{eval=Array;=+count(Array);}

亚洲中字慕日产2020,大陆极品少妇内射AAAAAA,无码av大香线蕉伊人久久,久久精品国产亚洲av麻豆网站

問(wèn)答專欄Q & A COLUMN

linux系統(tǒng)中如何拒絕特定IP訪問(wèn)?有哪些方法可以實(shí)現(xiàn)?

JulylovinJulylovin 回答0 收藏1
收藏問(wèn)題

2條回答

DobbyKim

DobbyKim

回答于2022-06-28 11:44

這個(gè)非常簡(jiǎn)單,目前來(lái)說(shuō),有2種方法,一種是修改hosts.deny文件,一種是添加防火墻規(guī)則,下面我分別簡(jiǎn)單介紹一下:

修改hosts.deny文件

這個(gè)文件主要用于控制禁止訪問(wèn)本機(jī)的IP(路徑/etc/hosts.deny),只需要添加禁止訪問(wèn)的IP地址,則指定的IP就不能訪問(wèn)Linux系統(tǒng),如下,這里禁止IP為192.168.15.21的用戶ssh遠(yuǎn)程登錄,第一個(gè)字段為服務(wù)名稱,第二個(gè)為IP地址(也可以是一個(gè)網(wǎng)絡(luò)或所有IP),第三個(gè)為deny(也可以不寫):

接著用IP為192.168.15.21的用戶嘗試著ssh登錄Linux系統(tǒng),如下,則會(huì)失?。?/p>

添加防火墻規(guī)則

這里以firewall防火墻為例(iptables防火墻類似),只需要使用firewall-cmd命令添加一條防火墻規(guī)則,拒絕指定IP地址訪問(wèn)Linux系統(tǒng)就行,如下,這里禁止IP為192.168.15.21的用戶訪問(wèn)21端口(FTP服務(wù)):

接著用IP為192.168.15.21的用戶嘗試連接Linux FTP服務(wù),如下,則會(huì)失敗:

如果需要移除規(guī)則的話,使用參數(shù)remove-rich-rule就行,更多參數(shù)和說(shuō)明的話,可以參考幫助命令“firewall-cmd -h”,每個(gè)參數(shù)都介紹的非常詳細(xì)、清楚:

至此,我們就完成了禁止特定IP訪問(wèn)Linux系統(tǒng)??偟膩?lái)說(shuō),這2種方法都非常簡(jiǎn)單,只要你有一定的Linux基礎(chǔ),熟悉一下上面的操作過(guò)程,很快就能掌握的,網(wǎng)上也有相關(guān)教程和資料,介紹的非常詳細(xì),感興趣的話,可以搜一下,希望以上分享的內(nèi)容能對(duì)你有所幫助吧,也歡迎大家評(píng)論、留言進(jìn)行補(bǔ)充。

評(píng)論0 贊同0
  •  加載中...
mochixuan

mochixuan

回答于2022-06-28 11:44

大概就三種方式,這里著重介紹后兩種。

  1. Selinux 主要是對(duì)內(nèi)核的訪問(wèn)權(quán)限加以控制

  2. TCP_Wrappers應(yīng)用級(jí)防火墻

  3. Netfilter網(wǎng)絡(luò)層防火墻

利用selinux

內(nèi)核的強(qiáng)制安全訪問(wèn)控制

可以用getenforce獲取目前Selinux的狀態(tài)

vi /etc/sysconfig/selinux 設(shè)置SELINUX

TCP_Wrappers應(yīng)用級(jí)防火墻

簡(jiǎn)單的來(lái)說(shuō)就是利用

hosts.allow/hosts.deny

來(lái)進(jìn)行訪問(wèn)控制。

首先要知道并不是所有的服務(wù)都是受tcp_wrappers管理的,只用采用libwrap庫(kù)的服務(wù)才受管理。

  • 檢測(cè)服務(wù)是否支持tcp_wrappers:

ldd $(which domainname) | grep libwrap

例如:ssh服務(wù),如果有輸入下一行,那么說(shuō)明支持,可以用

hosts.allow/deny

文件進(jìn)行訪問(wèn)控制,否則不可。

  • 被xinetd管理的服務(wù)和某些獨(dú)立的服務(wù)(可以使用tcp_wrappers管理
  • httpd smb squid 不受tcp_wrappers管理
  • tcp_wrappers如何工作:

進(jìn)程先檢查文件/etc/hosts.allow,如果請(qǐng)求訪問(wèn)的主機(jī)名或IP包含在此文件中,則允許訪問(wèn)。 如果請(qǐng)求訪問(wèn)的主機(jī)名或IP不包含在/etc/hosts.allow中,那么tcpd進(jìn)程就檢查/etc/hosts.deny。看請(qǐng)求訪問(wèn)的主機(jī)名或IP有沒(méi)有包含在hosts.deny文件中。如果包含,那么訪問(wèn)就被拒絕;如果既不包含在/etc/hosts.allow中,又不包含在/etc/

hosts.deny

中,那么此訪問(wèn)也被允許。

  • 舉例:只允許192.1680.1訪問(wèn)sshd,其他都拒絕。

hosts.allow sshd:192.168.0.1:allow

hosts.deny sshd:ALL


Netfilter網(wǎng)絡(luò)層防火墻

這其實(shí)就是我們常用的iptables,centos7開(kāi)始使用firewalld服務(wù),原理一樣。

iptables不是真正起防護(hù)作用的,Netfilter才是真正的防護(hù)著系統(tǒng),linux系統(tǒng)的安全框架位于內(nèi)核。

iptables四表五鏈

四表:

  • filter表——過(guò)濾數(shù)據(jù)包
  • Nat表——用于網(wǎng)絡(luò)地址轉(zhuǎn)換(IP、端口)
  • Mangle表——修改數(shù)據(jù)包的服務(wù)類型、TTL、并且可以配置路由實(shí)現(xiàn)QOS
  • Raw表——決定數(shù)據(jù)包是否被狀態(tài)跟蹤機(jī)制處理

五鏈:

  • INPUT鏈——進(jìn)來(lái)的數(shù)據(jù)包應(yīng)用此規(guī)則鏈中的策略
  • OUTPUT鏈——外出的數(shù)據(jù)包應(yīng)用此規(guī)則鏈中的策略
  • FORWARD鏈——轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)應(yīng)用此規(guī)則鏈中的策略
  • PREROUTING鏈——對(duì)數(shù)據(jù)包作路由選擇前應(yīng)用此鏈中的規(guī)則(所有的數(shù)據(jù)包進(jìn)來(lái)的時(shí)侯都先由這個(gè)鏈處理)
  • POSTROUTING鏈——對(duì)數(shù)據(jù)包作路由選擇后應(yīng)用此鏈中的規(guī)則(所有的數(shù)據(jù)包出來(lái)的時(shí)侯都先由這個(gè)鏈處理)、

iptables訪問(wèn)控制舉例

例如禁止192.168.1.1訪問(wèn)我的ssh服務(wù),端口默認(rèn)22

iptable -I INPUT -p tcp -s 192.168.1.1 --dport 22 -j ACCEPT

評(píng)論0 贊同0
  •  加載中...

最新活動(dòng)

您已邀請(qǐng)0人回答 查看邀請(qǐng)

我的邀請(qǐng)列表

  • 擅長(zhǎng)該話題
  • 回答過(guò)該話題
  • 我關(guān)注的人
向幫助了您的網(wǎng)友說(shuō)句感謝的話吧!
付費(fèi)偷看金額在0.1-10元之間
<