什么时候需要开放防火墙的IP策略
在公司或个人服务器运维中,经常会遇到某些服务只能从固定IP访问的情况。比如财务系统只允许办公室网络登录,远程维护时需要让技术员的公网IP能连上内网服务器。这时候就得在防火墙策略里“开放IP”,也就是添加一条规则,放行某个IP地址的流量。
很多人图省事直接关掉整个防火墙,这就像为了透气把防盗门卸了,风险太大。正确做法是精确控制,只让可信IP通过,其他一律拦截。
以 iptables 为例设置IP放行规则
Linux 服务器常用 iptables 管理防火墙。假设你要允许 IP 地址为 123.45.67.89 的设备访问本机 SSH(端口22),可以执行以下命令:
iptables -A INPUT -s 123.45.67.89 -p tcp --dport 22 -j ACCEPT这条规则的意思是:在输入链(INPUT)中追加(-A)一条规则,来源IP(-s)是 123.45.67.89,协议(-p)为 TCP,目标端口(--dport)是 22,动作(-j)为 ACCEPT(放行)。
如果不指定端口,相当于放行该IP对所有服务的访问,务必谨慎。建议始终明确端口和服务类型。
Windows 防火墙如何放行特定IP
在 Windows Server 上,可以通过高级安全防火墙设置IP规则。打开“Windows Defender 防火墙 with Advanced Security”,新建入站规则,选择“自定义规则”,在“作用域”选项卡里,于“远程IP地址”中填写允许的IP,比如填入 203.0.113.25,后续步骤按向导完成即可。
比如你在家远程连接公司的数据库服务器,管理员就可以把你的家庭宽带公网IP加入放行列表,其他人即使知道端口也连不上。
云服务器的安全组配置
用阿里云、腾讯云这类平台时,实际的防火墙往往由安全组控制。进入控制台找到对应实例的安全组,添加规则:授权类型选“自定义TCP”,端口填具体数值如3306,源IP写成 98.76.54.32/32 表示只放行这个IP。如果写成 98.76.54.0/24,就是放行整个C类网段。
有次朋友公司被黑,查下来是临时开放了测试IP但忘了关闭,黑客扫描到端口后暴力破解进了系统。所以开放IP之后,记得定期检查策略,不用的及时删掉。
避免常见错误
有人复制别人给的命令直接回车,结果把自己关在外面了。比如误把 -j DROP 写成默认策略,或者放行IP写错一位数字。操作前最好先记录当前规则,可以用:
iptables-save > /backup/iptables.before.change方便出问题快速恢复。另外,建议所有变更通过脚本管理,而不是手动敲命令,减少人为失误。