linux禁止某ip訪問

㈠ linux下的VSftp伺服器怎麼配置禁止IP段訪問

很簡單，比如說允許192.168.1.0/24網段可以訪問，同時，禁止192.168.0.0/24網段，只需要打開/etc/hosts.allow，輸入vsftpd: 192.168.1.0/24，打開/etc/hosts.deny，輸入vsftpd: 192.168.0.0/24即可，輸入完畢後，配置立即生效 。如果要允許或者禁止某個ip地址訪問vsftpd，設置方法類似~ 因為vsftpd服務時Tcp Wrappers相關的，只要是與Tcp Wrappers相關的服務，都可以再/etc/hosts.allow和/etc/hosts.deny文件中配置訪問許可權。

㈡ 本機為linux系統，如何禁止本機訪問指定ip

在防火牆中添加規則就可以。

㈢ linux中如何限制IP訪問伺服器

在伺服器上進行如下命令操作進行規則設置即可：
#iptables -AINPUT-s ip段/網路位數 -j DROP
例如：禁止172.16.1.0/24網段訪問伺服器，直接在伺服器上用命令就可以實現
#iptables -AINPUT-s 172.16.1.0/24 -j DROP (添加規則，所有來自這個網段的數據都丟棄)
#/etc/rc.d/init.d/iptables save （保存規則）
#service iptables restart （重啟iptables服務以便生效）

㈣ linux 如何禁止IP訪問http伺服器

Linux系統中，如果需要禁止特定ip地址訪問來保證系統的安全，只需通過操作iptalbes來實現，下面就給紹下Linux如何禁止某個ip地址訪問。
一、概述
這兩個文件是tcpd伺服器的配置文件，答閉tcpd伺服器可以控制外部IP對本機服務的訪問。這兩個配置文件的格式如下：
#服務進程名:主機列表:當規則匹配時可選的命令操作
server_name:hosts-list[:command]
/etc/hosts.allow控制可以訪問本機的IP地址，/etc/hosts.deny控制禁止訪問本機的IP。如果兩個文件的配置有沖突，以/etc/hosts.deny為准。
/etc/hosts.allow和/etc/hosts.deny兩個文件是控制遠程訪問設置的，可以允許或者拒絕某個ip或者ip段的客戶訪問linux的某項服務。
比如SSH服務，通常只對管理員開放，那就可以禁用不必要的IP，而只開放管理員可能使用到的IP段。
二、配置
1、修改/etc/hosts.allow文件
#
# hosts.allow This file describes the names of the hosts which are
# allowed to use the local INET services, as decided
# by the 『/usr/sbin/tcpd』 server.
#
sshd:210.13.218.*:allow
sshd:222.77.15.*:allow
all:218.24.129.110 #表示接受110這個ip的老舉碧所有請求！
in.telnetd：140.116.44.0/255.255.255.0
in.telnetd：140.116.79.0/255.255.255.0
in.telnetd：140.116.141.99
in.telnetd：LOCAL
smbd:192.168.0.0/255.255.255.0 #允許192.168.0.網段的IP訪問smbd服務
#sendmail:192.168.1.0/255.255.255.0
#pop3d:192.168.1.0/255.255.255.0
#swat:192.168.1.0/255.255.255.0
pptpd:all EXCEPT 192.168.0.0/255.255.255.0
httpd:all
vsftpd:all
以上寫法表示允許210和222兩個ip段連接sshd服務（這必然需要hosts.deny這個文件配合使用），當然:allow完全可以省略的。
ALL要害字匹配所有情況，EXCEPT匹配除了某些項之外的情況，PARANOID匹配你想控制的IP地址和它的域名不匹配時(域名偽裝)的情況。
2、修改/etc/hosts.deny文件
#
# hosts.deny This file describes the names of the hosts which are
# *not* allowed to use the local INET services, as decided
# by the 『/usr/sbin/tcpd』 server.
#
# The portmap line is rendant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow. In particular
# you should know that NFS uses portmap!
sshd:all:deny
in.telnet：ALL
ALL:ALL EXCEPT 192.168.0.1/255.255.255.0,192.168.1.21,
202.10.5.0/255.255.255.0
注意看：sshd:all:deny表示拒絕了所有sshd遠程連接。:deny可以省略。
3、啟動服務侍舉。
注意修改完後：
#service xinetd restart
才能讓剛才的更改生效。

㈤ linux怎麼禁止訪問某個ip

在伺服器上進行如下命令操作進行規則設置即可：
#iptables -A INPUT -s ip段/網路位數 -j DROP
例如：禁止172.16.1.0/24網段訪問伺服器，直接在伺服器上用命令就可以實現
#iptables -A INPUT -s 172.16.1.0/24 -j DROP (添加規則，所有來自這個網段的數據都丟棄)
#/etc/rc.d/init.d/iptables save （保存規則）
#service iptables restart （重啟iptables服務以便升效）

㈥ 如何在Linux上高效阻止惡意IP地址

在Linux中，只要藉助netfilter/iptables框架，就很容易實現阻止IP地址這一目的：
$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP

如果你想要禁止某一整個IP地址區段，也能同樣做到這一點：
$ sudo iptables -A INPUT -s 1.1.2.0/24 -p TCP -j DROP

不過，要是你有1000個沒有共同CIDR(無類別域間路由)前綴的獨立IP地址想要禁止訪問，該如何是好?那你就要設定1000個iptables規則!很顯然這種方法不具有良好的擴展性。
$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP
$ sudo iptables -A INPUT -s 2.2.2.2 -p TCP -j DROP
$ sudo iptables -A INPUT -s 3.3.3.3 -p TCP -j DROP
. . . .

何謂IP集?
這時候，IP集(IP set)就能派得上大用場。IP集是一種內核功能，允許多個(獨立)IP地址、MAC地址或者甚至多個埠號高效地編碼並存儲在比特圖/散列內核數據結構裡面。一旦創建了IP集，就能創建與該集匹配的iptables規則。
你應該會立馬看到使用IP集帶來的好處，那就是你只要使用一個iptables規則，就能夠與IP集中的多個IP地址進行匹配!你可以結合使用多個IP地址和埠號來構建IP集，還可以用IP集動態更新iptables規則，對性能根本沒有任何影響。
將IPset工具安裝到Linux上
想創建並管理IP集，你就需要使用一種名為ipset的用戶空間工具。
想將ipset安裝到Debian、Ubuntu或Linux Mint上：
$ sudo apt-get install ipset

想將ipset安裝到Fedora或CentOS/RHEL 7上：
$ sudo yum install ipset

使用IPset命令禁止IP地址
不妨讓我通過幾個簡單的例子，具體介紹如何使用ipset命令。
首先，不妨創建一個新的IP集，名為banthis(名稱隨意)：
$ sudo ipset create banthis hash:net

上述命令中的第二個變數(hash:net)必不可少，它代表了所創建的集的類型。IP集有多種類型。hash:net類型的IP集使用散列來存儲多個CIDR區段。如果你想在該集中存儲單個的IP地址，可以改而使用hash:ip類型。
一旦你創建了一個IP集，就可以使用該命令來檢查該集：
$ sudo ipset list

這顯示了可用IP 集的列表，另外還顯示了每個集的詳細信息，其中包括集成員。默認情況下，每個IP集可以最多含有65536個元素(這里是CIDR區段)。你只要在後面添加「maxelem N」選項，就可以調大這個極限值。
$ sudo ipset create banthis hash:net maxelem 1000000

現在不妨將IP地址區段添加到該集：
$ sudo ipset add banthis 1.1.1.1/32
$ sudo ipset add banthis 1.1.2.0/24
$ sudo ipset add banthis 1.1.3.0/24
$ sudo ipset add banthis 1.1.4.10/24

你會發現，集成員已發生了變化。
$ sudo ipset list

現在可以使用該IP集來創建一個iptables規則了。這里的關鍵在於，使用「-m set --match-set 」這個選項。
不妨創建一個iptables規則，阻止該集中的所有那些IP地址區段通過埠80訪問網站伺服器。這可以通過這個命令來實現：
$ sudo iptables -I INPUT -m set --match-set banthis src -p tcp --destination-port 80 -j DROP

如果你想，還可以將特定的IP集保存到一個文件中，然後以後可以從該文件來恢復：
$ sudo ipset save banthis -f banthis.txt
$ sudo ipset destroy banthis
$ sudo ipset restore -f banthis.txt

在上述命令中，我試著使用destroy選項來刪除現有的IP集，看看我能不能恢復該IP集。
自動禁止IP地址
至此，你應該會看到IP集這個概念有多強大。仍然維持一份最新的IP黑名單可能是件麻煩又費時的活兒。實際上，現在外頭有一些免費服務或收費服務可以為你維護這些IP黑名單。另外，不妨看一下我們如何可以將可用IP黑名單自動轉換成IP集。
我暫且從免費或收費發布各種IP阻止列表的iblocklist.com獲取免費的IP列表。提供了P2P格式的免費版本。
我要使用一款名為iblocklist2ipset的開源python工具，這個工具可以將P2P版本的iblocklist轉換成IP sets。
首先，你需要安裝好pip(想安裝pip，請參閱這篇指導文章：http://ask.xmolo.com/install-pip-linux.html)。
然後安裝iblocklist2ipset，具體如下所示。
$ sudo pip install iblocklist2ipset

在Fedora之類的一些發行版上，你可能需要運行這個命令：
$ sudo python-pip install iblocklist2ipset

現在進入到iblocklist.com，獲取任何P2P列表URL(比如「level1」列表)。
然後將該URL粘貼到下面這個命令中：
$ iblocklist2ipset generate \
--ipset banthis "http://list.iblocklist.com/?list=ydxerpxkpcfqjaybcssw&fileformat=p2p&archiveformat=gz" \
> banthis.txt

在你運行上述命令後，你就創建了一個名為bandthis.txt的文件。如果你檢查其內容，就會看到類似以下的內容：
create banthis hash:net family inet hashsize 131072 maxelem 237302
add banthis 1.2.4.0/24
add banthis 1.2.8.0/24
add banthis 1.9.75.8/32
add banthis 1.9.96.105/32
add banthis 1.9.102.251/32
add banthis 1.9.189.65/32
add banthis 1.16.0.0/14

你可以使用ipset命令，就能輕松裝入該文件：
$ sudo ipset restore -f banthis.txt

現在，用下面這個命令檢查自動創建的IP集：
$ sudo ipset list banthis

截至本文截稿時，「level1」阻止列表含有237000多個IP地址區段。你會發現，許多IP地址區段已經被添加到了IP集中。
最後，只需創建一個iptables規則，就能阻止所有這些地址!

㈦ Linux下如何用iptables限制某段IP訪問伺服器

1. 比如：要禁止22.22.0.0/24這個段的ip
   

   iptables -A INPUT -p tcp -s 22.22.0.0/24 -j DROP
   

   service iptables restart

   
   

2. iptables -A INPUT -p tcp -s 22.22.0.0/24 -j DROP這句話理解下

   -A add的意思：附件到

   INPUT 進入的流量這個鏈

   -p tcp 對應的協議tcp

   -s 22.22.0.0/24 source ip原地址為22.22.0.0/24這個段

   -j DROP jump drop 跳轉到忽略操作

㈧ 如何使用Linux的iptables來限制某些IP

寫防火牆規則就可以了。
例如：（正攔1）允許192.168.1.0/24網段的主機訪問Linux系統
防火牆規則：iptables -A INPUT -s 192.168.1.0/24 -j ACCRPT
（2）拒絕來自192.168.5.8的主機訪蔽清局問Linux系統
防火牆規則為：iptables -A INPUT -s 192.168.5.8 -j DROP
根據不同的要求宏讓來編寫不同的規則就可以了.

㈨ linux如何禁止某個ip連接伺服器

兩個文件是控制遠程訪問設置的，通過設置這個文件可以允許或者拒絕某個ip或者ip段的客戶訪問linux的某項服務。

如 果請求訪問的主機名或IP不包含在/etc/hosts.allow中，那麼tcpd進程就檢查/etc/hosts.deny。看請求訪問的主機名或 IP有沒有包含在hosts.deny文件中。如果包含，那麼訪問就被拒絕；如果既不包含在/etc/hosts.allow中，又不包含在/etc /hosts.deny中，那麼此訪問也被允許。

文件的格式為：<daemon list>:<client list>[:<option>:<option>:...]

daemon list：服務進程名列表，如telnet的服務進程名為in.telnetd

client list：訪問控制的客戶端列表，可以寫域名、主機名或網段，如.python.org或者192.168.1.
option：可選選項，這里可以是某些命令，也可以是指定的日誌文件

文件示例：hosts.deny文件

in.telnetd:.python.org

vsftpd:192.168.0.

sshd:192.168.0.0/255.255.255.0

第一行vpser.net表示，禁止python.org這個域里的主機允許訪問TELNET服務，注意前面的那個點高老(.)。

第二行表示，禁止192.168.0這個網段的用戶允許訪問FTP服務，注意0後面的點(.)。

㈩ Linux 禁止某個IP地址訪問的幾種方法

在伺服器上進行如下命令操作進行規則設置即可： #iptables -A INPUT -s ip段/網路位數 -j DROP 例如：禁止172.16.1.0/24網段訪問伺服器，直接在伺服器上用命令就可以實現 #iptables -A INPUT -s 172.16.1.0/24 -j DROP