一个伪linux粉丝的blog
  1. 首页
  2. unix/linux
  3. 正文

iptables forbidden port

2020年11月16日 76点热度 0人点赞 0条评论

话说上周五下午,部门正在开全体大会,正好了解一下外区的项目和同事,突然客户有了一个小需求,需要将从 123.1.123.xx 网段访问另一个环境的 30000 以上端口全部禁止掉,还催的很急。

赶紧本地验证,在网上找到一些iptables的介绍,拼接了一下命令。


namp port

 

1.1. 命令

iptables -A INPUT -s 172.16.111.0/24 -p tcp --dport 18018:18085 -j REJECT

也就是禁止 172.16.111.0/24 网段 访问  目标主机的 18018~18085这部分端口,因为当中有一个 18083是实际在工作的 Network Latency Detector 端口,方便测试。

1.2. 规则确认

iptables --list |grep 172

REJECT     tcp  --  172.16.111.0/24      anywhere             tcp dpts:18018:18085 reject-with icmp-port-unreachable

可以看到,防火墙规则已经存在了

1.3. 封锁前

封锁前效果检验

telnet 10.10.150.105 18083

Trying 10.10.150.105...

Connected to 10.10.150.105.

Escape character is '^]'.

^]

1.4. 封锁后

封锁后效果检验

telnet 10.10.150.105 18083

Trying 10.10.150.105...

telnet: connect to address 10.10.150.105: Connection refused

1.5. 进一步验证

可以再进一步检查,不再封锁范围内的、常用且已开放的端口做进一步检查,如80、443、30080等,发现访问畅通。

至此可以验证,封锁指定端口范围是有效的,且不影响其它端口访问。

2. 客户线上环境

基于上面的测试验证,在客户环境所有节点,输入以上命令,并检查规则是否存在即可。

iptables -A INPUT -s 123.1.123.0/24 -p tcp --dport 30000:65535 -j REJECT

iptables --list |grep 123

REJECT     tcp  --  123.1.123.0/24      anywhere             tcp dpts:30000:65535 reject-with icmp-port-unreachable

3. 永久方式

可能 环境这边有点特殊,常规的 service iptables save 保存规则,重启有效方式在这里不灵,后来用了如下2条命令,将规则写入文件,然后开机执行。

echo "iptables -A INPUT -s 172.16.111.0/24 -p tcp --dport 18018:18085 -j REJECT" >> /etc/rc.d/rc.local

chmod +x /etc/rc.d/rc.local

无论怎么重启,都有效了,问题解决。

 

4. 后记

客户环境居然验收不通过,端口居然可以访问,神奇了。

新代码

iptables -t mangle -I PREROUTING -s 192.9.220.0/24 -p tcp --dport 30000:65535 -j DROP
我这里校验方法也换传统的nmap了
nmap -v 10.10.150.105 -p 30000-40000 |grep open
使用前,大概有30多个端口是开通的
使用代码后,直接掉入黑洞了,这批端口段直接无返回

如果指定端口 会有一个 filtered 结果。

nmap 10.10.150.105  -p 32096

PORT      STATE    SERVICE

32096/tcp filtered unknown

Related posts:

  1. debian Shadowsocks-libev
  2. k8s multi cluster management with kubeconfig
  3. grep awk cut sort uniq sort
  4. how to get a free hax.tor.hu shell account
标签: iptables
最后更新:2020年11月23日

WanJie

正经人谁写博客啊?你写博客吗?写出来的那能叫博客?

点赞
< 上一篇
下一篇 >

文章评论

取消回复

分类目录
  • network
  • Uncategorized
  • unix/linux
  • 业界资讯
  • 公司杂事
  • 数码影像
  • 美剧
  • 美图共赏
  • 英语学习

COPYRIGHT © 2008-2021 一个伪linux粉丝的blog. ALL RIGHTS RESERVED.

THEME KRATOS MADE BY VTROIS