Linux下如何用iptables限制某段IP访问服务器

Posted 2023-04-26

救命啊~~尽量详细点啊 不然我还是不懂的

比如禁止192.168.0.x网段访问服务器iptables -A input -p tcp -s 192.168.0.0/24 -j DROP如果是允许访问iptables -A input -p tcp -s 192.168.0.0/24 -j ACCEPT如果是禁止访问服务器某一端口号iptables -A input -p tcp -s 192.168.0.0/24 --dport (端口号) -DROP 差不多就是这样了，如果还要学习的话就要看书了。发给你个Iptables命令基础参考资料http://wenku.baidu.com/view/4c5eb5d528ea81c758f578df.html 参考技术A

比如：要禁止22.22.0.0/24这个段的ip


iptables -A INPUT -p tcp -s 22.22.0.0/24 -j DROP


service iptables restart




iptables -A INPUT -p tcp -s 22.22.0.0/24 -j DROP这句话理解下

-A                                      add的意思：附件到

INPUT                                进入的流量这个链

-p  tcp                                对应的协议tcp

-s  22.22.0.0/24                  source ip原地址为22.22.0.0/24这个段

-j DROP                             jump drop 跳转到忽略操作

Linux服务器允许和限制访问

 

 

　　　通过/etc/hosts.allow和/etc/hosts.deny两个配置文件远程限制某个IP和某段IP地址允许或拒绝访问Linux服务器

SSH、FTP、telnet等服务，其中/etc/hosts.allow表示允许访问的IP，/etc/hosts/deny表示拒绝访问的IP。

 

　　　hosts.allow和hosts.deny属于tcp_Wrappers防火墙的配置文件，而用tcp_Wrappers防火墙控制某一服务访问策

略的前提是，该服务支持tcp_Wrappers防火墙，即该服务应用了libwrapped库文件。

 

可以通过以下命令查看SSH是否应用了libwrapped库文件：

#如果有显示下面libwrap.so.0就表示SSH应用了libwrapped库文件,如果没有显示就表示SSH没用应用了

libwrapped库文件，可以重装SSH可以解决。

[root@VMredhat6 etc]# ldd /usr/sbin/sshd | grep libwrap   

libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f9e49a2b000)

 

 

 

[root@VMredhat6 ~]# vim /etc/hosts.allow

 

 

 

 

 

[root@VMredhat6 ~]# vim /etc/hosts.deny

 

 

 

 

 

标注：

1.一个IP请求连入，linux服务器首先检查策略/etc/hosts.allow中是否允许，如果允许直接放行；如果没有，则再看/etc/hosts.deny中是否禁止，如果禁止那么就禁止连入。一般hosts.allow设置IP允许，hosts.deny则需要设置其它IP禁止登s录。

 

2.实操CentOS发现修改/etc/hosts.allow和/etc/hosts.deny配置不用重启就立即生效，但不管重启不重启当前已有会话都不会受影响；也就是说对之前已经连入的，即便IP已配置为禁止登录会话仍不会强制断开。但不确定其它版本Linux会不会这样子。

 

3.网上发现有些教程写成不是sshd而是in.sshd不是in.telnetd而是telnetd的，个人觉得应该是独立启的不用加in.托管于xinetd的需要加in.