• Hauptseite
  • Firewalls
  • So blockieren Sie SSH- und FTP -Zugriff auf einen bestimmten IP- und Netzwerkbereich unter Linux
Firewalls

So blockieren Sie SSH- und FTP -Zugriff auf einen bestimmten IP- und Netzwerkbereich unter Linux

So blockieren Sie SSH- und FTP -Zugriff auf einen bestimmten IP- und Netzwerkbereich unter Linux
Block SSH- und FTP -Zugriff mit Iptables/Firewalld

Normalerweise verwenden wir alle Ssh Und Ftp Dienstleistungen häufig, um auf die Remote -Server und virtuellen privaten Server zuzugreifen. Als Linux -Administrator müssen Sie wissen, wie Sie den SSH- und FTP -Zugriff auf einen bestimmten IP- oder Netzwerkbereich unter Linux blockieren, um das Sicherheitsbit mehr zu verschärfen.

  1. 25 Härtungssicherheitstipps für Linux -Server
  2. 5 Nützliche Tipps zum sichern und schützen SSH -Server

In diesem Tutorial werden Sie angezeigt. Dieser Leitfaden wurde getestet Centos 6.X Und 7.X Versionen, aber es wird wahrscheinlich an anderen Linux -Verteilungen wie Debian, Ubuntu und Suse/OpenSuse usw. funktionieren usw.

Wir werden es in zwei Methoden tun. Die erste Methode ist die Verwendung Iptables/Firewall und die zweite Methode verwendet die Verwendung TCP Wrapper mit Hilfe von Gastgeber.erlauben Und Gastgeber.leugnen Datei.

Verweisen Sie folgende Anleitungen, um mehr über Iptables und Firewall zu erfahren.

  1. Grundlegende Anleitung zu Iptables (Linux Firewall) Tipps / Befehlen
  2. So richten Sie eine Iptables -Firewall ein, um den Remote -Zugriff auf Dienste unter Linux zu ermöglichen
  3. So konfigurieren Sie 'Firewalld' in RHEL/Centos 7 und Fedora 21
  4. Nützliche "Firewall" -Regeln, um Firewall unter Linux zu konfigurieren und zu verwalten

Jetzt wissen Sie, was ist, was ist Iptables Und Firewall Und es sind Grundlagen.

Methode 1: Block SSH- und FTP -Zugriff mit Iptables/Firewall

Lassen Sie uns nun sehen, wie Sie den SSH- und FTP -Zugriff auf eine bestimmte IP blockieren (zum Beispiel 192.168.1.100) und/oder Netzwerkbereich (zum Beispiel 192.168.1.0/24) Verwenden Iptables auf rhel/centos/Scientific Linux 6.x Versionen und Firewall auf Centos 7.X.

Blockieren oder deaktivieren Sie den SSH -Zugriff

--------------------- An Iptables Firewall --------------------- # iptables -i Eingabe -S 192.168.1.100 -p tcp - -dort SSH -j Ablehnung # iptables -i Eingabe -s 192.168.1.0/24 -P TCP - -dort SSH -J Ablehnung 
--------------------- An Firewall --------------------- # Firewall-CMD--Direct --Add-Rule IPv4-Filtereingang 1 -m TCP--Source 192.168.1.100 -p tcp - -dort 22 -J Ablehnung # Firewall -cmd - -direct --Add -Rule IPv4 Filtereingang 1 -m TCP - -Source 192.168.1.100/24 ​​-P TCP - -dort 22 -j Ablehnung

Um neue Regeln in Kraft zu setzen, müssen Sie den folgenden Befehl verwenden.

# Service iptables speichern [auf iptables Firewall] # Firewall-CMD-Reload [auf Firewall]

Versuchen Sie jetzt Ssh Der Server aus dem blockierten Host. Bitte beachten Sie das hier 192.168.1.150 ist der blockierte Host.

# SSH 192.168.1.150

Sie sollten die folgende Nachricht sehen.

SSH: Verbindung zum Host 192 herstellen.168.1.150 Port 22: Verbindung abgelehnt

SSH -Zugriff entsperren oder aktivieren

Um den SSH -Zugriff zu entsperren oder zu aktivieren, gehen Sie zum Remote -Server und führen Sie den folgenden Befehl aus:

--------------------- An Iptables Firewall --------------------- # iptables -i Eingabe -S 192.168.1.100 -p tcp - -dort ssh -j Akzeptieren # iptables -i Eingabe -s 192.168.1.100/24 ​​-p tcp - -dort SSH -J Akzeptieren 
--------------------- An Firewall --------------------- # Firewall-CMD--Direct --Add-Rule IPv4-Filtereingang 1 -m TCP--Source 192.168.1.100 -p tcp - -dort 22 -J Akzeptieren Sie # Firewall -CMD - -Direkt --add -Rule IPv4 Filtereingang 1 -M TCP - -Source 192.168.1.100/24 ​​-p tcp - -dort 22 -J Akzeptieren

Speichern Sie die Änderungen mithilfe von Follows, um über SSH auf Ihren Server zuzugreifen.

# Service iptables speichern [auf iptables Firewall] # Firewall-CMD-Reload [auf Firewall]

FTP -Zugriff blockieren oder deaktivieren

Typischerweise die Standardports für Ftp Sind 20 Und 21. So blockieren Sie alle FTP -Datenverkehr mit Iptables den folgenden Befehl:

--------------------- An Iptables Firewall --------------------- # iptables -i Eingabe -S 192.168.1.100 -p tcp - -dort 20,21 -J Ablehnung # iptables -i input -s 192.168.1.100/24 ​​-P TCP - -dort 20,21 -J Ablehnung 
--------------------- An Firewall --------------------- # Firewall-CMD--Direct --Add-Rule IPv4-Filtereingang 1 -m TCP--Source 192.168.1.100 -p tcp - -dort 20,21 -j Ablehnung # Firewall -cmd - -direct --Add -Rule IPv4 Filter Eingabe 1 -m TCP - -Source 192.168.1.100/24 ​​-P TCP - -dort 20,21 -J Ablehnung

Um neue Regeln in Kraft zu setzen, müssen Sie den folgenden Befehl verwenden.

# Service iptables speichern [auf iptables Firewall] # Firewall-CMD-Reload [auf Firewall]

Versuchen Sie nun, über den blockierten Host auf den Server zuzugreifen (192.168.1.100), mit Befehl:

# FTP 192.168.1.150

Sie erhalten eine Fehlermeldung so etwas wie unten.

FTP: Connect: Verbindung abgelehnt

FTP -Zugriff entsperren oder aktivieren

Um FTP -Zugriff zurück zu entsperren und zu aktivieren, rennen Sie:

--------------------- An Iptables Firewall --------------------- # iptables -i Eingabe -S 192.168.1.100 -p tcp - -dort 20,21 -J Akzeptieren Sie # iptables -i Eingabe -s 192.168.1.100/24 ​​-p tcp - -dort 20,21 -J Akzeptieren 
--------------------- An Firewall --------------------- # Firewall-CMD--Direct --Add-Rule IPv4-Filtereingang 1 -m TCP--Source 192.168.1.100 -p tcp - -dort 20,21 -J Akzeptieren Sie # Firewall -CMD - -Direct --Add -Rule IPv4 Filtereingang 1 -M TCP - -Source 192.168.1.100/24 ​​-p tcp - -dort 20,21 -J Akzeptieren

Speichern Sie die Änderungen mit dem Befehl:

# Service iptables speichern [auf iptables Firewall] # Firewall-CMD-Reload [auf Firewall]

Versuchen Sie nun, über FTP auf den Server zuzugreifen:

# FTP 192.168.1.150

Geben Sie Ihren FTP -Benutzernamen und Ihr Passwort ein.

Verbunden mit 192.168.1.150. 220 Willkommen zum Tecmint FTP -Service. Name (192.168.1.150: SK): Tecmint 331 Bitte geben Sie das Passwort an. Passwort: 230 Login erfolgreich. Remote -Systemtyp ist Unix. Verwenden des Binärmodus, um Dateien zu übertragen. ftp>

Methode 2: Block SSH- und FTP -Zugriff mithilfe von TCP -Wrappern

Wenn Sie sich nicht anlegen wollen Iptables oder Firewall, Dann TCP -Verpackungen ist die bessere Möglichkeit, SSH- und FTP -Zugriff auf eine bestimmte IP und/oder einen Netzwerkbereich zu blockieren.

OpenSSH und FTP werden mit Unterstützung von TCP -Wrappern zusammengestellt. Dies bedeutet, dass Sie angeben können, welche Hosts eine Verbindung herstellen dürfen, ohne Ihre Firewall in den folgenden zwei wichtigen Dateien zu berühren, und sind:

  1. /etc/hosts.erlauben
  2. /etc/hosts.leugnen

Wie der Name schon sagt, enthält die erste Datei Einträge von zulässigen Hosts, und die zweite enthält Adressen von blockierten Hosts.

Blockieren wir beispielsweise den SSH- und FTP -Zugriff auf Host mit IP -Adresse 192.168.1.100 und Netzwerkbereich 192.168.1.0. Diese Methode ist für CentOS 6 gleich.x und 7.X -Serie. Und natürlich wird es an anderen Verteilungen wie Debian, Ubuntu, Suse, OpenSuse usw. arbeiten.

Öffne das /etc/hosts.leugnen Datei und fügen Sie die folgenden IP -Adressen oder den Netzwerkbereich hinzu, die Sie wie unten gezeigt blockieren möchten.

##### zum Blockieren von SSH -Zugriff ##### SSHD: 192.168.1.100 SSHD: 192.168.1.0/255.255.255.0 ##### zum Blockieren von FTP -Zugriff ##### VSFTPD: 192.168.1.100 vsftpd: 192.168.1.0/255.255.255.0

Speichern und beenden Sie die Datei.

Starten Sie nun den SSHD- und VSFTPD -Service neu, um neue Änderungen in Kraft zu setzen.

--------------- Für SSH-Service --------------- 
--------------- Für den FTP-Service ---------------

Versuchen Sie nun, den Server oder einen blockierten Host von SSH zu ssh.

# SSH 192.168.1.150

Sie werden die folgende Ausgabe sehen:

SSH_EXCHANGE_IDIENTIFIZIERUNG: Lesen: Verbindungsrücksetzer durch Peer

Versuchen Sie nun, den Server oder über einen blockierten Host zu ftp.

# FTP 192.168.1.150

Sie werden die folgende Ausgabe sehen:

Verbunden mit 192.168.1.150. 421 Service nicht verfügbar.

Um SSH- und FTP -Dienste erneut zu entsperren oder zu aktivieren, bearbeiten Sie sie erneut Gastgeber.leugnen Datei und kommentieren Sie alle Zeilen und starten Sie schließlich VSFTPD- und SSHD -Dienste neu.

Abschluss

Das ist alles fürs Erste. Um zusammenfassen zu. Diese Methoden sind ziemlich einfach und unkompliziert.

Auch ein Anfänger -Linux -Administrator kann dies in ein paar Minuten tun. Wenn Sie einige andere Möglichkeiten kennen, um SSH- und FTP -Zugriff zu blockieren, können Sie diese gerne im Kommentarbereich teilen. Und vergessen Sie nicht, unsere Artikel in allen sozialen Netzwerken zu teilen.