服务器添加白名单ip报错

如果您发现部分正常业务或者IP无法访问，有可能是因为攻击误判导致IP被拦截。

背景信息

例如，您的网络环境为NAT环境（即局域网内相关主机共享公网IP上网），由于局域网内部分主机因中病毒或被入侵后对外攻击某ECS服务器，被云盾识别后，会对相应的NAT共享公网IP进行拦截，从而导致无法访问。

您可以通过设置白名单放行因误判导致的IP被拦截问题。

操作步骤

登录云盾安全管控平台管理控制台。

在左侧导航栏，单击白名单管理 >IP白名单。

单击添加。

在添加对话框，选择对象类型，输入源IP（非当前云账号名下的IP），设置应用对象（在左侧列表中选择当前云账号下的对象IP，例如ECS云服务器公网IP，添加到右侧列表）并单击确定。

上述操作将所输入的访问源IP加入所添加的对象IP的访问白名单，所有来自该源IP对于您云账号名下的目标IP的访问都将不受任何安全管控限制。如果您想要放行所有对该对象IP的访问，在源IP框中输入0.0.0.0即可。

说明 设置IP白名单后，来自白名单中的源IP对目标主机资产的访问将不受任何安全管控限制，即使访问可能存在风险。因此，请务必谨慎添加IP白名单。

在linux系统中安装yum install iptables-services

然后 vi /etc/sysconfig/iptables

# Generated by iptables-save v1.4.7 on Sun Aug 28 12:14:02 2016

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

#这里开始增加白名单服务器ip(请删除当前服务器的ip地址)

-N whitelist

-A whitelist -s 8.8.8.8 -j ACCEPT

-A whitelist -s x.x.x.x -j ACCEPT

#这些 ACCEPT 端口号，公网内网都可访问

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #允许接受本机请求之后的返回数据 RELATED,是为FTP设置的

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 13020 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 1000:8000 -j ACCEPT #开放1000到8000之间的所有端口

#下面是 whitelist 端口号，仅限 服务器之间 通过内网 访问

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j whitelist

-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j whitelist

-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j whitelist

-A INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j whitelist

#为白名单ip开放的端口，结束

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT

登录后复制

解释：

添加防火墙过滤规则步骤如下

1、查看现有防火墙过滤规则：

iptables -nvL --line-number

登录后复制

2、添加防火墙过滤规则（设置白名单）：

1）添加白名单

登录后复制

iptables -I INPUT 3 -s 136.6.231.163 -p tcp --dport 1521 -j ACCEPT

登录后复制

命令详解：

-I：添加规则的参数

INPUT：表示外部主机访问内部资源

登录后复制

规则链：

*

1）INPUT——进来的数据包应用此规则链中的策略

2）OUTPUT——外出的数据包应用此规则链中的策略

3）FORWARD——转发数据包时应用此规则链中的策略

4）PREROUTING——对数据包作路由选择前应用此链中的规则　（记住！所有的数据包进来的时侯都先由这个链处理）

5）POSTROUTING——对数据包作路由选择后应用此链中的规则（所有的数据包出来的时侯都先由这个链处理）

3：表示添加到第三行（可以任意修改）

-s：指定作为源地址匹配，这里不能指定主机名称，必须是IP；

-p: 用于匹配协议的（这里的协议通常有3种，TCP/UDP/ICMP）

--dport: 用于匹配端口号

-j: 用于匹配处理方式：

常用的ACTION：

登录后复制

DROP：悄悄丢弃，一般我们多用DROP来隐藏我们的身份，以及隐藏我们的链表

REJECT：明示拒绝

ACCEPT：接受

2）查看添加结果

iptables -nvL --line-number

登录后复制

然后重启防火墙即可生效

重启防火墙的命令：service iptables restart

此时，防火墙规则只是保存在内存中，重启后就会失效。

使用以下命令将防火墙配置保存起来；

保存到配置中：service iptables save （该命令会将防火墙规则保存在/etc/sysconfig/iptables文件中。）

---