iptables配置黑白名单

这篇具有很好参考价值的文章主要介绍了iptables配置黑白名单。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

这些的指令适用对象是ap,网关路由器之类的,所以有一些FORWARD的配置,如果没带网络转发的机器,就没必要配置FORWAD。

配置黑白名单逻辑总体说比较简单

先说黑名单

1、首先清空以前的防护规则

    iptables  -F INPUT

    iptables  -F  FORWARD

2、首先设置默认所有的访问都能够通过,没有匹配上任何规则的导致没有任何处理的访问

      就按默 认操作处理(下面是的操作ACCEPT丢弃)

     iptables  -P INPUT  ACCEPT

     iptables  -P  FORWARD  ACCEPT

3、设置不可以访问通过的规则(下文中的IP地址只是举个例子,tcp也只是举个例子,icmp和        udp也是可以的)

     iptables  -I  INPUT  -p tcp  -s 192.168.10.100 -j  DROP

     iptables  -I  FORWARD  -p tcp   -s 192.168.10.100   -d  192.168.10.101  -j  DROP

     ... (你需要的类似的允许通过的规则可以继续添加)

4、允许所有的访问规则通过(由于使用的是-I(insert),后面的规则会被插入到                            INPUT/FORWARD链最上面,规则被匹配的时候是从上面的的规则开始的)

      iptables  -I  INPUT  ACCEPT

      iptables  -I  FORWARD  ACCEPT

总的来说规则匹配的流程,
INPUT匹配,比如某个 从192.168.10.100 地址发出的访问数据包要访问本机(也就是被设置防火墙的机器,先匹配第四步设置的规则,然后匹配第三步设置的规则( iptables  -I  INPUT  -p tcp  -s 192.168.10.100 -d  192.168.10.101 -j  DROP)匹配上了执行相应的操作-j  DROP,也就是丢弃,于是该访问被拒绝了。如果是 从192.168.10.200 地址发出的访问数据包要访问本机,首先通过第四步的规则,由于第三步的规则不能与其匹配,也就是后面没有规则和其匹配了,那就按照默认操作允许访问。

FORWARD匹配,比如某个 从192.168.10.100 地址发出的访问数据包要访问ip 192.168.10.101(在同一个局域网)的机器,先匹配第四步设置的规则,然后匹配第三步设置的规则( iptables  -I  INPUT  -p tcp  -s 192.168.10.100 -j  DROP)匹配上了执行相应的操作-j  DROP,也就是丢弃,于是该访问被拒绝了。如果是 从192.168.10.200 地址发出的访问数据包要访问ip 192.168.10.101的机器,首先通过第四步的规则,由于第三步的规则不能与其匹配,也就是后面没有规则和其匹配了,那就按照默认操作允许访问。

黑名单的拦截原理也就如上所说。

再说白名单

白名单设置要比黑名单设置复杂一些

1、首先清空以前的防护规则

    iptables  -F INPUT

    iptables  -F  FORWARD

2、首先设置默认所有的访问都能够通过,没有匹配上任何规则的导致没有任何处理的访问

      就按默 认操作处理(下面是的操作DROP丢弃)

     iptables  -P INPUT  DROP

     iptables  -P  FORWARD  DROP

3、设置不可以访问通过的规则(下文中的IP地址只是举个例子,tcp也只是举个例子,icmp和        udp也是可以的)

     iptables  -I  INPUT  -p tcp  -s 192.168.10.100 -j  ACCEPT

     iptables  -I  FORWARD  -p tcp   -s 192.168.10.100   -d  192.168.10.101  -j  ACCEPT

     iptables  -I  FORWARD  -p tcp   -s 192.168.10.101   -d  192.168.10.100  -j  ACCEPT

    在这里岔开话题多讲一下

    为什么白名单每一个访问规则同时需要一个反向的规则,因为访问是双向的,白名单会禁止默认的所有的访问规则,所以要完成一个访问需要设置正反向的规则,如同写信需要双方的地址,发信方向收信方地址,以便收信方回信实现访问这个过程。

iptables配置黑白名单

收到信后需要回信,这是访问的必须过程,也就是首先访问端request,然后被访问端reponse

iptables  -I  FORWARD  -p tcp   -s 192.168.10.100  (如果没有  --sport xx ,访问端不指明源地址端口号,默认为添加所有端口号为源地址端口) -d  192.168.10.101 --dport  21:22  -j  ACCEPT

iptables  -I  FORWARD  -p tcp   -s 192.168.10.101  --sport  21:22 -d  192.168.10.100   (如果没有  --sport xx ,访问端不指明目的地址端口号,默认为添加所有端口号为目的地址端口)-j  ACCEPT

访问端口是由访问端随机决定的,而被访问端是被访问端的特定设置的,比如上面的规则是允许客服端访问ftp服务端,ftp服务端被访问端口特定为21(控制端口)和22(数据端口),客服端的端口可以不用指明,因为它被访问端随机分配的

  ...(你需要的类似的允许通过的规则可以继续添加)

4、允许所有的访问规则通过(由于使用的是-A(append),后面的规则会被追加到                           INPUT/FORWARD链最下面,规则被匹配的时候是从上面的的规则开始的,也就是说第四步          的规则最后被匹配以及操作)

      iptables  -A  INPUT  DROP

      iptables  -A  FORWARD  DROP

 

总的来说规则匹配的流程,
INPUT匹配,比如某个 从192.168.10.100 地址发出的访问数据包要访问本机(也就是被设置防火墙的机器,先匹配第四步设置的规则,然后匹配第三步设置的规则( iptables  -I  INPUT  -p tcp  -s 192.168.10.100 -d  192.168.10.101 -j  ACCEPT)匹配上了执行相应的操作-j  ACCEPT,也就是接受,于是该访问被允许了。如果是 从192.168.10.200 地址发出的访问数据包要访问本机,首先通过第四步的规则,由于第三步的规则不能与其匹配,也就是后面没有规则和其匹配了,那就按照默认操作拒绝访问。

FORWARD匹配,比如某个 从192.168.10.100 地址发出的访问数据包要访问ip 192.168.10.101(在同一个局域网)的机器,先匹配第四步设置的规则,然后匹配第三步设置的规则( iptables  -I  INPUT  -p tcp  -s 192.168.10.100 -j  ACCEPT)匹配上了执行相应的操作-j  ACCEPT,也就是接受,于是该访问被允许了。如果是 从192.168.10.200 地址发出的访问数据包要访问ip 192.168.10.101的机器,首先通过第四步的规则,由于第三步的规则不能与其匹配,也就是后面没有规则和其匹配了,那就按照默认操作拒绝访问。文章来源地址https://www.toymoban.com/news/detail-475923.html

到了这里,关于iptables配置黑白名单的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网安入门12-文件上传(黑白名单,00截断)

    Pass-03 有的时候后端限制了一些黑名单,比如过滤后缀名.php 我们就可以用黑名单里没有的后缀名进行绕过,例如: 大小写:.phP .pHp .AsP php1 .php2 .php3 .php9 .phtml(成功率较高) 特殊文件名绕过 比如发送的htp包里把文件名改成test.asp.或test.asp_(下划线为空格),这种命名方式在w

    2024年01月23日
    浏览(89)
  • 在SyGate代理服务器中设置黑白名单限制用户权限

    通过设置SyGate的黑白列表编辑器(BWlist Editor)来实现实现学生上网的时间段限制。为了方便教师在某一固定时间段内上网,需要对所有学生气进行上网限制。怎样才能实现呢?通过设置SyGate的黑白列表编辑器(BWlist Editor)便可实现这一功能。 SYGATE OFFICE NETWORK 网关服务器设置软件

    2024年02月07日
    浏览(40)
  • Nginx动静分离、资源压缩、负载均衡、黑白名单、防盗链等实战

    Nginx 是目前负载均衡技术中的主流方案,几乎绝大部分项目都会使用它, Nginx 是一个轻量级的高性能 HTTP 反向代理服务器,同时它也是一个通用类型的代理服务器,支持绝大部分协议,如 TCP、UDP、SMTP、HTTPS 等。 nginx.conf配置 Nginx 首先会根据配置的 location 规则进行匹配,根据

    2024年02月14日
    浏览(46)
  • Nginx一网打尽:动静分离、压缩、缓存、黑白名单、跨域、高可用、性能优化...

    干货!文章有点长,建议先收藏 早期的业务都是基于单体节点部署,由于前期访问流量不大,因此单体结构也可满足需求,但随着业务增长,流量也越来越大,那么最终单台服务器受到的访问压力也会逐步增高。时间一长,单台服务器性能无法跟上业务增长,就会造成线上频

    2024年02月07日
    浏览(47)
  • iptables添加IP段白名单

    要求指定的IP段才能访问主机的 3306 端口 三条命命令的含义 iptables -I INPUT -p tcp --dport 3306 -j DROP 禁止访问呢3306 iptables -I INPUT -m iprange --src-range 172.50.49.13-172.50.49.42 -p tcp --dport 3306 -j ACCEPT 允许172.50.49.13-172.50.49.42 段的IP访问3306 iptables -I INPUT -m iprange --src-range 172.29.145.10-172.29.145.4

    2024年02月11日
    浏览(45)
  • 第24天:安全开发-PHP应用&文件管理模块&显示上传&黑白名单类型过滤&访问控制

    如果被抓包抓到数据包,并修改 Content-Type内容 则也可以绕过筛查 正常进行上传和下载 无过滤机制 黑名单过滤机制 使用 explode 函数通过点号分割文件名,获取文件后缀 使用 end 函数获取数组中的最后一个元素,即文件后缀 检查文件后缀是否在黑名单中 如果文件后缀在黑名

    2024年04月29日
    浏览(66)
  • iptables 防火墙设置查看开放端口号白名单

    iptables是Linux系统网络流量管理的强力工具。 iptables规则是即时生效的,无需重启服务或加载配置。因此,必须非常小心,否则会把你自己锁在系统之外。 不要同时运行firewald和ipatables。 总是优先应用可以让你进入系统的规则。 1、iptables基本操作命令 查询防火墙状态: servic

    2024年01月25日
    浏览(72)
  • 史上最全的智能合约--扣税,分红,加池子,回流,黑白名单,防机器人,增发,丢权限之分红,加池子

    前面一章分享了智能合约扣税的原理,以及用什么方法实现扣税的,下面这篇文章,分享一下自动分红以为加池子的方法和注意事项。 废话不多说,先上代码。 分红这块只是用了简单的数据技巧,比较容易理解,不像网上很多土狗合约,用了很多高数的方法,相信很多同学

    2024年02月12日
    浏览(62)
  • Android12.0 系统限制上网系列之iptables用IOemNetd实现ip白名单的实现

    在12.0的系统rom定制化开发中,在system中netd网络这块的产品需求中,对于系统限制网络的使用,会要求设置屏蔽ip地址之内的功能, liunx中iptables命令也是比较重要的,接下来就来在IOemNetd这块实现ip白名单的的相关功能,就是在 app中只能允许某个网址上网,就是除了这个网址

    2024年02月11日
    浏览(47)
  • Android13.0 系统限制上网系列之iptables用IOemNetd实现屏蔽ip黑名单的实现

    在13.0的系统rom定制化开发中,在system中netd网络模块这块的产品需要中,在系统中会要求设置屏蔽ip地址之内的功能, liunx中iptables命令也是比较重要的,接下来就来在IOemNetd这块实现屏蔽ip黑名单的的相关功能,就是在 app中只能屏蔽某个网址,就是除了这个网址,其他的都能

    2024年04月14日
    浏览(59)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包