1. 3389远程桌面

lsof -i :3389
systemctl stop xrdp
systemctl disable xrdp

2. smbd文件共享服务器

systemctl stop smbd
systemctl disable smbd

3. 631打印机共享服务

systemctl stop cups
systemctl disable cups

4. DNS服务

systemctl stop systemd-resolved
systemctl disable systemd-resolved

5. 限制特定IP访问3306、22等端口

#!/bin/bash

# 定义允许访问 SSH 的主机/网段
ALLOWED_SSH_HOSTS=(
    "192.168.1.200"      # 管理员主机
    "192.168.1.201"      # 备用管理机
    "10.0.0.0/24"        # 办公网段
    "203.0.113.50"       # 外部堡垒机IP
)

# 清除旧规则（避免重复）
iptables -D INPUT -p tcp --dport 22 -j ACCEPT 2>/dev/null
iptables -D INPUT -p tcp --dport 22 -j DROP 2>/dev/null

# 添加允许规则
for host in "${ALLOWED_SSH_HOSTS[@]}"; do
    echo "允许 $host 访问 SSH(22)"
    iptables -A INPUT -p tcp -s $host --dport 22 -j ACCEPT
done

# 拒绝其他所有来源（并记录日志，可选）
# iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "SSH_DENIED: "
iptables -A INPUT -p tcp --dport 22 -j DROP

echo "SSH 访问控制已配置"

# 组合方案：22端口 + 3306端口统一管理
#!/bin/bash

# 定义访问策略
declare -A ALLOWED_HOSTS
ALLOWED_HOSTS[22]="192.168.1.200 192.168.1.201 10.0.0.0/24"
ALLOWED_HOSTS[3306]="192.168.1.100 192.168.1.101"

for port in "${!ALLOWED_HOSTS[@]}"; do
    hosts=${ALLOWED_HOSTS[$port]}

    # 清除旧规则
    iptables -D INPUT -p tcp --dport $port -j ACCEPT 2>/dev/null
    iptables -D INPUT -p tcp --dport $port -j DROP 2>/dev/null

    # 添加允许
    for host in $hosts; do
        iptables -A INPUT -p tcp -s $host --dport $port -j ACCEPT
        echo "允许 $host 访问端口 $port"
    done

    # 拒绝其他
    iptables -A INPUT -p tcp --dport $port -j DROP
done

echo "防火墙规则已更新"