Linux防火墙是保护计算机安全的重要组成部分。使用它可以限制IP访问端口,提高系统安全性。本文将从以下几个方面对Linux防火墙限制IP访问端口进行详细阐述。
一、Linux防火墙指定IP访问端口
当我们需要指定一部分IP访问系统中的某个端口时,可以通过Linux防火墙来实现。具体步骤如下:
{
# 允许指定IP访问80端口
iptables -A INPUT -p tcp -s 192.168.1.100 -m state --state NEW -m tcp --dport 80 -j ACCEPT
# 其他IP禁止访问80端口,直接DROP掉
iptables -A INPUT -p tcp -m tcp --dport 80 -j DROP
# 将设定保存
service iptables save
# 重启防火墙
service iptables restart
}
以上代码将允许指定IP访问80端口,其他IP禁止访问80端口,直接DROP掉。其中,-s指定源地址,-m指定匹配模式,--dport指定目标端口,-j指定动作。这样,就实现了对指定IP访问端口的限制。
二、Linux防火墙限制IP访问端口
除了指定IP访问某个端口,还可以使用Linux防火墙限制IP访问端口。具体步骤如下:
{
# 允许DNS查询,HTTP和HTTPS访问
iptables -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
# 禁止其他外部IP访问服务器端口
iptables -A INPUT -p tcp -m iprange --src-range 0.0.0.0-192.168.1.99 -m multiport --dports 53,80,443 -j DROP
iptables -A INPUT -p tcp -m iprange --src-range 192.168.1.101-255.255.255.255 -m multiport --dports 53,80,443 -j DROP
# 将设定保存
service iptables save
# 重启防火墙
service iptables restart
}
以上代码将允许DNS查询,HTTP和HTTPS访问,禁止其他外部IP访问服务器端口。其中,--src-range指定IP范围,--dports指定多个端口。这样,在保证服务器端口安全的前提下,还允许了部分IP访问系统端口。
三、Linux防火墙禁止IP访问
在某些情况下,我们需要完全禁止某些IP访问服务器,这时可以通过Linux防火墙实现。具体步骤如下:
{
# 禁止指定IP访问服务器
iptables -I INPUT -s 192.168.1.100 -j DROP
# 将设定保存
service iptables save
# 重启防火墙
service iptables restart
}
以上代码将禁止指定IP访问服务器。其中,-I指定插入规则,-j指定动作,DROP指定禁止IP访问。
四、Linux防火墙允许指定IP访问
与禁止IP访问服务器相反,有时候我们需要允许指定IP访问某些端口。具体步骤如下:
{
# 允许指定IP访问服务器
iptables -I INPUT -s 192.168.1.100 -j ACCEPT
# 将设定保存
service iptables save
# 重启防火墙
service iptables restart
}
以上代码将允许指定IP访问服务器。其中,-I指定插入规则,-j指定动作,ACCEPT指定允许IP访问。
五、防火墙限制IP地址访问
有时候我们需要限制整个IP地址段的访问,这时可以使用Linux防火墙限制IP地址访问。具体步骤如下:
{
# 禁止IP地址段192.168.1.100~192.168.1.200访问服务器
iptables -A INPUT -p tcp -m iprange --src-range 192.168.1.100-192.168.1.200 -j DROP
# 将设定保存
service iptables save
# 重启防火墙
service iptables restart
}
以上代码将禁止IP地址段192.168.1.100~192.168.1.200访问服务器。其中,-A指定追加规则,-m指定匹配模式,--src-range指定IP范围,-j指定动作,DROP指定禁止IP访问。
通过以上几个方面的阐述,我们可以了解到如何使用Linux防火墙限制IP访问端口,提高系统安全性。