Jak blokować dostęp SSH i FTP do określonego zakresu IP i sieci w Linux

Zazwyczaj wszyscy używamy Ssh I Ftp Usługi często w celu uzyskania dostępu do zdalnych serwerów i wirtualnych serwerów prywatnych. Jako administrator Linux musisz pamiętać o tym, jak blokować SSH i FTP dostęp do określonego zakresu IP lub sieci w Linux, aby bardziej zaostrzyć bit zabezpieczeń.

1. 25 wskazówek dotyczących bezpieczeństwa dla serwerów Linux
2. 5 Przydatne wskazówki dotyczące zabezpieczenia i ochrony serwera SSH

Ten samouczek pokaże, jak blokować dostęp SSH i FTP do konkretnego adresu IP i/lub zakresu sieci na serwerze Centos 6 i 7. Ten przewodnik został przetestowany Centos 6.X I 7.X Wersje, ale prawdopodobnie będzie działać na innych dystrybucjach Linux, takich jak Debian, Ubuntu i Suse/OpenSuse itp.

Zrobimy to w dwóch metodach. Pierwsza metoda jest stosowana Iptables/Firewalld a druga metoda jest stosowana TCP opakowani z pomocą zastępy niebieskie.umożliwić I zastępy niebieskie.zaprzeczyć plik.

Odnieś się następujące przewodniki, aby dowiedzieć się więcej o iptables i zaporze ogniowej.

1. Podstawowy przewodnik na IPTABLES (Linux Firewall) Wskazówki / polecenia
2. Jak skonfigurować zaporę IPTABLES, aby umożliwić zdalny dostęp do usług w Linux
3. Jak skonfigurować „Firewalld” w RHEL/Centos 7 i Fedora 21
4. Przydatne reguły „zapory ogniowej” do konfigurowania i zarządzania zaporą zapory w Linux

Teraz zdajesz sobie sprawę z tego, co jest Iptables I Firewalld I to podstawy.

Metoda 1: Block SSH i FTP Acces

Zobaczmy teraz, jak zablokować dostęp SSH i FTP do określonego adresu IP (na przykład 192.168.1.100) i/lub zakres sieci (na przykład 192.168.1.0/24) za pomocą Iptables na RHEL/Centos/Scientific Linux 6.x wersje i Firewalld na Centos 7.X.

Zablokować lub wyłącz dostęp do SSH

--------------------- NA Firewall iptables --------------------- # iptables -i wejście -s 192.168.1.100 -p TCP - -DPORT SSH -J Odrzuć # iptables -i wejście -s 192.168.1.0/24 -p TCP -DPORT SSH -J Odrzuć 

--------------------- NA Firewalld --------------------- # Firewall-Cmd--Direct --add-Rule IPv4 Wejście filtra 1 -M TCP-SOORCE 192.168.1.100 -p TCP - -DPORT 22 -J Odrzuć # Firewall -CMD - -Direct --add -Rule IPv4 Wejście filtra 1 -m TCP -SOURCE 192.168.1.100/24 ​​-p TCP -DPORT 22 -J Odrzuć 

Aby przyjąć nowe zasady, musisz użyć następującego polecenia.

# Service IPTABLES ZAPISZ [ON IPTABLES Firewall] # Firewall-CMD-RELOAL [On Firewalld] 

Teraz spróbuj Ssh serwer z zablokowanego hosta. Proszę, pamiętaj, że tutaj 192.168.1.150 jest zablokowanym gospodarzem.

# SSH 192.168.1.150 

Powinieneś zobaczyć następującą wiadomość.

SSH: Połącz się z hostem 192.168.1.150 Port 22: Odrzucone połączenie 

Odblokuj lub włącz dostęp do SSH

Aby odblokować lub włączyć dostęp SSH, przejdź do serwera zdalnego i uruchom następujące polecenie:

--------------------- NA Firewall iptables --------------------- # iptables -i wejście -s 192.168.1.100 -p TCP - -DPORT SSH -J Akceptuj # iptables -i wejście -s 192.168.1.100/24 ​​-p TCP - -DPORT SSH -J Zaakceptuj 

--------------------- NA Firewalld --------------------- # Firewall-Cmd--Direct --add-Rule IPv4 Wejście filtra 1 -M TCP-SOORCE 192.168.1.100 -p TCP - -DPORT 22 -J Zaakceptuj # Firewall -CMD - -Direct --add -Rule IPv4 Wejście filtra 1 -m TCP -SOURCE 192.168.1.100/24 ​​-p TCP - -DPORT 22 -J Zaakceptuj 

Zapisz zmiany za pomocą obsługi, aby uzyskać dostęp do serwera za pośrednictwem SSH.

# Service IPTABLES ZAPISZ [ON IPTABLES Firewall] # Firewall-CMD-RELOAL [On Firewalld] 

Blokuj lub wyłącz dostęp do FTP

Zazwyczaj domyślne porty dla Ftp Czy 20 I 21. Tak więc, aby zablokować cały ruch FTP za pomocą iPTables, uruchom następujące polecenie:

--------------------- NA Firewall iptables --------------------- # iptables -i wejście -s 192.168.1.100 -p TCP - -DPORT 20,21 -J Odrzuć # iptables -i wejście -s 192.168.1.100/24 ​​-p TCP -DPORT 20,21 -J Odrzuć 

--------------------- NA Firewalld --------------------- # Firewall-Cmd--Direct --add-Rule IPv4 Wejście filtra 1 -M TCP-SOORCE 192.168.1.100 -p TCP - -DPORT 20,21 -J Odrzucanie # Firewall -CMD - -Direct --add -Rule IPv4 Wejście Filtr 1 -M TCP -SOURCE 192.168.1.100/24 ​​-p TCP -DPORT 20,21 -J Odrzuć 

Aby przyjąć nowe zasady, musisz użyć następującego polecenia.

# Service IPTABLES ZAPISZ [ON IPTABLES Firewall] # Firewall-CMD-RELOAL [On Firewalld] 

Teraz spróbuj uzyskać dostęp do serwera z zablokowanego hosta (192.168.1.100), z poleceniem:

# ftp 192.168.1.150 

Otrzymasz komunikat o błędzie coś w rodzaju poniżej.

FTP: Connect: Connection odmówił 

Odblokuj lub włącz dostęp do FTP

Aby odblokować i włączyć dostęp do FTP, uruchom:

--------------------- NA Firewall iptables --------------------- # iptables -i wejście -s 192.168.1.100 -p TCP - -DPORT 20,21 -J Zaakceptuj # iptables -i wejście -s 192.168.1.100/24 ​​-p TCP - -DPORT 20,21 -j Zaakceptuj 

--------------------- NA Firewalld --------------------- # Firewall-Cmd--Direct --add-Rule IPv4 Wejście filtra 1 -M TCP-SOORCE 192.168.1.100 -p TCP - -DPORT 20,21 -J Akceptuj # Firewall -CMD - -Direct --add -Rule IPv4 Wejście Filtr 1 -M TCP -SOURCE 192.168.1.100/24 ​​-p TCP - -DPORT 20,21 -j Zaakceptuj 

Zapisz zmiany za pomocą polecenia:

# Service IPTABLES ZAPISZ [ON IPTABLES Firewall] # Firewall-CMD-RELOAL [On Firewalld] 

Teraz spróbuj uzyskać dostęp do serwera za pośrednictwem FTP:

# ftp 192.168.1.150 

Wprowadź swoją nazwę użytkownika i hasło FTP.

Połączone z 192.168.1.150. 220 Witamy w usłudze Tecmint FTP. Imię (192.168.1.150: SK): Tecmint 331 Podaj hasło. Hasło: 230 Login sukcesu. Zdalny typ systemu to UNIX. Korzystanie z trybu binarnego do przesyłania plików. ftp> 

Metoda 2: Block SSH i FTP Access za pomocą opakowań TCP

Jeśli nie chcesz zadzierać Iptables Lub Firewalld, Następnie Opakowania TCP to lepszy sposób na zablokowanie dostępu do SSH i FTP do określonego adresu IP i/lub zakresu sieci.

OpenSSH i FTP są kompilowane z obsługą opakowań TCP, co oznacza, że ​​możesz określić, które hosty mogą się połączyć bez dotykania zapory w dwóch ważnych plikach i są:

1. /etc/hosts.umożliwić
2. /etc/hosts.zaprzeczyć

Jak sama nazwa wskazuje, pierwszy plik zawiera wpisy dozwolonych hostów, a drugi zawiera adresy zablokowanych hostów.

Na przykład blokujmy dostęp SSH i FTP do hosta, który ma adres IP 192.168.1.100 i zasięg sieci 192.168.1.0. Ta metoda jest taka sama dla Centos 6.X i 7.Seria x. I oczywiście będzie działać na innych dystrybucjach, takich jak Debian, Ubuntu, Suse, OpenSuse itp.

Otworzyć /etc/hosts.zaprzeczyć Plik i dodaj następujące adresy IP lub zakres sieci, który chcesz zablokować, jak pokazano poniżej.

#####, aby zablokować SSH Access ##### Sshd: 192.168.1.100 SSHD: 192.168.1.0/255.255.255.0 #####, aby zablokować dostęp do ftp ##### vsftpd: 192.168.1.100 VSFTPD: 192.168.1.0/255.255.255.0 

Zapisz i wyjdź z pliku.

Teraz uruchom ponownie usługę SSHD i VSFTPD, aby wdrożyć nowe zmiany.

--------------- Dla usługi SSH --------------- # Service SSHD Restart [On Sysvinit] # Systemctl restart sshd [on Systemd] 

--------------- W przypadku usługi FTP --------------- # usługa VSFTPD Restart [On Sysvinit] # Systemctl restart vsftpd [on SystemD] 

Teraz spróbuj SSH serwer lub z zablokowanego hosta.

# SSH 192.168.1.150 

Zobaczysz następujące dane wyjściowe:

ssh_exchange_identification: odczyt: reset połączenia przez peer 

Teraz spróbuj FTP serwer lub z zablokowanego hosta.

# ftp 192.168.1.150 

Zobaczysz następujące dane wyjściowe:

Połączone z 192.168.1.150. 421 Usługa niedostępna. 

Aby odblokować lub włączyć usługi SSH i FTP, edytuj zastępy niebieskie.zaprzeczyć Plik i komentuj wszystkie wiersze, a na koniec ponownie uruchom usługi VSFTPD i SSHD.

Wniosek

To wszystko na teraz. Podsumowując, dziś nauczyliśmy się blokować określony adres IP i zakres sieci przy użyciu opakowań IPTables, Firewalld i TCP. Te metody są dość łatwe i proste.

Nawet nowicjusz administrator Linux może to zrobić w ciągu kilku minut. Jeśli znasz inne sposoby blokowania dostępu do SSH i FTP, możesz podzielić się nimi w sekcji komentarzy. I nie zapomnij podzielić się naszymi artykułami we wszystkich sieciach społecznościowych.