❶ iptables允许指定IP访问内网,其它全部拒绝,允许内网访问全部外网,请大虾帮忙写出完整命令行,谢谢
# 内网网口
lan_if=eth0
# 外网网口
wan_if=cloudbr0
wan_vip_ip="192.168.1.102/24 192.168.10.0/24" #外网可以访问内网的IP或IP网段,如果没有,可以为""。
# 特定外网IP可以访问内网,其余外网IP不能访问内网
for vip_ip in $wan_vip_ip; do
iptables -A FORWARD -i $wan_if -o $lan_if -s $vip_ip -j ACCEPT iptables -A FORWARD -i $wan_if -o $lan_if -s $vip_ip -j ACCEPT
iptables -A FORWARD -i $wan_if -o $lan_if -s $vip_ip -j ACCEPT
done
iptables -A FORWARD -i $wan_if -o $lan_if -j DROP
# 内网可以访问外网
iptables -A FORWARD -i $lan_if -o $wan_ip -j ACCEPT
❷ 在iptables中,如何指定某个IP地址可以访问本机IP的所有端口,同样本机IP的所有端口都访问某个IP地址
iptabels -A INPUT -p tcp -s 192.168.0.1 --dport 1024/65535-j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024/65535 -d 192.168.0.1 -j ACCEPT
❸ linux防火墙iptable如何设置只允许某个ip访问80端口,只允许特定ip访问某端口
1、vi /etc/sysconfig/iptables
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -s 192.168.1.2 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -i eth0 -j DROP
COMMIT
2、/etc/init.d/iptables restart
3、iptables -nvL检查
4、-s 192.168.1.2即只允许192.168.1.2访问
❹ iptables开放指定端口
由于业务的需要, MySQL,Redis,mongodb等应用的端口需要我们手动操作开启
下面以 MySQL 为例,开启 3306 端口的远程访问,其他端口类似。
添加如下一行配置:
注意:如果已经存在该端口的配置,修改 DROP 为 ACCEPT:
如果操作比较频繁或者命令的方式比较繁琐,我这里提供一个简单的设置脚本,可以上传到服务器的对应目录,直接运行输入端口号即可
假设我们使用xshell通过test账号进行ssh登录
注意:如果需要通过公网访问,请与对应的云服务器提供商的控制台设置安全组放行(阿里云、腾讯云等)
❺ debian 配置 iptables 只允许一个网段IP访问!
用iptables好像杀鸡用牛刀。用route命令即可。
你可以用以下命令来确定可访问的网段:
route del default(删除缺省路由)
route add -net X.X.X.X netmask 255.255.255.X gw (gateway) ethX
netmask设置得当可以很精确地控制网段访问,另外,你可以用:
roue add -host X.X.X.X gw (gateway) ethX
直接添加ip地址的路由。
如果有你不喜欢的ip地址,你可以开启以下文件啊:
/etc/hosts.deny和/etc/hosts.allow
仅供参考啊
可以发邮件到[email protected]交流哈
❻ 请教iptables对指定端口的IP白名单设置
linux下要使用iptables限制只有指定的ip才能访问本机则需要先设置一个默认的规则 iptables有默认的规则,它可以适用于所有的访问 因为只有指定或特定的ip地址才能访问本机 所以可以将默认的规则设置为所有访问全部阻止(当然这里需要注意下,如果你要设置的机器是在远端,比如vps则需要注意在设置默认规则的同时要将与该服务器链接的ip添加进白名单,否则在设置完默认阻止后你也无法访问这台服务器,也无法再进行操作了,我们可以使用分号;或者&&来在同一个命令行下来完成默认阻止和将自己的ip添加进白名单,假如你的ip地址为1.2.3.4则可以这样输入iptables -P INPUT DROP;iptables -A INPUT -s 1.2.3.4 -p tcp -j ACCEPT,或者也可以指定一个端口) 设置默认规则后则可以添加白名单了 比如允许2.3.4.5访问则可以 iptables -A INPUT -s 2.3.4.5 -p tcp -j ACCEPT 如果要限定的不是整个服务器而只是该服务器中的某个服务 比如web服务(一般端口在80,https在443) 则我们可以使用0.0.0.0/0来阻止所有的ip地址 比如 iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j DROP 以及 iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 443 -j DROP 来阻止所有访问web服务器的ip地址 然后再添加指定的ip到白名单 比如添加1.2.3.4,我们可以 iptables -A INPUT -s 1.2.3.4 -p tcp --dport 80 -j ACCEPT 如果我们允许某个网段下的所有ip都可以访问的话比如1.2.3.[0-255],我们可以 iptables -A INPUT -s 1.2.3.0/24 -p tcp --dport -j ACCEPT 总之不管是阻止所有的服务还是只阻止指定的服务 我们可以先将默认的规则设置为所有ip都不可访问 然后再手动添加ip地址到白名单
❼ iptables怎么只允许本机访问指定端口而不允许外网访问
1、首先打开电脑的开始菜单
2、找到程序并点击
3、打开管理工具
4、找到本地安全策略
5、使用本地安全策略进行IPsec的设置
6、右击"IP安全策略,在本地机器",选择"创建IP安全策略"
7、当出现向导时单击"下一步"继续。
8、为新的IP安全策略命名并填写策略描述,单击"下一步"继续。
9、通过选择"激活默认响应规则"复选框接受默认值,单击"下一步"继续。
10、接受默认的选项"Windows 2000 默认值Kerberos V5"作为默认响应规则身份验证方法,单击"下一步"继续。
11、保留"编辑属性"的选择,单击"完成"按钮完成IPSec的初步配置。