一个伪linux粉丝的blog

  1. 首页
  2. unix/linux
  3. 正文

iptables forbidden port

11月 16, 2020 344点热度 0人点赞 0条评论

话说上周五下午,部门正在开全体大会,正好了解一下外区的项目和同事,突然客户有了一个小需求,需要将从 123.1.123.xx 网段访问另一个环境的 30000 以上端口全部禁止掉,还催的很急。

赶紧本地验证,在网上找到一些iptables的介绍,拼接了一下命令。


namp port

 

1.1. 命令

iptables -A INPUT -s 172.16.111.0/24 -p tcp --dport 18018:18085 -j REJECT

也就是禁止 172.16.111.0/24 网段 访问  目标主机的 18018~18085这部分端口,因为当中有一个 18083是实际在工作的 Network Latency Detector 端口,方便测试。

1.2. 规则确认

iptables --list |grep 172

REJECT     tcp  --  172.16.111.0/24      anywhere             tcp dpts:18018:18085 reject-with icmp-port-unreachable

可以看到,防火墙规则已经存在了

1.3. 封锁前

封锁前效果检验

telnet 10.10.150.105 18083

Trying 10.10.150.105...

Connected to 10.10.150.105.

Escape character is '^]'.

^]

1.4. 封锁后

封锁后效果检验

telnet 10.10.150.105 18083

Trying 10.10.150.105...

telnet: connect to address 10.10.150.105: Connection refused

1.5. 进一步验证

可以再进一步检查,不再封锁范围内的、常用且已开放的端口做进一步检查,如80、443、30080等,发现访问畅通。

至此可以验证,封锁指定端口范围是有效的,且不影响其它端口访问。

2. 客户线上环境

基于上面的测试验证,在客户环境所有节点,输入以上命令,并检查规则是否存在即可。

iptables -A INPUT -s 123.1.123.0/24 -p tcp --dport 30000:65535 -j REJECT

iptables --list |grep 123

REJECT     tcp  --  123.1.123.0/24      anywhere             tcp dpts:30000:65535 reject-with icmp-port-unreachable

3. 永久方式

可能 环境这边有点特殊,常规的 service iptables save 保存规则,重启有效方式在这里不灵,后来用了如下2条命令,将规则写入文件,然后开机执行。

echo "iptables -A INPUT -s 172.16.111.0/24 -p tcp --dport 18018:18085 -j REJECT" >> /etc/rc.d/rc.local

chmod +x /etc/rc.d/rc.local

无论怎么重启,都有效了,问题解决。

 

4. 后记

客户环境居然验收不通过,端口居然可以访问,神奇了。

新代码

iptables -t mangle -I PREROUTING -s 192.9.220.0/24 -p tcp --dport 30000:65535 -j DROP
我这里校验方法也换传统的nmap了
nmap -v 10.10.150.105 -p 30000-40000 |grep open
使用前,大概有30多个端口是开通的
使用代码后,直接掉入黑洞了,这批端口段直接无返回

如果指定端口 会有一个 filtered 结果。

nmap 10.10.150.105  -p 32096

PORT      STATE    SERVICE

32096/tcp filtered unknown

相关文章:

  1. debian Shadowsocks-libev
  2. k8s multi cluster management with kubeconfig
  3. grep awk cut sort uniq sort
  4. how to get a free hax.tor.hu shell account
标签: iptables
最后更新:11月 23, 2020

wanjie

这个人很懒,什么都没留下

点赞
< 上一篇
下一篇 >

文章评论

取消回复

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据。

归档
分类
  • network / 324篇
  • Uncategorized / 116篇
  • unix/linux / 114篇
  • 业界资讯 / 38篇
  • 公司杂事 / 11篇
  • 数码影像 / 12篇
  • 美剧 / 3篇
  • 美图共赏 / 20篇
  • 英语学习 / 3篇
标签聚合
Google Voice Opera Mini 虚拟主机 刷机 k8s jira kernel dreamhost空间 Linux 泰国 Google gitlab wget Google Adwords Nginx 网站运营 网通 Android VPS debian Ubuntu 中国电信 邮件归档 brew dreamhost nexus ldap docker d90 iMac

COPYRIGHT © 2008-2022 wanjie.info. ALL RIGHTS RESERVED.

Theme Kratos Made By Seaton Jiang