RHEL7虚拟主机如何禁止指定IP访问？

在RHEL7系统中，虚拟主机（通常指运行在物理服务器上的虚拟机或容器）禁止特定IP访问是一项重要的安全措施，可以有效防止未授权访问、恶意攻击或资源滥用，本文将详细介绍在RHEL7环境下，如何通过多种方式实现对虚拟主机的IP禁止访问，包括防火墙配置、主机防火墙规则、TCP Wrappers以及SELinux策略调整等,确保操作的安全性和有效性。

使用firewalld服务禁止IP访问

RHEL7默认使用firewalld作为防火墙管理工具，通过动态管理规则可以灵活禁止特定IP,以下是具体操作步骤：

1. 检查firewalld状态并启动服务
   首先确认firewalld服务是否运行,若未运行则需启用并启动：

   systemctl status firewalld  # 检查状态
   systemctl start firewalld    # 启动服务
   systemctl enable firewalld  # 设置开机自启

2. 添加拒绝规则
   使用firewall-cmd命令添加永久性拒绝规则，例如禁止IP为168.1.100的主机访问：

   firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" reject'

   参数说明：--permanent表示规则永久生效（需重启防火墙或重新加载），reject为拒绝类型（也可使用drop直接丢弃数据包）。

3. 重新加载防火墙使规则生效

   firewall-cmd --reload

4. 验证规则是否添加成功

   firewall-cmd --list-rich-rules  # 查看所有富规则

批量禁止IP段
若需禁止整个IP段（如168.1.0/24），可将source address修改为对应网段：

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" reject'

使用iptables禁止IP访问（传统方式）

若习惯使用iptables，可通过以下步骤操作（需先停止firewalld或禁用其服务）：

1. 停止firewalld并启用iptables

   systemctl stop firewalld && systemctl disable firewalld
   systemctl start iptables && systemctl enable iptables

2. 添加拒绝规则
   禁止单个IP168.1.100访问：

   iptables -I INPUT -s 192.168.1.100 -j DROP

   -I INPUT表示插入到INPUT链首部，-s指定源IP，-j DROP为丢弃数据包。

   

3. 保存规则
   RHEL7中需安装iptables-services并保存规则：

   yum install iptables-services -y
   service iptables save  # 保存规则至/etc/sysconfig/iptables

4. 查看规则

   iptables -L -n --line-numbers  # -n显示IP而非域名，--line-numbers显示行号

删除规则
若需删除已添加的规则,可通过行号定位：

iptables -D INPUT 行号  # 例如iptables -D INPUT 1

使用TCP Wrappers控制主机访问

TCP Wrappers是通过/etc/hosts.allow和/etc/hosts.deny文件实现访问控制的工具,适用于基于服务的IP限制。

1. 配置hosts.deny文件
   编辑/etc/hosts.deny,添加禁止访问的IP或服务：

   vim /etc/hosts.deny
   ```示例：

   禁止IP 192.168.1.100访问所有服务

   ALL: 192.168.1.100

   禁止IP段 192.168.1.0/24访问sshd服务

   sshd: 192.168.1.0/24

2. 配置hosts.allow文件（可选）
   若需在禁止某些IP的同时允许其他IP，可在/etc/hosts.allow中设置允许规则，

   # 允许IP 192.168.1.200访问所有服务
   ALL: 192.168.1.200

   注意：hosts.allow优先级高于hosts.deny，规则匹配顺序为“先允许后拒绝”。

3. 验证TCP Wrappers是否生效
   使用tcpdchk命令检查配置语法：

   tcpdchk -v

SELinux策略调整

SELinux可能影响防火墙规则的执行,需确保相关策略允许拒绝操作：

1. 检查SELinux状态

   getenforce  # 若返回Enforcing，表示SELinux为强制模式

2. 设置SELinux为宽松模式（临时）

   setenforce 0  # 临时关闭，重启后恢复

3. 永久关闭SELinux（不推荐）
   编辑/etc/selinux/config，将SELINUX=enforcing改为SELINUX=disabled,重启系统。

虚拟机场景下的额外配置

若虚拟主机为KVM、VMware等虚拟机,还需在虚拟化平台层面配置网络策略：

1. KVM虚拟机：通过virsh edit 虚拟机名修改XML配置，在<interface>节点添加<filterref filter='no-ip-spam'/>等过滤规则。
2. VMware虚拟机：在vSphere中配置分布式端口组的防火墙规则,直接禁止源IP流量。

规则维护与日志监控

1. 查看防火墙日志
   RHEL7防火墙日志通常位于/var/log/messages,可通过以下命令过滤相关记录：

   grep "REJECT" /var/log/messages | grep "192.168.1.100"

2. 定期清理过期规则
   对于临时禁止的IP，建议设置定时任务或手动删除规则,避免长期占用防火墙资源。

相关问答FAQs

问题1：如何确认IP已被成功禁止？
解答：可通过以下方式验证：

1. 在禁止IP的客户端尝试访问虚拟主机（如SSH连接、ping测试），若连接失败或超时则表示生效；
2. 在虚拟主机上使用tail -f /var/log/secure（SSH日志）或tail -f /var/log/messages（系统日志），查看是否有拒绝记录；
3. 执行firewall-cmd --list-rich-rules或iptables -L -n检查规则是否存在于链中。

问题2：禁止IP后，如何恢复允许访问？
解答：根据使用的工具不同，恢复方法如下：

1. firewalld：删除对应富规则后重新加载防火墙：

   firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="192.168.1.100" reject'
   firewall-cmd --reload

2. iptables：通过行号删除规则并保存：

   iptables -D INPUT 行号
   service iptables save

3. TCP Wrappers：编辑/etc/hosts.deny，删除对应IP行即可,无需重启服务。