如何使用 IPTables 限制Ip访问

Posted 2023-04-26

这可以使用以下命令进行：service iptables start警告 你应该使用以下命令关闭 IP6Tables 服务才能使用 IPTables 服务：service ip6tables stopchkconfig ip6tables off要使IPTables 在系统引导时默认启动，你必须使用 chkconfig 来改变服务的运行级别状态。chkconfig --level 345 iptables onIPTables 的语法被分成几个层次。主要层次为“链”（chain）。“链”指定处理分组的状态。其用法为：iptables -A chain -j target-A 在现存的规则集合内后补一条规则。chain 是规则所在“链”的名称。IPTables 中有三个内建的链（即影响每一个在网络中经过的分组的链）：INPUT、OUTPUT、和 FORWARD。这些链是永久性的，不能被删除。重要 在创建 IPTables 规则集合时，记住规则的顺序是至关重要的。例如：如果某个链指定了来自本地子网 192.168.100.0/24 的任何分组都应放弃，然后一个允许来自 192.168.100.13（在前面要放弃分组的子网范围内）的分组的链被补在这个规则后面（-A），那么这个后补的规则就会被忽略。你必须首先设置允许 192.168.100.13 的规则，然后再设置放弃规则。要在现存规则链的任意处插入一条规则，使用 -I，随后是你想插入规则的链的名称，然后是你想放置规则的位置号码（1,2,3,...,n）。例如：iptables -I INPUT 1 -i lo -p all -j ACCEPT这条规则被插入为 INPUT 链的第一条规则，它允许本地环回设备上的交通。 7.2.1. 基本防火墙策略在一开始就建立的某些基本策略为建构更详细的用户定义的规则奠定了基础。IPTables 使用策略（policy, -P）来创建默认规则。对安全敏感的管理员通常想采取放弃所有分组、只逐一允许指定分组的策略。以下规则阻塞网络上所有的出入分组。 iptables -P INPUT DROPiptables -P OUTPUT DROP此外，还推荐你拒绝所有转发分组（forwarded packets）— 要从防火墙被选路发送到它的目标节点的网络交通 — 以便限制内部客户对互联网的无心暴露。要达到这个目的，使用以下规则：iptables -P FORWARD DROP注记 在处理添加的规则时，REJECT（拒绝）目标和 DROP（放弃）目标这两种行动有所不同。REJECT 会拒绝目标分组的进入，并给企图连接服务的用户返回一个 connection refused 的错误消息。DROP 会放弃分组，而对 telnet 用户不发出任何警告；不过，为了避免导致用户由于迷惑不解而不停试图连接的情况的发生，推荐你使用 REJECT 目标。 设置了策略链后，为你的特定网络和安全需要创建新规则。以下各节概述了一些你在建构 IPTables 防火墙时可能要实现的规则。 7.2.2. 保存和恢复 IPTables 规则防火墙规则只在计算机处于开启状态时才有效。如果系统被重新引导，这些规则就会自动被清除并重设。 参考技术A 可以先去下载tuziip软件使用就能换个IP地址访问的
手机电脑都支持连接使用的哦

iptables限制访问

iptables限制访问

常用命令

# 查看规则
iptables -L INPUT --line-numbers

# 开放指定的端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# 禁止指定端口
iptables -A INPUT -p tcp --dport 80 -j DROP

# 拒绝所有端口
iptables -A INPUT -j DROP

---

限制ip

# 限制单个ip的所有端口访问
iptables -I INPUT -s 211.1.0.1 -j DROP

# 封IP段所有端口访问
iptables -I INPUT -s 211.1.0.0/16 -j DROP
iptables -I INPUT -s 211.2.0.0/16 -j DROP
iptables -I INPUT -s 211.3.0.0/16 -j DROP

# 封整个段所有端口访问
iptables -I INPUT -s 211.0.0.0/8 -j DROP

---

限制端口

# 限制9889端口 tcp访问
iptables -I INPUT -p tcp --dport 9889 -j DROP

# 允许211.1.0.1 tcp访问9889端口
iptables -I INPUT -s 211.1.0.1 -p tcp --dport 9889 -j ACCEPT

# 限制211.1.0.1 tcp访问9889端口
iptables -I INPUT -s 211.1.0.1 -p tcp --dport 9889 -j DROP

---

限制并发访问

# 限制211.1.0.1访问80端口的并发数不超过10
iptables -I INPUT -p tcp --dport 80 -s 211.1.0.1 -m connlimit --connlimit-above 10 -j REJECT

---

解除封印

# 解除所有
iptables -L INPUT

# 解除单个(iptables -L --line-numbers 查看id)
iptables -D INPUT $ID