Linux安全之iptables黑白名单

这篇具有很好参考价值的文章主要介绍了Linux安全之iptables黑白名单。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

iptables 是运行在用户空间的应用软件,通过控制 Linux 内核 netfilter 模块,来管理网络数据包的处理和转发。在大部分 Linux 发行版中,可以通过手册页 或 man iptables 获取用户手册。通常 iptables 需要内核模块支持才能运行,此处相应的内核模块通常是 Xtables。linux查看ip黑名单,LINUX,linux,安全,服务器

Linux安全之iptables黑白名单

报文在经过 iptables 的链时会匹配链中的规则,遇到匹配的规则时就执行对应的动作,如果链中的规则都无法匹配到当前报文,则使用链的默认策略(默认动作),链的默认策略通常设置为 ACCEPT 或者 DROP。

当链的默认策略设置为 ACCEPT 时(黑名单机制)如果对应的链中没有配置任何规则,就表示接受所有的报文如果对应的链中存在规则,但是这些规则没有匹配到报文,报文还是会被接受对应链中的动作应该设置为 DROP 或者 REJECT

当链的默认策略设置为 DROP 时(白名单机制)如果对应的链中没有配置任何规则,就表示拒绝所有报文如果对应的链中存在规则,但是这些规则没有匹配到报文,报文还是会被拒绝对应链中的规则对应的动作应该为 ACCEPT
linux查看ip黑名单,LINUX,linux,安全,服务器

Linux安全之iptables黑白名单

我们就来做一个简单的白名单,只放行被规则匹配到的报文,其他报文一律拒绝。

清空防火墙规则
$ sudo iptables -t filter -F INPUT

#设置默认规则为DROP,拒绝所有请求
$ sudo iptables -t filter -P INPUT DROP

#设置白名单防火墙机制,开放指定端口
$ sudo iptables -t filter -I INPUT -p tcp --dport 22 -j ACCEPT
$ sudo iptables -t filter -I INPUT -p tcp --dport 80 -j ACCEPT

在当前 ssh 远程工具中执行 iptables -F 命令后,由于 INPUT 链中已经不存在任何规则,所有报文都被拒绝了,包括当前的 ssh 远程连接。

这就是默认策略设置为 DROP 的缺点,在对应的链中没有设置任何规则时,这样使用默认策略为 DROP 是非常不明智的。所以,我们如果想要使用白名单机制,最好将链的默认策略保持为 ACCEPT,然后将拒绝所有请求这条规则放在链的尾部,将放行规则放在前面,这样做,既能实现白名单机制,又能保证在规则被清空时,管理员还有机会连接到主机

#清空防火墙规则
$ sudo iptables -t filter -F INPUT

#设置默认规则为ACCEPT,接受所有请求
$ sudo iptables -t filter -P INPUT ACCEPT

#设置白名单防火墙机制,开放指定端口
$ sudo iptables -t filter -I INPUT -p tcp --dport 22 -j ACCEPT
$ sudo iptables -t filter -I INPUT -p tcp --dport 80 -j ACCEPT

#拒绝所有请求规则放在链的尾部
$ sudo iptables -t filter -A INPUT -j REJECT

既将 INPUT 链的默认策略设置为了 ACCEPT,同时又使用了白名单机制,因为如果报文符合放行条件,则会被前面的放行规则匹配到,如果报文不符合放行条件,则会被最后一条拒绝规则匹配到,此刻,即使我们误操作,执行了 iptables -F 操作,也能保证管理员能够远程到主机上进行维护,因为默认策略仍然是 ACCEPT。

文章作者: Escape

转载文章链接: https://www.escapelife.site/posts/39bc1a0b.html文章来源地址https://www.toymoban.com/news/detail-576693.html

到了这里,关于Linux安全之iptables黑白名单的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Tomcat设置IP黑名单和白名单server.xml

    可以单个IP或者多个ip,多个ip用|分隔,支持正则 在server.xml文件的host节点添加如下语句 其中allow表示白名单,deny表示黑名单,denyStatus表示无法访问时的状态码。 allow和deny都为空时,表示所有id都能访问 allow为空,deny有值时,表示除deny中的ip外都能访问 allow有值,deny为空时

    2024年02月03日
    浏览(42)
  • Ip-Limit: Java轻量级注解式IP限流(黑名单/白名单)组件【一】

    基于JVM缓存的轻量级、注解式IP限流组件,方便项目快速引用,满足多线程场景。 默认为滑动窗口限流器,内置令牌桶限流器,可通过注解的属性配置修改 项目Github地址: https://github.com/DDAaTao/ip-limiter 项目Gitee地址:https://gitee.com/fanwentaomayun/ip-limiter 使用样例 包含较为详细的

    2024年02月13日
    浏览(40)
  • iptables -nvL查看linux系统的所有ip和端口情况

    1、查看规则 对规则的查看需要使用如下命令: 各参数的含义为: -L 表示查看当前表的所有规则,默认查看的是 filter 表,如果要查看 nat 表,可以加上 -t nat 参数。 -n 表示不对 IP 地址进行反查,加上这个参数显示速度将会加快。 -v 表示输出详细信息,包含通过该规则的数据

    2024年02月12日
    浏览(75)
  • Centos 服务器禁止 IP访问/ IP黑名单

    本文结合上文的一起使用体验更佳《Centos实时网络带宽占用查看工具iftop》

    2024年02月11日
    浏览(53)
  • CENTOS 7 添加黑名单禁止IP访问服务器

    只需要把ip添加到 /etc/hosts.deny 文件即可,格式  sshd:$IP:deny touch /data/blacklist/black.txt ssh **.**.**.** cat /data/blacklist/black.txt cat /etc/hosts.deny 注:以上内容仅提供参考和交流,请勿用于商业用途,如有侵权联系本人删除!

    2024年01月18日
    浏览(41)
  • LiveGBS流媒体平台GB/T28181功能-基础配置接入控制白名单黑名单配置控制设备安全接入设备单独配置接入密码

    LiveGBS国标流媒体服务,支持白名单配置。 可在设备注册前,配置白名单(设备国标编号,接入密码); 注册接入的摄像机或是平台,优先校验白名单中配置的密码; 设备在白名单中,密码不正确时,阻止接入; 设备不在白名单中,会校验密码是否与信令服务中统一接入密

    2024年01月16日
    浏览(67)
  • Nginx实现IP黑白名单

    Nginx做黑白名单机制,主要是通过allow、deny配置项来实现: 要同时屏蔽/开放多个IP访问时,如果所有IP全部写在nginx.conf文件中定然是不显示的,这种方式比较冗余,那么可以新建两个文件BlockIP.conf、WhiteIP.conf: 分别将要禁止/开放的IP添加到对应的文件后,可以再将这两个文件

    2024年02月12日
    浏览(97)
  • 【树莓派不吃灰】基础篇⑮ SSH远程访问安全,涉及/etc/hosts.allow白名单 和 /etc/hosts.deny黑名单、ufw防火墙、密钥登录

    ❤️ 博客主页 单片机菜鸟哥,一个野生非专业硬件IOT爱好者 ❤️ ❤️ 本篇创建记录 2022-11-06 ❤️ ❤️ 本篇更新记录 2022-11-06 ❤️ 🎉 欢迎关注 🔎点赞 👍收藏 ⭐️留言 📝 🙏 此博客均由博主单独编写,不存在任何商业团队运营,如发现错误,请留言轰炸哦!及时修正

    2024年02月02日
    浏览(47)
  • iptables 防火墙设置查看开放端口号白名单

    iptables是Linux系统网络流量管理的强力工具。 iptables规则是即时生效的,无需重启服务或加载配置。因此,必须非常小心,否则会把你自己锁在系统之外。 不要同时运行firewald和ipatables。 总是优先应用可以让你进入系统的规则。 1、iptables基本操作命令 查询防火墙状态: servic

    2024年01月25日
    浏览(68)
  • iptables添加IP段白名单

    要求指定的IP段才能访问主机的 3306 端口 三条命命令的含义 iptables -I INPUT -p tcp --dport 3306 -j DROP 禁止访问呢3306 iptables -I INPUT -m iprange --src-range 172.50.49.13-172.50.49.42 -p tcp --dport 3306 -j ACCEPT 允许172.50.49.13-172.50.49.42 段的IP访问3306 iptables -I INPUT -m iprange --src-range 172.29.145.10-172.29.145.4

    2024年02月11日
    浏览(43)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包