Иногда требуется быстро на некоторое время разрешить доступ к некоторым портам сервера только с определенных IP.
Например, когда сервер загружен в rescue и диски сервера проброшены в виртуальную KVM с VNC — доступом. В этом случае пара правил в iptables поможет защитить сервер от групп китайцев и прочих cool-хацкеров.
# Сначала запрещаем все VNC порт 5901 iptables -I INPUT -p tcp -s 0.0.0.0/0 --dport 5901 -j DROP # Теперь разрешаем для клиентского IP или подсети iptables -I INPUT -p tcp -s 46.160.11.0/24 --dport 5901 -j ACCEPT |
Если наблюдаются ошибки в приведенных выше командах, или в простейших, например:
# root@rescue ~ # iptables -L iptables: Operation not supported. |
root@rescue ~ # update-alternatives --config iptables There are 2 choices for the alternative iptables (providing /usr/sbin/iptables). Selection Path Priority Status ------------------------------------------------------------ * 0 /usr/sbin/iptables-nft 20 auto mode 1 /usr/sbin/iptables-legacy 10 manual mode 2 /usr/sbin/iptables-nft 20 manual mode Press <enter> to keep the current choice[*], or type selection number: 1 update-alternatives: using /usr/sbin/iptables-legacy to provide /usr/sbin/iptables (iptables) in manual mode root@rescue ~ # iptables -F root@rescue ~ # iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination |