• iptables中规则的关系——以只允许某些IP段访问为例


    最近遇到一个问题:服务器被全球的IP频繁试图通过ssh登录。

    于是想到通过iptables防火墙限制访问,达到:仅允许指定ip段访问ssh服务(22端口)。

    关于iptables添加规则的文章有很多,而鲜有介绍规则之间的顺序。因此希望通过这篇文章介绍iptables多条规则之间是如何协同工作的。

    注:作者并没有在此投入很多时间调研,因而以下仅仅是个人理解,有错误之处希望不吝指出。

    假设希望仅仅允许 111.111.0.0/16 IP段ssh登录,而禁止其他所有ip登录。

    最简单的命令是:

    iptables -I INPUT -p tcp --dport 22 -j DROP
    iptables -I INPUT -s 111.111.0.0/16 -p tcp --dport 22 -j ACCEPT

    第一句 禁止了所有对22端口的入访问,第二句允许111.111.0.0/16的访问。

    这两句命令的关键在于 “-I” 选项,这个选项表示将当前规则插入到第一条,因此上面两条执行完之后,新增的两条规则是(用iptables -L 列出所有规则):

    ACCEPT     tcp  --  111.111.0.0/16        anywhere             tcp dpt:ssh
    DROP       tcp  --  anywhere             anywhere             tcp dpt:ssh

    当有新链接请求时,iptables就使用这些规则:

    首先查看第一条:ACCEPT     tcp  --  111.111.0.0/16        anywhere             tcp dpt:ssh

    如果这个ip在地址段里,那么允许。如果不在,才查看下一条规则:

    DROP       tcp  --  anywhere             anywhere             tcp dpt:ssh

    也就是禁止访问。

    这样就实现了最初设定的目标。

    这两条命令存在一个问题,当用户以 ssh登录身份执行时,执行了第一条:iptables -I INPUT -p tcp --dport 22 -j DROP

    后,这条命令被置顶了,从而此时等价实现了“禁止一切ssh”,然后用户就被断开连接了。。。。悲剧

    所以更安全的命令应该如下:
    iptables -I INPUT -s 111.111.0.0/16 -p tcp --dport 22 -j ACCEPT

    iptables -I INPUT 2 -p tcp --dport 22 -j DROP

    即先执行允许访问,再显式的将禁止访问放在第二条。

    通过以上简单分析可以得出:

    iptables对新链接一条一条的查看,直到得出允许/禁止结论,如果在前一条就得出了结论,那么后面的规则都不会起作用。

  • 相关阅读:
    ASP.NET程序中常用的三十三种代码
    .NET面试题之1
    Assembly ‘X’ could not be uninstalled because it is required by another application
    Globalization and Localization
    SQL 2005 Reporting Services:物理分页和逻辑分页 SSRS 2008 report export to PDF Cannot get size to work
    GAC 学习
    Repeating Tablix Headers In SSRS 2008
    How do work with NULL in TSQL
    Visual C++ Native and .NET Interoperability
    C# WinForm开发系列 Reporting Services
  • 原文地址:https://www.cnblogs.com/adjk/p/8269928.html
Copyright © 2020-2023  润新知