117笔记问答在CentOS系统中,使用iptables来限制端口访问是一种常见的安全措施。以下是一些基本的步骤和命令,用于设置iptables规则以限制特定端口的访问。
-
查看当前的iptables规则:
sudo iptables -L
-
允许特定IP访问特定端口: 假设你想允许IP地址为
192.168.1.100的主机访问本机的80端口(HTTP),可以使用以下命令:sudo iptables -A INPUT -p tcp --dport 80 -s 192.168.1.100 -j ACCEPT
-
拒绝所有其他IP访问特定端口: 接下来,你可以添加一条规则来拒绝所有其他IP地址访问80端口:
sudo iptables -A INPUT -p tcp --dport 80 -j DROP
-
限制特定端口的连接速率: 如果你想限制对某个端口的连接速率,可以使用
limit模块。例如,限制每分钟最多10个连接到22端口(SSH):sudo iptables -A INPUT -p tcp --dport 22 -m limit --limit 10/min -j ACCEPT sudo iptables -A INPUT -p tcp --dport 22 -j DROP
-
保存iptables规则: 在CentOS 7及更高版本中,iptables规则默认不会在系统重启后自动保存。你可以使用
firewall-cmd命令来保存规则:sudo firewall-cmd --runtime-to-permanent
-
重启iptables服务: 如果你需要重启iptables服务以应用新的规则,可以使用以下命令:
sudo systemctl restart iptables
-
查看iptables规则: 再次查看iptables规则以确保它们已正确应用:
sudo iptables -L
请注意,iptables规则是按顺序应用的,因此确保你的规则按照预期的逻辑顺序排列。此外,如果你使用的是SELinux,可能还需要配置相应的SELinux策略来允许或拒绝访问。
如果你不熟悉iptables或不确定如何配置规则,建议在进行更改之前咨询有经验的系统管理员或参考相关文档。