警告
本文最后更新于 2021-01-22,文中内容可能已过时。
iptables 管理
iptables 端口映射配置步骤:
- 保存现有配置,执行如下命令:iptables-save > iptables.config
- 编辑iptables.config 映射对应端口
- 更新配置,执行如下命令:iptables-restore < iptables.config
ip 白名单
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
|
# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
##设置 ip 白名单
-N whitelist
##添加IP到白名单
-A whitelist -s xx.xx.xx.xx/32 -j ACCEPT
##不配置 witelist 列表,允许内网 ip 访问某端口
-A INPUT -s 192.168.105.0/24 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 10.25.10.0/24 -p tcp -m tcp --dport 22 -j ACCEPT
##禁止访问 27017
-A INPUT -p tcp -m tcp --dport 27017 -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
##whitelist调用白名单IP列表,22端口只允许白名单IP使用
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j whitelist
##whitelist调用白名单IP列表,3306端口只允许白名单IP使用
-A INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j whitelist
##无调用白名单,外网可访问
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
|
1. 禁止访问外部某个端口
iptables -A OUTPUT -p tcp --dport 6382 -j DROP
2. 禁止访问某个 ip 的某个端口
iptables -A OUTPUT -p tcp -d 192.168.1.10 --dport 6382 -j DROP