linux限制ip訪問埠

『壹』 linux iptables限制IP訪問

• iptables在INPUT鏈添加規則即可，出站流量(伺服器訪問外網)不受影響，包括訪問出去然後回來的數據包

• 註：INPUT(數據包流入口)，INPUT鏈默認是拒絕所有，所以添加允許規則即可

例1，允許IP192.168.2.1的IP可以全埠訪問我的伺服器

iptables-AINPUT-s192.168.2.1/32-jACCEPT

例2，允許IP192.168.2.2的IP可以訪問我伺服器的80埠

iptables-AINPUT-s192.168.2.2/32-ptcp-mtcp--dport80-jACCEPT

你可以把你現有規則貼出來，默認情況下出站流量回包是不會攔截的

『貳』 Linux伺服器中怎麼設置一個埠只能一個IP訪問。需要建策略規則么

Linux防火牆Iptable如何設置只允許某個ip訪問80埠，只允許特定ip訪問某埠？參考下面命令，只允許46.166.150.22訪問本機的80埠。如果要設置其他ip或埠，改改即可。
iptables -I INPUT -p TCP --dport 80 -j DROP
iptables -I INPUT -s 46.166.150.22 -p TCP --dport 80 -j ACCEPT
在root用戶下執行上面2行命令後，重啟iptables， service iptables restart
查看iptables是否生效：
[root@xxxx]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 46.166.150.22 anywhere tcp dpt:http
DROP tcp -- anywhere anywhere tcp dpt:http

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
上面命令是針對整個伺服器（全部ip）禁止80埠，如果只是需要禁止伺服器上某個ip地址的80埠，怎麼辦？
下面的命令是只允許來自174.140.3.190的ip訪問伺服器上216.99.1.216的80埠
iptables -A FORWARD -s 174.140.3.190 -d 216.99.1.216 -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A FORWARD -d 216.99.1.216 -p tcp -m tcp --dport 80 -j DROP
如果您不熟悉linux的ssh命令，那麼可以在webmin/virtualmin面板中設置，達到相同效果。參考：webmin面板怎樣設置允許特定ip訪問80埠，禁止80埠

更多iptables參考命令如下：
1.先備份iptables

# cp /etc/sysconfig/iptables /var/tmp

需要開80埠，指定IP和區域網

下面三行的意思：

先關閉所有的80埠

開啟ip段192.168.1.0/24端的80口

開啟ip段211.123.16.123/24端ip段的80口

# iptables -I INPUT -p tcp --dport 80 -j DROP
# iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
# iptables -I INPUT -s 211.123.16.123/24 -p tcp --dport 80 -j ACCEPT

以上是臨時設置。

2.然後保存iptables

# service iptables save

3.重啟防火牆

#service iptables restart

『叄』 linux如何禁止某個ip連接伺服器

兩個文件是控制遠程訪問設置的，通過設置這個文件可以允許或者拒絕某個ip或者ip段的客戶訪問linux的某項服務。

如 果請求訪問的主機名或IP不包含在/etc/hosts.allow中，那麼tcpd進程就檢查/etc/hosts.deny。看請求訪問的主機名或 IP有沒有包含在hosts.deny文件中。如果包含，那麼訪問就被拒絕；如果既不包含在/etc/hosts.allow中，又不包含在/etc /hosts.deny中，那麼此訪問也被允許。

文件的格式為：<daemon list>:<client list>[:<option>:<option>:...]

daemon list：服務進程名列表，如telnet的服務進程名為in.telnetd

client list：訪問控制的客戶端列表，可以寫域名、主機名或網段，如.python.org或者192.168.1.
option：可選選項，這里可以是某些命令，也可以是指定的日誌文件

文件示例：hosts.deny文件

in.telnetd:.python.org

vsftpd:192.168.0.

sshd:192.168.0.0/255.255.255.0

第一行vpser.net表示，禁止python.org這個域里的主機允許訪問TELNET服務，注意前面的那個點高老(.)。

第二行表示，禁止192.168.0這個網段的用戶允許訪問FTP服務，注意0後面的點(.)。

『肆』 linux如何限制埠可被訪問的區域

1、查看系統對外開放的埠

netstat -tunlp

把裡面的埠全在/etc/sysconfig/iptables文件里配置一下，如果沒有這個iptables文件，就創建一個

2、編輯/etc/sysconfig/iptables，如下：

# Generated by iptables-save v1.4.7 on Fri Aug 21 23:24:02 2015
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 111 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8040 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8042 -j ACCEPT
-A INPUT -p udp -m udp --dport 111 -j ACCEPT
-A INPUT -p udp -m udp --dport 631 -j ACCEPT
-A INPUT -p udp -m udp --dport 48894 -j ACCEPT
-A INPUT -p udp -m udp --dport 923 -j ACCEPT
-A INPUT -p udp -m udp --dport 942 -j ACCEPT

-A INPUT -s 192.168.61.163 -p tcp -m tcp --dport 0:65535 -j ACCEPT
-A INPUT -s 192.168.61.164 -p tcp -m tcp --dport 0:65535 -j ACCEPT
-A INPUT -s 1192.168.61.165 -p tcp -m tcp --dport 0:65535 -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Fri Aug 21 23:24:02 2015

裡面還配置了三台相近的伺服器所有埠都可以訪問

3、配置完之後重啟防火牆就可以了

service iptables restart

『伍』 Linux——iptables 禁止 IP和埠

禁止指定 IP

禁止指定 IP段

禁止指定 IP和埠

查看當前的IP規則列表

用命令 iptables -vnL 查看效果：

參數扮高-I是表示 Insert （添加），-D表示 Delete （刪除）。後面跟的是規則， INPUT 表示入站，10.0.28.15表示要封停的IP， DROP 表示蔽卜放棄連接。

限宏缺穗制syn並發的次數以及同一個IP 新建連接數的數量

『陸』 Linux下如何用iptables限制某段IP訪問伺服器

1. 比如：要禁止22.22.0.0/24這個段的ip
   

   iptables -A INPUT -p tcp -s 22.22.0.0/24 -j DROP
   

   service iptables restart

   
   

2. iptables -A INPUT -p tcp -s 22.22.0.0/24 -j DROP這句話理解下

   -A add的意思：附件到

   INPUT 進入的流量這個鏈

   -p tcp 對應的協議tcp

   -s 22.22.0.0/24 source ip原地址為22.22.0.0/24這個段

   -j DROP jump drop 跳轉到忽略操作

『柒』 linux 如何禁止IP訪問http伺服器

Linux系統中，如果需要禁止特定ip地址訪問來保證系統的安全，只需通過操作iptalbes來實現，下面就給紹下Linux如何禁止某個ip地址訪問。
一、概述
這兩個文件是tcpd伺服器的配置文件，tcpd伺服器可以控制外部IP對本機服務的訪問。這兩個配置文件的格式如下：
#服務進程名:主機列表:當規則匹配時可選的命令操作
server_name:hosts-list[:command]
/etc/hosts.allow控制可以訪問本機的IP地址，/etc/hosts.deny控制禁止訪問本機的IP。如果兩個文件的配置有沖突，以/etc/hosts.deny為准。
/etc/hosts.allow和/etc/hosts.deny兩個文件是控制遠程訪問設置的，可以允許或者拒絕某個ip或者ip段的客戶訪問linux的某項服務。
比如SSH服務，通常只對管理員開放，那就可以禁用不必要的IP，而只開放管理員可能使用到的IP段。
二、配置
1、修改/etc/hosts.allow文件
#
# hosts.allow This file describes the names of the hosts which are
# allowed to use the local INET services, as decided
# by the 『/usr/sbin/tcpd』 server.
#
sshd:210.13.218.*:allow
sshd:222.77.15.*:allow
all:218.24.129.110 #表示接受110這個ip的所有請求！
in.telnetd：140.116.44.0/255.255.255.0
in.telnetd：140.116.79.0/255.255.255.0
in.telnetd：140.116.141.99
in.telnetd：LOCAL
smbd:192.168.0.0/255.255.255.0 #允許192.168.0.網段的IP訪問smbd服務
#sendmail:192.168.1.0/255.255.255.0
#pop3d:192.168.1.0/255.255.255.0
#swat:192.168.1.0/255.255.255.0
pptpd:all EXCEPT 192.168.0.0/255.255.255.0
httpd:all
vsftpd:all
以上寫法表示允許210和222兩個ip段連接sshd服務（這必然需要hosts.deny這個文件配合使用），當然:allow完全可以省略的。
ALL要害字匹配所有情況，EXCEPT匹配除了某些項之外的情況，PARANOID匹配你想控制的IP地址和它的域名不匹配時(域名偽裝)的情況。
2、修改/etc/hosts.deny文件
#
# hosts.deny This file describes the names of the hosts which are
# *not* allowed to use the local INET services, as decided
# by the 『/usr/sbin/tcpd』 server.
#
# The portmap line is rendant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow. In particular
# you should know that NFS uses portmap!
sshd:all:deny
in.telnet：ALL
ALL:ALL EXCEPT 192.168.0.1/255.255.255.0,192.168.1.21,
202.10.5.0/255.255.255.0
注意看：sshd:all:deny表示拒絕了所有sshd遠程連接。:deny可以省略。
3、啟動服務。
注意修改完後：
#service xinetd restart
才能讓剛才的更改生效。

『捌』 linux防火牆iptable如何設置只允許某個ip訪問80埠，只允許特定ip訪問某埠

1、vi /etc/sysconfig/iptables
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -s 192.168.1.2 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -i eth0 -j DROP
COMMIT
2、/etc/init.d/iptables restart
3、iptables -nvL檢查
4、-s 192.168.1.2即只允許192.168.1.2訪問