linux如何禁止某个ip连接服务器?

两个文件是控制远程访问设置的，通过设置这个文件可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。

如 果请求访问的主机名或IP不包含在/etc/hosts.allow中，那么tcpd进程就检查/etc/hosts.deny。看请求访问的主机名或 IP有没有包含在hosts.deny文件中。如果包含，那么访问就被拒绝；如果既不包含在/etc/hosts.allow中，又不包含在/etc /hosts.deny中，那么此访问也被允许。

文件的格式为：<daemon list>:<client list>[:<option>:<option>:...]

daemon list：服务进程名列表，如telnet的服务进程名为in.telnetd

client list：访问控制的客户端列表，可以写域名、主机名或网段，如.python.org或者192.168.1.

option：可选选项，这里可以是某些命令，也可以是指定的日志文件

文件示例：hosts.deny文件

in.telnetd:.python.org

vsftpd:192.168.0.

sshd:192.168.0.0/255.255.255.0

第一行vpser.net表示，禁止python.org这个域里的主机允许访问TELNET服务，注意前面的那个点(.)。

第二行表示，禁止192.168.0这个网段的用户允许访问FTP服务，注意0后面的点(.)。

第三行表示，禁止192.168.0这个网段的用户允许访问SSH服务，注意这里不能写192.168.0.0/24。在CISCO路由器种这两中写法是等同的。

服务器定义：

服务器，也称伺服器，是提供计算服务的设备。由于服务器需要响应服务请求，并进行处理，因此一般来说服务器应具备承担服务并且保障服务的能力。

服务器的构成包括处理器、硬盘、内存、系统总线等，和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。

在网络环境下，根据服务器提供的服务类型不同，分为文件服务器，数据库服务器，应用程序服务器，WEB服务器等。

Linux系统中，如果需要禁止特定ip地址访问来保证系统的安全，只需通过 *** 作iptalbes来实现，下面就给绍下Linux如何禁止某个ip地址访问。

一、概述

这两个文件是tcpd服务器的配置文件，tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下：

#服务进程名:主机列表:当规则匹配时可选的命令 *** 作

server_name:hosts-list[:command]

/etc/hosts.allow控制可以访问本机的IP地址，/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突，以/etc/hosts.deny为准。

/etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置的，可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。

比如SSH服务，通常只对管理员开放，那就可以禁用不必要的IP，而只开放管理员可能使用到的IP段。

二、配置

1、修改/etc/hosts.allow文件

#

# hosts.allow This file describes the names of the hosts which are

# allowed to use the local INET services, as decided

# by the ‘/usr/sbin/tcpd’ server.

#

sshd:210.13.218.*:allow

sshd:222.77.15.*:allow

all:218.24.129.110 #表示接受110这个ip的所有请求！

in.telnetd：140.116.44.0/255.255.255.0

in.telnetd：140.116.79.0/255.255.255.0

in.telnetd：140.116.141.99

in.telnetd：LOCAL

smbd:192.168.0.0/255.255.255.0 #允许192.168.0.网段的IP访问smbd服务

#sendmail:192.168.1.0/255.255.255.0

#pop3d:192.168.1.0/255.255.255.0

#swat:192.168.1.0/255.255.255.0

pptpd:all EXCEPT 192.168.0.0/255.255.255.0

httpd:all

vsftpd:all

以上写法表示允许210和222两个ip段连接sshd服务（这必然需要hosts.deny这个文件配合使用），当然:allow完全可以省略的。

ALL要害字匹配所有情况，EXCEPT匹配除了某些项之外的情况，PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。

2、修改/etc/hosts.deny文件

#

# hosts.deny This file describes the names of the hosts which are

# *not* allowed to use the local INET services, as decided

# by the ‘/usr/sbin/tcpd’ server.

#

# The portmap line is redundant, but it is left to remind you that

# the new secure portmap uses hosts.deny and hosts.allow. In particular

# you should know that NFS uses portmap!

sshd:all:deny

in.telnet：ALL

ALL:ALL EXCEPT 192.168.0.1/255.255.255.0,192.168.1.21,

202.10.5.0/255.255.255.0

注意看：sshd:all:deny表示拒绝了所有sshd远程连接。:deny可以省略。

3、启动服务。

注意修改完后：

#service xinetd restart

才能让刚才的更改生效。

在Linux中，只要借助netfilter/iptables框架，就很容易实现阻止IP地址这一目的：

$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP

如果你想要禁止某一整个IP地址区段，也能同样做到这一点：

$ sudo iptables -A INPUT -s 1.1.2.0/24 -p TCP -j DROP

不过，要是你有1000个没有共同CIDR(无类别域间路由)前缀的独立IP地址想要禁止访问，该如何是好?那你就要设定1000个iptables规则!很显然这种方法不具有良好的扩展性。

$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP

$ sudo iptables -A INPUT -s 2.2.2.2 -p TCP -j DROP

$ sudo iptables -A INPUT -s 3.3.3.3 -p TCP -j DROP

. . . .

何谓IP集?

这时候，IP集(IP set)就能派得上大用场。IP集是一种内核功能，允许多个(独立)IP地址、MAC地址或者甚至多个端口号高效地编码并存储在比特图/散列内核数据结构里面。一旦创建了IP集，就能创建与该集匹配的iptables规则。

你应该会立马看到使用IP集带来的好处，那就是你只要使用一个iptables规则，就能够与IP集中的多个IP地址进行匹配!你可以结合使用多个IP地址和端口号来构建IP集，还可以用IP集动态更新iptables规则，对性能根本没有任何影响。

将IPset工具安装到Linux上

想创建并管理IP集，你就需要使用一种名为ipset的用户空间工具。

想将ipset安装到Debian、Ubuntu或Linux Mint上：

$ sudo apt-get install ipset

想将ipset安装到Fedora或CentOS/RHEL 7上：

$ sudo yum install ipset

使用IPset命令禁止IP地址

不妨让我通过几个简单的例子，具体介绍如何使用ipset命令。

首先，不妨创建一个新的IP集，名为banthis(名称随意)：

$ sudo ipset create banthis hash:net

上述命令中的第二个变量(hash:net)必不可少，它代表了所创建的集的类型。IP集有多种类型。hash:net类型的IP集使用散列来存储多个CIDR区段。如果你想在该集中存储单个的IP地址，可以改而使用hash:ip类型。

一旦你创建了一个IP集，就可以使用该命令来检查该集：

$ sudo ipset list

这显示了可用IP 集的列表，另外还显示了每个集的详细信息，其中包括集成员。默认情况下，每个IP集可以最多含有65536个元素(这里是CIDR区段)。你只要在后面添加“maxelem N”选项，就可以调大这个极限值。

$ sudo ipset create banthis hash:net maxelem 1000000

现在不妨将IP地址区段添加到该集：

$ sudo ipset add banthis 1.1.1.1/32

$ sudo ipset add banthis 1.1.2.0/24

$ sudo ipset add banthis 1.1.3.0/24

$ sudo ipset add banthis 1.1.4.10/24

你会发现，集成员已发生了变化。

$ sudo ipset list

现在可以使用该IP集来创建一个iptables规则了。这里的关键在于，使用“-m set --match-set ”这个选项。

不妨创建一个iptables规则，阻止该集中的所有那些IP地址区段通过端口80访问网站服务器。这可以通过这个命令来实现：

$ sudo iptables -I INPUT -m set --match-set banthis src -p tcp --destination-port 80 -j DROP

如果你想，还可以将特定的IP集保存到一个文件中，然后以后可以从该文件来恢复：

$ sudo ipset save banthis -f banthis.txt

$ sudo ipset destroy banthis

$ sudo ipset restore -f banthis.txt

在上述命令中，我试着使用destroy选项来删除现有的IP集，看看我能不能恢复该IP集。

自动禁止IP地址

至此，你应该会看到IP集这个概念有多强大。仍然维持一份最新的IP黑名单可能是件麻烦又费时的活儿。实际上，现在外头有一些免费服务或收费服务可以为你维护这些IP黑名单。另外，不妨看一下我们如何可以将可用IP黑名单自动转换成IP集。

我暂且从免费或收费发布各种IP阻止列表的iblocklist.com获取免费的IP列表。提供了P2P格式的免费版本。

我要使用一款名为iblocklist2ipset的开源python工具，这个工具可以将P2P版本的iblocklist转换成IP sets。

首先，你需要安装好pip(想安装pip，请参阅这篇指导文章：http://ask.xmodulo.com/install-pip-linux.html)。

然后安装iblocklist2ipset，具体如下所示。

$ sudo pip install iblocklist2ipset

在Fedora之类的一些发行版上，你可能需要运行这个命令：

$ sudo python-pip install iblocklist2ipset

现在进入到iblocklist.com，获取任何P2P列表URL(比如“level1”列表)。

然后将该URL粘贴到下面这个命令中：

$ iblocklist2ipset generate \

--ipset banthis "http://list.iblocklist.com/?list=ydxerpxkpcfqjaybcssw&fileformat=p2p&archiveformat=gz" \

>banthis.txt

在你运行上述命令后，你就创建了一个名为bandthis.txt的文件。如果你检查其内容，就会看到类似以下的内容：

create banthis hash:net family inet hashsize 131072 maxelem 237302

add banthis 1.2.4.0/24

add banthis 1.2.8.0/24

add banthis 1.9.75.8/32

add banthis 1.9.96.105/32

add banthis 1.9.102.251/32

add banthis 1.9.189.65/32

add banthis 1.16.0.0/14

你可以使用ipset命令，就能轻松装入该文件：

$ sudo ipset restore -f banthis.txt

现在，用下面这个命令检查自动创建的IP集：

$ sudo ipset list banthis

截至本文截稿时，“level1”阻止列表含有237000多个IP地址区段。你会发现，许多IP地址区段已经被添加到了IP集中。

最后，只需创建一个iptables规则，就能阻止所有这些地址!

---