在Linux系統(tǒng)中,設(shè)置防火墻以控制IP訪問權(quán)限通??梢酝ㄟ^幾種不同的工具來實(shí)現(xiàn),比如iptables、nftables或firewalld(在支持的發(fā)行版中)。下面我將分別介紹如何使用這些工具來設(shè)置IP訪問權(quán)限。

使用iptables設(shè)置IP訪問權(quán)限

iptables是一個(gè)非常強(qiáng)大的工具,用于配置Linux內(nèi)核的IP包過濾和管理。以下是一些基本的步驟來設(shè)置IP訪問權(quán)限:

linux防火墻

允許特定IP訪問

bash

sudo iptables -A INPUT -s 192.168.1.100 -j ACCEPT

這條命令允許來自IP地址192.168.1.100的流量進(jìn)入。

拒絕特定IP訪問

bash

sudo iptables -A INPUT -s 192.168.1.101 -j DROP

這條命令拒絕來自IP地址192.168.1.101的流量進(jìn)入。

設(shè)置默認(rèn)策略

bash

sudo iptables -P INPUT DROP

這條命令將默認(rèn)策略設(shè)置為DROP,即除了明確允許的IP外,其他所有IP都將被拒絕。

保存iptables規(guī)則 在某些系統(tǒng)中,你需要保存iptables規(guī)則,以便在重啟后仍然有效??梢允褂靡韵旅睿?/span>

bash

sudo iptables-save > /etc/iptables/rules.v4

使用firewalld設(shè)置IP訪問權(quán)限

firewalld是一個(gè)動(dòng)態(tài)管理防火墻的工具,它提供了一個(gè)更高級(jí)別的抽象,使得管理防火墻規(guī)則更加容易。

允許特定IP訪問

bash

sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" accept'

拒絕特定IP訪問

bash

sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.101" reject'

重新加載防火墻規(guī)則

bash

sudo firewall-cmd --reload

使用nftables設(shè)置IP訪問權(quán)限

nftables是iptables的后繼者,提供了更靈活的規(guī)則集和更高效的性能。

創(chuàng)建一個(gè)新的nftables規(guī)則集

bash

sudo nft add table inet mytable

添加規(guī)則允許特定IP

bash

sudo nft add chain inet mytable input { type filter hook input priority 0 ; }

sudo nft add rule inet mytable input ip saddr 192.168.1.100 accept

添加規(guī)則拒絕特定IP

bash

sudo nft add rule inet mytable input ip saddr 192.168.1.101 drop

保存nftables規(guī)則

bash

sudo nft list ruleset > /etc/nftables.conf

注意事項(xiàng)

在修改防火墻規(guī)則時(shí),確保你有備份當(dāng)前的規(guī)則,以便在出現(xiàn)問題時(shí)可以恢復(fù)。

在生產(chǎn)環(huán)境中,建議先在測(cè)試環(huán)境中測(cè)試新的規(guī)則,以確保它們按預(yù)期工作。

不同的Linux發(fā)行版可能有不同的默認(rèn)防火墻工具,如CentOS 7使用firewalld,而Ubuntu 20.04使用ufw。

通過以上步驟,你可以根據(jù)需要設(shè)置Linux防火墻的IP訪問權(quán)限。