vsftp服务器禁止ip段
Linux系统中,如果需要禁止特定ip地址访问来保证系统的安全,只需通过操作iptalbes来实现,下面就给绍下Linux如何禁止某个ip地址访问。
一、概述
这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:
#服务进程名:主机列表:当规则匹配时可选的命令操作
server_name:hosts-list[:command]
/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。
/etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置的,可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。
比如SSH服务,通常只对管理员开放,那就可以禁用不必要的IP,而只开放管理员可能使用到的IP段。
二、配置
1、修改/etc/hosts.allow文件
#
# hosts.allow This file describes the names of the hosts which are
# allowed to use the local INET services, as decided
# by the ‘/usr/sbin/tcpd’ server.
#
sshd:210.13.218.*:allow
sshd:222.77.15.*:allow
all:218.24.129.110 #表示接受110这个ip的所有请求!
in.telnetd:140.116.44.0/255.255.255.0
in.telnetd:140.116.79.0/255.255.255.0
in.telnetd:140.116.141.99
in.telnetd:LOCAL
smbd:192.168.0.0/255.255.255.0 #允许192.168.0.网段的IP访问smbd服务
#sendmail:192.168.1.0/255.255.255.0
#pop3d:192.168.1.0/255.255.255.0
#swat:192.168.1.0/255.255.255.0
pptpd:all EXCEPT 192.168.0.0/255.255.255.0
httpd:all
vsftpd:all
以上写法表示允许210和222两个ip段连接sshd服务(这必然需要hosts.deny这个文件配合使用),当然:allow完全可以省略的。
ALL要害字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。
2、修改/etc/hosts.deny文件
#
# hosts.deny This file describes the names of the hosts which are
# *not* allowed to use the local INET services, as decided
# by the ‘/usr/sbin/tcpd’ server.
#
# The portmap line is rendant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow. In particular
# you should know that NFS uses portmap!
sshd:all:deny
in.telnet:ALL
ALL:ALL EXCEPT 192.168.0.1/255.255.255.0,192.168.1.21,
202.10.5.0/255.255.255.0
注意看:sshd:all:deny表示拒绝了所有sshd远程连接。:deny可以省略。
3、启动服务。
注意修改完后:
#service xinetd restart
才能让刚才的更改生效。
❷ 在服务器上面禁止某个IP段的任何连接
这里给你一个用瑞星防火墙的解决方法。(因为我用的就是瑞星的防火墙所以只能用它给你说明了)
安装完瑞星防火墙。打开防火墙主界面。点击菜单下面的“设置”->“详细设置”。
在打开的“详细设置”对话框里点击“规则设置”下面的“黑名单”。再单击“增加”
在打开的“增加黑各单”黑名单里面将地址类型选为“地址范围”。然后再里面输入起始地址和结束地址。然后单击“确定”就行了。这样某个IP段的用户就不能访问你的服务器了。
❸ 路由器怎么禁止ip
自从互联网时代的到来,众所周知,路由器都是是计算机网络的核心设备,其重要性不可低估,那么你知道路由器怎么禁止ip吗?下面是我整理的一些关于路由器禁止ip的相关资料,供你参考。
路由器禁止ip的 方法 :
做过网管的朋友可能对路由器一些功能比较耳熟能详,比如如何通过路由器禁止某些端口、通过路由器过滤某些IP地址、禁止局域网访问公网某些IP地址。这些功能大都集成到路由器的防火墙功能里面,也就是ACL(访问控制列表),通过路由器的这一功能,你可以在路由器上添加端口、IP地址,甚至还可以加入某些协议,从而可以达到有效禁止某些应用程序(比如股票软件、网络游戏、聊天软件等),从而达到网络管理的目的。
那么,路由器具体如何设置禁止端口、禁止IP访问呢?同时,如何识别某些网络应用的IP地址、端口乃至通讯协议呢?笔者以为,可以通过以下方式来实现:
首先,登陆路由器,然后可以找到“安全设置”,然后再找到“IP地址过滤”,然后这里可以设置局域网IP地址、禁止访问的端口和协议等,如下图所示:
图:路由器禁止局域网IP地址访问端口和协议
其中,局域网IP地址就是公司局域网员工的电脑IP;广域网IP地址就是禁止局域网电脑访问的外网IP地址(比如股票软件、网络游戏的服务器IP地址),而端口就是禁止局域网电脑访问外网的端口(比如一些股票软件的端口是8601,那只需要在端口这里添加8601即可阻止电脑通过8601端口链接股票软件的服务器,从而禁止了股票软件的使用);而协议这里,通常情况下分为TCP协议和UDP协议,也可以选择ALL,则代表封堵了所有的协议,你可以根据自己的需要进行选择,如果不太了解一些网络应用的通讯协议,则可以选择ALL,这样就可以完全禁止TCP协议和禁止UDP协议的传输。
其次,如果觉得通过路由器禁止IP访问、通过路由器禁止端口的设置较为复杂,则你也可以通过一些网络管理软件来实现禁止局域网电脑访问公网IP地址、屏蔽局域网电脑访问公网端口。例如,有一款“聚生网管”软件(下载地址:http://www.grabsun.com/soft.html),通过在局域网一台电脑安装之后,就可以实现控制局域网所有电脑的上网行为,有效禁止局域网电脑P2P下载、禁止局域网炒股、限制局域网电脑玩游戏、禁止电脑网购、限制局域网网速等。如下图所示:
图:限制P2P下载、禁止P2P网络电视、屏蔽在线视频同时,针对一些网管员想实现关闭端口、禁止访问外网IP地址的情况,聚生网管系统集成了ACL(访问控制列表),实现了一种更为简单的实现方式,如下图所示:
图:通过ACL规则禁止同花顺炒股软件
聚生网管的ACL访问控制和路由器极为相似,源IP地址这里你既可以选择单个或IP地址段,也可以选择“任意”,这样就禁止局域网所有电脑了;目标IP地址同样也可以选择单个、IP段或任意,协议类型这里可以选择TCP、UDP或全部,传输端口这里可以添加单个端口也可以添加端口段。
同时,聚生网管和路由器不同的是:聚生网管集成了局域网报文截获和识别功能,你可以通过聚生网管随时查询各种网络应用,如网络游戏、炒股软件、P2P软件乃至聊天软件的通讯端口、服务器IP地址和协议,甚至包括DNS解析等情况。具体方法如下:启动聚生网管系统后,会扫描到局域网所有电脑的IP地址,你可以在任意一个电脑上右键点击,然后选择“查看主机详细流量信息”,之后你就可以看到聚生网管会截获这个电脑所有通讯报文,然后你就可以在这个电脑上登陆股票软件、网络游戏、聊天软件(最好把其他无关网络应用关闭,以保证捕获的报文均为此网络应用的报文,防止误拦截),如下图所示:
图:点击“查看主机详细流量信息”
图:显示捕获的报文数量然后点击“停止”,即可看到本次捕获的所有报文情况,如下图所示:
图:显示捕获的报文情况,包括公网IP地址、端口、协议和DNS解析
你可以点击右下角的“导出列表”,然后就可以将这些信息导出为文本(在安装目录下面的BandInfo),然后你就可以将这些IP地址、端口和协议添加到聚生网管的ACL访问控制列表,从而实现了自主化的、针对性的网络应用的封堵,从而实现了更为精细的网络管理。
总之,禁止局域网电脑访问公网IP地址、禁止端口访问的方法很多,路由器和网络管理软件在一定程度上都可以实现。不过,针对国内企业而言,通过专业的网络管理软件更为便捷和有效,毕竟有些网络应用的服务器IP地址众多、通讯端口也多种多样,很难通过单一的ACL访问控制列表封堵完全,而网络管理软件通常已经集成了对主流网络应用,如股票软件、P2P软件、聊天软件、网络游戏的封堵功能,从而可以更加便利网络管理,尤其是企业没有专业网管员的情况下,点点鼠标就可以实现全方位的网络管理软件,更为简单和高效。
❹ 怎么从服务器设置屏蔽某个地区IP,比如要屏蔽北京的IP,应该怎么做
你是不是想做游戏私服啊?打开本地安全设置,点“IP安全策略,在本地机器”——>创建IP安全策略---->下一步---->名称随便写,如输入阻止,然后一直点下一步,出现提示点是,一直到完成,这个时候就创建了一个名为“阻止”的策略了 下面点“IP安全策略,在本地机器”——>管理IP筛选器表和筛选器操作---->点添加---->名称添192.168.1(为了识别最好填写对应的IP段)---->点添加---->下一步---->源地址选择一个特定的IP子网,IP输入192.168.1.0 子网掩码改为255.255.255.0---->下一步---->目标地址选择我的IP地址---->下一步---->协议类型为任意---->下一步---->完成 全部关闭
下面点我们开始建立的名为“阻止”的策略,点属性---->填加---->下一步---->下一步网络类型选择所有网络连接---->下一步---->出现提示点是---->到IP筛选列表,点中我们刚才创建的名为192.168.1的选项---->下一步---->选择阻止---->下一步到完成、关闭
最后点“阻止”这个策略,右键,指派,到这里为止我们就已经阻止了192.168.1开头的网段了,当然也阻止了192.168.1.100这个IP的攻击了,如还要封其他IP的攻击同样操作即可
❺ 怎么禁止某个ip段访问网站
1、打开iis,选择要设置的网站,打开“属性”-“目录安全性”,找到“ip地址和域名限制”,点“编辑”,如图1:
通过iis设置阻止某个ip或ip段访问你的网站
图一
2、点击“添加”,如果你想阻止某一个ip访问你的网站,那么就选择“一台计算机”,在下面输入你想阻止的ip即可,比如192.168.1.1,如图2:
通过iis设置阻止某个ip或ip段访问你的网站
图二
3、如果你想阻止一段ip访问,那么就选择“一组计算机”,下面以例子详述:假如你想阻止128开头的ip段128.x.x.x,那就在“网络标识”里输入128.1.1.1,“子网掩码”里输入255.0.0.0;假如你想阻止137.25开头的ip段137.25.x.x,那就在“网络标识”里输入137.25.1.1,“子网掩码”里输入255.255.0.0,如图3:
通过iis设置阻止某个ip或ip段访问你的网站
图三
通过以上简单的三步,你就可以轻松阻止某个ip或ip段访问你的网站咯,不过不要企图用这种方式来阻止攻击哦,貌似不能抗攻击。。。
出自:http://www.yishimei.cn/network/3.html
❻ 怎么从服务器设置屏蔽某个地区IP,比如要屏蔽北京的IP,应该怎么做
先你新建的站点右键属性→目录安全性→,进去后设置你想禁止访问的ip,或者ip号段和域名就可以了
!