伺服器只允許固定公網ip訪問
㈠ 伺服器開了IP限制,如何只讓特定的IP訪問。
這樣是不是太麻煩了
伺服器不要用默認的埠
然後設置復雜的密碼就可以了
㈡ iptables允許指定IP訪問內網,其它全部拒絕,允許內網訪問全部外網,請大蝦幫忙寫出完整命令行,謝謝
# 內網網口
lan_if=eth0
# 外網網口
wan_if=cloudbr0
wan_vip_ip="192.168.1.102/24 192.168.10.0/24" #外網可以訪問內網的IP或IP網段,如果沒有,可以為""。
# 特定外網IP可以訪問內網,其餘外網IP不能訪問內網
for vip_ip in $wan_vip_ip; do
iptables -A FORWARD -i $wan_if -o $lan_if -s $vip_ip -j ACCEPT iptables -A FORWARD -i $wan_if -o $lan_if -s $vip_ip -j ACCEPT
iptables -A FORWARD -i $wan_if -o $lan_if -s $vip_ip -j ACCEPT
done
iptables -A FORWARD -i $wan_if -o $lan_if -j DROP
# 內網可以訪問外網
iptables -A FORWARD -i $lan_if -o $wan_ip -j ACCEPT
㈢ 如何通過一個公網固定IP訪問內網2台以上的伺服器
如圖中所示,R1和R2模擬成兩台伺服器並且提供相同的服務(地址分別為172.16.1.1 ,172.16.1.2),R3是交換機,R4是邊界路由器也就是內部伺服器的網關所在路由器(內網口地址為172.16.1.254 ),R5充當公網並且有環回口5.5.5.5,在R4上的E0/0(地址為222.222.222.1) 介面開啟PAT,使得內網伺服器可以訪問外網R5的 5.5.5.5
如圖:
這時就進入關鍵性階段了,1:寫一條ACL來匹配公網路由,access-list 2 permit 222.222.222.1
2:定義一個以內部伺服器為地址的池:ip nat pool ccna 172.16.1.1 172.16.1.2 netmask 255.255.255.0 type rotary (最後這兩個一定要有意思就是讓這些地址輪循)
3:將ACL跟地址池關連起來:ip nat inside destination (注意這個不是source) list 2 pool ccna
最後就是在R1,R2的line vty 0 4 下打no login 允許外網的登陸。
這時可以檢驗結果了,,在R5上telnet 222.222.222.1 可以發現第一次時進入R1,第二次就進入R2了,
這 樣就達到了兩個伺服器的負載均衡了。。當然這種情況是在多個伺服器提供相同的服務的前提下才好用。
但是對於內部有多台伺服器要同時開放一個相同的埠但是又只有一個公網IP時該怎麼辦呢?
圖中標出了拓撲的詳細結構,伺服器地址分別為172.16.1.2 和172.16.1.3 ,網關為172.16.1.1 ,然後同樣的跟上邊一個實驗一樣,在邊界路由器做基於介面的PAT轉換,使得伺服器可以訪問公網,然後我們就開始在邊界路由器上配置埠跟ip地址的映射,通常情況下我們都認為映射是這樣寫: ip nat inside source static tcp 172.16.1.2 80 222.222.222.1 80 然後會發現下一台伺服器沒法再做相同埠的映射了,,因此我們就必需改變上面的命令來使得另一台伺服器也可以基於80埠的映射:這進命令就可以改成:ip nat inside source static tcp 172.16.1.2 80 222.222.222.1 100 與
ip nat inside source static tcp 172.16.1.3 80 222.222.222.1 101 這樣的兩條映射。。那麼這樣寫的映射是否真的可行呢?那就讓我們一起來檢驗下成果,首先必需在兩台伺服器上面的HTTP上面寫上一些內容以做為區分。。
最後就是在最右邊的PC上邊打開WEB頁面,輸入地址:222.222.222.1:100 就會看到這個現象,,
說明我們己經可以訪問內部的一台伺服器了。
然後再輸入:222.222.222.1:101 可以看到有
仔細看地址下面的字母兩次登陸時結果是不一樣的。。。這就說明我們可以利用這一個公網IP來映射多個內網的伺服器了。。
㈣ 如何設置IP安全策略,只允許特定IP訪問伺服器
03系統例舉
01.首先打開控制面板,進入「管理工具」,然後雙擊打開「本地安全策略」
02.使用滑鼠右鍵單擊左方的「ip
安全策略,在
本地計算機」選項,並選擇「創建
ip
安全策略」選項
03.點擊「下一步」按鈕
04.設置一個ip策略名稱,例如設置為「埠限制策略」,使用其它名稱也可以
05.點擊「下一步」按鈕
06.去掉「激活默認響應規則」選項的勾
07.點擊「下一步」按鈕
08.點擊「完成」按鈕
09.去掉右導」選項的勾
10.現在先開始添止所有機器訪問伺服器,點擊「添加」按鈕
11.點擊「添加」按鈕
12.設置ip篩選器的名稱,例如設置為「禁止所有機器訪問伺服器」,使用其它名稱也可以
13.點擊「添加」按鈕
14.如果該伺服器不打算上網,則可以將「源地址」設置為「任何
ip
地址」。如果需要上網,建議設置為「一個特定的
ip
子網」,並設置ip地址為與該伺服器ip地址相同的網段,例如伺服器ip地址是192.168.1.10,則可以設置為192.168.1.0,也就是前面3個數字是相同的,後面最後一位填1即可,並設置子網掩碼,這個設置和伺服器子網掩碼一致即可(具體請自行查看伺服器的子網掩碼),如果區域網都是在192.168.1.*的范圍,則直接設置為255.255.255.0即可
15.將「目標地址」設置為「我的
ip
地址」
16.點擊「確定」按鈕
17.點擊「確定」按鈕
18.選擇剛創建的ip篩選器(即12步中設置的名稱)
19.切換到「篩選器操作」選項頁
20.去掉「使用添加向導」選項的勾
21.點擊「添加」按鈕
22.選擇「阻止」選項
23.切換到「常規」選項頁
24.設置篩選器操作名稱,建議設置為「禁止」或「阻止」,使用其它名稱也可以
25.點擊「確定」按鈕
26.選擇剛創建的篩選器操作(即24步設置的名稱)
27.點擊「應用」按鈕
28.點擊「確定」按鈕
29.現在開始添加允許訪問該伺服器的機器,點擊「添加」按鈕
30.點擊「添加」按鈕
31.設置ip篩選器名稱,建議設置為「允許訪問的機器」,使用其它名稱也可以
32.點擊「添加」按鈕
33.將「源地址」設置為「一個特定的
ip
地址」,並設置下方的ip地址為允許訪問該伺服器的ip中的一個(每次只能添加一個,所以需要慢慢添加)
34.設置「目標地址」為「我的
ip
地址」
35.點擊「確定」按鈕
36.重復32至35步將要允許訪問該伺服器的ip全部添加
37.點擊「確定」按鈕
38.選擇剛創建的「ip
篩選器」(即31步設置的名稱)
39.切換到「篩選器操作」選項頁
40.選擇「許可」選項
41.點擊「應用」按鈕
42.點擊「確定」按鈕
43.點擊「確定」按鈕
44.使用滑鼠右鍵單擊剛創建的ip策略(即第4步設置的名稱),並選擇「指派」即可
45.以後需要添加、修改、刪除允許訪問的ip時,可以編輯該ip策略的ip篩選器進行設置
注意:需要注意的是並非設置了ip策略後就能100%保證其它機器無法訪問伺服器,因為如果他人知道您允許哪個ip訪問該伺服器,對方可以修改自己的ip地址,以獲得訪問許可權ip,這樣您的策略就失效了。因此您可能還需要在伺服器上綁定允許訪問該伺服器的ip地址的mac地址(可以使用arp
-s命令來綁定),並在路由器中對這些ip綁定mac地址。不過對方也可以修改mac地址來獲取訪問許可權,因此使用ip安全策略並非絕對安全。
㈤ 網站用ip地址訪問時怎麼實現的
當公網IP地址固定時,可以利用伺服器的IP地址直接訪問。不過,在訪問過程中需要注意埠號的使用情況。通常情況下,如果埠號是80,那麼在輸入IP地址時可以省略埠號。如果埠號不是80,則需要在IP地址後添加相應的埠號。
具體來說,例如你要訪問一個運行在非80埠上的網站,可以這樣輸入:http://123.45.67.89:1234/,其中123.45.67.89是伺服器的IP地址,1234則是指定的埠號。而如果網站運行在默認的80埠上,那麼可以直接輸入:http://123.45.67.89/。
需要注意的是,埠號的選擇非常重要。不同的服務通常使用不同的埠號。常見的埠號分配如下:HTTP使用80埠,HTTPS使用443埠,FTP使用21埠,SSH使用22埠,SMTP使用25埠,IMAP使用143埠等。正確使用埠號,可以確保訪問到正確的服務。
此外,還需要確保防火牆或路由器設置允許通過特定埠的網路流量。這一步驟對於實現從公網訪問伺服器至關重要。如果這些埠被封鎖,那麼即使知道了正確的IP地址和埠號,也無法訪問伺服器上的資源。
總而言之,通過伺服器的IP地址訪問網站時,要根據實際情況正確使用埠號,同時確保網路連接配置允許通過指定埠的訪問。這將有助於順利訪問和使用伺服器上的資源。