Linux 防火墙iptables 禁止某些 IP访问.doc

Linux 防火墙iptables 禁止某些 IP访问 编辑:phper 来源:转载在Linux下，使用ipteables来维护IP规则表。要封停或者是解封IP，其实就是在IP规则表中对入站部分的规则进行添加操作。方法一,过滤一些IP访问本服务器要封停一个IP，使用下面这条命令：代码如下复制代码iptables -I INPUT -s *.*.*.* -j DROP要解封一个IP，使用下面这条命令：代码如下复制代码iptables -D INPUT -s *.*.*.* -j DROP参数-I是表示Insert（添加），-D表示Delete（删除）。后面跟的是规则，INPUT表示入站，*.*.*.*表示要封停的IP，DROP表示放弃连接。此外，还可以使用下面的命令来查看当前的IP规则表：代码如下复制代码iptables -list比如现在要将6这个IP封杀，就输入：代码如下复制代码iptables -I INPUT -s 6 -j DROP要解封则将-I换成-D即可，前提是iptables已经有这条记录。如果要想清空封掉的IP地址，可以输入：代码如下复制代码iptables -flush要添加IP段到封停列表中使用下面的命令：代码如下复制代码iptables -I INPUT -s /8 -j DROP其实也就是将单个IP封停的IP部分换成了Linux的IP段表达式。关于IP段表达式网上有很多详细解说的，这里就不提了。方法二,使用脚本来进行屏蔽1.先下载ip地址文件我们先到IPdeny下载以国家代码编制好的ip地址列表,比如下载cn.zone:wget /ipblocks/data/countries/cn.zone现在有了国家的所有IP地址,要想屏蔽这些 IP 就很容易了,直接写个脚本逐行读取cn.zone文件并加入到iptables中:iptables屏蔽某个国家ip段代码如下复制代码#!/bin/bash# Block traffic from a specific country# written by COUNTRY = cnIPTABLES = /sbin/iptablesEGREP = /bin/egrepif $(id -u) != 0 ; then echo you must be root 1&2 exit 1firesetrules() $IPTABLES -F$IPTABLES -t nat -F$IPTABLES -t mangle -F$IPTABLES -Xresetrulesfor c in $COUNTRYdo country_file = $c.zone IPS = $($EGREP -v #|$ $country_file) for ip in $IPS do echo blocking $ip $IPTABLES -A INPUT -s $ip -j DROP donedoneexit 0方法三，上面两个实例都可以但都不简明，下面我来介绍一下在iptables中，添加两个常用的IP段，其他网段的数据包都DROP了，而不是REJECT（REJECT还要发送ICMP回应包给连接方）。代码如下复制代码# iptables -A INPUT -p tcp -dport 22 -s /8 -j ACCEPT# iptables -A INPUT -p tcp -dport 22 -s /8 -j ACCEPT# iptables -A INPUT -p tcp -dport 22 -j DROP测试：在另外一个机子连接这个VPS，数据包被成功DROP了。代码如下复制代码root293621:# iptables -vLChain INPUT (policy ACCEPT 36 packets, 6257 bytes)pkts bytes target prot opt in out source destination222 16280 ACCEPT tcp - any any /8 anywhere tcp dpt:ssh0 0 ACCEPT tcp