vsftp伺服器禁止ip段
Linux系統中,如果需要禁止特定ip地址訪問來保證系統的安全,只需通過操作iptalbes來實現,下面就給紹下Linux如何禁止某個ip地址訪問。
一、概述
這兩個文件是tcpd伺服器的配置文件,tcpd伺服器可以控制外部IP對本機服務的訪問。這兩個配置文件的格式如下:
#服務進程名:主機列表:當規則匹配時可選的命令操作
server_name:hosts-list[:command]
/etc/hosts.allow控制可以訪問本機的IP地址,/etc/hosts.deny控制禁止訪問本機的IP。如果兩個文件的配置有沖突,以/etc/hosts.deny為准。
/etc/hosts.allow和/etc/hosts.deny兩個文件是控制遠程訪問設置的,可以允許或者拒絕某個ip或者ip段的客戶訪問linux的某項服務。
比如SSH服務,通常只對管理員開放,那就可以禁用不必要的IP,而只開放管理員可能使用到的IP段。
二、配置
1、修改/etc/hosts.allow文件
#
# hosts.allow This file describes the names of the hosts which are
# allowed to use the local INET services, as decided
# by the 『/usr/sbin/tcpd』 server.
#
sshd:210.13.218.*:allow
sshd:222.77.15.*:allow
all:218.24.129.110 #表示接受110這個ip的所有請求!
in.telnetd:140.116.44.0/255.255.255.0
in.telnetd:140.116.79.0/255.255.255.0
in.telnetd:140.116.141.99
in.telnetd:LOCAL
smbd:192.168.0.0/255.255.255.0 #允許192.168.0.網段的IP訪問smbd服務
#sendmail:192.168.1.0/255.255.255.0
#pop3d:192.168.1.0/255.255.255.0
#swat:192.168.1.0/255.255.255.0
pptpd:all EXCEPT 192.168.0.0/255.255.255.0
httpd:all
vsftpd:all
以上寫法表示允許210和222兩個ip段連接sshd服務(這必然需要hosts.deny這個文件配合使用),當然:allow完全可以省略的。
ALL要害字匹配所有情況,EXCEPT匹配除了某些項之外的情況,PARANOID匹配你想控制的IP地址和它的域名不匹配時(域名偽裝)的情況。
2、修改/etc/hosts.deny文件
#
# hosts.deny This file describes the names of the hosts which are
# *not* allowed to use the local INET services, as decided
# by the 『/usr/sbin/tcpd』 server.
#
# The portmap line is rendant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow. In particular
# you should know that NFS uses portmap!
sshd:all:deny
in.telnet:ALL
ALL:ALL EXCEPT 192.168.0.1/255.255.255.0,192.168.1.21,
202.10.5.0/255.255.255.0
注意看:sshd:all:deny表示拒絕了所有sshd遠程連接。:deny可以省略。
3、啟動服務。
注意修改完後:
#service xinetd restart
才能讓剛才的更改生效。
❷ 在伺服器上面禁止某個IP段的任何連接
這里給你一個用瑞星防火牆的解決方法。(因為我用的就是瑞星的防火牆所以只能用它給你說明了)
安裝完瑞星防火牆。打開防火牆主界面。點擊菜單下面的「設置」->「詳細設置」。
在打開的「詳細設置」對話框里點擊「規則設置」下面的「黑名單」。再單擊「增加」
在打開的「增加黑各單」黑名單裡面將地址類型選為「地址范圍」。然後再裡面輸入起始地址和結束地址。然後單擊「確定」就行了。這樣某個IP段的用戶就不能訪問你的伺服器了。
❸ 路由器怎麼禁止ip
自從互聯網時代的到來,眾所周知,路由器都是是計算機網路的核心設備,其重要性不可低估,那麼你知道路由器怎麼禁止ip嗎?下面是我整理的一些關於路由器禁止ip的相關資料,供你參考。
路由器禁止ip的 方法 :
做過網管的朋友可能對路由器一些功能比較耳熟能詳,比如如何通過路由器禁止某些埠、通過路由器過濾某些IP地址、禁止區域網訪問公網某些IP地址。這些功能大都集成到路由器的防火牆功能裡面,也就是ACL(訪問控制列表),通過路由器的這一功能,你可以在路由器上添加埠、IP地址,甚至還可以加入某些協議,從而可以達到有效禁止某些應用程序(比如股票軟體、網路游戲、聊天軟體等),從而達到網路管理的目的。
那麼,路由器具體如何設置禁止埠、禁止IP訪問呢?同時,如何識別某些網路應用的IP地址、埠乃至通訊協議呢?筆者以為,可以通過以下方式來實現:
首先,登陸路由器,然後可以找到“安全設置”,然後再找到“IP地址過濾”,然後這里可以設置區域網IP地址、禁止訪問的埠和協議等,如下圖所示:
圖:路由器禁止區域網IP地址訪問埠和協議
其中,區域網IP地址就是公司區域網員工的電腦IP;廣域網IP地址就是禁止區域網電腦訪問的外網IP地址(比如股票軟體、網路游戲的伺服器IP地址),而埠就是禁止區域網電腦訪問外網的埠(比如一些股票軟體的埠是8601,那隻需要在埠這里添加8601即可阻止電腦通過8601埠鏈接股票軟體的伺服器,從而禁止了股票軟體的使用);而協議這里,通常情況下分為TCP協議和UDP協議,也可以選擇ALL,則代表封堵了所有的協議,你可以根據自己的需要進行選擇,如果不太了解一些網路應用的通訊協議,則可以選擇ALL,這樣就可以完全禁止TCP協議和禁止UDP協議的傳輸。
其次,如果覺得通過路由器禁止IP訪問、通過路由器禁止埠的設置較為復雜,則你也可以通過一些網路管理軟體來實現禁止區域網電腦訪問公網IP地址、屏蔽區域網電腦訪問公網埠。例如,有一款“聚生網管”軟體(下載地址:http://www.grabsun.com/soft.html),通過在區域網一台電腦安裝之後,就可以實現控制區域網所有電腦的上網行為,有效禁止區域網電腦P2P下載、禁止區域網炒股、限制區域網電腦玩游戲、禁止電腦網購、限制區域網網速等。如下圖所示:
圖:限制P2P下載、禁止P2P網路電視、屏蔽在線視頻同時,針對一些網管員想實現關閉埠、禁止訪問外網IP地址的情況,聚生網管系統集成了ACL(訪問控制列表),實現了一種更為簡單的實現方式,如下圖所示:
圖:通過ACL規則禁止同花順炒股軟體
聚生網管的ACL訪問控制和路由器極為相似,源IP地址這里你既可以選擇單個或IP地址段,也可以選擇“任意”,這樣就禁止區域網所有電腦了;目標IP地址同樣也可以選擇單個、IP段或任意,協議類型這里可以選擇TCP、UDP或全部,傳輸埠這里可以添加單個埠也可以添加埠段。
同時,聚生網管和路由器不同的是:聚生網管集成了區域網報文截獲和識別功能,你可以通過聚生網管隨時查詢各種網路應用,如網路游戲、炒股軟體、P2P軟體乃至聊天軟體的通訊埠、伺服器IP地址和協議,甚至包括DNS解析等情況。具體方法如下:啟動聚生網管系統後,會掃描到區域網所有電腦的IP地址,你可以在任意一個電腦上右鍵點擊,然後選擇“查看主機詳細流量信息”,之後你就可以看到聚生網管會截獲這個電腦所有通訊報文,然後你就可以在這個電腦上登陸股票軟體、網路游戲、聊天軟體(最好把其他無關網路應用關閉,以保證捕獲的報文均為此網路應用的報文,防止誤攔截),如下圖所示:
圖:點擊“查看主機詳細流量信息”
圖:顯示捕獲的報文數量然後點擊“停止”,即可看到本次捕獲的所有報文情況,如下圖所示:
圖:顯示捕獲的報文情況,包括公網IP地址、埠、協議和DNS解析
你可以點擊右下角的“導出列表”,然後就可以將這些信息導出為文本(在安裝目錄下面的BandInfo),然後你就可以將這些IP地址、埠和協議添加到聚生網管的ACL訪問控制列表,從而實現了自主化的、針對性的網路應用的封堵,從而實現了更為精細的網路管理。
總之,禁止區域網電腦訪問公網IP地址、禁止埠訪問的方法很多,路由器和網路管理軟體在一定程度上都可以實現。不過,針對國內企業而言,通過專業的網路管理軟體更為便捷和有效,畢竟有些網路應用的伺服器IP地址眾多、通訊埠也多種多樣,很難通過單一的ACL訪問控制列表封堵完全,而網路管理軟體通常已經集成了對主流網路應用,如股票軟體、P2P軟體、聊天軟體、網路游戲的封堵功能,從而可以更加便利網路管理,尤其是企業沒有專業網管員的情況下,點點滑鼠就可以實現全方位的網路管理軟體,更為簡單和高效。
❹ 怎麼從伺服器設置屏蔽某個地區IP,比如要屏蔽北京的IP,應該怎麼做
你是不是想做游戲私服啊?打開本地安全設置,點「IP安全策略,在本地機器」——>創建IP安全策略---->下一步---->名稱隨便寫,如輸入阻止,然後一直點下一步,出現提示點是,一直到完成,這個時候就創建了一個名為「阻止」的策略了 下面點「IP安全策略,在本地機器」——>管理IP篩選器表和篩選器操作---->點添加---->名稱添192.168.1(為了識別最好填寫對應的IP段)---->點添加---->下一步---->源地址選擇一個特定的IP子網,IP輸入192.168.1.0 子網掩碼改為255.255.255.0---->下一步---->目標地址選擇我的IP地址---->下一步---->協議類型為任意---->下一步---->完成 全部關閉
下面點我們開始建立的名為「阻止」的策略,點屬性---->填加---->下一步---->下一步網路類型選擇所有網路連接---->下一步---->出現提示點是---->到IP篩選列表,點中我們剛才創建的名為192.168.1的選項---->下一步---->選擇阻止---->下一步到完成、關閉
最後點「阻止」這個策略,右鍵,指派,到這里為止我們就已經阻止了192.168.1開頭的網段了,當然也阻止了192.168.1.100這個IP的攻擊了,如還要封其他IP的攻擊同樣操作即可
❺ 怎麼禁止某個ip段訪問網站
1、打開iis,選擇要設置的網站,打開「屬性」-「目錄安全性」,找到「ip地址和域名限制」,點「編輯」,如圖1:
通過iis設置阻止某個ip或ip段訪問你的網站
圖一
2、點擊「添加」,如果你想阻止某一個ip訪問你的網站,那麼就選擇「一台計算機」,在下面輸入你想阻止的ip即可,比如192.168.1.1,如圖2:
通過iis設置阻止某個ip或ip段訪問你的網站
圖二
3、如果你想阻止一段ip訪問,那麼就選擇「一組計算機」,下面以例子詳述:假如你想阻止128開頭的ip段128.x.x.x,那就在「網路標識」里輸入128.1.1.1,「子網掩碼」里輸入255.0.0.0;假如你想阻止137.25開頭的ip段137.25.x.x,那就在「網路標識」里輸入137.25.1.1,「子網掩碼」里輸入255.255.0.0,如圖3:
通過iis設置阻止某個ip或ip段訪問你的網站
圖三
通過以上簡單的三步,你就可以輕松阻止某個ip或ip段訪問你的網站咯,不過不要企圖用這種方式來阻止攻擊哦,貌似不能抗攻擊。。。
出自:http://www.yishimei.cn/network/3.html
❻ 怎麼從伺服器設置屏蔽某個地區IP,比如要屏蔽北京的IP,應該怎麼做
先你新建的站點右鍵屬性→目錄安全性→,進去後設置你想禁止訪問的ip,或者ip號段和域名就可以了
!