百度360必应搜狗淘宝本站头条
tomcat 乱码无法与服务器建立安全连接是什么意思sysv-rc-confdocker映射容器目录到宿主机internet explorer 增强的安全配置已启用
当前位置:网站首页 > 技术文章 > 正文

CentOS 8.0 开启iptable防火墙,禁止指定IP访问

nanshan 2024-10-27 11:21 10 浏览 0 评论

1. 介绍

当明白如何查询Linux系统下的各种日志文档时,通过命令:

lastb | awk '{ print $3}' | sort | uniq -c | sort -n

筛选到,有大量的国外ip地址,频繁尝试登录服务器。

一开始,我只是将相关IP地址通过阿里云的安全组进行添加,但是操作过程太繁琐了。

而阿里云的云防火墙又比较贵。

所以,我直接通过iptables防火墙进行限制相关ip的访问吧。

2. iptables防火墙

首先,安装iptables防火墙:示例如下:yum install iptables -y

[root@iZuf63tu3fn1swasqa62h8Z ~]# yum install iptables -y
Last metadata expiration check: 0:04:11 ago on Sun 11 Dec 2022 04:52:13 PM CST.
Package iptables-1.8.4-10.el8.x86_64 is already installed.
Dependencies resolved.
============================================================================
....
.....

Complete!

在安装服务: yum install iptables-services -y

[root@iZuf63tu3fn1swasqa62h8Z ~]# yum install iptables-services -y
CentOS-8 - Base                                                   117 kB/s | 3.9 kB     00:00    
Dependencies resolved.
==================================================================================================
 Package                      Architecture      Version                   Repository         Size
==================================================================================================
....                                                  

Complete!

出现了Complete就代表安装成功了。

3. 配置iptables

首先,我们先配置防火墙,让它开放所有的请求:

[root@iZuf63tu3fn1swasqa62h8Z ~]# iptables -P INPUT ACCEPT

然后,执行清空iptables的默认规则:

[root@iZuf63tu3fn1swasqa62h8Z ~]# iptables -F

清除所有自定义的规则:(PS:新安装并且没有配置过。可以不用清理,但是如果你不确定。可以尝试清理一下。)

[root@iZuf63tu3fn1swasqa62h8Z ~]# iptables -X

防火墙计数器清理:

[root@iZuf63tu3fn1swasqa62h8Z ~]# iptables -Z

当我们清理完毕后,通过 iptables -L -n 输出如下所示:

[root@iZuf63tu3fn1swasqa62h8Z ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

代表我们的防火墙,没有任何的限制,进出访问无限制。

3.1 配置本机127.0.0.1访问本地

我们首先需要放行本地的服务器允许访问。例如我们通过Nginx代理访问本地的其他对的Web服务器。

那都是外网通过访问nginx,然后nginx再访问我们服务器本地的各种服务:iptables -A INPUT -i lo -j ACCEPT

示例效果如下:

[root@iZuf63tu3fn1swasqa62h8Z ~]# iptables -A INPUT -i lo -j ACCEPT
[root@iZuf63tu3fn1swasqa62h8Z ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

我们配置完毕后,就会在INPUT下看到一条规则。也就是我们刚才配置的允许访问本地127.0.0.1地址的服务。

3.2 配置允许访问的端口

例如默认SSH端口为22,我们可以通过命名:

[root@iZuf63tu3fn1swasqa62h8Z ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT

开放22端口。 我们通过-L -n 就可看到新增加的规则了:

[root@iZuf63tu3fn1swasqa62h8Z ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

如果,你想删除该端口配置。那么可以通过:iptables -D INPUT 2 进行删除。

ps:每一条规则是按照顺序从1开始进行排序的。我们如果想删除哪条。就选择删除哪个就可以了。

如果想删除OUTPUT或FORWARD,可以设置为:

iptables -D OUTPUT 1 或 iptables -D FORWARD1

我们如果SSH端口 不是22,可以改为指定的端口。

还可以配置允许 443端口(https请求),80端口(http请求)

[root@iZuf63tu3fn1swasqa62h8Z ~]#iptables -A INPUT -p tcp --dport 80 -j ACCEPT

[root@iZuf63tu3fn1swasqa62h8Z ~]#iptables -A INPUT -p tcp --dport 443 -j ACCEPT

3.3 允许已建立的或相关连的通行

[root@iZuf63tu3fn1swasqa62h8Z ~]#iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

上面这个也是必须的,它是允许所有对外请求的返回包。例如在服务器上执行下载或者安装命令,那么服务器就需要访问外网数据,那得到的返回数据包对于我们本地服务器来说,就是一个INPUT事件了。

添加成功后在规则中的展示效果如下:

[root@iZuf63tu3fn1swasqa62h8Z ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:443
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state ESTABLISHED

3.4 过滤其他规则

当我们配置完毕允许开放的规则之后,添加过滤规则。有两种添加方式:

  1. 过滤所有非以上规则的请求: iptables -P INPUT DROP。
  2. 其他访问规则禁止访问:iptables -A INPUT -j REJECT。

上面两个命令,执行其中一个都可以了。 执行第一个命名后的效果:

[root@iZuf63tu3fn1swasqa62h8Z ~]# iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0  
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:443
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80

我们会看到Chain INPUT (policy ACCEPT) 变成了Chain INPUT (policy DROP)

而如果执行的第二条命名就会:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0  
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:443
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80      
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

到这里,我们的端口开放就配置完毕了。也就是说只有这三个端口才能访问服务器,如果是其他端口。就会直接被拒绝。

PS:我们可以通过开放和关闭80端口,来验证一下防火墙是否正常拦截。

注意:你如果是使用的阿里云服务器,在阿里云后台中的安全组中也要开放相关的端口。否则仍然无法访问。

3.5. 屏蔽IP

我们上面指定了固定开放的端口。其他端口全部禁止访问。如果有攻击的ip地址,例如通过lastb 命令查询到的大量工具访问的ip。我们如何添加到防火墙配置中呢?很简单,直接指定IP禁止访问即可:

[root@iZuf63tu3fn1swasqa62h8Z ~]# iptables -I INPUT -s 85.31.46.0/24 -j DROP
[root@iZuf63tu3fn1swasqa62h8Z ~]# iptables -I INPUT -s 170.64.130.0/24 -j DROP

0/24 代表屏蔽了:170.64.130.0~170.64.130.255 之间的全部ip。

5. 保存iptables 配置

当我们配置完毕后,需要执行保存操作。否则重启系统后。规则会丢失。因为当前操作只是存储在了内存中。

关键命令为: service iptables save。具体示例如下所示:

[root@iZuf63tu3fn1swasqa62h8Z ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]

就代表保存成功了。我们还可以将iptables添加到自启动chkconfig中,示例如下:

[root@iZuf63tu3fn1swasqa62h8Z ~]# chkconfig iptables on
Note: Forwarding request to 'systemctl enable iptables.service'.
Created symlink /etc/systemd/system/multi-user.target.wants/iptables.service → /usr/lib/systemd/system/iptables.service.
[root@iZuf63tu3fn1swasqa62h8Z ~]#

通过这个方法,我们可以限制更多的IP地址,突破阿里云安全组可限制的ip范围。

相关推荐

Let’s Encrypt免费搭建HTTPS网站

HTTPS(全称:HyperTextTransferProtocoloverSecureSocketLayer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入...

使用Nginx配置TCP负载均衡(nginx tcp负载)

假设Kubernetes集群已经配置好,我们将基于CentOS为Nginx创建一个虚拟机。以下是实验种设置的详细信息:Nginx(CenOS8Minimal)-192.168.1.50Kube...

Nginx负载均衡及支持HTTPS与申请免费SSL证书

背景有两台minio文件服务器已做好集群配置,一台是192.168.56.41:9000;另一台是192.168.56.42:9000。应用程序通过Nginx负载均衡调用这两台minio服务,减轻单点...

HTTPS配置实战(https配置文件)

原因现在网站使用HTTPS是规范操作之一,前些日子买了腾讯云服务,同时申请了域名http://www.asap2me.top/,目前该域名只支持HTTP,想升级为HTTPS。关于HTTPS的链接过程大...

只有IP地址没有域名实现HTTPS访问方法

一般来说,要实现HTTPS,得有个注册好的域名才行。但有时候呢,咱只有服务器的IP地址,没注册域名,这种特殊情况下,也能照样实现HTTPS安全访问,按下面这些步骤来就行:第一步,先确认公网...

超详解:HTTPS及配置Django+HTTPS开发环境

众所周知HTTP协议是以TCP协议为基石诞生的一个用于传输Web内容的一个网络协议,在“网络分层模型”中属于“应用层协议”的一种。在这里我们并不研究该协议标准本身,而是从安全角度去探究使用该协议传输数...

Godaddy购买SSL之后Nginx配置流程以及各种错误的解决

完整流程:参考地址:https://sg.godaddy.com/zh/help/nginx-generate-csrs-certificate-signing-requests-3601生成NGI...

Nginx从安装到高可用,一篇搞定(nginx安装与配置详解)

一、Nginx安装1、去官网http://nginx.org/下载对应的nginx包,推荐使用稳定版本2、上传nginx到linux系统3、安装依赖环境(1)安装gcc环境yuminstallgc...

阿里云免费证书申请,配置安装,使用tomcat,支持http/https访问

参数说明商品类型默认已选择云盾证书服务(无需修改)。云盾证书服务类型SSL证书服务的类型。默认已选择云盾SSL证书(无需修改),表示付费版SSL证书。如果您需要免费领取或付费扩容DV单域名证书【免费试...

你试过两步实现Nginx的规范配置吗?极速生成Nginx配置小工具

NGINX是一款轻量级的Web服务器,最强大的功能之一是能够有效地提供HTML和媒体文件等静态内容。NGINX使用异步事件驱动模型,在负载下提供可预测的性能。是当下最受欢迎的高性能的Web...

从零开始搭建HTTPS服务(搭建https网站)

搭建HTTPS服务的最初目的是为了开发微信小程序,因为wx.request只允许发起HTTPS请求,并且还必须和指定的域名进行网络通信。要从零开始搭建一个HTTPS的服务需要下面4...

群晖NAS使用官网域名和自己的域名配置SSL实现HTTPS访问

安全第一步,群晖NAS使用官网域名和自己的域名配置SSL实现HTTPS访问【新手导向】NAS本质还是一个可以随时随地访问的个人数据存储中心,我们在外网访问的时候,特别是在公网IP下,其实会面临着很多安...

让网站快速升级HTTPS协议提高安全性

为什么用HTTPS网络安全越来越受到重视,很多互联网服务网站,都已经升级改造为https协议。https协议下数据包是ssl/tcl加密的,而http包是明文传输。如果请求一旦被拦截,数据就会泄露产生...

用Https方式访问Harbor-1.9版本(https访问流程)

我上周在头条号写过一篇原创文章《Docker-Harbor&Docker-kitematic史上最详细双系统配置手册》,这篇算是它的姊妹篇吧。这篇文章也将用到我在头条写的另一篇原创文章的...

如何启用 HTTPS 并配置免费的 SSL 证书

在Linux服务器上启用HTTPS并配置免费的SSL证书(以Let'sEncrypt为例)可以通过以下步骤完成:---###**一、准备工作**1.**确保域名已解析**...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表