首页 运维 网络学院 查看内容

Linux:使用IPtables阻止端口

2018-8-17 23:45 |来自: 互联网 2106 0

摘要: 由Internet和其他网络协议识别的端口号,使计算机能够与其他人进行交互。每个Linux服务器都有一个端口号(请参阅/ etc / services文件)。例如:TCP端口80 - HTTP服务器TCP端口443 - HTTPS服务器TCP端口25 - 邮件服 ...

由Internet和其他网络协议识别的端口号,使计算机能够与其他人进行交互。每个Linux服务器都有一个端口号(请参阅/ etc / services文件)。例如:

  1. TCP端口80 - HTTP服务器
  2. TCP端口443 - HTTPS服务器
  3. TCP端口25 - 邮件服务器
  4. TCP端口22 - OpenSSH(远程)安全shell服务器
  5. TCP端口110 - POP3(邮局协议v3)服务器
  6. TCP端口143 - Internet消息访问协议(IMAP) - 电子邮件消息的管理
  7. TCP / UDP端口53 - 域名系统(DNS)

阻止传入端口

使用IPtables阻止传入端口的语法如下:

/ sbin / iptables -A INPUT -p tcp --destination-port  { PORT-NUMBER-HERE }  -j DROP
 
###接口部分使用eth1 ### 
/ sbin / iptables -A INPUT -i eth1 -p tcp --destination-port  { PORT-NUMBER-HERE }  -j DROP
 
###只丢弃给定IP或子网的端口## 
/ sbin / iptables -A INPUT -i eth0 -p tcp --destination-port  { PORT-NUMBER-HERE }  -s  { IP-ADDRESS-HERE }  -j DROP
 / sbin / iptables -A INPUT -i eth0 -p tcp --destination-port  { PORT-NUMBER-HERE }  -s  { IP / SUBNET-HERE }  -j DROP

要阻止端口80(HTTP服务器),请输入(或添加到您的iptables shell脚本):
# /sbin/iptables -A INPUT -p tcp --destination-port 80 -j DROP
# /sbin/service iptables save

除IP地址1.2.3.4外,阻止接收端口80

#/ sbin / iptables -A INPUT -p tcp -i eth1 -s!1.2.3.4 --dport 80 -j DROP

阻止传出端口

语法如下:

/ sbin / iptables -A OUTPUT -p tcp --dport  { PORT-NUMBER-HERE }  -j DROP
 
###接口部分使用eth1 ### 
/ sbin / iptables -A OUTPUT -o eth1 -p tcp --dport  { PORT-NUMBER-HERE }  -j DROP
 
###只丢弃给定IP或子网的端口## 
/ sbin / iptables -A OUTPUT -o eth0 -p tcp --destination-port  { PORT-NUMBER-HERE }  -s  { IP-ADDRESS-HERE }  -j DROP
 / sbin / iptables -A OUTPUT -o eth0 -p tcp --destination-port  { PORT-NUMBER-HERE }  -s  { IP / SUBNET-HERE }  -j DROP

要阻止传出端口#25,请输入:您只能阻止端口#1234的IP地址192.168.1.2:
# /sbin/iptables -A OUTPUT -p tcp --dport 25 -j DROP
# /sbin/service iptables save


# /sbin/iptables -A OUTPUT -p tcp -d 192.168.1.2 --dport 1234 -j DROP
# /sbin/service iptables save

如何记录丢弃的端口详细信息?

使用以下语法:

#日志#
###如果您想记录丢弃的数据包到syslog,首先登录其### 
/ sbin目录/ iptables的-A INPUT -m限制--limit  5 /分钟-j LOG --log前缀 “80端口DROP:“ -  log-level  7
 
###现在删除它### 
/ sbin / iptables -A INPUT -p tcp --destination-port  80  -j DROP

如何阻止Cracker(IP:123.1.2.3)访问UDP端口#161?

/ sbin / iptables -A INPUT -s 123.1.2.3 -i eth1 -p udp -m state --state NEW -m udp --dport  161  -j DROP
 

#pall student 192.168.1.0/24子网到端口80 / sbin / iptables -A INPUT -s 192.168.1.0 / 24  -i eth1 -p tcp -m state --state NEW -m tcp --dport  80  -j DROP

如何查看被阻止的端口规则?

使用iptables命令:示例输出:
# /sbin/iptables -L -n -v
# /sbin/iptables -L -n -v | grep port
# /sbin/iptables -L -n -v | grep -i DROP
# /sbin/iptables -L OUTPUT -n -v
# /sbin/iptables -L INPUT -n -v


图01:查看被阻止的端口/ IP
本文出处: https://www.cyberciti.biz/faq/iptables-block-port/
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部