117笔记问答在CentOS系统中,使用iptables来阻止恶意IP是一个常见的安全措施。以下是一些基本步骤和命令,用于配置iptables以阻止特定的IP地址或IP范围:
-
登录到服务器: 使用SSH或其他远程访问工具登录到你的CentOS服务器。
-
查看当前的iptables规则: 在添加新规则之前,你可以查看当前的iptables规则,以确保你不会意外地覆盖现有的规则。
sudo iptables -L -n -v
-
阻止单个IP地址: 要阻止一个特定的IP地址,可以使用以下命令:
sudo iptables -A INPUT -s <恶意IP地址> -j DROP
例如,要阻止IP地址为
192.168.1.100的访问,命令将是:sudo iptables -A INPUT -s 192.168.1.100 -j DROP
-
阻止IP地址范围: 如果你想阻止一个IP范围,可以使用CIDR表示法。例如,要阻止
192.168.1.0/24这个网段,可以使用:sudo iptables -A INPUT -m iprange --src-range 192.168.1.0-192.168.1.255 -j DROP
-
阻止特定端口: 如果你想阻止特定IP地址访问服务器的某个端口,可以结合使用
-p(指定协议)和--dport(指定目标端口)选项。例如,要阻止IP地址192.168.1.100访问TCP端口80,可以使用:sudo iptables -A INPUT -s 192.168.1.100 -p tcp --dport 80 -j DROP
-
保存iptables规则: 在CentOS 7及更高版本中,iptables规则默认不会在重启后保留。要保存规则,可以使用
firewall-cmd命令(如果你使用的是firewalld)或者手动保存到配置文件中。sudo service iptables save
或者
sudo iptables-save > /etc/sysconfig/iptables
-
重启iptables服务(如果需要): 如果你更改了规则并希望它们立即生效,可以重启iptables服务:
sudo systemctl restart iptables
请注意,如果你使用的是CentOS 8或更高版本,默认的防火墙管理工具是firewalld,而不是iptables。在这种情况下,你应该使用firewall-cmd命令来管理防火墙规则。
在执行这些操作之前,请确保你有足够的权限,并且了解这些命令的作用,以免错误地阻止了合法的流量。如果你不确定,可以先在测试环境中尝试这些命令。