linux ip限制的两种设置方式
经常网络被攻击,最有效的方式就是在linux操作系统上直接限制ip访问,主要有两种方式设置
1.使用hosts.allow和hosts.deny来设置ip白名单和黑名单,/etc/目录下
优先级为先检查hosts.deny,再检查hosts.allow,
后者设定可越过前者限制,
例如:
a.限制所有的ssh,除非从218.64.87.0 - 127上来。
hosts.deny:
in.sshd:ALL
hosts.allow:
in.sshd:218.64.87.0/255.255.255.128
b.封掉218.64.87.0 - 127的telnet
hosts.deny
in.sshd:218.64.87.0/255.255.255.128
c.限制所有人的TCP连接,除非从218.64.87.0 - 127访问
hosts.deny
ALL:ALL
hosts.allow
ALL:218.64.87.0/255.255.255.128
d.限制218.64.87.0 - 127对所有服务的访问
hosts.deny
ALL:218.64.87.0/255.255.255.128
其中冒号前面是TCP daemon的服务进程名称,通常系统
进程在/etc/inetd.conf中指定,比如in.ftpd,in.telnetd,in.sshd
其中IP地址范围的写法有若干中,主要的三种是:
1.网络地址–子网掩码方式:
218.64.87.0/255.255.255.0
2.网络地址方式(我自己这样叫,呵呵)
218.64.(即以218.64打头的IP地址)
3.缩略子网掩码方式,既数一数二进制子网掩码前面有多少个“1”比如:
218.64.87.0/255.255.255.0 – 218.64.87.0/24
设置好后,要重新启动
#/etc/rc.d/init.d/xinetd restart
#/etc/rc.d/init.d/network restart
2.使用iptables命令
单个IP的命令是
iptables -I INPUT -s 80.241.219.171 -j DROP
封IP段的命令是
iptables -I INPUT -s 96.47.225.0/16 -j DROP
iptables -I INPUT -s 96.47.225.0/16 -j DROP
iptables -I INPUT -s 96.47.225.0/16 -j DROP
封整个段的命令是
iptables -I INPUT -s 96.47.225.0/8 -j DROP
封几个段的命令是
iptables -I INPUT -s 96.47.225.0/24 -j DROP
iptables -I INPUT -s 96.47.225.0/24 -j DROP
服务器启动自运行
有三个方法:
1、把它加到/etc/rc.local中
2、vi /etc/sysconfig/iptables可以把你当前的iptables规则放到/etc/sysconfig/iptables中,系统启动iptables时自动执行。
3、service iptables save 也可以把你当前的iptables规则放/etc/sysconfig/iptables中,系统启动iptables时自动执行。
后两种更好此,一般iptables服务会在network服务之前启来,更安全
解封:
iptables -L INPUT
iptables -L --line-numbers 然后iptables -D INPUT 序号
iptables 限制ip访问
通过iptables限制9889端口的访问(只允许192.168.1.101、192.168.1.102、192.168.1.103),其他ip都禁止访问
iptables -I INPUT -p tcp --dport 9889 -j DROP
iptables -I INPUT -s 192.168.1.101 -p tcp --dport 9889 -j ACCEPT
iptables -I INPUT -s 192.168.1.102 -p tcp --dport 9889 -j ACCEPT
iptables -I INPUT -s 192.168.1.103 -p tcp --dport 9889 -j ACCEPT
linux ip限制的两种设置方式相关推荐
- php安卓苹果打开自动分开,苹果、安卓手机投屏不掉线的两种设置方式
苹果.安卓手机投屏不掉线的两种设置方式 有用户反馈:"通过你们[AWIND奇机]的无线投屏器,手机投屏的时候,过几分钟就掉线." 经过微信视频,我们发现是该用户的手机在5分钟之后就 ...
- Vite内网ip访问,两种配置方式
问题 使用vite运行项目的时候,控制台会只出现127.0.0.1(localhost)本地地址访问项目.不可以通过公司内网ip访问,其他团队成员无法访问,这是因为没有将服务暴露在局域网中: 两种解决 ...
- padding有两种设置方式:
1.单独设置各边框边距: padding-top 上内边距的宽度 padding-left 左内边距的宽度 padding-right ...
- python【Matlibplot绘图库】曲线样式的两种设置方式(看不懂你来打我)
文章目录 (1)对坐标系使用一系列的setter方法 (2)对线使用一系列的setter方法 (1)对坐标系使用一系列的setter方法 x = np.linspace(0,100,30) # 0-1 ...
- link linux 跨设备,Linux中的两种link方式
Linux系统中包括两种链接方式:硬链接(hard link)和符号链接(symbolic link),其中符合链接就是所谓的软链接(soft link),那么两者之间到底有什么区别呢? inode ...
- Linux下IP地址两种修改方式的总结(IP地址、子网掩码、网关、DNS简介)
目录 一.IP地址.子网掩码.网关.DNS简介 1.IP地址 2.子网掩码 3.网关 4.DNS 二.Linux下IP地址修改两种方式介绍(Centos7.6) 1.查看IP地址 2.修改配置文件修改 ...
- Vivado IP的两种综合方式:Global 和 Out-Of-Context
在最新的Vivado的版本中,定制IP的时候,会有一个综合方式的选择,如下图所示.可以看到一种叫做"Global",一种叫"Out-Of-Context (OOC)&qu ...
- Vivado使用心得(一)Vivado IP的两种综合方式:Global 和 Out-Of-Context
在最新的Vivado的版本中,定制IP的时候,会有一个综合方式的选择,如下图所示.可以看到一种叫做"Global",一种叫"Out-Of-Context (OOC)&q ...
- Linux 修改密码的两种方式
Linux 修改密码的两种方式 1.直接进行修改 2.使用 echo 进行修改 1.直接进行修改 密码需要输入两次进行确认. 对用户"zhangyan"进行密码修改,改为" ...
最新文章
- oracle中生成大批量数据的方法-下
- 火狐已阻止载入混合活动内容“http://www.XXX/index.php?app=serviceac=authts=isauthurl=...
- django中的缓存以及跨域
- 软件测试面试的基础题目
- g楦和h楦的区别_药品与保健品的区别
- HTML5 DOM File API 转)
- python学习(五) 类
- Fiddler4抓包筛选条件方法
- 《高等数学》练习题库含答案(大学期末复习资料)
- 电驴创始人Jed McCaleb的传奇人生
- java同步mysql数据
- html文件做屏保win10,win10怎么自己添加动态屏保
- 使用jsp实现成语接龙
- Premiere银色金属玻璃质感logo标志片头AE模板mogrt
- Windows10关闭自动更新
- 深度学习这些年那些超重要的idea回顾总结
- 诺顿误杀系统文件 导致百万台电脑处于崩溃边缘
- 算法一(python)
- 51单片机RS485远程双机多机温度采集主从机多节点蜂鸣器报警
- 三重邪骨手机版怎么登录服务器未响应,三重邪骨困难版