千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航: 首页 > 服务器 >

Linux自带防火墙开启IP白名单的的配置详解

发表于:2025-02-03 作者:千家信息网编辑
千家信息网最后更新 2025年02月03日,防火墙配置文件名称/etc/sysconfig/iptablesRed Hat Enterprise Linux Server release 6.0开始默认配置如下[root@DMT-Oracle-
千家信息网最后更新 2025年02月03日Linux自带防火墙开启IP白名单的的配置详解防火墙配置文件名称/etc/sysconfig/iptables

Red Hat Enterprise Linux Server release 6.0开始默认配置如下
[root@DMT-Oracle-server ~]# cat /etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

--iptables文件配置,从上至下生效,参考如上默认配置,如果去掉倒数第三、第二行关于REJECT的内容后service iptables start,相当于放开了所有权限,和没有开启防火墙的结果一样
--默认INPUT、OUTPUT、FORWARD都是ACCEPT的
--不添加规则,则对所有端口的数据来者不拒


[root@DMT-Oracle-server ~]# cat /etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -s 192.168.128.118 --dport 1521 -j ACCEPT
-A INPUT -p tcp -s 192.168.131.0/24 --dport 1521 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
--以上配置表示放开IP192.168.128.118和网段192.168.131的访问服务器1521端口,必须放在两行REJECT之前
--通过命令iptables -L -n 查看设置是否生效


各个参数解释,参考man iptables
-A, --append chain rule-specification,表示添加一条规则
-D, --delete chain rule-specification,表示删除一条规则
-R, --replace chain rulenum rule-specification,表示修改一条规则
-p, --protocol protocol,表示使用什么协议,TCP还是UDP
-s, --source address[/mask][,...],表示来源的IP或网段
-j, --jump target,This specifies the target of the rule --后面接动作,主要的动作有接受(ACCEPT)、丢弃(DROP)、拒绝(REJECT)及记录(LOG)



INPUT、OUTPUT、dport、sport的区别:
INPUT:进入本机的规则
OUTPUT:本机出去的规则
dport:目的端口
sport:来源端口

例子1:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
这条INPUT规则可以这么描述:
1.这是一条从外部进入内部本地服务器的数据。
2.数据包的目的(dport)地址是22,就是要访问我本地的22端口。
3.允许以上的数据行为通过。

例子2:
iptables -A INPUT -p tcp --sport 22 -j ACCEPT
这条INPUT规则可以这么描述:
1.这是一条从外部进入内部本地服务器的数据。
2.数据包的来源端口是(sport)22,就是对方的数据包是22端口发送过来的。
3.允许以上数据行为。

例子3:
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
这条OUTPUT规则可以这么描述:
1.这是一条从内部出去的数据。
2.出去的目的(dport)端口是22。
3.允许以上数据行为。

例子4:
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
这条OUTPUT规则可以这么描述:
1.这是一条从内部出去的数据。
2.数据包的来源端口是(sport)22,从本服务器的22端口发出数据。
3.允许以上数据行为。


收集白名单IP(也就是经常连接数据库的IP)的脚本
[root@DMT-Oracle-server ~]# cat /iso/scripts/netstat_37.sh
#!/bin/sh
date>>/iso/scripts/log/netstat37.log
netstat -apnT|grep DW |awk '{print $5}'|sort -u >>/iso/scripts/log/netstat37.log
echo "++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++" >>/iso/scripts/log/netstat37.log
#其中DW是OracleSID的部分关键字
#要加上-T否则太长的IP会统计不准确 -T, --notrim stop trimming long addresses

cat /iso/scripts/log/netstat37.log|grep 192|grep -v 37:1521|grep -v ffff|awk -F ":" '{print $1}'
cat /iso/scripts/log/netstat37.log|grep 192|grep -v 37:1521 | awk -F ":" '{print $4}'|sort -u
很赞哦!
数据 端口 规则 配置 例子 服务器 来源 行为 这是 服务 目的 防火墙 防火 动作 就是 文件 网段 本机 参考 名单 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 深圳传趣网络技术 vue服务器实时数据交互 网络安全防护情况说明 智慧星球数据云服务器 初一网络安全黑板报 网络安全上网简笔画 服务器配件一般多少钱 游戏设计学软件开发 服务器h01啥故障 宝山区营销软件开发平台资质 饥荒云服务器可以用之前的存档吗 软件开发的实习体会 商务咨询网络技术 网络技术建议什么笔记本 查询主机服务器ip地址 服务器开机时间过长报错 数据库技术自检自测 深圳网络安全推荐柚米科技 电子政务建设中网络安全问题研究 软件开发项目的资金渠道有哪些 圣魂纷争一个服务器多少人 网络安全上网简笔画 网络安全法未对地方 服务器管理员密码忘 乐讯互联网科技 蚌埠医疗软件开发需要多少钱 绍兴app定制软件开发公司 专业上门回收服务器 数据库新建查询成绩单由高到低 163 服务器

相关文章

0