{eval=Array;=+count(Array);}

成人国产在线小视频_日韩寡妇人妻调教在线播放_色成人www永久在线观看_2018国产精品久久_亚洲欧美高清在线30p_亚洲少妇综合一区_黄色在线播放国产_亚洲另类技巧小说校园_国产主播xx日韩_a级毛片在线免费

問答專欄Q & A COLUMN

linux系統(tǒng)中如何拒絕特定IP訪問?有哪些方法可以實現(xiàn)?

JulylovinJulylovin 回答0 收藏1
收藏問題

2條回答

DobbyKim

DobbyKim

回答于2022-06-28 11:44

這個非常簡單,目前來說,有2種方法,一種是修改hosts.deny文件,一種是添加防火墻規(guī)則,下面我分別簡單介紹一下:

修改hosts.deny文件

這個文件主要用于控制禁止訪問本機的IP(路徑/etc/hosts.deny),只需要添加禁止訪問的IP地址,則指定的IP就不能訪問Linux系統(tǒng),如下,這里禁止IP為192.168.15.21的用戶ssh遠程登錄,第一個字段為服務名稱,第二個為IP地址(也可以是一個網(wǎng)絡或所有IP),第三個為deny(也可以不寫):

接著用IP為192.168.15.21的用戶嘗試著ssh登錄Linux系統(tǒng),如下,則會失?。?/p>

添加防火墻規(guī)則

這里以firewall防火墻為例(iptables防火墻類似),只需要使用firewall-cmd命令添加一條防火墻規(guī)則,拒絕指定IP地址訪問Linux系統(tǒng)就行,如下,這里禁止IP為192.168.15.21的用戶訪問21端口(FTP服務):

接著用IP為192.168.15.21的用戶嘗試連接Linux FTP服務,如下,則會失?。?/p>

如果需要移除規(guī)則的話,使用參數(shù)remove-rich-rule就行,更多參數(shù)和說明的話,可以參考幫助命令“firewall-cmd -h”,每個參數(shù)都介紹的非常詳細、清楚:

至此,我們就完成了禁止特定IP訪問Linux系統(tǒng)??偟膩碚f,這2種方法都非常簡單,只要你有一定的Linux基礎,熟悉一下上面的操作過程,很快就能掌握的,網(wǎng)上也有相關(guān)教程和資料,介紹的非常詳細,感興趣的話,可以搜一下,希望以上分享的內(nèi)容能對你有所幫助吧,也歡迎大家評論、留言進行補充。

評論0 贊同0
  •  加載中...
mochixuan

mochixuan

回答于2022-06-28 11:44

大概就三種方式,這里著重介紹后兩種。

  1. Selinux 主要是對內(nèi)核的訪問權(quán)限加以控制

  2. TCP_Wrappers應用級防火墻

  3. Netfilter網(wǎng)絡層防火墻

利用selinux

內(nèi)核的強制安全訪問控制

可以用getenforce獲取目前Selinux的狀態(tài)

vi /etc/sysconfig/selinux 設置SELINUX

TCP_Wrappers應用級防火墻

簡單的來說就是利用

hosts.allow/hosts.deny

來進行訪問控制。

首先要知道并不是所有的服務都是受tcp_wrappers管理的,只用采用libwrap庫的服務才受管理。

  • 檢測服務是否支持tcp_wrappers:

ldd $(which domainname) | grep libwrap

例如:ssh服務,如果有輸入下一行,那么說明支持,可以用

hosts.allow/deny

文件進行訪問控制,否則不可。

  • 被xinetd管理的服務和某些獨立的服務(可以使用tcp_wrappers管理
  • httpd smb squid 不受tcp_wrappers管理
  • tcp_wrappers如何工作:

進程先檢查文件/etc/hosts.allow,如果請求訪問的主機名或IP包含在此文件中,則允許訪問。 如果請求訪問的主機名或IP不包含在/etc/hosts.allow中,那么tcpd進程就檢查/etc/hosts.deny??凑埱笤L問的主機名或IP有沒有包含在hosts.deny文件中。如果包含,那么訪問就被拒絕;如果既不包含在/etc/hosts.allow中,又不包含在/etc/

hosts.deny

中,那么此訪問也被允許。

  • 舉例:只允許192.1680.1訪問sshd,其他都拒絕。

hosts.allow sshd:192.168.0.1:allow

hosts.deny sshd:ALL


Netfilter網(wǎng)絡層防火墻

這其實就是我們常用的iptables,centos7開始使用firewalld服務,原理一樣。

iptables不是真正起防護作用的,Netfilter才是真正的防護著系統(tǒng),linux系統(tǒng)的安全框架位于內(nèi)核。

iptables四表五鏈

四表:

  • filter表——過濾數(shù)據(jù)包
  • Nat表——用于網(wǎng)絡地址轉(zhuǎn)換(IP、端口)
  • Mangle表——修改數(shù)據(jù)包的服務類型、TTL、并且可以配置路由實現(xiàn)QOS
  • Raw表——決定數(shù)據(jù)包是否被狀態(tài)跟蹤機制處理

五鏈:

  • INPUT鏈——進來的數(shù)據(jù)包應用此規(guī)則鏈中的策略
  • OUTPUT鏈——外出的數(shù)據(jù)包應用此規(guī)則鏈中的策略
  • FORWARD鏈——轉(zhuǎn)發(fā)數(shù)據(jù)包時應用此規(guī)則鏈中的策略
  • PREROUTING鏈——對數(shù)據(jù)包作路由選擇前應用此鏈中的規(guī)則(所有的數(shù)據(jù)包進來的時侯都先由這個鏈處理)
  • POSTROUTING鏈——對數(shù)據(jù)包作路由選擇后應用此鏈中的規(guī)則(所有的數(shù)據(jù)包出來的時侯都先由這個鏈處理)、

iptables訪問控制舉例

例如禁止192.168.1.1訪問我的ssh服務,端口默認22

iptable -I INPUT -p tcp -s 192.168.1.1 --dport 22 -j ACCEPT

評論0 贊同0
  •  加載中...

最新活動

您已邀請0人回答 查看邀請

我的邀請列表

  • 擅長該話題
  • 回答過該話題
  • 我關(guān)注的人
向幫助了您的網(wǎng)友說句感謝的話吧!
付費偷看金額在0.1-10元之間
<