❶ iptables允許指定IP訪問內網,其它全部拒絕,允許內網訪問全部外網,請大蝦幫忙寫出完整命令行,謝謝
# 內網網口
lan_if=eth0
# 外網網口
wan_if=cloudbr0
wan_vip_ip="192.168.1.102/24 192.168.10.0/24" #外網可以訪問內網的IP或IP網段,如果沒有,可以為""。
# 特定外網IP可以訪問內網,其餘外網IP不能訪問內網
for vip_ip in $wan_vip_ip; do
iptables -A FORWARD -i $wan_if -o $lan_if -s $vip_ip -j ACCEPT iptables -A FORWARD -i $wan_if -o $lan_if -s $vip_ip -j ACCEPT
iptables -A FORWARD -i $wan_if -o $lan_if -s $vip_ip -j ACCEPT
done
iptables -A FORWARD -i $wan_if -o $lan_if -j DROP
# 內網可以訪問外網
iptables -A FORWARD -i $lan_if -o $wan_ip -j ACCEPT
❷ 在iptables中,如何指定某個IP地址可以訪問本機IP的所有埠,同樣本機IP的所有埠都訪問某個IP地址
iptabels -A INPUT -p tcp -s 192.168.0.1 --dport 1024/65535-j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024/65535 -d 192.168.0.1 -j ACCEPT
❸ linux防火牆iptable如何設置只允許某個ip訪問80埠,只允許特定ip訪問某埠
1、vi /etc/sysconfig/iptables
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -s 192.168.1.2 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -i eth0 -j DROP
COMMIT
2、/etc/init.d/iptables restart
3、iptables -nvL檢查
4、-s 192.168.1.2即只允許192.168.1.2訪問
❹ iptables開放指定埠
由於業務的需要, MySQL,Redis,mongodb等應用的埠需要我們手動操作開啟
下面以 MySQL 為例,開啟 3306 埠的遠程訪問,其他埠類似。
添加如下一行配置:
注意:如果已經存在該埠的配置,修改 DROP 為 ACCEPT:
如果操作比較頻繁或者命令的方式比較繁瑣,我這里提供一個簡單的設置腳本,可以上傳到伺服器的對應目錄,直接運行輸入埠號即可
假設我們使用xshell通過test賬號進行ssh登錄
注意:如果需要通過公網訪問,請與對應的雲伺服器提供商的控制台設置安全組放行(阿里雲、騰訊雲等)
❺ debian 配置 iptables 只允許一個網段IP訪問!
用iptables好像殺雞用牛刀。用route命令即可。
你可以用以下命令來確定可訪問的網段:
route del default(刪除預設路由)
route add -net X.X.X.X netmask 255.255.255.X gw (gateway) ethX
netmask設置得當可以很精確地控制網段訪問,另外,你可以用:
roue add -host X.X.X.X gw (gateway) ethX
直接添加ip地址的路由。
如果有你不喜歡的ip地址,你可以開啟以下文件啊:
/etc/hosts.deny和/etc/hosts.allow
僅供參考啊
可以發郵件到[email protected]交流哈
❻ 請教iptables對指定埠的IP白名單設置
linux下要使用iptables限制只有指定的ip才能訪問本機則需要先設置一個默認的規則 iptables有默認的規則,它可以適用於所有的訪問 因為只有指定或特定的ip地址才能訪問本機 所以可以將默認的規則設置為所有訪問全部阻止(當然這里需要注意下,如果你要設置的機器是在遠端,比如vps則需要注意在設置默認規則的同時要將與該伺服器鏈接的ip添加進白名單,否則在設置完默認阻止後你也無法訪問這台伺服器,也無法再進行操作了,我們可以使用分號;或者&&來在同一個命令行下來完成默認阻止和將自己的ip添加進白名單,假如你的ip地址為1.2.3.4則可以這樣輸入iptables -P INPUT DROP;iptables -A INPUT -s 1.2.3.4 -p tcp -j ACCEPT,或者也可以指定一個埠) 設置默認規則後則可以添加白名單了 比如允許2.3.4.5訪問則可以 iptables -A INPUT -s 2.3.4.5 -p tcp -j ACCEPT 如果要限定的不是整個伺服器而只是該伺服器中的某個服務 比如web服務(一般埠在80,https在443) 則我們可以使用0.0.0.0/0來阻止所有的ip地址 比如 iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j DROP 以及 iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 443 -j DROP 來阻止所有訪問web伺服器的ip地址 然後再添加指定的ip到白名單 比如添加1.2.3.4,我們可以 iptables -A INPUT -s 1.2.3.4 -p tcp --dport 80 -j ACCEPT 如果我們允許某個網段下的所有ip都可以訪問的話比如1.2.3.[0-255],我們可以 iptables -A INPUT -s 1.2.3.0/24 -p tcp --dport -j ACCEPT 總之不管是阻止所有的服務還是只阻止指定的服務 我們可以先將默認的規則設置為所有ip都不可訪問 然後再手動添加ip地址到白名單
❼ iptables怎麼只允許本機訪問指定埠而不允許外網訪問
1、首先打開電腦的開始菜單
2、找到程序並點擊
3、打開管理工具
4、找到本地安全策略
5、使用本地安全策略進行IPsec的設置
6、右擊"IP安全策略,在本地機器",選擇"創建IP安全策略"
7、當出現向導時單擊"下一步"繼續。
8、為新的IP安全策略命名並填寫策略描述,單擊"下一步"繼續。
9、通過選擇"激活默認響應規則"復選框接受默認值,單擊"下一步"繼續。
10、接受默認的選項"Windows 2000 默認值Kerberos V5"作為默認響應規則身份驗證方法,單擊"下一步"繼續。
11、保留"編輯屬性"的選擇,單擊"完成"按鈕完成IPSec的初步配置。