配置“限定ssh登陆IP”策略,限定登入IP为客户端A的IP(192.168.1.201)。具体配置命令如下:
iptables -A INPUT -p tcp -s 192.168.1.201 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
配置策略禁止这个IP数据传输
iptables -A INPUT -s 69.176.14.76 -j DROP
客户端A,在终端中输入命令:mysql –h 192.168.1.200 –uroot –p(IP地址为服务端IP,我的密码为123456)
封锁MySQL服务(端口3306)向外提供服务,并允许本机访问
iptables -A INPUT -p tcp --dport 3306 -j DROP
iptables -A OUTPUT -p tcp --sport 3306 -j DROP
在服务器上,输入命令:netstat –an,查看端口信息,提示8101端口开启
客户端:telnet 192.168.1.101 8101(192.168.1.101为服务器IP)测试服务端端口8101的开放情况,telnet可以连接,说明端口8101开放
为增加端口8100-8199的安全访问能力,现在设置除服务器自己本身以外的所有机器都不允许访问,除这些端口之外的所有主机不允许访问它。使用命令:
iptables -A INPUT -p tcp -m multiport --dport 8100:8199 -j DROP
客户端输入命令:mysql –uroot –h 192.168.1.101 –p(密码:123456),连接远程服务器的mysql(退出mysql输入命令quit)
对服务器iptables规则进行设置,只对下面这个IP段(客户端A在此IP端内,客户端B不在)开启mysql(mysql数据库的用户名为root,密码为123456)的访问权限。可通过iprange模块来实现
IP段:192.168.1.100-192.168.1.110
命令:
iptables -A INPUT -p tcp -m iprange --src-range 192.168.1.100-192.168.1.110 --dport 3306 -j ACCEPT
在服务器上再设置一条iptables规则,拒绝指定IP段以外的所有IP,输入命令:
iptables –A INPUT –p tcp --dport 3306–j DROP
在服务器上设置系统的检修时间,该时间为每天的1:00-3:00,除该阶段之外的所有时间不允许访问该服务器()。
注意:以下设置的规则都是基于注意:以下设置的规则都是基于UTC时间(默认为时间(默认为UTC时间)时间)UTC时间相当于本初子午线(即经度时间相当于本初子午线(即经度0度度)上的平均太上的平均太阳时,比北京时间晚八个小时,所以设置的时候默认减去阳时,比北京时间晚八个小时,所以设置的时候默认减去8就行,例如以下规则设定的时间段为就行,例如以下规则设定的时间段为1点到点到3点其实所对应的点其实所对应的北京时间实际上是北京时间实际上是9点到点到11点点。
iptables规则:
iptables -I INPUT -m time --timestart 1:00 --timestop 3:00 -p tcp --dport 22 -j ACCEPT
iptables -I INPUT 2 -p tcp --dport 22 -j DROP