it-swarm.cn

使用iptables将白名单允许的IP(输入/输出)

我有一些IP地址范围,我希望服务器可以连接到该IP地址范围,并且用户可以从中连接。其他所有内容都应被阻止。

我应该如何用iptables做到这一点?

我的操作系统是基于Debian的Linux发行版。

22
Frank Bannister

我建议抓住一个防火墙配置工具,例如 Firestarter ,然后从那里开始。不过,这里有一些基础知识。

#Flush existing rules
iptables -F
# Set up default DROP rule for eth0
iptables -P INPUT DROP
# Allow existing connections to continue
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Accept everything from the 192.168.1.x network
iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
# Allow connections from this Host to 192.168.2.10
iptables -A OUTPUT -o eth0 -d 192.168.2.10 -j ACCEPT
27
Zenham
iptables -I INPUT -s <allowed_ip> -j ACCEPT #(repeat this line as needed)
iptables -P INPUT DROP

这会将您的系统变成不允许的计算机使用的不存在的系统。

15
Kevin M

如果要允许任意范围而不是整个子网,则可以使用“ iprange” iptables模块:

iptables -P INPUT DROP

iptables -A INPUT -m iprange --src-range 192.168.1.30-50 -j ACCEPT

例如,将允许来自所有地址在192.168.1.30和192.168.1.50之间的计算机的流量。

如果要允许传入和传出流量到相同的IP范围,建议您创建一个特定的链,以允许该IP并将所有输入和输出目标定位到该IP:

-定义默认策略以删除:

iptables -P INPUT DROP

iptables -P OUTPUT DROP

-创建新链:

iptables -N allowed_ips

-如果来源是允许范围的一部分,请接受

iptables -A allowed_ips -m iprange --src-range 192.168.1.30-50 -j ACCEPT

-如果没有,返回到调用者链以继续处理

iptables -A allowed_ips -j RETURN

-使进入和离开机器的所有流量都经过我们的新链条

iptables -A INPUT -j allowed_ips

iptables -A OUTPUT -j allowed_ips

就是这样!当然,您可能需要其他规则,例如允许从/到lo接口的所有流量的规则等。

7
Thiagodrv

对规则感到满意后, 您可能希望保存它们 。该链接中的注释提供了有关如何执行此操作的多个选项。

满足简单需求的易于使用的iptables规则生成器是 fw 。该软件包在debian不稳定版本中可用。

也尝试 Firestarter 。可用莱尼。

1
Not Now

您也可以使用 ferm ,我在过去的一年中也使用过它,在诸如条件防火墙规则之类的情况下对我有很大帮助。

0
giomanda