linux防火墻如何阻止ip訪問

　　我想設置下linux防火墻阻止某些ip的訪問，用什么方法好呢?下面由學習啦小編給你做出詳細的linux防火墻阻止ip訪問設置方法介紹!希望對你有幫助!

　　linux防火墻阻止ip訪問設置方法一：

　　Linux系統(tǒng)中，如果需要禁止特定ip地址訪問來保證系統(tǒng)的安全，只需通過操作iptalbes來實現(xiàn)，下面就給紹下Linux如何禁止某個ip地址訪問。

　　linux防火墻阻止ip訪問一、概述

　　這兩個文件是tcpd服務器的配置文件，tcpd服務器可以控制外部IP對本機服務的訪問。這兩個配置文件的格式如下：

　　#服務進程名:主機列表:當規(guī)則匹配時可選的命令操作

　　server_name:hosts-list[:command]

　　/etc/hosts.allow控制可以訪問本機的IP地址，/etc/hosts.deny控制禁止訪問本機的IP。如果兩個文件的配置有沖突，以/etc/hosts.deny為準。

　　/etc/hosts.allow和/etc/hosts.deny兩個文件是控制遠程訪問設置的，可以允許或者拒絕某個ip或者ip段的客戶訪問linux的某項服務。

　　比如SSH服務，通常只對管理員開放，那就可以禁用不必要的IP，而只開放管理員可能使用到的IP段。

　　linux防火墻阻止ip訪問二、配置

　　1、修改/etc/hosts.allow文件

　　# hosts.allow This file describes the names of the hosts which are

　　# allowed to use the local INET services, as decided

　　# by the ‘/usr/sbin/tcpd’ server.

　　sshd:210.13.218.*:allow

　　sshd:222.77.15.*:allow

　　all:218.24.129.110 #表示接受110這個ip的所有請求!

　　in.telnetd：140.116.44.0/255.255.255.0

　　in.telnetd：140.116.79.0/255.255.255.0

　　in.telnetd：140.116.141.99

　　in.telnetd：LOCAL

　　smbd:192.168.0.0/255.255.255.0 #允許192.168.0.網(wǎng)段的IP訪問smbd服務

　　#sendmail:192.168.1.0/255.255.255.0

　　#pop3d:192.168.1.0/255.255.255.0

　　#swat:192.168.1.0/255.255.255.0

　　pptpd:all EXCEPT 192.168.0.0/255.255.255.0

　　httpd:all

　　vsftpd:all

　　以上寫法表示允許210和222兩個ip段連接sshd服務(這必然需要hosts.deny這個文件配合使用)，當然:allow完全可以省略的。

　　ALL要害字匹配所有情況，EXCEPT匹配除了某些項之外的情況，PARANOID匹配你想控制的IP地址和它的域名不匹配時(域名偽裝)的情況。

　　2、修改/etc/hosts.deny文件

　　# hosts.deny This file describes the names of the hosts which are

　　# *not* allowed to use the local INET services, as decided

　　# by the ‘/usr/sbin/tcpd’ server.

　　# The portmap line is redundant, but it is left to remind you that

　　# the new secure portmap uses hosts.deny and hosts.allow. In particular

　　# you should know that NFS uses portmap!

　　sshd:all:deny

　　in.telnet：ALL

　　ALL:ALL EXCEPT 192.168.0.1/255.255.255.0,192.168.1.21,

　　202.10.5.0/255.255.255.0

　　注意看：sshd:all:deny表示拒絕了所有sshd遠程連接。:deny可以省略。

　　3、啟動服務。

　　注意修改完后：

　　#service xinetd restart

　　才能讓剛才的更改生效。

　　linux防火墻阻止ip訪問設置方法二：

　　linux下要使用iptables限制只有指定的ip才能訪問本機則需要先設置一個默認的規(guī)則

　　iptables有默認的規(guī)則，它可以適用于所有的訪問

　　因為只有指定或特定的ip地址才能訪問本機

　　所以可以將默認的規(guī)則設置為所有訪問全部阻止(當然這里需要注意下，如果你要設置的機器是在遠端，比如vps則需要注意在設置默認規(guī)則的同時要將與該服務器鏈接的ip添加進白名單，否則在設置完默認阻止后你也無法訪問這臺服務器，也無法再進行操作了，我們可以使用分號;或者&&來在同一個命令行下來完成默認阻止和將自己的ip添加進白名單，假如你的ip地址為1.2.3.4則可以這樣輸入iptables -P INPUT DROP;iptables -A INPUT -s 1.2.3.4 -p tcp -j ACCEPT，或者也可以指定一個端口)

　　設置默認規(guī)則后則可以添加白名單了

　　比如允許2.3.4.5訪問則可以

　　iptables -A INPUT -s 2.3.4.5 -p tcp -j ACCEPT

　　如果要限定的不是整個服務器而只是該服務器中的某個服務

　　比如web服務(一般端口在80，https在443)

　　則我們可以使用0.0.0.0/0來阻止所有的ip地址

　　iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j DROP

　　iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 443 -j DROP

　　來阻止所有訪問web服務器的ip地址

　　然后再添加指定的ip到白名單

　　比如添加1.2.3.4，我們可以

　　iptables -A INPUT -s 1.2.3.4 -p tcp --dport 80 -j ACCEPT

　　如果我們允許某個網(wǎng)段下的所有ip都可以訪問的話比如1.2.3.[0-255]，我們可以

　　iptables -A INPUT -s 1.2.3.0/24 -p tcp --dport -j ACCEPT

　　總之不管是阻止所有的服務還是只阻止指定的服務

　　我們可以先將默認的規(guī)則設置為所有ip都不可訪問

　　然后再手動添加ip地址到白名單

　　看了“linux防火墻如何阻止ip訪問 ”文章的還看了：

1.怎樣在Linux上高效阻止惡意IP地址

2.LINUX防火墻常用操作

3.Linux防火墻怎么開放特定端口

4.如何在RedHat Linux設置防火墻

5.如何關閉linux的防火墻

6.Linux操作系統(tǒng)下如何設置防火墻