iptables防火墙屏蔽恶意IP地址的详细配置教程
使用iptables构筑防线:精准拦截恶意IP地址指南
在服务器运维和网络安全管理中,主动拦截恶意流量是基础且关键的一环。利用系统自带的防火墙工具iptables来阻止特定IP地址,是一种直接高效的做法。下面,我们就来梳理一下具体的操作步骤和命令,帮你快速上手配置。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
1. 阻止单个IP地址
对付一个明确的攻击源,最直接的方法就是将其彻底拒之门外。对应的命令格式非常简单:
sudo iptables -A INPUT -s <恶意IP地址> -j DROP举个例子,如果发现IP地址192.168.1.100正在发起恶意扫描,只需执行:
sudo iptables -A INPUT -s 192.168.1.100 -j DROP这条规则的意思很明确:将所有来自该IP的输入(INPUT)流量,直接丢弃(DROP)。
2. 阻止IP地址范围
有时候,威胁可能来自一个网段,而非单个IP。这时,我们可以使用CIDR表示法或指定IP范围来批量封禁。例如,要屏蔽整个192.168.1.0/24网段,可以这样操作:
sudo iptables -A INPUT -m iprange --src-range 192.168.1.0-192.168.1.255 -j DROP3. 阻止多个IP地址
面对多个分散的恶意IP,方法同样直接——逐条添加规则即可。你可以手动重复执行命令,或者写个简单的脚本来批量处理:
sudo iptables -A INPUT -s 192.168.1.100 -j DROP
sudo iptables -A INPUT -s 192.168.1.101 -j DROP
sudo iptables -A INPUT -s 192.168.1.102 -j DROP4. 阻止特定端口上的恶意IP地址
更精细的策略是,只禁止恶意IP访问特定服务端口,而不影响其他端口的连通性。这尤其适用于保护Web服务器等应用。比如,只想封锁192.168.1.100对80(HTTP)和443(HTTPS)端口的访问:
sudo iptables -A INPUT -p tcp --dport 80 -s 192.168.1.100 -j DROP
sudo iptables -A INPUT -p tcp --dport 443 -s 192.168.1.100 -j DROP5. 保存iptables规则
这里有个至关重要的步骤:默认情况下,通过命令行添加的iptables规则是临时的,系统重启后就会消失。为了让配置持久化,必须将当前规则保存下来。保存方法因Linux发行版而异:
在Debian/Ubuntu上:
sudo iptables-sa ve > /etc/iptables/rules.v4在CentOS/RHEL上:
sudo service iptables sa ve如果你的系统使用的是firewalld,则可以使用这条命令将运行时配置转为永久配置:
sudo firewall-cmd --runtime-to-permanent6. 查看iptables规则
配置完成后,如何确认规则已经生效?使用查看命令,可以清晰地列出所有当前生效的规则,并显示流量统计详情:
sudo iptables -L -v -n注意事项
- 权限问题:操作
iptables通常需要root权限,记得加上sudo。 - 谨慎操作:添加阻止规则前务必再三确认IP地址,避免误封正常的用户或合作伙伴IP,导致业务中断。
- 定期维护:网络安全是动态的,建议定期审查防火墙规则,清理过时的条目,并确保不会阻挡必要的业务流量。
通过以上这些步骤,你就能有效地利用iptables这把利器,为你的系统构筑起一道灵活的访问控制防线,显著提升网络环境的安全性。
相关攻略
Linux系统编程:使用stat()函数精准获取文件inode编号的完整指南 在Linux系统编程中,获取文件的inode编号是一项基础且关键的操作。标准流程是调用stat()系统调用,填充struct stat数据结构,然后访问其st_ino成员。一个常见误区是字段名称:正确的字段是st_ino,
C++如何读取Linux内核生成的Device Tree二进制流【深度】 Linux用户态如何解析内核加载的dtb文件 Linux内核在启动过程中会加载并解析dtb(设备树二进制)文件,将其转换为内部数据结构(如struct device_node)。一个关键限制是:**用户态程序无法直接访问内核内
实战解析:如何用C++精准读取Linux系统的CPU负载信息 在性能监控和系统调优时,CPU使用率是一个绕不开的核心指标。很多开发者第一反应是去调用系统命令,但直接在程序中解析系统数据源,往往能获得更高效、更灵活的解决方案。今天,我们就来深入聊聊如何从 proc stat这个宝藏文件中,用C++提取
用C语言实现目录同步:一个基于readdir的实战示例 在C语言编程实践中,目录同步是文件系统操作中的一项关键任务,广泛应用于数据备份、应用部署和系统管理等场景。readdir函数作为POSIX标准库的重要组成部分,为遍历目录条目提供了高效接口。本文将深入解析如何利用readdir函数构建一个基础目
Node js日志管理最佳实践:提升应用可观测性与排障效率 如何确保您的Node js应用运行稳定、问题排查高效?核心在于构建一套专业的日志管理体系。日志不仅是程序运行的“黑匣子”,更是洞察性能瓶颈、优化代码逻辑、提升运维效率的关键基础设施。以下十项经过验证的实践策略,将帮助您将简单的日志输出转化为
热门专题
热门推荐
H3C路由器登录管理界面提示证书错误,本质是浏览器与设备间SSL TLS安全握手未通过验证,属常见且可快速处置的技术现象。 遇到H3C路由器管理界面弹出“证书错误”的警告,你先别慌。这本质上不是什么大故障,而是浏览器与你的路由器之间在进行安全“握手”时,验证流程没走通。这在设备圈子里其实挺常见,尤其
针式打印机本身不使用墨粉,而是依靠色带击打完成打印,因此不存在“加墨粉”这一操作,更谈不上墨粉对寿命的影响。所谓“给针打加墨粉”的说法,实为混淆了针式打印机与激光打印机的核心成像原理——前者依赖物理撞击使色带染料转印,后者才通过静电吸附墨粉并经高温定影。权威行业资料显示,针式打印机的使用寿命主要取决
针式打印机不能加墨粉,它使用的是物理击打式打印原理,依靠色带盒中的油墨浸润织物带实现字符转印。 这事儿其实很好理解。针式打印机和办公室里常见的激光打印机,完全是两套“武功路数”。后者依赖碳粉在感光鼓上成像,再经过热压定影,过程充满了静电与高温的精密配合。而针式打印机呢?它的核心耗材体系自始至终都围绕
苏泊尔电磁炉的定时功能通常集成在面板主控区,通过“定时”专用按键一键调出 想给炖汤定个时,或者让火锅到点自动关机?这个操作其实就藏在面板的按键区里。苏泊尔电磁炉大多设有一个独立的“定时”键,位置通常在功能键组的右侧或者数字键的上方,图标很好认,不是沙漏就是个小时钟。轻轻一按,配合旁边的“加”和“减”
高端手机5G频段覆盖差异,核心在于对n28与n79等关键频段的支持完整性 说到高端手机的5G体验,一个常被忽略但至关重要的差异,就藏在那些看似枯燥的频段编号里。尤其是n28(700MHz)和n79(4 9GHz)这两个关键频段,它们的支持是否完整,直接决定了手机信号是“真全能”还是“有短板”。低频段