linux白名单？iptables添加白名单

大家好，关于linux白名单很多朋友都还不太明白，今天小编就来为大家分享关于iptables添加白名单的知识，希望对各位有所帮助！

Linux系统下如何添加防火墙规则(添加白名单)

内容来源重庆思庄论坛：

防火墙的作用：

可以通过设置ip白名单/黑名单的方式限制外部ip的访问或者限制访问内部某个端口；

添加防火墙过滤规则步骤如下;

1、查看现有防火墙过滤规则：

iptables-nvL--line-number

2、添加防火墙过滤规则（设置白名单）：

1）添加白名单

iptables-I INPUT 3-s 196.168.133.5-p tcp--dport 1521-j ACCEPT

命令详解：

-I：添加规则的参数

INPUT：表示外部主机访问内部资源

3：表示添加到第三行（可以任意修改）

-s：指定作为源地址匹配，这里不能指定主机名称，必须是IP；

-p:用于匹配协议的（这里的协议通常有3种，TCP/UDP/ICMP）

--dport:用于匹配端口号

-j:用于匹配处理方式：

常用的ACTION：

DROP：悄悄丢弃

一般我们多用DROP来隐藏我们的身份，以及隐藏我们的链表

REJECT：明示拒绝

ACCEPT：接受

2）查看添加结果

iptables-nvL--line-number

Linux安全之iptables黑白名单

iptables是一个运行在用户空间的应用软件，通过控制 Linux内核 netfilter模块，管理网络数据包的处理和转发。在多数 Linux发行版中，您可以通过查看手册页（man iptables）来获取用户手册。通常，iptables需要内核模块支持才能运行，其中相应的内核模块是 Xtables。

在经过 iptables的链时，报文会匹配链中的规则。如果匹配到规则，就执行对应的动作；如果链中的规则都无法匹配到当前报文，则使用链的默认策略（默认动作），链的默认策略通常设置为 ACCEPT或 DROP。

下面我们来创建一个简单的白名单，只允许被规则匹配到的报文通过，其他报文则全部拒绝。

清空防火墙规则：

$ sudo iptables-t filter-F INPUT

设置默认规则为 DROP，拒绝所有请求：

$ sudo iptables-t filter-P INPUT DROP

设置白名单防火墙机制，开放指定端口：

$ sudo iptables-t filter-I INPUT-p tcp--dport 22-j ACCEPT

$ sudo iptables-t filter-I INPUT-p tcp--dport 80-j ACCEPT

执行 iptables-F命令后，由于 INPUT链中不存在任何规则，所有报文都被拒绝了，包括当前的 ssh远程连接。这就是默认策略设置为 DROP的缺点，在对应的链中没有设置任何规则时，这样使用默认策略为 DROP是非常不明智的。

因此，如果我们想要使用白名单机制，最好将链的默认策略保持为 ACCEPT，然后将拒绝所有请求这条规则放在链的尾部，将放行规则放在前面。这样做，既能实现白名单机制，又能确保在规则被清空时，管理员还有机会连接到主机。

清空防火墙规则：

$ sudo iptables-t filter-F INPUT

设置默认规则为 ACCEPT，接受所有请求：

$ sudo iptables-t filter-P INPUT ACCEPT

设置白名单防火墙机制，开放指定端口：

$ sudo iptables-t filter-I INPUT-p tcp--dport 22-j ACCEPT

$ sudo iptables-t filter-I INPUT-p tcp--dport 80-j ACCEPT

拒绝所有请求规则放在链的尾部：

$ sudo iptables-t filter-A INPUT-j REJECT

通过这种方式，我们将 INPUT链的默认策略设置为 ACCEPT，同时使用了白名单机制。如果报文符合放行条件，则会被前面的放行规则匹配到；如果报文不符合放行条件，则会被最后一条拒绝规则匹配到。即便我们误操作，执行了 iptables-F操作，也能保证管理员能够远程到主机上进行维护，因为默认策略仍然是 ACCEPT。

linux防火墙白名单设置方法

Linux操作系统是基于UNIX操作系统发展而来的一种克隆系统，借助于Internet网络，并通过全世界各地计算机爱好者的共同努力，已成为今天世界上使用最多的一种UNIX类操作系统，并且使用人数还在迅猛增长，那么，linux防火墙在白名单设置方法是怎样的呢？杀毒软件的功能与优缺点分别是什么呢？今天我们就跟随倍领安全网一起来了解关于这方面的网络病毒小知识吧。

第一，在linux系统中安装yum install iptables-services，然后 vi/etc/sysconfig/iptables# Generated by iptables-save v1.4.7 on Sun Aug 28 12:14:02 2016*filter:INPUT ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [0:0]。

第二，在linux系统中防火墙中安装白名单IP地址的方法是-N whitelist-A whitelist-s 8.8.8.8-j ACCEPT，其中8.8.8.8是指具体的IP地址，例如用户想加10.202.106.1为linux系统的白名单，那么则设置为-N whitelist-A whitelist-s 10.202.106.1-j ACCEPT。

第三，在linux系统防火墙中也可以安装端口的白名单，例如，-A INPUT-m state–state NEW-m tcp-p tcp–dport 20-j ACCEPT，-A INPUT-m state--state NEW-m udp-p udp--dport 111-j ACCEPT等，这里就是安装端口为20或者111的网络用户地址，如果想要添加其它的端口，只要把设置命令新建好，然后重启防火墙即可生效。

以上三点就是linux系统防火墙设置白名单IP地址和白名单端口的方法，而linux系统防火墙启动的命令是：service iptables start，关闭的命令是：service iptables stop，有的机器需要同时设置ip6tables，用户也可以参照上面的方法一同设置，在linux系统中，如果用户没有添加某个端口或者某个网络地址为白名单，则是无法通过的，这点用户必须要清楚。