千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航: 首页 > 服务器 >

Linux自带防火墙开启IP白名单的的配置详解

发表于:2025-12-03 作者:千家信息网编辑
千家信息网最后更新 2025年12月03日,防火墙配置文件名称/etc/sysconfig/iptablesRed Hat Enterprise Linux Server release 6.0开始默认配置如下[root@DMT-Oracle-
千家信息网最后更新 2025年12月03日Linux自带防火墙开启IP白名单的的配置详解防火墙配置文件名称/etc/sysconfig/iptables

Red Hat Enterprise Linux Server release 6.0开始默认配置如下
[root@DMT-Oracle-server ~]# cat /etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

--iptables文件配置,从上至下生效,参考如上默认配置,如果去掉倒数第三、第二行关于REJECT的内容后service iptables start,相当于放开了所有权限,和没有开启防火墙的结果一样
--默认INPUT、OUTPUT、FORWARD都是ACCEPT的
--不添加规则,则对所有端口的数据来者不拒


[root@DMT-Oracle-server ~]# cat /etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -s 192.168.128.118 --dport 1521 -j ACCEPT
-A INPUT -p tcp -s 192.168.131.0/24 --dport 1521 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
--以上配置表示放开IP192.168.128.118和网段192.168.131的访问服务器1521端口,必须放在两行REJECT之前
--通过命令iptables -L -n 查看设置是否生效


各个参数解释,参考man iptables
-A, --append chain rule-specification,表示添加一条规则
-D, --delete chain rule-specification,表示删除一条规则
-R, --replace chain rulenum rule-specification,表示修改一条规则
-p, --protocol protocol,表示使用什么协议,TCP还是UDP
-s, --source address[/mask][,...],表示来源的IP或网段
-j, --jump target,This specifies the target of the rule --后面接动作,主要的动作有接受(ACCEPT)、丢弃(DROP)、拒绝(REJECT)及记录(LOG)



INPUT、OUTPUT、dport、sport的区别:
INPUT:进入本机的规则
OUTPUT:本机出去的规则
dport:目的端口
sport:来源端口

例子1:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
这条INPUT规则可以这么描述:
1.这是一条从外部进入内部本地服务器的数据。
2.数据包的目的(dport)地址是22,就是要访问我本地的22端口。
3.允许以上的数据行为通过。

例子2:
iptables -A INPUT -p tcp --sport 22 -j ACCEPT
这条INPUT规则可以这么描述:
1.这是一条从外部进入内部本地服务器的数据。
2.数据包的来源端口是(sport)22,就是对方的数据包是22端口发送过来的。
3.允许以上数据行为。

例子3:
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
这条OUTPUT规则可以这么描述:
1.这是一条从内部出去的数据。
2.出去的目的(dport)端口是22。
3.允许以上数据行为。

例子4:
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
这条OUTPUT规则可以这么描述:
1.这是一条从内部出去的数据。
2.数据包的来源端口是(sport)22,从本服务器的22端口发出数据。
3.允许以上数据行为。


收集白名单IP(也就是经常连接数据库的IP)的脚本
[root@DMT-Oracle-server ~]# cat /iso/scripts/netstat_37.sh
#!/bin/sh
date>>/iso/scripts/log/netstat37.log
netstat -apnT|grep DW |awk '{print $5}'|sort -u >>/iso/scripts/log/netstat37.log
echo "++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++" >>/iso/scripts/log/netstat37.log
#其中DW是OracleSID的部分关键字
#要加上-T否则太长的IP会统计不准确 -T, --notrim stop trimming long addresses

cat /iso/scripts/log/netstat37.log|grep 192|grep -v 37:1521|grep -v ffff|awk -F ":" '{print $1}'
cat /iso/scripts/log/netstat37.log|grep 192|grep -v 37:1521 | awk -F ":" '{print $4}'|sort -u
很赞哦!
数据 端口 规则 配置 例子 服务器 来源 行为 这是 服务 目的 防火墙 防火 动作 就是 文件 网段 本机 参考 名单 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 网络安全一般指 超融合服务器价格查询 深圳市宜游网络技术有限公司 云丁网络技术公司怎么样 智能光网络技术图片 电商购物软件开发中心 单位网络安全10不准 online服务器 vr软件开发前景 pg数据库分区表怎么删除 私人服务器需要公网ip 六安求职招聘软件开发多少钱 数据结构和软件开发的关系 做销售用什么软件开发客户 数据库中表的结构用记录来表示 软件开发创新建议 在线网络技术开发常见问题 网络安全诈骗作业800 阿里云服务器信息安全等级 香港服务器广告法 iis元数据库下载 软件开发流程培训开场白 铁路职业技术学院网络技术 陌陌网络安全验证失效 c获取其他程序数据库 荥阳网络安全系统公司 湖南通信软件开发价格服务标准 云服务器和本地网络互通 计算机三级网络技术精讲班 常州现代软件开发使用方法

相关文章

0