前言:
如今你们对“iptables白名单防封”大概比较珍视,看官们都想要知道一些“iptables白名单防封”的相关文章。那么小编同时在网摘上网罗了一些有关“iptables白名单防封””的相关文章,希望你们能喜欢,咱们快快来学习一下吧!如以下某个应用系统中的5433端口设置访问权限为例:
注意:设置白名单前先执行“iptables –L -n”命令来检查是否已设置,若结果中包括如下条目,则白名单已设置:
target prot opt source destination
ACCEPT tcp -- ip1 0.0.0.0/0 tcp dpt:5433
ACCEPT tcp -- ip2 0.0.0.0/0 tcp dpt:5433
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:5433
以下为白名单设置方案:
方案一(命令行方式):
说明:采用对5433端口鉴权的方式修复漏洞,只允许合法的ip访问端口,如果说在现场生产环境中只允许ip1、ip2、ip3的三个应用系统内的所属的ip访问此应用服务器的5433端口,禁止其他ip访问5433端口;
修复方案:
1、在命令行窗口执行如下命令:
iptables -I INPUT -p tcp --dport 5433 -j DROP
iptables -I INPUT -s ip1 -p tcp --dport 5433 -j ACCEPT
iptables -I INPUT -s ip2 -p tcp --dport 5433 -j ACCEPT
iptables -I INPUT -s ip3 -p tcp --dport 5433 -j ACCEPT
...
service iptables save
service iptables restart
方案二(修改iptables配置文件的方式):
1、 执行如下语句检查iptables配置文件是否存在:
cat /etc/sysconfig/iptables
若不存在,则执行如下语句激活,使得系统生成iptables文件
service iptables start
iptables –P OUTPUT ACCEPT
service iptables save
2、vim /etc/sysconfig/iptables
在行“:OUTPUT ACCEPT [0:0]”与行“commit”之前添加如下内容:
-A INPUT -s ip1/32 –p tcp –m tcp –dport 5433 –j ACCEPT
-A INPUT -s ip2/32 –p tcp –m tcp –dport 5433 –j ACCEPT
-A INPUT -s ip3/32 –p tcp –m tcp –dport 5433 –j ACCEPT
-A INPUT –p tcp –m tcp –dport 5433 –j DROP
保存好后,执行如下语句:
service iptables restart
标签: #iptables白名单防封