多播组. 单个网络上的组成员利用IGMP协议在系统之间通信. 多播路由器用多播选录协议.如DVMRP(distance vector multicast routing protocol.距离向量多播路由选择协议)传播成员信息. 在Net/3中,假设某个接口支持多播.那么在接口ifnet结构中的if_flags的标识IFF_MULTICAST比特就被打开. RFC 1112描写叙述了多