前陣子公司的服務(wù)器上搭設(shè)了ElasticSearch服務(wù),暴露了9200端口,被安全部門檢測(cè)到要求整改夭坪。
需求:只允許某個(gè)IP或IP段訪問(wèn)9200端口鹦马。
## -I(insert)參數(shù)在頭部插入胧谈,-A(append)在尾部,往INPUT表添加規(guī)則荸频。-p
## (protocol) TCP協(xié)議 --dport destination-port 9200端口
## 禁止9200端口訪問(wèn)
iptables -I INPUT -p TCP --dport 9200 -j DROP
## 允許IP 10.61.12.0/24這個(gè)網(wǎng)段訪問(wèn)9200端口
iptables -I INPUT -s 10.61.12.0/24 -p TCP --dport 9200 -j ACCEPT
## 查看所有規(guī)則菱肖,并顯示line number
iptables -L --line-number 或者 iptables -L INPUT --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT tcp -- 10.10.11.0/24 anywhere tcp dpt:wap-wsp
2 DROP tcp -- anywhere anywhere tcp dpt:wap-wsp
3 ACCEPT udp -- anywhere anywhere udp dpt:domain
4 ACCEPT tcp -- anywhere anywhere tcp dpt:domain
5 ACCEPT udp -- anywhere anywhere udp dpt:bootps
6 ACCEPT tcp -- anywhere anywhere tcp dpt:bootps
##刪除規(guī)則序號(hào)1
iptables -D INPUT 1
解釋一下,因?yàn)槭褂肐參數(shù)旭从,都是往頭部插入稳强。
ACCEPT是指:如果滿足規(guī)則放行场仲,剩下的規(guī)則不需要再執(zhí)行。
DROP是指:如果滿足規(guī)則丟棄(這時(shí)候客戶端會(huì)傻傻等待到超時(shí))退疫,剩下的規(guī)則不需要再執(zhí)行渠缕。
REJECT是指:如果滿足規(guī)則,則拒絕(REJECT動(dòng)作會(huì)返回一個(gè)拒絕(終止)數(shù)據(jù)包(TCP FIN或UDP-ICMP-PORT-UNREACHABLE)褒繁,明確的拒絕對(duì)方的連接動(dòng)作)亦鳞,剩下的規(guī)則不需要再執(zhí)行。
看著上表解釋澜汤,如果滿足規(guī)則1這個(gè)10.10.11.0/24網(wǎng)段蚜迅,放行,剩下的規(guī)則都不需校驗(yàn)了俊抵。
如果不滿足谁不,執(zhí)行下一條規(guī)則2,對(duì)訪問(wèn)9200端口所有的請(qǐng)求都丟棄徽诲。如果滿足刹帕,剩下規(guī)則不需校驗(yàn),同上谎替。
即偷溺,滿足了特定IP訪問(wèn)9200端口的需求。
