Porównaj ceny domen i usług IT, sprzedawców z całego świata

Kontroluj IP w celu uzyskania dostępu do serwera za pomocą iptables


Chciałbym użyć polecenia linux iptables, aby umożliwić dostęp tylko do tego samego adresu IP podsieci, co chciałbym zrobić, to zezwolić na wszelkie usługi od 10.168.1.0 do tego serwera, może doradzić, co muszę zrobić, po prostu nie musisz robić nic więcej, aby uruchomić następujące polecenie na serwerze? podziękować
/sbin/iptables -A INPUT -p tcp -s 10.168.1.0 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -s 10.168.1.0 -j ACCEPT

Zaproszony:
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Zakładam, że twoja sieć to/24 (jeśli nie, zmień CIDR/maskę sieci w poleceniu)
iptables -A INPUT -p tcp -s 10.168.1.0/24 -j ACCEPT
iptables -P INPUT DROP

Pierwsza komenda zezwoli na wszystkie połączenia TCP od 10.168.1.0/24, a druga ustawi domyślną politykę INPUT na DROP (jeśli pakiet nie pasuje do pierwszej reguły, zostanie odrzucony).
PS: spowoduje to również zablokowanie wszelkich przychodzących pakietów UDP (w tym DNS itp.) Oraz wszystkich innych połączeń z zewnątrz (na przykład nie będzie można odbierać danych z zewnątrz). Wskazane jest również dodanie:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Umożliwi to zwrócenie pakietów z połączeń nawiązanych z serwera.
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Jeśli chcesz zezwolić na pełną podsieć, musisz określić podsieć jako źródło.
Ponadto, jeśli chcesz zezwolić na jakiekolwiek usługi, powinieneś odinstalować
         -p tcp
ponieważ umożliwia tylko protokół TCP.
Wtedy będziesz musiał zrzucić niechciany ruch.
iptables -A INPUT -s 10.168.1.0/24 -j ACCEPT
iptables -P INPUT DROP

Na pewno nie potrzebujesz
         OUTPUT
chain, jeśli skonfigurowałeś iptables do śledzenia stanu. W takim przypadku zasady będą następujące:
iptables -A INPUT -s 10.168.1.0/24 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP

Jeśli z jakiegoś powodu serwer musi zainicjować połączenia z hostami w podsieci, użyj
         OUTPUT
łańcuch jest potrzebny, ale oryginalny ip
         -s
musi być adresem IP twojego serwera (ale można go również pominąć) i możesz określić miejsce docelowe, aby zezwalać tylko na daną podsieć:
iptables -A OUTPUT -s serverip -d 10.168.1.0/24 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# or
iptables -A OUTPUT -d 10.168.1.0/24 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT# in both cases
iptables -P OUTPUT DROP

Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się