精品网站源码 大佬有话说 : 2020-1-7 15:24:23
想问下网卡上绑定多IP时 这条iptables能否限制所有IP禁止访问
网卡上用 eth0:1 eth0:2 eth0:3 绑定多个IP, 现在希望所有IP都禁止访问某个IP(域名):
google这条命令,
iptables -A OUTPUT -d 203.16.1.89-j REJECT
能否限制所有IP?还是只能限制网卡的主IP?
affyun.org 大佬有话说 : 2020-1-7 15:28:25
全部适用。
如果要指定其中一个ip,就加****** -s IP_ADDRESS -d *****
精品网站源码 大佬有话说 : 2020-1-7 15:47:01
affyun.org 大佬有话说 : 2020-1-7 15:28
全部适用。
如果要指定其中一个ip,就加****** -s IP_ADDRESS -d *****
明白了 多谢指教!
aboutyj 大佬有话说 : 2020-1-7 15:47:10
本帖最后由 aboutyj 于 2020-1-7 15:48 编辑
#直接禁止这个外部ip通讯
iptables -I INPUT -d 203.16.1.89 -j drop
iptables -I OUTPUT -d 203.16.1.89 -j drop
#指定ip禁止和指定外部ip通讯
iptables -I INPUT -s 192.168.1.100/32 -d 203.16.1.89 -j drop
iptables -I OUTPUT -s 192.168.1.100/32 -d 203.16.1.89 -j drop
精品网站源码 大佬有话说 : 2020-1-7 15:48:06
aboutyj 大佬有话说 : 2020-1-7 15:47
– I和 -A 有啥区别?
精品网站源码 大佬有话说 : 2020-1-7 15:51:35
aboutyj 大佬有话说 : 2020-1-7 15:47
搜了下一个是首 插入一个是尾对吧
也就是一般来说 用-I 和 -A 基本没啥区别。。。。。。。。
aboutyj 大佬有话说 : 2020-1-7 15:52:05
精品网站源码 大佬有话说 : 2020-1-7 15:48
– I和 -A 有啥区别?
有区别,通俗点理解
-A 是加到已有防火墙策略之后,然后从上往下匹配
-I 是插入到已有防火墙策略之前,然后从上往下匹配,用-I之后插入的就会变成第一条
aboutyj 大佬有话说 : 2020-1-7 15:54:58
本帖最后由 aboutyj 于 2020-1-7 15:56 编辑
精品网站源码 大佬有话说 : 2020-1-7 15:51
搜了下一个是首 插入一个是尾对吧
也就是一般来说 用-I 和 -A 基本没啥区别。。。。。。。。 …
这个需要看你添加的规则是否有冲突
例如:我希望192.168.1.100 这个ip能访问服务器的ssh端口,然后除了这个ip以外的ip段192.168.1.0/24禁止访问ssh端口
那么就用-A
iptables -A INPUT -S 192.168.1.100 -p tcp –dport 22 -j ACCEPT
iptables -A INPUT -S 192.168.1.0/24 -p tcp –dport 22 -j DROP
但我看你得要求是希望所有ip都禁止与指定IP通信,那用 -I 更合适,防止前面有冲突得策略造成放通
精品网站源码 大佬有话说 : 2020-1-7 15:56:32
aboutyj 大佬有话说 : 2020-1-7 15:52
有区别,通俗点理解
-A 是加到已有防火墙策略之后,然后从上往下匹配
-I 是插入到已有防火墙策略之前,然 …
理解了, 一般来说就是没区别,
除非原有的一条和新的有冲突这时:
-I会让新的生效,毕竟第一条
-A会先执行到老的就匹配退出了新的在最后就没执行。
aboutyj 大佬有话说 : 2020-1-7 16:01:11
精品网站源码 大佬有话说 : 2020-1-7 15:56
理解了, 一般来说就是没区别,
除非原有的一条和新的有冲突这时:
对,能这么理解
具体查看匹配,你可以执行 iptables -L -n –line-number 来查看