iptables添加IP段白名单

背景

要求指定的IP段才能访问主机的 3306 端口

安装iptables

yum install -y iptables-services
systemctl enable iptables
service iptables start

添加IP段白名单

iptables -I INPUT  -p tcp --dport 3306 -j DROP && \
iptables -I INPUT -m iprange --src-range 172.50.49.13-172.50.49.42 -p tcp --dport 3306 -j ACCEPT  && \
iptables -I INPUT -m iprange --src-range 172.29.145.10-172.29.145.40 -p tcp --dport 3306 -j ACCEPT

三条命命令的含义
iptables -I INPUT -p tcp --dport 3306 -j DROP 禁止访问呢3306
iptables -I INPUT -m iprange --src-range 172.50.49.13-172.50.49.42 -p tcp --dport 3306 -j ACCEPT 允许172.50.49.13-172.50.49.42 段的IP访问3306
iptables -I INPUT -m iprange --src-range 172.29.145.10-172.29.145.40 -p tcp --dport 3306 -j ACCEPT 允许172.29.145.10-172.29.145.40 段的IP访问3306

添加一整段IP白名单

iptables -I INPUT -p tcp -s 10.178.0.0/16 -j ACCEPT

表示 10.178 开头的IP都加入白名单

添加单个IP

iptables -I INPUT -p tcp -s 127.0.0.1 -j ACCEPT

使其生效

systemctl reload iptables
service iptables save