linux限制ip访问端口

‘壹’ linux iptables限制IP访问

• iptables在INPUT链添加规则即可，出站流量(服务器访问外网)不受影响，包括访问出去然后回来的数据包

• 注：INPUT(数据包流入口)，INPUT链默认是拒绝所有，所以添加允许规则即可

例1，允许IP192.168.2.1的IP可以全端口访问我的服务器

iptables-AINPUT-s192.168.2.1/32-jACCEPT

例2，允许IP192.168.2.2的IP可以访问我服务器的80端口

iptables-AINPUT-s192.168.2.2/32-ptcp-mtcp--dport80-jACCEPT

你可以把你现有规则贴出来，默认情况下出站流量回包是不会拦截的

‘贰’ Linux服务器中怎么设置一个端口只能一个IP访问。需要建策略规则么

Linux防火墙Iptable如何设置只允许某个ip访问80端口，只允许特定ip访问某端口？参考下面命令，只允许46.166.150.22访问本机的80端口。如果要设置其他ip或端口，改改即可。
iptables -I INPUT -p TCP --dport 80 -j DROP
iptables -I INPUT -s 46.166.150.22 -p TCP --dport 80 -j ACCEPT
在root用户下执行上面2行命令后，重启iptables， service iptables restart
查看iptables是否生效：
[root@xxxx]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 46.166.150.22 anywhere tcp dpt:http
DROP tcp -- anywhere anywhere tcp dpt:http

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
上面命令是针对整个服务器（全部ip）禁止80端口，如果只是需要禁止服务器上某个ip地址的80端口，怎么办？
下面的命令是只允许来自174.140.3.190的ip访问服务器上216.99.1.216的80端口
iptables -A FORWARD -s 174.140.3.190 -d 216.99.1.216 -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A FORWARD -d 216.99.1.216 -p tcp -m tcp --dport 80 -j DROP
如果您不熟悉linux的ssh命令，那么可以在webmin/virtualmin面板中设置，达到相同效果。参考：webmin面板怎样设置允许特定ip访问80端口，禁止80端口

更多iptables参考命令如下：
1.先备份iptables

# cp /etc/sysconfig/iptables /var/tmp

需要开80端口，指定IP和局域网

下面三行的意思：

先关闭所有的80端口

开启ip段192.168.1.0/24端的80口

开启ip段211.123.16.123/24端ip段的80口

# iptables -I INPUT -p tcp --dport 80 -j DROP
# iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
# iptables -I INPUT -s 211.123.16.123/24 -p tcp --dport 80 -j ACCEPT

以上是临时设置。

2.然后保存iptables

# service iptables save

3.重启防火墙

#service iptables restart

‘叁’ linux如何禁止某个ip连接服务器

两个文件是控制远程访问设置的，通过设置这个文件可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。

如 果请求访问的主机名或IP不包含在/etc/hosts.allow中，那么tcpd进程就检查/etc/hosts.deny。看请求访问的主机名或 IP有没有包含在hosts.deny文件中。如果包含，那么访问就被拒绝；如果既不包含在/etc/hosts.allow中，又不包含在/etc /hosts.deny中，那么此访问也被允许。

文件的格式为：<daemon list>:<client list>[:<option>:<option>:...]

daemon list：服务进程名列表，如telnet的服务进程名为in.telnetd

client list：访问控制的客户端列表，可以写域名、主机名或网段，如.python.org或者192.168.1.
option：可选选项，这里可以是某些命令，也可以是指定的日志文件

文件示例：hosts.deny文件

in.telnetd:.python.org

vsftpd:192.168.0.

sshd:192.168.0.0/255.255.255.0

第一行vpser.net表示，禁止python.org这个域里的主机允许访问TELNET服务，注意前面的那个点高老(.)。

第二行表示，禁止192.168.0这个网段的用户允许访问FTP服务，注意0后面的点(.)。

‘肆’ linux如何限制端口可被访问的区域

1、查看系统对外开放的端口

netstat -tunlp

把里面的端口全在/etc/sysconfig/iptables文件里配置一下，如果没有这个iptables文件，就创建一个

2、编辑/etc/sysconfig/iptables，如下：

# Generated by iptables-save v1.4.7 on Fri Aug 21 23:24:02 2015
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 111 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8040 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8042 -j ACCEPT
-A INPUT -p udp -m udp --dport 111 -j ACCEPT
-A INPUT -p udp -m udp --dport 631 -j ACCEPT
-A INPUT -p udp -m udp --dport 48894 -j ACCEPT
-A INPUT -p udp -m udp --dport 923 -j ACCEPT
-A INPUT -p udp -m udp --dport 942 -j ACCEPT

-A INPUT -s 192.168.61.163 -p tcp -m tcp --dport 0:65535 -j ACCEPT
-A INPUT -s 192.168.61.164 -p tcp -m tcp --dport 0:65535 -j ACCEPT
-A INPUT -s 1192.168.61.165 -p tcp -m tcp --dport 0:65535 -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Fri Aug 21 23:24:02 2015

里面还配置了三台相近的服务器所有端口都可以访问

3、配置完之后重启防火墙就可以了

service iptables restart

‘伍’ Linux——iptables 禁止 IP和端口

禁止指定 IP

禁止指定 IP段

禁止指定 IP和端口

查看当前的IP规则列表

用命令 iptables -vnL 查看效果：

参数扮高-I是表示 Insert （添加），-D表示 Delete （删除）。后面跟的是规则， INPUT 表示入站，10.0.28.15表示要封停的IP， DROP 表示蔽卜放弃连接。

限宏缺穗制syn并发的次数以及同一个IP 新建连接数的数量

‘陆’ Linux下如何用iptables限制某段IP访问服务器

1. 比如：要禁止22.22.0.0/24这个段的ip
   

   iptables -A INPUT -p tcp -s 22.22.0.0/24 -j DROP
   

   service iptables restart

   
   

2. iptables -A INPUT -p tcp -s 22.22.0.0/24 -j DROP这句话理解下

   -A add的意思：附件到

   INPUT 进入的流量这个链

   -p tcp 对应的协议tcp

   -s 22.22.0.0/24 source ip原地址为22.22.0.0/24这个段

   -j DROP jump drop 跳转到忽略操作

‘柒’ linux 如何禁止IP访问http服务器

Linux系统中，如果需要禁止特定ip地址访问来保证系统的安全，只需通过操作iptalbes来实现，下面就给绍下Linux如何禁止某个ip地址访问。
一、概述
这两个文件是tcpd服务器的配置文件，tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下：
#服务进程名:主机列表:当规则匹配时可选的命令操作
server_name:hosts-list[:command]
/etc/hosts.allow控制可以访问本机的IP地址，/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突，以/etc/hosts.deny为准。
/etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置的，可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。
比如SSH服务，通常只对管理员开放，那就可以禁用不必要的IP，而只开放管理员可能使用到的IP段。
二、配置
1、修改/etc/hosts.allow文件
#
# hosts.allow This file describes the names of the hosts which are
# allowed to use the local INET services, as decided
# by the ‘/usr/sbin/tcpd’ server.
#
sshd:210.13.218.*:allow
sshd:222.77.15.*:allow
all:218.24.129.110 #表示接受110这个ip的所有请求！
in.telnetd：140.116.44.0/255.255.255.0
in.telnetd：140.116.79.0/255.255.255.0
in.telnetd：140.116.141.99
in.telnetd：LOCAL
smbd:192.168.0.0/255.255.255.0 #允许192.168.0.网段的IP访问smbd服务
#sendmail:192.168.1.0/255.255.255.0
#pop3d:192.168.1.0/255.255.255.0
#swat:192.168.1.0/255.255.255.0
pptpd:all EXCEPT 192.168.0.0/255.255.255.0
httpd:all
vsftpd:all
以上写法表示允许210和222两个ip段连接sshd服务（这必然需要hosts.deny这个文件配合使用），当然:allow完全可以省略的。
ALL要害字匹配所有情况，EXCEPT匹配除了某些项之外的情况，PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。
2、修改/etc/hosts.deny文件
#
# hosts.deny This file describes the names of the hosts which are
# *not* allowed to use the local INET services, as decided
# by the ‘/usr/sbin/tcpd’ server.
#
# The portmap line is rendant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow. In particular
# you should know that NFS uses portmap!
sshd:all:deny
in.telnet：ALL
ALL:ALL EXCEPT 192.168.0.1/255.255.255.0,192.168.1.21,
202.10.5.0/255.255.255.0
注意看：sshd:all:deny表示拒绝了所有sshd远程连接。:deny可以省略。
3、启动服务。
注意修改完后：
#service xinetd restart
才能让刚才的更改生效。

‘捌’ linux防火墙iptable如何设置只允许某个ip访问80端口，只允许特定ip访问某端口

1、vi /etc/sysconfig/iptables
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -s 192.168.1.2 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -i eth0 -j DROP
COMMIT
2、/etc/init.d/iptables restart
3、iptables -nvL检查
4、-s 192.168.1.2即只允许192.168.1.2访问