关于iptables 允许和禁止IP访问服务器的问题。求救！

wzxll · 发表于 2007-11-9 09:29:55

我有一个服务器，只想一个地区访问，用iptables已经禁止了很多IP段，效果很好，但也有漏网的IP，所以我想，只允许小部分网段可以访问，其他的全部禁止，该怎么配置？debian 4.0 谢谢大家，万分火急啊。。。。

wzxll · 发表于 2007-11-9 12:05:07

T_T

T_T

x11 · 发表于 2007-11-9 12:44:44

把INPUT的缺省policy设成deny，把允许的ip设到规则里

wzxll · 发表于 2007-11-9 13:31:21

谢谢，偶不明白。。。。。。。。。。。
能给出语句吗

wzxll · 发表于 2007-11-9 16:12:13

T_T

T_T

huangxmooo · 发表于 2007-11-9 18:59:32

# 先禁止所有人的访问, 注意：如果是通过ssh远程管理服务器，那么在做这个之前，一定要把ssh的规则先设置好
sudo iptables -t filter -P INPUT DROP

# 允许某个网段的人访问，以端口80为例
sudo iptables -t filter -I INPUT -p tcp -s 200.144.133.0/24 --dport 80 -j ACCEPT

这两条语句综合起来，将只会允许200.144.133.0这个网段访问服务器的80端口

wzxll · 发表于 2007-11-10 00:48:44

sudo iptables -t filter -I INPUT -s 200.144.133.0/24 -j ACCEPT

这样子的话，就是全部端口都不允许访问吗

高热 · 发表于 2007-11-10 10:26:33

你这样搞，会导致自己的机器无法上网，
正确的方法是把SYN包给drop掉。

wzxll · 发表于 2007-11-10 10:56:42

Post by 高热;1780222
你这样搞，会导致自己的机器无法上网，
正确的方法是把SYN包给drop掉。

如何做?
我只想不被攻击
FYN_WAIT 太多了

huangxmooo · 发表于 2007-11-11 23:52:17

Post by 高热;1780222
你这样搞，会导致自己的机器无法上网，
正确的方法是把SYN包给drop掉。

iptables的设置当然不会这么简单，这里我只是给出一个简单的例子，说明一下步骤。要在这都帮楼主写出来，不太实际，我毕竟不知道他详细的需求。建议楼主自己读一下iptables的manpage，虽然很长，但是这是好习惯。

		自动登录	找回密码
密码			注册

关于iptables 允许和禁止IP访问服务器的问题。求救！

浏览过的版块