1、Redhat操作系统只添加IP白名单，不限制端口

1.1、防火墙关闭状态示例

172.31.3.191主机防火墙为关闭状态

172.31.3.32与172.31.3.88两台主机均能正常telnet 172.31.3.191主机

1.2、防火墙开启状态示例

(1)、vim /etc/sysconfig/iptables 进入防火墙配置文件

(2)、添加需要访问服务器IP(白名单)：-A INPUT -s 172.31.3.132 -j ACCEPT

(3)、启动防火墙并查看其状态

(4)、继续通过172.31.3.32与172.31.3.88两台主机telnet 172.31.3.191主机

172.31.3.32可以正常telnet 172.31.3.191主机

172.31.3.88则无法telnet 172.31.3.191主机

2、Redhat操作系统添加主机网段白名单，不限制端口

(1)、增加某个网段IP至防火墙配置文件：-A INPUT -s 136.160.123.0/24 -j ACCEPT

(2)、重启并查看防火墙状态

(3)、通过172.31.3.0及172.31.196.0网段telnet 172.31.3.191主机

上图所示，无法使用未添加的网段访问172.31.3.191主机。

3、Redhat操作系统先drop端口，再accept开放端口

(1)、在防火墙配置文件中写入以下配置：

-I INPUT -p tcp --dport 10001-j DROP

-I INPUT -s 172.31.3.32 -p tcp --dport 10001 -j ACCEPT

注意：开通172.31.3.88只是为了测试，现网环境只需要添加所需IP及端口即可。

(2)、重启并查看防火墙状态

(3)、通过172.31.3.32与172.31.3.88两台主机telnet 172.31.3.191主机

172.31.3.32可以正常telnet 172.31.3.191主机的10001端口

172.31.3.88则由于10001端口被限制且没有对其指定开放，所以无法访问10001端口。

4、Suse 11 SP2操作系统添加防火墙白名单

(1)、登陆服务器root用户

(2)、先drop端口，再指定IP访问该端口，与章节四一致，直接在命令行输入命令即可，例如：

iptables -A INPUT -s 132.232.34.0/24 -p tcp --dport 8080 -j ACCEPT

iptables -A INPUT -p tcp --dport 8080 -j DROP

iptables -A INPUT -s 192.168.117.0/24 -p tcp --dport 10001-j ACCEPT

iptables -A INPUT -p tcp --dport 10001-j DROP

添加完成后 iptables –L查看是否成功，如下图：

(3)、在命令行输入以上命令即可，无需提前开启防火墙，suse操作系统会默认开启，查看防火墙状态命令如下：

rcSuSEfirewall2 status

rcSuSEfirewall2 start

rcSuSEfirewall2 stop

rcSuSEfirewall2 restart

6、FAQ

以上安全加固方式可根据实际情况进行适配操作，

一般情况使用第一种方式则能解决，但由于安全扫描器选择项及特征库的不同会导致防火墙无法阻止；

第三种方式则能通过先禁用端口再指定IP访问所需端口进行安全加固，此方法可以规避除渗透扫描外的其余安全扫描方式，但需要限制较多端口则配置较多。

标签：iptables,主机,端口,防火墙,linux,白名单,INPUT,172.31,3.191

来源： https://blog.csdn.net/SuHaner/article/details/100733978