Cómo Linux prohíbe el acceso a direcciones IP específicas

Sistema Linux, si necesita prohibir el acceso a una dirección IP específica para garantizar la seguridad del sistema, simplemente al operar iptalbes para lograrlo, las siguientes series pequeñas le dirán cómo Linux prohíbe el acceso a una dirección IP, amigos interesados Se puede llegar a entender.

archivo de configuración del servidor En primer lugar, una visión general

Estos dos documentos se Tcpd, tcpd servidor puede controlar el acceso externo a los servicios IP nativas. El formato de estos dos archivos de configuración es el siguiente:

# 服务 Nombre del proceso: Lista de hosts: Operaciones de comandos opcionales cuando las reglas coinciden con

nombre_servidor: hosts-lista [: comando]

El control /etc/hosts.allow puede acceder a la dirección IP de esta máquina, y /etc/hosts.deny controla la IP que tiene prohibido acceder a esta máquina. Si hay un conflicto entre la configuración de los dos archivos, prevalecerá el /etc/hosts.deny.

Los archivos /etc/hosts.allow y /etc/hosts.deny controlan las configuraciones de acceso remoto, permitiéndole permitir o denegar a un cliente de un segmento ip o ip para acceder a un servicio de linux.

Por ejemplo, el servicio SSH, generalmente solo estamos abiertos para administradores, luego podemos deshabilitar la IP innecesaria y solo abrir el segmento de IP que el administrador puede usar.

Segundo, configuración

1, modificar el archivo /etc/hosts.allow

#

# host.allow Este archivo describe los nombres de los hosts ¿Qué están autorizados a

# utilizar los servicios INET locales, según lo decidido por

# por el ‘ /usr /sbin /tcpd ’ server.

#

sshd: 210.13.218. *: permitir

sshd: 222.77.15. *: permitir

todos: 218.24.129.110 # ¡Exprime todas las solicitudes de 110 ip!

in.telnetd: 140.116.44.0/255.255.255.0

in.telnetd: 140.116.79.0/255.255.255.0

in.telnetd: 140.116.141.99

in.telnetd: LOCAL

smbd: 192.168.0.0/255.255.255.0 # Permitir 192.168.0. Acceso de IP al servicio smbd en el segmento de red

#sendmail: 192.168.1.0/255.255 .255.0

# pop3d: 192.168.1.0/255.255.255.0

#swat: 192.168.1.0/255.255.255.0

pptpd: todos EXCEPTO 192.168.0.0/255.255. 255.0

httpd: todos

vsftpd: todos

La notación anterior permite que 210 y 222 segmentos ip se conecten al servicio sshd (esto inevitablemente requerirá el uso del archivo hosts.deny) ), por supuesto: permitir se puede omitir.

La palabra clave ALL coincide con todos los casos. EXCEPTO coincide con el caso, excepto para ciertos elementos. PARANOID coincide con el caso en el que la dirección IP que desea controlar no coincide con su nombre de dominio (enmascaramiento del nombre de dominio).

2, modifique el archivo /etc/hosts.deny

#

# hosts.deny Este archivo describe los nombres de los hosts que son

# * no * tiene permiso para usar los servicios INET locales, según lo decidido

# por el servidor ‘ /usr /sbin /tcpd ’.

#

# La línea portmap Es redundante, pero se debe recordar que

# el nuevo portmap seguro utiliza hosts.deny y hosts.allow. En particular,

# debe saber que NFS usa portmap.

sshd: all: deny

in.telnet: ALL

ALL: ALL EXCEPT 192.168.0.1/255.255.255.0,192.168.1.21,

202.10.5.0/255.255.255.0

Nota: sshd: all: deny significa que todas las conexiones remotas sshd son rechazadas. : negar puede ser omitido.
Anterior123Página siguiente Total 3 páginas