您似乎忘记提供具体内容了,基于“Linux系统运维,如何安全地将IP加入白名单”这一主题,为您生成一份通用摘要:,在Linux运维中,安全配置白名单需遵循最小权限原则,建议使用iptables或firewalld设置默认拒绝策略,仅允许特定IP通过,在Web服务配置中利用allow指令限制来源,操作时务必先备份配置,在测试环境验证后再生效,并定期清理无效IP,以确保系统安全。
在 Linux 服务器的日常运维中,网络安全是重中之重,为了防止恶意攻击、DDoS 攻击或未经授权的访问,管理员通常会采用“白名单”机制,即只允许特定 IP 地址或 IP 段访问服务器,而拒绝其他所有请求。
本文将详细介绍在 Linux 环境下,通过防火墙、Web 服务器配置以及 SSH 设置三种最常见的方式,将 IP 加入白名单。
使用防火墙(Firewalld / Iptables)配置白名单
防火墙是 Linux 系统的第一道防线,对于 CentOS 7+ 和 RHEL firewalld 是最常用的工具;而老旧的 CentOS 6 或通用环境则常用 iptables。
使用 Firewalld(推荐用于 CentOS 7/8/9)
Firewalld 使用“区域”的概念来管理网络接口,默认情况下,public 区域是面向外网的。
步骤:
- 查看当前区域: 确认你的网络接口属于哪个区域。
firewall-cmd --get-active-zones
- 将 IP 添加到白名单(永久生效):
假设我们要将 IP
168.1.100添加到public区域。firewall-cmd --permanent --add-source=192.168.1.100 --zone=public
--permanent:表示设置是永久的,重启后依然有效。--zone=public:指定区域。
- 重载防火墙规则:
修改配置后,必须重载或重启服务才能生效。
firewall-cmd --reload
- 验证规则:
firewall-cmd --list-all --zone=public
在输出的
sources列表中,你应该能看到168.1.100。
使用 Iptables
iptables 是更底层的规则工具,灵活性极高。
步骤:
- 添加允许规则(允许访问所有端口):
iptables -I INPUT -s 192.168.1.100 -j ACCEPT
-I INPUT:插入到 INPUT 链的最前面(优先级最高)。-s 192.168.1.100:源 IP 地址。-j ACCEPT:接受数据包。
- 保存规则(防止重启失效):
不同系统的保存命令不同。
- CentOS 6/旧版:
service iptables save - CentOS 7+ / Ubuntu:
iptables-save > /etc/iptables/rules.v4(需要安装iptables-persistent)
- CentOS 6/旧版:
Web 服务器(Nginx / Apache)配置白名单
如果你只想让特定 IP 访问网站,而不需要操作整个服务器,那么在 Web 服务器层面配置白名单更为精准。
Nginx 配置白名单
在 Nginx 的配置文件(通常在 /etc/nginx/conf.d/ 或 /etc/nginx/sites-available/)中,使用 allow 和 deny 指令。
示例配置:
server {
listen 80;
server_name example.com;
# 定义白名单 IP
allow 192.168.1.100; # 允许单个 IP
allow 10.0.0.0/24; # 允许一个网段
allow 203.0.113.5; # 允许另一个 IP
# 拒绝所有其他 IP
deny all;
location / {
root /var/www/html;
index index.html;
}
}
配置完成后,执行 nginx -t 测试语法,systemctl reload nginx 重载配置。
Apache 配置白名单
Apache 使用 .htaccess 文件或