passwall设置白名单

Posted 2023-03-22

在linux系统中安装yum install iptables-services
然后 vi /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Sun Aug 28 12:14:02 2016
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#这里开始增加白名单服务器ip(请删除当前服务器的ip地址)
-N whitelist
-A whitelist -s 8.8.8.8 -j ACCEPT
-A whitelist -s x.x.x.x -j ACCEPT
#这些 ACCEPT 端口号，公网内网都可访问
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #允许接受本机请求之后的返回数据 RELATED,是为FTP设置的
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 13020 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 1000:8000 -j ACCEPT #开放1000到8000之间的所有端口
#下面是 whitelist 端口号，仅限 服务器之间 通过内网 访问
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j whitelist
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j whitelist
-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j whitelist
-A INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j whitelist
#为白名单ip开放的端口，结束
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT
登录后复制

解释：
添加防火墙过滤规则步骤如下;
1、查看现有防火墙过滤规则：
iptables -nvL --line-number
登录后复制
2、添加防火墙过滤规则（设置白名单）：
1）添加白名单
登录后复制
iptables -I INPUT 3 -s 136.6.231.163 -p tcp --dport 1521 -j ACCEPT
登录后复制
命令详解：
-I：添加规则的参数
INPUT：表示外部主机访问内部资源
登录后复制
规则链：
*
1）INPUT——进来的数据包应用此规则链中的策略
2）OUTPUT——外出的数据包应用此规则链中的策略
3）FORWARD——转发数据包时应用此规则链中的策略
4）PREROUTING——对数据包作路由选择前应用此链中的规则　（记住！所有的数据包进来的时侯都先由这个链处理）
5）POSTROUTING——对数据包作路由选择后应用此链中的规则（所有的数据包出来的时侯都先由这个链处理）
3：表示添加到第三行（可以任意修改）
-s：指定作为源地址匹配，这里不能指定主机名称，必须是IP；
-p: 用于匹配协议的（这里的协议通常有3种，TCP/UDP/ICMP）
--dport: 用于匹配端口号
-j: 用于匹配处理方式：
常用的ACTION：
登录后复制
DROP：悄悄丢弃，一般我们多用DROP来隐藏我们的身份，以及隐藏我们的链表
REJECT：明示拒绝
ACCEPT：接受
2）查看添加结果
iptables -nvL --line-number
登录后复制
然后重启防火墙即可生效
重启防火墙的命令：service iptables restart
此时，防火墙规则只是保存在内存中，重启后就会失效。
使用以下命令将防火墙配置保存起来；
保存到配置中：service iptables save （该命令会将防火墙规则保存在/etc/sysconfig/iptables文件中。） 参考技术A 运维
Linux防火墙白名单设置

文火炖浓汤
转载
关注
0点赞·7689人阅读
在linux系统中安装yum install iptables-services
然后 vi /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Sun Aug 28 12:14:02 2016
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#这里开始增加白名单服务器ip(请删除当前服务器的ip地址)
-N whitelist
-A whitelist -s 8.8.8.8 -j ACCEPT
-A whitelist -s x.x.x.x -j ACCEPT
#这些 ACCEPT 端口号，公网内网都可访问
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #允许接受本机请求之后的返回数据 RELATED,是为FTP设置的
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 13020 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 1000:8000 -j ACCEPT #开放1000到8000之间的所有端口
#下面是 whitelist 端口号，仅限 服务器之间 通过内网 访问
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j whitelist
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j whitelist
-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j whitelist
-A INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j whitelist
#为白名单ip开放的端口，结束
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT
登录后复制

解释：

添加防火墙过滤规则步骤如下;

1、查看现有防火墙过滤规则：

iptables -nvL --line-number
登录后复制
2、添加防火墙过滤规则（设置白名单）：

1）添加白名单
登录后复制
iptables -I INPUT 3 -s 136.6.231.163 -p tcp --dport 1521 -j ACCEPT
登录后复制
命令详解：

-I：添加规则的参数

INPUT：表示外部主机访问内部资源
登录后复制
规则链：
*
　　　　 1）INPUT——进来的数据包应用此规则链中的策略
　　　　 2）OUTPUT——外出的数据包应用此规则链中的策略
　　　　 3）FORWARD——转发数据包时应用此规则链中的策略
　　　　 4）PREROUTING——对数据包作路由选择前应用此链中的规则　（记住！所有的数据包进来的时侯都先由这个链处理）
　　　　 5）POSTROUTING——对数据包作路由选择后应用此链中的规则（所有的数据包出来的时侯都先由这个链处理）
　　　　
3：表示添加到第三行（可以任意修改）

-s：指定作为源地址匹配，这里不能指定主机名称，必须是IP；

-p: 用于匹配协议的（这里的协议通常有3种，TCP/UDP/ICMP）

--dport: 用于匹配端口号

-j: 用于匹配处理方式：

常用的ACTION：
登录后复制
DROP：悄悄丢弃，一般我们多用DROP来隐藏我们的身份，以及隐藏我们的链表
　　　　REJECT：明示拒绝
　　　　ACCEPT：接受
2）查看添加结果

iptables -nvL --line-number
登录后复制
然后重启防火墙即可生效
重启防火墙的命令：service iptables restart

此时，防火墙规则只是保存在内存中，重启后就会失效。

使用以下命令将防火墙配置保存起来；

保存到配置中：service iptables save （该命令会将防火墙规则保存在/etc/sysconfig/iptables文件中。） 参考技术B 在linux系统中安装yum install iptables-services
然后 vi /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Sun Aug 28 12:14:02 2016
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0] 参考技术C Passwall简介
PassWall 是Lineol 基于ShadowsocksR-Plus 修改的OpenWrt 科学上网插件。

具有分流、故障转移、自动恢复的功能，搭配自带的HaProxy负载均衡极大的保证了科学上网的稳定性与安全性

linux dhcp 如何设置白名单？

dhcp服务器搞白名单？绑定MAC不就可以了嘛。1.给mac地址绑定ip地址并配置其通过相应的防火墙的过滤
首先修改dhcp的相应的配置文件vi /etc/dhcpd.conf在里面加入相应的记录 service dhcpd restart重启服务第二步，iptables -A FORWARD -s 192.168.1.228 -m mac --mac-source 00:25:11:22:12:E2 -j ACCEPT（也可以通过修改配置件/etc/sysconfig/iptables.save来实现防火墙的配置）；
第三步，/etc/init.d/iptables save保存对防火墙的修改。
2.将内部服务器通过防火墙映射到外网，实现外网可以访问内网的功能。
第一，iptables -t nat -A PREROUTING -d 124.193.140.66 -p tcp --dport 7080 -j DNAT --to 192.168.0.170:9080（让内网服务器的相应的端口通过nat映射到外网地址的相应的端口）。
删除 iptables -t nat -D PREROUTING
第二，iptables -A FORWARD -d 192.168.0.170 -p tcp --dport 9080 -j ACCEPT（允许内网服务器的相应的端口同过防火墙）
第三，/etc/init.d/iptables save（保存对防火墙的修改） 参考技术A 设置里有