<返回更多

网络防御-防火墙设置IP网段规则

2020-07-05    
加入收藏

熟悉linux系统的朋友,都应该知道系统防火墙的威力,我们一般在网络的世界里,只会开放某些端口进行对外服务。但是开放也意味着会受到攻击,如何降低风险,这里将分享一点知识给大家,希望大家喜欢。

网络防御-防火墙设置IP网段规则

让我们加把锁

实际需求

为了更形象讲解好处,我以我的两个实际需求例子来说明限制IP的好处。

那么怎么做呢?这里以centos6为例,注意我这里默认的防火墙是INPUT是拒绝的。

iptables 防火墙指定源地址

1.我们打开系统防火墙规则配置文件,直接加规则

vim /etc/sysconfig/iptables

或者直接用iptables命令直接操作

2.在新的规则加上通过参数--source/--src/-s来指定源地址(这里的/表示或者的意思)

-A INPUT -s 10.4.17.0/24  -j ACCEPT

通过--source/--src/-s来指定源地址(这里的/表示或者的意思)

3.可以使用以下几种方法来指定目的地址:

a. 使用完整的域名,如"www.baidu.com";

b. 使用ip地址,如"192.168.1.1";

c. 用x.x.x.x/x.x.x.x指定一个网络地址,如"192.168.1.0/255.255.255.0";

d. 用x.x.x.x/x指定一个网络地址,如"192.168.1.0/24"这里的24表明了子网掩码的有效位数,这是 UNIX环境中通常使用的表示方法;

e. 缺省的子网掩码数是32,也就是说指定192.168.1.1等效于192.168.1.1/32。

IP后加个掩码的位数/8(16,24,32)

例子

# iptables -I INPUT -s 211.1.0.0 -j DROP
# iptables -I INPUT -s 211.1.0.0/16 -j DROP
# iptables -I INPUT -s 211.2.0.0/16 -j DROP
# iptables -I INPUT -s 211.3.0.0/16 -j DROP
这里省略下面的内容
# iptables -I INPUT -s 211.0.0.0/8 -j DROP
# iptables -I INPUT -s 61.37.80.0/24 -j DROP
# iptables -I INPUT -s 61.37.81.0/24 -j DROP

总结

在防火墙默认INPUT进来的数据是拒绝了,加上下面开放的规则,就可以实现对指定IP/IP网段,才允许访问主机的所有端口。

# vim /etc/sysconfig/iptables

#省略防火墙其他规则,加上这条规则
-A INPUT -s 10.0.0.0/8  -j ACCEPT

重启防火墙

# service iptables restart  

 

声明:本站部分内容来自互联网,如有版权侵犯或其他问题请与我们联系,我们将立即删除或处理。
▍相关推荐
更多资讯 >>>