Frage Iptables: Wie man nur eine IP durch spezifischen Port erlaubt?


Wie kann ich auf meinem Ubuntu-Server in Iptables nur eine IP-Adresse an einem bestimmten Port zulassen?

Vielen Dank


23
2018-05-29 20:32


Ursprung




Antworten:


Einzeiler:

iptables -I INPUT \! --src 1.2.3.4 -m tcp -p tcp --dport 777 -j DROP  # if it's not 1.2.3.4, drop it

Eine elegantere Lösung:

iptables -N xxx # create a new chain
iptables -A xxx --src 1.2.3.4 -j ACCEPT  # allow 1.2.3.4
iptables -A xxx --src 1.2.3.5 -j ACCEPT  # allow 1.2.3.5
iptables -A xxx --src 1.2.3.6 -j ACCEPT  # allow 1.2.3.6
iptables -A xxx -j DROP  # drop everyone else
iptables -I INPUT -m tcp -p tcp --dport 777 -j xxx  # use chain xxx for packets coming to TCP port 777

46
2018-05-29 21:18



Weißt du, ob ich das auch zum OUTPUT hinzufügen soll? - Anonymous12345
@ Camran: Sie müssen genauer sein. In diesem speziellen Fall, wenn Sie ersetzen INPUT mit OUTPUT Sie würden einige Pakete blockieren, die mit einigen Adressen des Servers selbst (und nicht weitergeleitet / weitergeleitet) gesendet wurden. Ich bezweifle, dass dies sinnvoll ist, es sei denn, Sie möchten Programme blockieren, die an bestimmte Schnittstellen gebunden sind. - Cristian Ciupitu
Vergessen Sie nicht, dass Sie Ihre Quellen auch in einer Kette wie folgt angeben können: --src 1.2.3.4/30 - deed02392
Wie würde ich später der Kette eine neue erlaubte IP hinzufügen? Müsste ich zuerst den DROP entfernen, dann den neuen Benutzer eingeben und den DROP erneut einfügen oder gibt es eine bessere Lösung? - maddo7
@Matthias: iptables -I xxx --src 7.8.9.10 -j ACCEPT - Cristian Ciupitu


Hier ist ein Beispiel von einem meiner CentOS-Systeme (Adressen wurden verschleiert):

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -s 1.2.3.4 -d 5.6.7.8 --dport 22 -j ACCEPT

0
2018-05-29 20:54



auf Centos, wo diese Konfiguration dauerhaft ist? (In ubuntu können wir /etc/network/if-up.d/anyfile verwenden) - Kokizzu
Auf CentOS ist es: service iptables save. - Martin Zeitler


Ich benutze Shorewall, um IP-Tabelle zu konfigurieren. Verwenden Sie eine Regel wie von einem Host zu Port 123 zu akzeptieren.

ACCEPT netto: 192.0.2.1 $ FW tcp 1234


0
2018-05-30 00:24