龙空技术网

关于Iptables防火墙相关白名单的设置

波棱盖儿 150

前言:

如今你们对“iptables白名单防封”大概比较珍视,看官们都想要知道一些“iptables白名单防封”的相关文章。那么小编同时在网摘上网罗了一些有关“iptables白名单防封””的相关文章,希望你们能喜欢,咱们快快来学习一下吧!

如以下某个应用系统中的5433端口设置访问权限为例:

注意:设置白名单前先执行“iptables –L -n”命令来检查是否已设置,若结果中包括如下条目,则白名单已设置:

target prot opt source destination

ACCEPT tcp -- ip1 0.0.0.0/0 tcp dpt:5433

ACCEPT tcp -- ip2 0.0.0.0/0 tcp dpt:5433

DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:5433

以下为白名单设置方案:

方案一(命令行方式):

说明:采用对5433端口鉴权的方式修复漏洞,只允许合法的ip访问端口,如果说在现场生产环境中只允许ip1、ip2、ip3的三个应用系统内的所属的ip访问此应用服务器的5433端口,禁止其他ip访问5433端口;

修复方案:

1、在命令行窗口执行如下命令:

iptables -I INPUT -p tcp --dport 5433 -j DROP

iptables -I INPUT -s ip1 -p tcp --dport 5433 -j ACCEPT

iptables -I INPUT -s ip2 -p tcp --dport 5433 -j ACCEPT

iptables -I INPUT -s ip3 -p tcp --dport 5433 -j ACCEPT

...

service iptables save

service iptables restart

方案二(修改iptables配置文件的方式):

1、 执行如下语句检查iptables配置文件是否存在:

cat /etc/sysconfig/iptables

若不存在,则执行如下语句激活,使得系统生成iptables文件

service iptables start

iptables –P OUTPUT ACCEPT

service iptables save

2、vim /etc/sysconfig/iptables

在行“:OUTPUT ACCEPT [0:0]”与行“commit”之前添加如下内容:

-A INPUT -s ip1/32 –p tcp –m tcp –dport 5433 –j ACCEPT

-A INPUT -s ip2/32 –p tcp –m tcp –dport 5433 –j ACCEPT

-A INPUT -s ip3/32 –p tcp –m tcp –dport 5433 –j ACCEPT

-A INPUT –p tcp –m tcp –dport 5433 –j DROP

保存好后,执行如下语句:

service iptables restart

标签: #iptables白名单防封