linux禁止某ip访问
很简单,比如说允许192.168.1.0/24网段可以访问,同时,禁止192.168.0.0/24网段,只需要打开/etc/hosts.allow,输入vsftpd: 192.168.1.0/24,打开/etc/hosts.deny,输入vsftpd: 192.168.0.0/24即可,输入完毕后,配置立即生效 。如果要允许或者禁止某个ip地址访问vsftpd,设置方法类似~ 因为vsftpd服务时Tcp Wrappers相关的,只要是与Tcp Wrappers相关的服务,都可以再/etc/hosts.allow和/etc/hosts.deny文件中配置访问权限。
㈡ 本机为linux系统,如何禁止本机访问指定ip
在防火墙中添加规则就可以。
㈢ linux中如何限制IP访问服务器
在服务器上进行如下命令操作进行规则设置即可:
#iptables -AINPUT-s ip段/网络位数 -j DROP
例如:禁止172.16.1.0/24网段访问服务器,直接在服务器上用命令就可以实现
#iptables -AINPUT-s 172.16.1.0/24 -j DROP (添加规则,所有来自这个网段的数据都丢弃)
#/etc/rc.d/init.d/iptables save (保存规则)
#service iptables restart (重启iptables服务以便生效)
㈣ linux 如何禁止IP访问http服务器
Linux系统中,如果需要禁止特定ip地址访问来保证系统的安全,只需通过操作iptalbes来实现,下面就给绍下Linux如何禁止某个ip地址访问。
一、概述
这两个文件是tcpd服务器的配置文件,答闭tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:
#服务进程名:主机列表:当规则匹配时可选的命令操作
server_name:hosts-list[:command]
/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。
/etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置的,可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。
比如SSH服务,通常只对管理员开放,那就可以禁用不必要的IP,而只开放管理员可能使用到的IP段。
二、配置
1、修改/etc/hosts.allow文件
#
# hosts.allow This file describes the names of the hosts which are
# allowed to use the local INET services, as decided
# by the ‘/usr/sbin/tcpd’ server.
#
sshd:210.13.218.*:allow
sshd:222.77.15.*:allow
all:218.24.129.110 #表示接受110这个ip的老举碧所有请求!
in.telnetd:140.116.44.0/255.255.255.0
in.telnetd:140.116.79.0/255.255.255.0
in.telnetd:140.116.141.99
in.telnetd:LOCAL
smbd:192.168.0.0/255.255.255.0 #允许192.168.0.网段的IP访问smbd服务
#sendmail:192.168.1.0/255.255.255.0
#pop3d:192.168.1.0/255.255.255.0
#swat:192.168.1.0/255.255.255.0
pptpd:all EXCEPT 192.168.0.0/255.255.255.0
httpd:all
vsftpd:all
以上写法表示允许210和222两个ip段连接sshd服务(这必然需要hosts.deny这个文件配合使用),当然:allow完全可以省略的。
ALL要害字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。
2、修改/etc/hosts.deny文件
#
# hosts.deny This file describes the names of the hosts which are
# *not* allowed to use the local INET services, as decided
# by the ‘/usr/sbin/tcpd’ server.
#
# The portmap line is rendant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow. In particular
# you should know that NFS uses portmap!
sshd:all:deny
in.telnet:ALL
ALL:ALL EXCEPT 192.168.0.1/255.255.255.0,192.168.1.21,
202.10.5.0/255.255.255.0
注意看:sshd:all:deny表示拒绝了所有sshd远程连接。:deny可以省略。
3、启动服务侍举。
注意修改完后:
#service xinetd restart
才能让刚才的更改生效。
㈤ linux怎么禁止访问某个ip
在服务器上进行如下命令操作进行规则设置即可:
#iptables -A INPUT -s ip段/网络位数 -j DROP
例如:禁止172.16.1.0/24网段访问服务器,直接在服务器上用命令就可以实现
#iptables -A INPUT -s 172.16.1.0/24 -j DROP (添加规则,所有来自这个网段的数据都丢弃)
#/etc/rc.d/init.d/iptables save (保存规则)
#service iptables restart (重启iptables服务以便升效)
㈥ 如何在Linux上高效阻止恶意IP地址
在Linux中,只要借助netfilter/iptables框架,就很容易实现阻止IP地址这一目的:
$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP
如果你想要禁止某一整个IP地址区段,也能同样做到这一点:
$ sudo iptables -A INPUT -s 1.1.2.0/24 -p TCP -j DROP
不过,要是你有1000个没有共同CIDR(无类别域间路由)前缀的独立IP地址想要禁止访问,该如何是好?那你就要设定1000个iptables规则!很显然这种方法不具有良好的扩展性。
$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP
$ sudo iptables -A INPUT -s 2.2.2.2 -p TCP -j DROP
$ sudo iptables -A INPUT -s 3.3.3.3 -p TCP -j DROP
. . . .
何谓IP集?
这时候,IP集(IP set)就能派得上大用场。IP集是一种内核功能,允许多个(独立)IP地址、MAC地址或者甚至多个端口号高效地编码并存储在比特图/散列内核数据结构里面。一旦创建了IP集,就能创建与该集匹配的iptables规则。
你应该会立马看到使用IP集带来的好处,那就是你只要使用一个iptables规则,就能够与IP集中的多个IP地址进行匹配!你可以结合使用多个IP地址和端口号来构建IP集,还可以用IP集动态更新iptables规则,对性能根本没有任何影响。
将IPset工具安装到Linux上
想创建并管理IP集,你就需要使用一种名为ipset的用户空间工具。
想将ipset安装到Debian、Ubuntu或Linux Mint上:
$ sudo apt-get install ipset
想将ipset安装到Fedora或CentOS/RHEL 7上:
$ sudo yum install ipset
使用IPset命令禁止IP地址
不妨让我通过几个简单的例子,具体介绍如何使用ipset命令。
首先,不妨创建一个新的IP集,名为banthis(名称随意):
$ sudo ipset create banthis hash:net
上述命令中的第二个变量(hash:net)必不可少,它代表了所创建的集的类型。IP集有多种类型。hash:net类型的IP集使用散列来存储多个CIDR区段。如果你想在该集中存储单个的IP地址,可以改而使用hash:ip类型。
一旦你创建了一个IP集,就可以使用该命令来检查该集:
$ sudo ipset list
这显示了可用IP 集的列表,另外还显示了每个集的详细信息,其中包括集成员。默认情况下,每个IP集可以最多含有65536个元素(这里是CIDR区段)。你只要在后面添加“maxelem N”选项,就可以调大这个极限值。
$ sudo ipset create banthis hash:net maxelem 1000000
现在不妨将IP地址区段添加到该集:
$ sudo ipset add banthis 1.1.1.1/32
$ sudo ipset add banthis 1.1.2.0/24
$ sudo ipset add banthis 1.1.3.0/24
$ sudo ipset add banthis 1.1.4.10/24
你会发现,集成员已发生了变化。
$ sudo ipset list
现在可以使用该IP集来创建一个iptables规则了。这里的关键在于,使用“-m set --match-set ”这个选项。
不妨创建一个iptables规则,阻止该集中的所有那些IP地址区段通过端口80访问网站服务器。这可以通过这个命令来实现:
$ sudo iptables -I INPUT -m set --match-set banthis src -p tcp --destination-port 80 -j DROP
如果你想,还可以将特定的IP集保存到一个文件中,然后以后可以从该文件来恢复:
$ sudo ipset save banthis -f banthis.txt
$ sudo ipset destroy banthis
$ sudo ipset restore -f banthis.txt
在上述命令中,我试着使用destroy选项来删除现有的IP集,看看我能不能恢复该IP集。
自动禁止IP地址
至此,你应该会看到IP集这个概念有多强大。仍然维持一份最新的IP黑名单可能是件麻烦又费时的活儿。实际上,现在外头有一些免费服务或收费服务可以为你维护这些IP黑名单。另外,不妨看一下我们如何可以将可用IP黑名单自动转换成IP集。
我暂且从免费或收费发布各种IP阻止列表的iblocklist.com获取免费的IP列表。提供了P2P格式的免费版本。
我要使用一款名为iblocklist2ipset的开源python工具,这个工具可以将P2P版本的iblocklist转换成IP sets。
首先,你需要安装好pip(想安装pip,请参阅这篇指导文章:http://ask.xmolo.com/install-pip-linux.html)。
然后安装iblocklist2ipset,具体如下所示。
$ sudo pip install iblocklist2ipset
在Fedora之类的一些发行版上,你可能需要运行这个命令:
$ sudo python-pip install iblocklist2ipset
现在进入到iblocklist.com,获取任何P2P列表URL(比如“level1”列表)。
然后将该URL粘贴到下面这个命令中:
$ iblocklist2ipset generate \
--ipset banthis "http://list.iblocklist.com/?list=ydxerpxkpcfqjaybcssw&fileformat=p2p&archiveformat=gz" \
> banthis.txt
在你运行上述命令后,你就创建了一个名为bandthis.txt的文件。如果你检查其内容,就会看到类似以下的内容:
create banthis hash:net family inet hashsize 131072 maxelem 237302
add banthis 1.2.4.0/24
add banthis 1.2.8.0/24
add banthis 1.9.75.8/32
add banthis 1.9.96.105/32
add banthis 1.9.102.251/32
add banthis 1.9.189.65/32
add banthis 1.16.0.0/14
你可以使用ipset命令,就能轻松装入该文件:
$ sudo ipset restore -f banthis.txt
现在,用下面这个命令检查自动创建的IP集:
$ sudo ipset list banthis
截至本文截稿时,“level1”阻止列表含有237000多个IP地址区段。你会发现,许多IP地址区段已经被添加到了IP集中。
最后,只需创建一个iptables规则,就能阻止所有这些地址!
㈦ Linux下如何用iptables限制某段IP访问服务器
比如:要禁止22.22.0.0/24这个段的ip
iptables -A INPUT -p tcp -s 22.22.0.0/24 -j DROP
service iptables restart
iptables -A INPUT -p tcp -s 22.22.0.0/24 -j DROP这句话理解下
-A add的意思:附件到
INPUT 进入的流量这个链
-p tcp 对应的协议tcp
-s 22.22.0.0/24 source ip原地址为22.22.0.0/24这个段
-j DROP jump drop 跳转到忽略操作
㈧ 如何使用Linux的iptables来限制某些IP
写防火墙规则就可以了。
例如:(正拦1)允许192.168.1.0/24网段的主机访问Linux系统
防火墙规则:iptables -A INPUT -s 192.168.1.0/24 -j ACCRPT
(2)拒绝来自192.168.5.8的主机访蔽清局问Linux系统
防火墙规则为:iptables -A INPUT -s 192.168.5.8 -j DROP
根据不同的要求宏让来编写不同的规则就可以了.
㈨ linux如何禁止某个ip连接服务器
两个文件是控制远程访问设置的,通过设置这个文件可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。
如 果请求访问的主机名或IP不包含在/etc/hosts.allow中,那么tcpd进程就检查/etc/hosts.deny。看请求访问的主机名或 IP有没有包含在hosts.deny文件中。如果包含,那么访问就被拒绝;如果既不包含在/etc/hosts.allow中,又不包含在/etc /hosts.deny中,那么此访问也被允许。
文件的格式为:<daemon list>:<client list>[:<option>:<option>:...]
daemon list:服务进程名列表,如telnet的服务进程名为in.telnetd
client list:访问控制的客户端列表,可以写域名、主机名或网段,如.python.org或者192.168.1.
option:可选选项,这里可以是某些命令,也可以是指定的日志文件
文件示例:hosts.deny文件
in.telnetd:.python.org
vsftpd:192.168.0.
sshd:192.168.0.0/255.255.255.0
第一行vpser.net表示,禁止python.org这个域里的主机允许访问TELNET服务,注意前面的那个点高老(.)。
第二行表示,禁止192.168.0这个网段的用户允许访问FTP服务,注意0后面的点(.)。
㈩ Linux 禁止某个IP地址访问的几种方法
在服务器上进行如下命令操作进行规则设置即可: #iptables -A INPUT -s ip段/网络位数 -j DROP 例如:禁止172.16.1.0/24网段访问服务器,直接在服务器上用命令就可以实现 #iptables -A INPUT -s 172.16.1.0/24 -j DROP