Comparez les prix des domaines et des services informatiques des vendeurs du monde entier

Contrôler IP Pour accéder au serveur en utilisant iptables

J'aimerais utiliser l'équipe linux iptables Pour contrôler pour permettre l'accès au serveur uniquement la même adresse IP de sous-réseau que je voudrais faire, il est de résoudre tous les services de 10.168.1.0 Pour ce serveur, pourrait indiquer que je dois faire, juste pour exécuter la commande suivante sur le serveur, vous n'avez besoin de rien d'autre? remercier

/sbin/iptables -A INPUT -p tcp -s 10.168.1.0 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -s 10.168.1.0 -j ACCEPT
Invité:

Babette

Confirmation de:

Je suppose que votre réseau / 24 (Sinon, changez CIDR / Masque réseau en équipe)

iptables -A INPUT -p tcp -s 10.168.1.0/24 -j ACCEPT
iptables -P INPUT DROP

La première commande permettra à toutes les connexions TCP de 10.168.1.0/24, et la seconde installera des stratégies par défaut pour INPUT sur DROP (Si le paquet ne correspond pas à la première règle, il sera jeté).

PS: Il bloque également tous les paquets UDP entrants. (y compris DNS etc.) Et toutes les autres connexions de l'extérieur (Par exemple, vous ne pourrez pas recevoir de données de l'extérieur). Il est également souhaitable d'ajouter:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Cela vous permettra de retourner des paquets des connexions que vous avez installées à partir du serveur.

Dominique

Confirmation de:

Si vous souhaitez résoudre un sous-réseau complet, vous devez spécifier le sous-réseau comme source.

De plus, si vous souhaitez résoudre tous les services, vous devez supprimer

-p tcp

Parce que cela permet simplement le protocole TCP.

Ensuite, vous devez réinitialiser le trafic indésirable.

iptables -A INPUT -s 10.168.1.0/24 -j ACCEPT
iptables -P INPUT DROP

Vous n'avez vraiment pas besoin

OUTPUT

chain, Si vous avez mis en place iptables Suivre le statut. Dans ce cas, les règles seront telles:

iptables -A INPUT -s 10.168.1.0/24 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP

Si, pour une raison quelconque, le serveur doit initier les connexions aux nœuds de sous-réseau, utilisez

OUTPUT

La chaîne est nécessaire, mais l'original ip

-s

Doit être l'adresse IP de votre serveur (Mais peut aussi être omis), Et vous pouvez spécifier la destination pour permettre uniquement ce sous-réseau:

iptables -A OUTPUT -s serverip -d 10.168.1.0/24 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# or
iptables -A OUTPUT -d 10.168.1.0/24 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# in both cases
iptables -P OUTPUT DROP

Pour répondre aux questions, connectez-vous ou registre