配置限制访问ip的iptables实例
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了配置限制访问ip的iptables实例相关的知识,希望对你有一定的参考价值。
公司有一个平台要提升安全力度,几位老大开会研究了半天得出的结论是“放弃了阿里云的slb而改用了自建的nginx来代替slb”,这个时候就需要运维人员在这台nginx上做iptables,现在公司的出口ip有60.191.94.118-120和60.12.11.48四个地址,而且需要开放的端口是80和443,于是乎在nginx的交互窗口里,我们就需要输入如下的语句:
iptables -A INPUT -s 60.191.94.118/32 -p tcp -m tcp --dport 80 -j ACCEPT iptables -A INPUT -s 60.191.94.119/32 -p tcp -m tcp --dport 80 -j ACCEPT iptables -A INPUT -s 60.191.94.120/32 -p tcp -m tcp --dport 80 -j ACCEPT iptables -A INPUT -s 60.12.11.48/32 -p tcp -m tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 80 -j DROP iptables -A INPUT -s 60.191.94.118/32 -p tcp -m tcp --dport 443 -j ACCEPT iptables -A INPUT -s 60.191.94.119/32 -p tcp -m tcp --dport 443 -j ACCEPT iptables -A INPUT -s 60.191.94.120/32 -p tcp -m tcp --dport 443 -j ACCEPT iptables -A INPUT -s 60.12.11.48/32 -p tcp -m tcp --dport 443 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 443 -j DROP
输入完毕之后,使用#service iptables save和#service iptables restart来保存iptables规则。然后在阿里云的域名绑定的地方把这台nginx的外网地址绑定到对应的域名里,在浏览器测试一下使用域名是否可以正确访问到服务。如果成功即代表正向流通。
然后测试一下反向,假设我现在使用的公司出口是60.191.94.120,#iptables -L看到的结果是这样的:
看到120这个ip在第三行,那么我们就禁止这个ip,使用#iptables -D INPUT 3,在另一个浏览器输入刚才的域名,这时候应该无法访问,这样就达到了反向验证的目的。而#service iptables restart的话,就会恢复正确访问。
参考资料:http://www.zsythink.net/archives/1199
本文出自 “生活就是等待戈多” 博客,请务必保留此出处http://chenx1242.blog.51cto.com/10430133/1912464
以上是关于配置限制访问ip的iptables实例的主要内容,如果未能解决你的问题,请参考以下文章
Linux防火墙iptables限制几个特定ip才能访问服务器?
Linux防火墙iptables限制几个特定ip才能访问服务器。