当前位置: 首页
系统平台
Linux使用iptables封禁IP地址的详细步骤

Linux使用iptables封禁IP地址的详细步骤

热心网友 时间:2026-07-03
转载

在操作之前请先停下,iptables 封禁 IP 地址看似简单,实则隐藏许多容易忽略的细节。许多用户误以为只需执行 iptables -A INPUT -s 192.168.1.100 -j DROP 即可生效,结果往往规则未起作用,甚至误封自己。要让 iptables 规则正确且稳定地运行,必须掌握以下关键要点。

Linux怎么使用iptables封禁IP地址

iptables 封禁 IP 必须使用 -s 和 -j DROP,且顺序不可颠倒

直接运行 iptables -A INPUT -s 192.168.1.100 -j DROP 即可生效,但许多用户容易遗漏 -s(源地址)或误用 -d(目标地址),导致规则无法匹配;此外,-j DROP 不可随意替换为 -j REJECT 而不进行测试——前者静默丢弃数据包,后者会发送 RST 包,某些扫描工具反而会将其视为“端口开放”的信号而继续探测。

常见错误现象:

  • 命令执行无报错,但 IP 依然能 SSH 连接:通常原因是缺少 -s 或链名错误(例如使用了 OUTPUT 而非 INPUT
  • 封禁后自己也无法连接:规则位置太靠前,阻塞了本机回环或已建立的连接,建议在 ESTABLISHED 相关规则之后添加封禁规则

封禁单个 IP 与封禁网段的用法不同,/24 并非简单“将最后一位改为0”

封禁单个 IP:iptables -I INPUT -s 203.0.113.45 -j DROP;封禁网段则必须使用 CIDR 表示法,例如封禁整个 C 段应写 203.0.113.0/24,而不是 203.0.113.*203.0.113.0/255.255.255.0——iptables 仅接受斜杠格式。

参数差异:

  • /24 掩码覆盖 256 个 IP 地址(0-255)
  • /16 掩码覆盖 65536 个地址(如 192.168.0.0/16
  • 尽量避免用 /32 封禁单个 IP,虽然语法合法但语义冗余,直接写 IP 更清晰

规则无法删除?先查看行号,再使用 -D 加编号,无需记忆完整规则

执行 iptables -L INPUT -n --line-numbers,输出结果的第一列即为行号。若想删除第 3 条规则,直接使用 iptables -D INPUT 3。如果试图用 -D 加完整规则(如 iptables -D INPUT -s 203.0.113.45 -j DROP),必须保证参数顺序、空格、大小写与添加时完全一致——哪怕多一个空格也会导致失败。

容易踩的坑:

  • 误删其他规则:行号会随增删动态变化,删除前务必重新执行 --line-numbers 确认当前编号
  • 删了没生效:规则仍在内存中,但未保存到持久化文件,重启后恢复——这不是删除失败,而是遗漏了保存步骤

重启后规则丢失?不同操作系统的保存方法截然不同

Debian/Ubuntu 安装 iptables-persistent,保存命令为 iptables-save > /etc/iptables/rules.v4;CentOS 7 使用 service iptables save;CentOS 8+ 默认不含 iptables 服务,需安装 iptables-services 或改用 nftables

性能影响:

  • 规则数量越多,匹配速度越慢,超过 50 条时建议改用 ipset(尤其在需要封禁数百个分散 IP 时)
  • 不要在 FORWARD 链上随意添加 DROP 规则——如果不是路由器,通常无需操作此链

在实际操作中,最容易忽略的正是规则加载顺序与持久化机制。封禁 IP 虽只需一条命令,但其生效依赖于链位置、保存操作以及是否与其他规则冲突——仅仅添加一条 DROP 规则远远不够。

来源:https://www.php.cn/faq/2751247.html

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

同类文章
更多
Win11频繁断网提示默认网关不可用怎么办

Win11频繁断网提示默认网关不可用怎么办

先聊聊一个很常见的问题:Windows 11 电脑刚连接 Wi-Fi 或插上网线时还能正常访问网络,可几分钟后突然“掉线”,任务栏右下角出现“无 Internet”提示,右键诊断显示“默认网关不可用”。这时候重启电脑或点击“修复”能暂时恢复,但用不了多久又会断开。这说明系统其实已经获得了 IP 地址

时间:2026-07-03 07:44
Mac如何取消正在进行的系统备份任务

Mac如何取消正在进行的系统备份任务

Mac 正在执行时间机器备份时,进度条卡在“正在准备”或“备份中”迟迟不动,磁盘读写与网络带宽被持续占用——这种情形下,大多数用户都希望能立即中断任务。设想这样一个场景:你正赶着安装大型软件,或者急需拔出外接硬盘,但系统却执意继续备份。别担心,这里有一套行之有效的解决方案:先在“活动监视器”中强制退

时间:2026-07-03 07:44
电脑显示器刷新率锁死60Hz无法调整的解决方法

电脑显示器刷新率锁死60Hz无法调整的解决方法

显示器刷新率锁死60Hz时,需检查DP或HDMI线缆版本并更换VESA认证线缆;可通过显示适配器属性勾选隐藏刷新率选项、显卡控制面板自定义时序、清洁安装驱动或使用CRU工具修改EDID强制启用高刷模式。

时间:2026-07-03 07:43
Linux系统下Systemd服务管理从零开始方法步骤详解完整教程

Linux系统下Systemd服务管理从零开始方法步骤详解完整教程

systemctl管理systemd服务,修改配置于 etc systemd system,启用需daemon-reload再enable。查看状态关注Loaded行,masked服务需unmask并重载恢复。reload发SIGHUP,restart中断连接,reload-or-restart自动降级。日常禁用优先用disable。

时间:2026-07-03 07:43
Mac如何取消同步iPhone书签和历史记录

Mac如何取消同步iPhone书签和历史记录

彻底关闭iCloudSafari同步并选择“保留在Mac上”,然后手动删除书签文件夹或清理~ Library Safari Bookmarks plist文件,最后通过iCloud官网确认同步已失效,即可彻底清除Mac上的iPhone同步书签。

时间:2026-07-03 07:43
热门专题
更多
刀塔传奇破解版无限钻石下载大全 刀塔传奇破解版无限钻石下载大全
洛克王国正式正版手游下载安装大全 洛克王国正式正版手游下载安装大全
思美人手游下载专区 思美人手游下载专区
好玩的阿拉德之怒游戏下载合集 好玩的阿拉德之怒游戏下载合集
不思议迷宫手游下载合集 不思议迷宫手游下载合集
百宝袋汉化组游戏最新合集 百宝袋汉化组游戏最新合集
jsk游戏合集30款游戏大全 jsk游戏合集30款游戏大全
宾果消消消原版下载大全 宾果消消消原版下载大全
  • 日榜
  • 周榜
  • 月榜