iptables拒绝所有端口放开特定端口方法流程，iptables允许ping和拒绝ping、hosts阻止所有ip指定放开ip方法流程、脚本检测日志异常并自动执行封堵-Toy模板网

这篇具有很好参考价值的文章主要介绍了iptables拒绝所有端口放开特定端口方法流程，iptables允许ping和拒绝ping、hosts阻止所有ip指定放开ip方法流程、脚本检测日志异常并自动执行封堵。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

说明

收到下面一封邮件，简单来说就是需要一个虚拟机，外网能ping同，但端口全封，给他们做渗透用。
问了需求不需要登录，封死所有端口。
所以就用下面2个方式双重封死。

iptables拒绝所有端口放开特定端口方法流程

拒绝所有端口

命令：
iptables -P INPUT DROP【我这就执行了这个进的】
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
注：上面执行以后，看不到具体规则且iptables -F是无法清除上面规则的，同时ping也不能使用。
测试

允许所有端口

命令：iptables -P INPUT ACCEPT
注：只有这个端口能放开上面拒绝的所有端口，iptables -F是不能删除上面规则的。
验证
之前默认是已经封堵了，无法访问百度，允许以后，百度可以访问

允许特定端口

我这需要放开2个ip段的22端口【这是放开端口，下面hosts是ip策略，分开做的】
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
更多说明

#允许已建立的连接通过【不执行也可以，但有些特定版本不执行这个可能下面规则不会生效】
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# 允许 SSH 连接
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# 允许 HTTP 连接
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# 允许 HTTPS 连接
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

临时规则写入配置文件永久生效

上面做的是临时生效的，重启以后就没了，想要永久生效，执行下面命令【下面配置文件中的规则是基于iptables服务的，如果服务没启动，重启后下面规则依然不会生效】
命令iptables-save > /etc/sysconfig/iptables

允许ping开放端口,玩转linux8+和bclinux8+,玩转linux7+,iptables,hosts.deny,hosts.allow

iptables允许ping和拒绝ping

首先，我执行iptables -P INPUT DROP命令以后，外部就ping不通了，我执行iptables -F以后依然ping不通，折腾许久外部都无法ping通，我以为我网络出问题了，但每次重启就好，后来才发现这个命令的规则-F清除不掉，卧槽。

禁止允许ping说明

下面内容来源网络整理，自行测试。

内核参数设置

禁止

临时禁止ping设置

echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all

永久禁止ping设置

echo net.ipv4.icmp_echo_ignore_all=1 >> /etc/sysctl.conf

使/etc/sysctl.conf 配置文件生效
注意：如果 /etc/sysctl.conf 配置文件里已经有net.ipv4.icmp_echo_ignore_all字段了，那么直接用 vim 进去直接修改0或1即可。

sysctl -p

允许

临时允许ping设置

echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all

永久允许ping设置

echo net.ipv4.icmp_echo_ignore_all=0 >> /etc/sysctl.conf

使/etc/sysctl.conf 配置文件生效
注意：如果 /etc/sysctl.conf 配置文件里已经有net.ipv4.icmp_echo_ignore_all字段了，那么直接用 vim 进去直接修改0或1即可

sysctl -p

防火墙设置

注：使用以下方法的前提是内核配置是默认值，也就是内核没有禁ping

禁止

禁止PING设置

iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP

上面代码参数说明
- --icmp-type 8 echo request 表示回显请求（ping请求）
- 0/0 表示所有 IP

允许

允许PING设置【方式1】
进

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

允许PING设置【方式2】
进

iptables -A INPUT -i eth+ -p icmp --icmp-type 8 -j ACCEPT

允许PING设置【方式1】
出

iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

允许PING设置【方式2】
出

iptables -A OUTPUT -o eth+ -p icmp --icmp-type 0 -j ACCEPT

禁止ping

我这用的是这种方式 iptables -P INPUT DROP【慎用，所以端口都无法进出】

允许ping

外部ping通虚拟机内部

我执行了下面命令以后
iptables -A INPUT -i eth+ -p icmp --icmp-type 8 -j ACCEPT【这条命令执行完外部就通虚拟机了】
iptables -A OUTPUT -o eth+ -p icmp --icmp-type 0 -j ACCEPT【好像这个没生效？】
外部就可以ping通该虚拟机ip

虚拟机内部使用ping

但我发现，虚拟机内部不能使用ping了。我以为是面中的output没生效。
- 但我最后发现，换个方式执行INPUT以后，虚拟机内部就能使用ping了。
  iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
- 所以这里的output到底是啥逻辑？

允许ping开放端口,玩转linux8+和bclinux8+,玩转linux7+,iptables,hosts.deny,hosts.allow

规则详细

至此未知，现在的规则详细如下：
允许ping开放端口,玩转linux8+和bclinux8+,玩转linux7+,iptables,hosts.deny,hosts.allow

hosts阻止所有ip指定放开ip方法流程

其实上面的iptables已经限制的死死的了，但怕iptables出意外，所以用hosts加固一下

允许需要访问ip

这里以sshd服务为例，配置完成后，只允许配置允许的IP才能ssh连接本机服务器，其他IP拒绝
注：一定要先允许在拒绝所有
编辑hosts.allow配置文件


vi /etc/hosts.allow

允许1个或多个ip
末尾添加允许的IP远程登录本机服务器，如果有多个IP，以逗号隔开连续写即可

sshd:111.2.3.4,111.6.7.8.9

以段添加
添加允许的111.2.3网段的IP远程登录本机服务器

sshd:111.2.3.

内网地址出公网hosts放开地址说明

假如你现在用的内网ip地址访问的公网，你在虚拟机上放开你现在用的ip地址是没用的
如，我现在用的内网ip绑定的路由器，我把内网地址和我路由器地址都放开了，依然无法访问，放开ALL就能访问
如何看内网地址转换后访问过来的地址？
先放开all，正常登录上虚拟机，然后虚拟机里面执行lastlog【这个命令会记录登录信息】
如下，可以看到我这公网出口地址是70.92结尾的ip
现在回到虚拟机内部，放开这个70.92的ip地址，注释ALL，即可正常访问了

拒绝所有

编辑hosts.deny配置文件

vi /etc/hosts.deny

拒绝所有所有IP远程登录本机服务器
末尾添加下面内容即可

sshd:ALL

我有控制台，为了验证生效，我先做的拒绝，再放开

脚本检测日志异常并自动执行封堵

可以动态封锁ip的，脚本如下，如果怕死循环影响虚拟机性能，可以把死循环去掉，用定时任务执行，比如每分钟、每小时执行一次这样。

#!/bin/bash

while true; do
    # 读取系统日志文件进行监测
    grep -E "sgdifi|wa/xzwas|wa/higehfd|wa" /var/log/system.log | while read -r log; do
        # 解析日志行，获取用户信息和相关IP地址
        username=$(echo "$log" | grep -oE "sgdifi|wa/xzwas|wa/higehfd|wa")
        ip_address=$(echo "$log" | grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b")

        # 锁定用户账户
        lock_user_account "$username"
        # 实施IP封堵
        block_ip_address "$ip_address"
    done

    sleep 300  # 暂停5分钟后再次监测
done

lock_user_account() {
    # 锁定用户账户的实际操作，这里作为示例，将用户添加到黑名单
    echo "$1" >> /etc/blacklist.txt
}

block_ip_address() {
    # 封堵IP地址的实际操作，这里作为示例，使用iptables命令封堵IP
    iptables -A INPUT -s "$1" -j DROP
}

因为放开了攻击的ip，根据需求，还是需要采集用户和ip，所以就根据登录失败的信息，模拟处理方法
上面代码是GPT生成的，不好使，而且代码还有点问题不能直接使用，但思路是好的，我根据上面的思路，去掉了死循环，每分钟执行了一次
函数调用的形式写一个动态监控secure日志文件的sh脚本、过滤出secure日志异常用户名的ip并用iptables限制

允许ping开放端口,玩转linux8+和bclinux8+,玩转linux7+,iptables,hosts.deny,hosts.allow
文章来源地址https://www.toymoban.com/news/detail-753733.html

到了这里，关于iptables拒绝所有端口放开特定端口方法流程，iptables允许ping和拒绝ping、hosts阻止所有ip指定放开ip方法流程、脚本检测日志异常并自动执行封堵的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！