隨著網絡安全威脅的不斷增加，安全中心掃描越來越頻繁。尤其是在大數據安全中心的漏洞報告中，許多漏洞在生產環境中無法通過服務升級來修復，例如：

Oracle MySQL cURL 組件輸入驗證錯誤漏洞（CVE-2022-32221）

MySQL 拒絕服務漏洞（CVE-2023-21912）

Oracle MySQL 安全漏洞（CVE-2022-37434）

Oracle MySQL curl/libcURL 安全漏洞（CVE-2023-38545）

生產環境直接升級 MySQL 版本往往不可行。因此，可以通過配置 iptables 規則限制流量和訪問權限，間接修復這些安全漏洞。iptables 是 Linux 系統上功能強大且靈活的防火墻工具，能夠通過精細化規則實現流量控制和訪問限制。本文將介紹如何利用 iptables 修復常見的安全漏洞。

下載安裝iptables(centos（在線、離線）安裝iptables_離線安裝iptables-CSDN博客[1])

如果iptables正在運行，通常會有規則生效，可以通過以下命令查看規則是否存在：

iptables -L -n -v

規則策略

#iptables 規則具有順序依賴性
# 添加允許特定IP地址訪問3306端口的規則
iptables -A INPUT -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -s 192.167.10.194 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -s 192.167.10.197 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -s 192.167.10.199 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -s 192.167.10.196 --dport 3306 -j ACCEPT
 
# 添加拒絕所有其他IP地址訪問3306端口的規則
# 這條規則會匹配所有到3306端口的TCP流量，但由于前面的允許規則,它只會對那些未被允許的IP地址生效。
iptables -A INPUT -p tcp --dport 3306 -j DROP
或者
iptables -A INPUT -p tcp --dport 3306 -j REJECT

執行效果

來自127.0.0.1、192.167.10.194、192.167.10.197、192.167.10.199、192.167.10.196的連接會被允許通過。

所有其他 IP 地址（即不在允許列表中的 IP 地址）將被拒絕訪問端口 3306。

DROP和REJECT區別：

1.DROP

功能：直接丟棄數據包，不發送任何響應給發送方。

效果：從發送方的角度來看，請求像是被“忽略”了，沒有任何反饋。

適用場景：

增加安全性：攻擊者無法得知端口是否開放。

防止端口掃描：讓對方認為端口是“隱形的”。

節省帶寬：不需要發送拒絕的響應。

2.REJECT

功能：拒絕數據包，同時向發送方發送一個拒絕響應（如 ICMP 錯誤消息）。

效果：發送方會收到明確的“拒絕”反饋。

適用場景：

明確拒絕：告知合法用戶端口不可用。

快速恢復：避免發送方一直嘗試連接被阻止的端口。

測試調試：便于檢查網絡規則或通信問題。

補充：

iptables 會按規則順序匹配，早匹配的規則優先級高，因此插入位置至關重要。

如果要在現有的策略上更新，可以使用 -I（插入）選項而不是 -A（追加）例：

如果你想在所有現有的 INPUT 鏈規則之前添加一條允許來自某個特定 IP 地址（比如 192.167.10.200）訪問 3306 端口的規則，你可以使用以下命令：

iptables -I INPUT -p tcp -s 192.167.10.200 --dport 3306 -j ACCEPT

這條命令會將新的規則插入到 INPUT 鏈的最前面，從而確保它優先于其他所有現有的 INPUT 鏈規則被處理。

鏈接：https://blog.csdn.net/m0_63004677/article/details/144269012?spm=1001.2014.3001.5502