Windows設(shè)置本地策略

一、禁止所有的IP地址連接服務(wù)器的RDP端口

1、單擊 開始，選擇 運行。

2、輸入gpedit.msc，單擊 確定，打開本地組策略編輯器。

3、在左側(cè)依次找到 計算機配置 > Windows設(shè)置 > 安全設(shè)置 > IP安全策略

4、在右側(cè)空白處單擊右鍵，選擇 創(chuàng)建IP安全策略。

5、在彈出的向?qū)е校瑔螕?下一步。

6、自定義安全策略名稱，比如“遠程連接限制”，單擊 下一步。

7、不需要勾選 激活默認響應(yīng)規(guī)則（僅限于Windows的早期版本），單擊 下一步。

8、默認勾選 編輯屬性，單擊 完成。

9、在彈出的屬性窗口中，取消勾選 使用“添加向?qū)А?。單?添加 按鈕。

10、在彈出的新規(guī)則屬性窗口，再次單擊 添加 按鈕。

11、此處可自定義篩選器名稱。取消勾選 使用“添加向?qū)А?，單?添加。

12、源地址 選擇 任何IP地址，目標(biāo)地址 選擇 我的IP地址。取消勾選 鏡像，然后單擊協(xié)議標(biāo)簽頁。

13、協(xié)議選擇 TCP，端口選擇 從任意端口 > 到此端口 的3389端口，單擊 確定。

注：此處以RDP默認的3389端口為例。如果您修改了RDP的默認端口，則此處為修改后的端口號。

14、在篩選器列表窗口，再次單擊 確定。

15、在新規(guī)則屬性窗口，單擊 篩選器操作 標(biāo)簽頁，取消勾選 使用“添加向?qū)А保x擇 添加。

16、安全方法 選擇 阻止。

17、返回篩選器操作窗口，勾選新建的篩選器操作，單擊 應(yīng)用。切換到IP篩選器列表標(biāo)簽頁，勾選新建的篩選器列表，單擊 確定。（可以把名字修改為拒絕）

18、至此，禁止所有IP遠程連接本服務(wù)器3389端口的安全策略添加完成。請參考下面的內(nèi)容，繼續(xù)添加允許指定IP的安全策略。

允許指定的IP地址連接服務(wù)器的RDP端口

參考上述步驟，添加僅允許指定IP地址連接本服務(wù)器的3389端口。

1、在安全策略屬性窗口，取消勾選 使用“添加向?qū)А?，單?添加。

2、在IP篩選器列表窗口，單擊 添加。

3、此處可自定義篩選器名稱。取消勾選 使用“添加向?qū)А?，單?添加。

4、源地址 選擇 一個特定的IP地址或子網(wǎng)，然后填寫您遠程連接時的公網(wǎng)IP地址或者地址段，例如“1.1.1.1”。目標(biāo)地址 選擇 我的IP地址。取消勾選 鏡像，然后單擊 協(xié)議 標(biāo)簽頁。

注：此處確保填寫正確的公網(wǎng)IP地址。如果填寫錯誤可能導(dǎo)致自己無法遠程連接服務(wù)器。

5、協(xié)議選擇 TCP，端口選擇 從任意端口 > 到此端口 的3389端口，單擊 確定。

注：此處以RDP默認的3389端口為例。如果您修改了RDP的默認端口，則此處為修改后的端口號

6、在篩選器列表窗口，再次單擊 確定。

7、在新規(guī)則屬性窗口，單擊 篩選器操作 標(biāo)簽頁，取消勾選 使用“添加向?qū)А?，選擇 添加。

8、安全方法 選擇 許可。

9、返回篩選器操作窗口，勾選新建的篩選器操作，單擊 應(yīng)用。切換到IP篩選器列表標(biāo)簽頁，勾選新建的篩選器列表，單擊 確定。

10、在安全策略屬性窗口，單擊 確定。

11、在本地組策略編輯器窗口，右鍵單擊新創(chuàng)建的安全策略，選擇 分配。

12、確認安全策略的 策略已指派 狀態(tài)為 是。

Linux修改防火墻策略

1、查看防火墻狀態(tài)firewall-cmd –state? /systemctl status firewalld

2、先移除默認開啟的沒有訪問限制的ssh服務(wù)或者關(guān)閉開放的22端口

# firewall-cmd --permanent --remove-service=ssh

# firewall-cmd --permanent --remove-port=22/tcp??

3、添加復(fù)雜規(guī)則,只允許指定IP段訪問22端口

# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.10.250.21/32" port protocol="tcp" port="22" accept'

4、 使上面配置生效

# firewall-cmd –reload

5、查看當(dāng)前配置信息

# firewall-cmd --list-all

使用iptables

iptables -A INPUT -s 172.29.73.0/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

其他常用命令

刪除之前的復(fù)雜規(guī)則,這里的內(nèi)容需要與之前添加時的rule內(nèi)容完全一致,可以復(fù)制粘貼過來

firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="22" accept'

手動開放指定端口

firewall-cmd --permanent --add-port=3306/tcp

刪除開放的端口

firewall-cmd --permanent --remove-port=3306/tcp

開放指定服務(wù)(系統(tǒng)內(nèi)置的)

firewall-cmd --permanent --add-service=http

刪除服務(wù)

firewall-cmd --permanent --remove-service=http

添加白名單地址(單IP)

firewall-cmd --permanent --add-source=192.168.1.100

注: 白名單中的IP可以任意訪問所有服務(wù)器可用的端口 這個白名單的作用不是這樣的,有待繼續(xù)研究

添加白名單地址(指定網(wǎng)絡(luò)段CIDR格式)

firewall-cmd --permanent --add-source=192.168.1.0/24

刪除白名單地址

firewall-cmd --permanent --remove-source=192.168.1.100

屏蔽指定IP地址

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.1.100' reject"

屏蔽IP地址段

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.1.0/24' reject"

手動編輯xml配置文件

除了上面的命令添加規(guī)則外,還可以直接編輯/etc/firewalld/zones/public.xml文件(改完后記得執(zhí)行firewall-cmd --reload生效)文章來源地址http://www.zghlxwxcb.cn/news/detail-850312.html

到了這里，關(guān)于服務(wù)器設(shè)置只允許特定IP和端口訪問(Windows和Centos)的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！