在CentOS系統中�����,使用iptables來阻止惡意IP是一個常見的安全措施���。以下是一些基本步驟和命令�����,用于配置iptables以阻止特定的IP地址或IP范圍:
-
登錄到服務器:
使用SSH或其他遠程訪問工具登錄到你的CentOS服務器���。
-
查看當前的iptables規則:
在添加新規則之前��,你可以查看當前的iptables規則�,以確保你不會意外地覆蓋現有的規則����。
sudo iptables -L -n -v
-
阻止單個IP地址:
要阻止一個特定的IP地址�����,可以使用以下命令:
sudo iptables -A INPUT -s <惡意IP地址> -j DROP
例如���,要阻止IP地址為192.168.1.100的訪問���,命令將是:
sudo iptables -A INPUT -s 192.168.1.100 -j DROP
-
阻止IP地址范圍:
如果你想阻止一個IP范圍�����,可以使用CIDR表示法�。例如�,要阻止192.168.1.0/24這個網段��,可以使用:
sudo iptables -A INPUT -m iprange --src-range 192.168.1.0-192.168.1.255 -j DROP
-
阻止特定端口:
如果你想阻止特定IP地址訪問服務器的某個端口����,可以結合使用-p(指定協議)和--dport(指定目標端口)選項��。例如��,要阻止IP地址192.168.1.100訪問TCP端口80�,可以使用:
sudo iptables -A INPUT -s 192.168.1.100 -p tcp --dport 80 -j DROP
-
保存iptables規則:
在CentOS 7及更高版本中�����,iptables規則默認不會在重啟后保留���。要保存規則����,可以使用firewall-cmd命令(如果你使用的是firewalld)或者手動保存到配置文件中����。
sudo service iptables save
或者
sudo iptables-save > /etc/sysconfig/iptables
-
重啟iptables服務(如果需要):
如果你更改了規則并希望它們立即生效����,可以重啟iptables服務:
sudo systemctl restart iptables
請注意����,如果你使用的是CentOS 8或更高版本�����,默認的防火墻管理工具是firewalld��,而不是iptables�。在這種情況下��,你應該使用firewall-cmd命令來管理防火墻規則�����。
在執行這些操作之前����,請確保你有足夠的權限����,并且了解這些命令的作用���,以免錯誤地阻止了合法的流量��。如果你不確定�,可以先在測試環境中嘗試這些命令�。
