漏洞修复访问控制方法-目的是为了躲避上面检查

#!/bin/bash
# 2022年9月19日14点58分

# 设置环境变量
. /etc/init.d/functions
export PATH=$PATH:/bin:/sbin:/usr/sbin
export LANG="en_US.UTF-8"
source /etc/profile

# 停止防火墙，并清空防火墙策略
systemctl stop iptables
iptables -F
#iptables -F -t nat
iptables -X

# iptables默认链表策略允许的状态
# iptables -p INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

# 基础标准放行策略
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT
iptables -A INPUT -p udp -m udp --sport 123 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1:65535 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

# 允许本地回环口访问对应端口
iptables -A INPUT -s 127.0.0.1 -p tcp --dport 2375 -j ACCEPT # docker 
iptables -A INPUT -s 127.0.0.1 -p tcp --dport 9200 -j ACCEPT # elasticsearch
iptables -A INPUT -s 127.0.0.1 -p tcp --dport 9300 -j ACCEPT # elasticsearch

# IP地址不连续的时候可如下操作
iptables -A INPUT -s 10.17.5.121 -p tcp --dport 2375 -j ACCEPT
iptables -A INPUT -s 10.17.5.121 -p tcp --dport 9200 -j ACCEPT
iptables -A INPUT -s 10.17.5.121 -p tcp --dport 9300 -j ACCEPT 


# IP地址为连续的时候可如下操作，上面单个IP地址执行可不执行
iptables -A INPUT -m iprange --src-range 10.17.5.78-10.17.5.81 -p tcp --dport 2375 -j ACCEPT # 替换为实际的IP地址
iptables -A INPUT -m iprange --src-range 10.17.5.78-10.17.5.81 -p tcp --dport 9200 -j ACCEPT # 替换为实际的IP地址
iptables -A INPUT -m iprange --src-range 10.17.5.78-10.17.5.81 -p tcp --dport 9300 -j ACCEPT # 替换为实际的IP地址


# 拒绝具体非白名单IP地址的端口
iptables -A INPUT -p tcp --dport 2375 -j DROP
iptables -A INPUT -p tcp --dport 9200 -j DROP
iptables -A INPUT -p tcp --dport 9300 -j DROP

# 查找所有规则
# iptables -L INPUT --line-numbers

# 删除一条规则
# iptables -D INPUT 11 （注意，这个11是行号，是iptables -L INPUT --line-numbers 所打印出来的行号）

# iptables-save
service iptables save
systemctl restart iptables