Linux 防火墙iptables 禁止某些 IP访问

《Linux 防火墙iptables 禁止某些 IP访问》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、Linux防火墙iptables禁止某些IP访问www.111cn.net编辑:phper来源:转载在Linux下，使用ipteables来维护IP规则表。要封停或者是解封IP，其实就是在IP规则表中对入站部分的规则进行添加操作。方法一,过滤一些IP访问本服务器要封停一个IP，使用下面这条命令： 代码如下复制代码iptables-IINPUT-s***.***.***.***-jDROP要解封一个IP，使用下面这条命令：  代码如下复制代码iptables-DINPUT-s***.***.***.***-jDROP参数-I是表示Insert（添加），-D表示Delete（删除）。后面

2、跟的是规则，INPUT表示入站，***.***.***.***表示要封停的IP，DROP表示放弃连接。此外，还可以使用下面的命令来查看当前的IP规则表： 代码如下复制代码iptables-list比如现在要将123.44.55.66这个IP封杀，就输入： 代码如下复制代码iptables-IINPUT-s123.44.55.66-jDROP要解封则将-I换成-D即可，前提是iptables已经有这条记录。如果要想清空封掉的IP地址，可以输入： 代码如下复制代码iptables-flush要添加IP段到封停列表中使用下面的命令： 代码如下复制代码iptables-IINPUT-s121

3、.0.0.0/8-jDROP其实也就是将单个IP封停的IP部分换成了Linux的IP段表达式。关于IP段表达式网上有很多详细解说的，这里就不提了。方法二,使用脚本来进行屏蔽1.先下载ip地址文件我们先到IPdeny下载以国家代码编制好的ip地址列表,比如下载cn.zone:wgethttp://www.ipdeny.com/ipblocks/data/countries/cn.zone现在有了国家的所有IP地址,要想屏蔽这些IP就很容易了,直接写个脚本逐行读取cn.zone文件并加入到iptables中:iptables屏蔽某个国家ip段 代码如下复制代码#!/bin/bash#Bl

4、ocktrafficfromaspecificcountry#writtenbyblog.slogra.comCOUNTRY="cn"IPTABLES=/sbin/iptablesEGREP=/bin/egrepif["$(id-u)"!="0"];then  echo"youmustberoot"1>&2  exit1firesetrules(){$IPTABLES-F$IPTABLES-tnat-F$IPTABLES-tmangle-F$IPTABLES-X}resetrulesforcin$COUNTRYdo       country_file=$c.zone       I

5、PS=$($EGREP-v"^#

6、^$"$country_file)       foripin$IPS       do          echo"blocking$ip"          $IPTABLES-AINPUT-s$ip-jDROP       donedoneexit0方法三，上面两个实例都可以但都不简明，下面我来介绍一下在iptables中，添加两个常用的IP段，其他网段的数据包都DROP了，而不是REJECT（REJECT还要发送ICMP回应包给连接方）。 代码如下复制代码 #iptables-AINPUT-ptcp--dport22-s120.0.0.0/8

7、-jACCEPT#iptables-AINPUT-ptcp--dport22-s183.0.0.0/8-jACCEPT#iptables-AINPUT-ptcp--dport22-jDROP测试：在另外一个机子连接这个VPS，数据包被成功DROP了。 代码如下复制代码root@293621:~#iptables-vLChainINPUT(policyACCEPT36packets,6257bytes)pktsbytestargetprotoptinoutsourcedestination22216280ACCEPTtcp--anyany120.0.0.0/8anywheretcpdp

8、t:ssh00ACCEPTtcp--anyany183.0.0.0/8anywheretcpdpt:ssh4240DROPtcp--anyanyanywhereanywheretcpdpt:ssh