CentOS 8.0 开启iptable防火墙,禁止指定IP访问
nanshan 2024-10-27 11:21 14 浏览 0 评论
1. 介绍
当明白如何查询Linux系统下的各种日志文档时,通过命令:
lastb | awk '{ print $3}' | sort | uniq -c | sort -n筛选到,有大量的国外ip地址,频繁尝试登录服务器。
一开始,我只是将相关IP地址通过阿里云的安全组进行添加,但是操作过程太繁琐了。
而阿里云的云防火墙又比较贵。
所以,我直接通过iptables防火墙进行限制相关ip的访问吧。
2. iptables防火墙
首先,安装iptables防火墙:示例如下:yum install iptables -y
[root@iZuf63tu3fn1swasqa62h8Z ~]# yum install iptables -y
Last metadata expiration check: 0:04:11 ago on Sun 11 Dec 2022 04:52:13 PM CST.
Package iptables-1.8.4-10.el8.x86_64 is already installed.
Dependencies resolved.
============================================================================
....
.....
Complete!
在安装服务: yum install iptables-services -y
[root@iZuf63tu3fn1swasqa62h8Z ~]# yum install iptables-services -y
CentOS-8 - Base 117 kB/s | 3.9 kB 00:00
Dependencies resolved.
==================================================================================================
Package Architecture Version Repository Size
==================================================================================================
....
Complete!
出现了Complete就代表安装成功了。
3. 配置iptables
首先,我们先配置防火墙,让它开放所有的请求:
[root@iZuf63tu3fn1swasqa62h8Z ~]# iptables -P INPUT ACCEPT然后,执行清空iptables的默认规则:
[root@iZuf63tu3fn1swasqa62h8Z ~]# iptables -F
清除所有自定义的规则:(PS:新安装并且没有配置过。可以不用清理,但是如果你不确定。可以尝试清理一下。)
[root@iZuf63tu3fn1swasqa62h8Z ~]# iptables -X防火墙计数器清理:
[root@iZuf63tu3fn1swasqa62h8Z ~]# iptables -Z当我们清理完毕后,通过 iptables -L -n 输出如下所示:
[root@iZuf63tu3fn1swasqa62h8Z ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination 代表我们的防火墙,没有任何的限制,进出访问无限制。
3.1 配置本机127.0.0.1访问本地
我们首先需要放行本地的服务器允许访问。例如我们通过Nginx代理访问本地的其他对的Web服务器。
那都是外网通过访问nginx,然后nginx再访问我们服务器本地的各种服务:iptables -A INPUT -i lo -j ACCEPT
示例效果如下:
[root@iZuf63tu3fn1swasqa62h8Z ~]# iptables -A INPUT -i lo -j ACCEPT
[root@iZuf63tu3fn1swasqa62h8Z ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination 我们配置完毕后,就会在INPUT下看到一条规则。也就是我们刚才配置的允许访问本地127.0.0.1地址的服务。
3.2 配置允许访问的端口
例如默认SSH端口为22,我们可以通过命名:
[root@iZuf63tu3fn1swasqa62h8Z ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
开放22端口。 我们通过-L -n 就可看到新增加的规则了:
[root@iZuf63tu3fn1swasqa62h8Z ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination 如果,你想删除该端口配置。那么可以通过:iptables -D INPUT 2 进行删除。
ps:每一条规则是按照顺序从1开始进行排序的。我们如果想删除哪条。就选择删除哪个就可以了。
如果想删除OUTPUT或FORWARD,可以设置为:
iptables -D OUTPUT 1 或 iptables -D FORWARD1
我们如果SSH端口 不是22,可以改为指定的端口。
还可以配置允许 443端口(https请求),80端口(http请求)
[root@iZuf63tu3fn1swasqa62h8Z ~]#iptables -A INPUT -p tcp --dport 80 -j ACCEPT
[root@iZuf63tu3fn1swasqa62h8Z ~]#iptables -A INPUT -p tcp --dport 443 -j ACCEPT 3.3 允许已建立的或相关连的通行
[root@iZuf63tu3fn1swasqa62h8Z ~]#iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT上面这个也是必须的,它是允许所有对外请求的返回包。例如在服务器上执行下载或者安装命令,那么服务器就需要访问外网数据,那得到的返回数据包对于我们本地服务器来说,就是一个INPUT事件了。
添加成功后在规则中的展示效果如下:
[root@iZuf63tu3fn1swasqa62h8Z ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED3.4 过滤其他规则
当我们配置完毕允许开放的规则之后,添加过滤规则。有两种添加方式:
- 过滤所有非以上规则的请求: iptables -P INPUT DROP。
- 其他访问规则禁止访问:iptables -A INPUT -j REJECT。
上面两个命令,执行其中一个都可以了。 执行第一个命名后的效果:
[root@iZuf63tu3fn1swasqa62h8Z ~]# iptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80我们会看到Chain INPUT (policy ACCEPT) 变成了Chain INPUT (policy DROP)
而如果执行的第二条命名就会:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable到这里,我们的端口开放就配置完毕了。也就是说只有这三个端口才能访问服务器,如果是其他端口。就会直接被拒绝。
PS:我们可以通过开放和关闭80端口,来验证一下防火墙是否正常拦截。
注意:你如果是使用的阿里云服务器,在阿里云后台中的安全组中也要开放相关的端口。否则仍然无法访问。
3.5. 屏蔽IP
我们上面指定了固定开放的端口。其他端口全部禁止访问。如果有攻击的ip地址,例如通过lastb 命令查询到的大量工具访问的ip。我们如何添加到防火墙配置中呢?很简单,直接指定IP禁止访问即可:
[root@iZuf63tu3fn1swasqa62h8Z ~]# iptables -I INPUT -s 85.31.46.0/24 -j DROP
[root@iZuf63tu3fn1swasqa62h8Z ~]# iptables -I INPUT -s 170.64.130.0/24 -j DROP0/24 代表屏蔽了:170.64.130.0~170.64.130.255 之间的全部ip。
5. 保存iptables 配置
当我们配置完毕后,需要执行保存操作。否则重启系统后。规则会丢失。因为当前操作只是存储在了内存中。
关键命令为: service iptables save。具体示例如下所示:
[root@iZuf63tu3fn1swasqa62h8Z ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]
就代表保存成功了。我们还可以将iptables添加到自启动chkconfig中,示例如下:
[root@iZuf63tu3fn1swasqa62h8Z ~]# chkconfig iptables on
Note: Forwarding request to 'systemctl enable iptables.service'.
Created symlink /etc/systemd/system/multi-user.target.wants/iptables.service → /usr/lib/systemd/system/iptables.service.
[root@iZuf63tu3fn1swasqa62h8Z ~]# 通过这个方法,我们可以限制更多的IP地址,突破阿里云安全组可限制的ip范围。
相关推荐
- 0722-6.2.0-如何在RedHat7.2使用rpm安装CDH(无CM)
-
文档编写目的在前面的文档中,介绍了在有CM和无CM两种情况下使用rpm方式安装CDH5.10.0,本文档将介绍如何在无CM的情况下使用rpm方式安装CDH6.2.0,与之前安装C5进行对比。环境介绍:...
- ARM64 平台基于 openEuler + iSula 环境部署 Kubernetes
-
为什么要在arm64平台上部署Kubernetes,而且还是鲲鹏920的架构。说来话长。。。此处省略5000字。介绍下系统信息;o架构:鲲鹏920(Kunpeng920)oOS:ope...
- 生产环境starrocks 3.1存算一体集群部署
-
集群规划FE:节点主要负责元数据管理、客户端连接管理、查询计划和查询调度。>3节点。BE:节点负责数据存储和SQL执行。>3节点。CN:无存储功能能的BE。环境准备CPU检查JDK...
- 在CentOS上添加swap虚拟内存并设置优先级
-
现如今很多云服务器都会自己配置好虚拟内存,当然也有很多没有配置虚拟内存的,虚拟内存可以让我们的低配服务器使用更多的内存,可以减少很多硬件成本,比如我们运行很多服务的时候,内存常常会满,当配置了虚拟内存...
- 国产深度(deepin)操作系统优化指南
-
1.升级内核随着deepin版本的更新,会自动升级系统内核,但是我们依旧可以通过命令行手动升级内核,以获取更好的性能和更多的硬件支持。具体操作:-添加PPAs使用以下命令添加PPAs:```...
- postgresql-15.4 多节点主从(读写分离)
-
1、下载软件[root@TX-CN-PostgreSQL01-252software]#wgethttps://ftp.postgresql.org/pub/source/v15.4/postg...
- Docker 容器 Java 服务内存与 GC 优化实施方案
-
一、设置Docker容器内存限制(生产环境建议)1.查看宿主机可用内存bashfree-h#示例输出(假设宿主机剩余16GB可用内存)#Mem:64G...
- 虚拟内存设置、解决linux内存不够问题
-
虚拟内存设置(解决linux内存不够情况)背景介绍 Memory指机器物理内存,读写速度低于CPU一个量级,但是高于磁盘不止一个量级。所以,程序和数据如果在内存的话,会有非常快的读写速度。但是,内存...
- Elasticsearch性能调优(5):服务器配置选择
-
在选择elasticsearch服务器时,要尽可能地选择与当前业务量相匹配的服务器。如果服务器配置太低,则意味着需要更多的节点来满足需求,一个集群的节点太多时会增加集群管理的成本。如果服务器配置太高,...
- Es如何落地
-
一、配置准备节点类型CPU内存硬盘网络机器数操作系统data节点16C64G2000G本地SSD所有es同一可用区3(ecs)Centos7master节点2C8G200G云SSD所有es同一可用区...
- 针对Linux内存管理知识学习总结
-
现在的服务器大部分都是运行在Linux上面的,所以,作为一个程序员有必要简单地了解一下系统是如何运行的。对于内存部分需要知道:地址映射内存管理的方式缺页异常先来看一些基本的知识,在进程看来,内存分为内...
- MySQL进阶之性能优化
-
概述MySQL的性能优化,包括了服务器硬件优化、操作系统的优化、MySQL数据库配置优化、数据库表设计的优化、SQL语句优化等5个方面的优化。在进行优化之前,需要先掌握性能分析的思路和方法,找出问题,...
- Linux Cgroups(Control Groups)原理
-
LinuxCgroups(ControlGroups)是内核提供的资源分配、限制和监控机制,通过层级化进程分组实现资源的精细化控制。以下从核心原理、操作示例和版本演进三方面详细分析:一、核心原理与...
- linux 常用性能优化参数及理解
-
1.优化内核相关参数配置文件/etc/sysctl.conf配置方法直接将参数添加进文件每条一行.sysctl-a可以查看默认配置sysctl-p执行并检测是否有错误例如设置错了参数:[roo...
- 如何在 Linux 中使用 Sysctl 命令?
-
sysctl是一个用于配置和查询Linux内核参数的命令行工具。它通过与/proc/sys虚拟文件系统交互,允许用户在运行时动态修改内核参数。这些参数控制着系统的各种行为,包括网络设置、文件...
欢迎 你 发表评论:
- 一周热门
- 最近发表
- 标签列表
-
- linux 查询端口号 (58)
- docker映射容器目录到宿主机 (66)
- 杀端口 (60)
- yum更换阿里源 (62)
- internet explorer 增强的安全配置已启用 (65)
- linux自动挂载 (56)
- 禁用selinux (55)
- sysv-rc-conf (69)
- ubuntu防火墙状态查看 (64)
- windows server 2022激活密钥 (56)
- 无法与服务器建立安全连接是什么意思 (74)
- 443/80端口被占用怎么解决 (56)
- ping无法访问目标主机怎么解决 (58)
- fdatasync (59)
- 405 not allowed (56)
- 免备案虚拟主机zxhost (55)
- linux根据pid查看进程 (60)
- dhcp工具 (62)
- mysql 1045 (57)
- 宝塔远程工具 (56)
- ssh服务器拒绝了密码 请再试一次 (56)
- ubuntu卸载docker (56)
- linux查看nginx状态 (63)
- tomcat 乱码 (76)
- 2008r2激活序列号 (65)