我有一个有线网络,IP 范围为 192.168.1.1/24,接入点提供 192.168.2.1/24 ip。我需要使用 iptables 阻止除 192.168.1.x 子网中的 ip 之外的所有 ssh 服务器访问。
这是我现在的规则:
# Generated by iptables-save v1.4.7 on Fri Sep 23 10:01:57 2016
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [3:120]
-A INPUT -p tcp -s 192.168.1.0/24 --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
COMMIT
我添加了一条规则来接受 192.168.1.x(不知道这是否是正确的语法),然后将所有其他连接到端口 22 的连接丢弃
我注意到,当我登录到 ssh 终端时,它显示我从接入点 ip 登录,并且由于它在允许的子网中,所以我不知道如何继续。
谢谢您的帮助
答案1
我理解你希望只允许特定的人访问你的 ssh 服务器IP 子网,为了实现这一点,你可以用以下命令更新你的 iptables:
-I INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT
-A INPUT -p tcp --dport 22 -j REJECT