配置限制访问ip的iptables实例

本文涉及的产品
.cn 域名,1个 12个月
简介:

公司有一个平台要提升安全力度,几位老大开会研究了半天得出的结论是“放弃了阿里云的slb而改用了自建的nginx来代替slb”,这个时候就需要运维人员在这台nginx上做iptables,现在公司的出口ip有60.191.94.118-120和60.12.11.48四个地址,而且需要开放的端口是80和443,于是乎在nginx的交互窗口里,我们就需要输入如下的语句:


1
2
3
4
5
6
7
8
9
10
11
iptables -A INPUT -s 60.191.94.118 /32  -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 60.191.94.119 /32  -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 60.191.94.120 /32  -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 60.12.11.48 /32  -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j DROP
 
iptables -A INPUT -s 60.191.94.118 /32  -p tcp -m tcp --dport 443 -j ACCEPT
iptables -A INPUT -s 60.191.94.119 /32  -p tcp -m tcp --dport 443 -j ACCEPT
iptables -A INPUT -s 60.191.94.120 /32  -p tcp -m tcp --dport 443 -j ACCEPT
iptables -A INPUT -s 60.12.11.48 /32  -p tcp -m tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 443 -j DROP


输入完毕之后,使用#service iptables save#service iptables restart来保存iptables规则。然后在阿里云的域名绑定的地方把这台nginx的外网地址绑定到对应的域名里,在浏览器测试一下使用域名是否可以正确访问到服务。如果成功即代表正向流通。


然后测试一下反向,假设我现在使用的公司出口是60.191.94.120,#iptables -L看到的结果是这样的:

wKiom1jfdnyDZSM8AADBp6zIeuM302.png


看到120这个ip在第三行,那么我们就禁止这个ip,使用#iptables -D INPUT 3,在另一个浏览器输入刚才的域名,这时候应该无法访问,这样就达到了反向验证的目的。而#service iptables restart的话,就会恢复正确访问。


如果是在阿里云里面配置,是借助阿里云的“实例安全组”服务,然后配置具体的规则,如果是要限制只有60.191.94.119这个IP可以访问这台机器,其他机器一概不准通过的话,那么就这么配置:

wKiom1jkYCqAeRFbAABqm2D0M3E039.png


这样,只有上面两个IP地址可以访问到这台机器,提升了云服务器的安全性。


参考资料:http://www.zsythink.net/archives/1199


 本文转自 苏幕遮618 51CTO博客,原文链接:http://blog.51cto.com/chenx1242/1912464


相关文章
|
网络安全 数据安全/隐私保护 网络架构
【防火墙】iptables定义、iptables规则修改、常用端口号
文章目录 前言 一、概述 二、iptables(Centos5/6防火墙
329 0
【防火墙】iptables定义、iptables规则修改、常用端口号
|
运维 网络协议 网络安全
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)(二)
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)(二)
780 0
|
运维 网络协议 Linux
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)(一)
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)
1683 0
|
运维 Shell 网络安全
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)(三)
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)(三)
2181 0
|
网络协议 安全 数据安全/隐私保护
NAT基础:NAT技术原理,静态NAT、动态NAT、NAPT、Easy IP、NAT Server的原理,以及各NAT的配置方法和转换示例
NAT基础:NAT技术原理,静态NAT、动态NAT、NAPT、Easy IP、NAT Server的原理,以及各NAT的配置方法和转换示例。
1589 0
NAT基础:NAT技术原理,静态NAT、动态NAT、NAPT、Easy IP、NAT Server的原理,以及各NAT的配置方法和转换示例
|
网络协议 C# 移动开发
c#获取和设置网卡ip/dns等信息
  using System; using System.Windows.Forms; using System.Management; using System.
1530 0
批量获取所有主机上的iptables已经设置的端口
根据主机列表和端口定义列表批量查询服务器上开启的端口并保存到日志里,命名规则为IP_port.log。
149 0
|
网络协议 Linux
配置IP
配置目的:配置IP为静态,让IP地址不变,方便长时间连接。 几个命令: dhclient 自动获取IP; 杀死进程:dhclient -r ip addr 显示网卡情况,了解到IP地址; 编辑配置文件:   编辑 /etc/sysconfig/network-scripts/eth...
872 0