linux下如何屏蔽端口

端口是linux下应用软件因需要而开启的socket套接字，具有唯一性。端口可以查看、启动关闭、设置防火墙规则等。

1、端口查看

netstat -tln   //表示已数字形式查看，正在监听的端口

netstat -ap   //查看所有应用占用端口情况

2、启动停止

端口自己是不会停止和启动的，需要停止和启动的是端口对应的应用。

可以先找到端口，再对应PID，命令如下：

netstat -anp|grep 57069 //这个是要找的端口号

lsof -i:57069 //查找器PID信息

第三部杀死进程：图例里面没有在这里写上，kill -9 PID

3、屏蔽

linux下一般使用防火墙的filter规则 定义允许或者不允许进行屏蔽。对于filter一般只能做在3个链上：INPUT ，FORWARD ，OUTPUT。

例如设置在输入端屏蔽53端口：

iptables -A INPUT 1 -d 172.16.100.1 -p udp --dport 53 -j REJECT

-A 是增加规则，-d：表示匹配目标地址， -p udp表示UPD协议，--dPort 是端口53

这里表示在输入端目的地址是172.16.100.1的53端口被屏蔽

Netfilter/IPtables 的问题

在Linux中，可以很简单地用netfilter/iptables框架禁止IP地址：

$ sudo iptables -A INPUT -s 1.1.1.1-p TCP -j DROP

如果你想要完全屏蔽一个IP地址段，你可以用下面的命令很简单地做到：

$ sudo iptables -A INPUT -s 1.1.2.0/24-p TCP -j DROP

然而，当你有1000个独立IP地址，且不带CIDR（无类别域间路由）前缀，你该怎么做？你要有1000条iptable规则！这显然这并不适于大规模屏蔽。

$ sudo iptables -A INPUT -s 1.1.1.1-p TCP -j DROP

$ sudo iptables -A INPUT -s 2.2.2.2-p TCP -j DROP

$ sudo iptables -A INPUT -s 3.3.3.3-p TCP -j DROP

使用IPset命令禁止IP

让我通过简单的示例告诉你该如何使用ipset命令。

首先，让我们创建一条新的IP集，名为banthis（名字任意）：

$ sudo ipset create banthis hash:net

第二个参数(hash:net)是必须的，代表的是集合的类型。IP集有多个类型。hash:net类型的IP集使用哈希来存储多个CIDR块。如果你想要在一个集合中存储单独的IP地址，你可以使用hash:ip类型。

一旦创建了一个IP集之后，你可以用下面的命令来检查：

$ sudo ipset list

这显示了一个可用的IP集合列表，并有包含了集合成员的详细信息。默认上，每个IP集合可以包含65536个元素（这里是CIDR块）。你可以通过追加"maxelem N"选项来增加限制。

$ sudo ipset create banthis hash:net maxelem 1000000

现在让我们来增加IP块到这个集合中：

$ sudo ipset add banthis 1.1.1.1/32

$ sudo ipset add banthis 1.1.2.0/24

$ sudo ipset add banthis 1.1.3.0/24

$ sudo ipset add banthis 1.1.4.10/24

你会看到集合成员已经改变了。

$ sudo ipset list

现在是时候去创建一个使用IP集的iptables规则了。这里的关键是使用"-m set --match-set "选项。

现在让我们创建一条让之前那些IP块不能通过80端口访问web服务的iptable规则。可以通过下面的命令：

$ sudo iptables -I INPUT -m set--match-set banthis src -p tcp --destination-port 80-j DROP

如果你愿意，你可以保存特定的IP集到一个文件中，以后可以从文件中还原：

$ sudo ipset save banthis -f banthis.txt

$ sudo ipset destroy banthis

$ sudo ipset restore -f banthis.txt

上面的命令中，我使用了destory选项来删除一个已有的IP集来看看我是否可以还原它。