如何用 iptables 实现只允许内网以及外网指定 ip 段的主机访问服务器某个端口?
thekll · 2014-06-24 04:41:53 +08:00 · 20913 次点击这是一个创建于 3805 天前的主题,其中的信息可能已经有所发展或是发生改变。
发现总有一些闲着没事干的整天在网络上瞎扫瞄,还爆破ssh密码,连放在8080的web应用也不得安宁…
所以想临时先限制一些不相干的IP,只让内网和本地省份的IP段可以访问服务器,用iptables来做的话应该注意些什么?iptables博大精深,目前还没完全搞清楚,服务器又不在本地,担心配错了连自己都进不去就麻烦了。
google一圈,发现写法各异,目前想法是直接编辑iptables,添加规则,然后save,再重启iptables.规则部分怎么写呢?
看了 http://blog.csdn.net/mangdun/article/details/8103868 ,还是不敢下手,求指点。
@clowwindy
所以想临时先限制一些不相干的IP,只让内网和本地省份的IP段可以访问服务器,用iptables来做的话应该注意些什么?iptables博大精深,目前还没完全搞清楚,服务器又不在本地,担心配错了连自己都进不去就麻烦了。
google一圈,发现写法各异,目前想法是直接编辑iptables,添加规则,然后save,再重启iptables.规则部分怎么写呢?
看了 http://blog.csdn.net/mangdun/article/details/8103868 ,还是不敢下手,求指点。
@clowwindy
 |
1
helloworld00 2014-06-24 04:54:14 +08:00  1
1. 关闭root登录
2. 用denyhosts http://denyhosts.sourceforge.net/ 自动扫描你log里尝试密码错误超过一定次数的ip然后自动添加到iptable里给屏蔽 3. 关闭ssh密码登录,用private/public key登录一劳永逸 |
|
2
helloworld00 2014-06-24 04:58:35 +08:00 1
|
 |
3
jasontse 2014-06-24 07:31:48 +08:00 via iPad 1
# 允许内网
iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 22 -j ACCEPT # 禁止其它 iptables -A INPUT -p tcp --dport 22 -j DROP 以此类推。 |
 |
4
rrfeng 2014-06-24 09:52:21 +08:00 2
修改之前在 crontab 里加入『每 5 分钟关闭一次 iptables』的计划任务。
修改完确认无误之后再删掉 |
Select Language