Cara memblokir akses SSH dan FTP ke IP dan rentang jaringan tertentu di Linux
- 4060
- 273
- Ricardo Gottlieb
Biasanya kita semua menggunakan Ssh Dan Ftp layanan sering untuk mengakses server jarak jauh dan server pribadi virtual. Sebagai administrator Linux, Anda harus mengetahui cara memblokir akses SSH dan FTP ke IP atau rentang jaringan tertentu di Linux untuk mengencangkan sedikit lebih banyak keamanan.
- 25 Tip Keamanan Pengerasan untuk Server Linux
- 5 Tip Berguna untuk Mengamankan dan Melindungi SSH Server
Tutorial ini akan menunjukkan kepada Anda cara memblokir akses SSH dan FTP ke alamat IP tertentu dan/atau rentang jaringan di server CentOS 6 dan 7. Panduan ini diuji Centos 6.X Dan 7.X Versi, tetapi mungkin akan bekerja pada distribusi Linux lainnya seperti Debian, Ubuntu, dan Suse/OpenSUSE dll.
Kami akan melakukannya dalam dua metode. Metode pertama adalah menggunakan Ptable/Firewalld dan metode kedua adalah menggunakan TCP pembungkus dengan bantuan tuan rumah.mengizinkan Dan tuan rumah.membantah mengajukan.
Rujuk pemandu berikut untuk mengetahui lebih banyak tentang ptables dan firewalld.
- Panduan Dasar tentang Iptables (Linux Firewall) Tips / Perintah
- Cara mengatur firewall iptables untuk memungkinkan akses jarak jauh ke layanan di linux
- Cara Mengkonfigurasi 'Firewalld' di Rhel/Centos 7 dan Fedora 21
- Aturan 'firewalld' yang berguna untuk mengonfigurasi dan mengelola firewall di Linux
Sekarang Anda sadar tentang apa itu Ptable Dan Firewalld Dan itu dasar -dasarnya.
Metode 1: Blok Akses SSH dan FTP Menggunakan Iptables/FirewallD
Sekarang mari kita lihat cara memblokir akses SSH dan FTP ke IP tertentu (misalnya 192.168.1.100) dan/atau rentang jaringan (misalnya 192.168.1.0/24) menggunakan Ptable di rhel/centos/ilmiah linux 6.X versi dan Firewalld di Centos 7.X.
Memblokir atau menonaktifkan akses ssh
--------------------- Pada Firewall ptables --------------------- # ptables -i input -s 192.168.1.100 -p TCP -DPOR SSH -J Tolak # ptables -i input -s 192.168.1.0/24 -p TCP - -DPOR SSH -J Tolak
--------------------- Pada Firewalld --------------------- # firewall-cmd --direct --add-rule IPv4 filter input 1 -m tcp --source 192.168.1.100 -p TCP --Dport 22 -J Tolak # firewall -cmd --direct --add -aturan IPv4 filter input 1 -m tcp --source 192.168.1.100/24 -p TCP - -Dort 22 -J Tolak
Untuk menerapkan aturan baru, Anda perlu menggunakan perintah berikut.
# Service ptables simpan [di iptables firewall] # firewall-cmd --reload [di firewalld]
Sekarang, cobalah Ssh server dari host yang diblokir. Harap berhati -hati di sini 192.168.1.150 adalah host yang diblokir.
# SSH 192.168.1.150
Anda harus melihat pesan berikut.
SSH: Sambungkan ke Host 192.168.1.150 Port 22: Koneksi ditolak
Buka Blokir atau Aktifkan Akses SSH
Untuk membuka blokir atau mengaktifkan akses SSH, buka server jarak jauh dan jalankan perintah berikut:
--------------------- Pada Firewall ptables --------------------- # ptables -i input -s 192.168.1.100 -p TCP -DPOR SSH -J ACCEPT # ptables -i input -s 192.168.1.100/24 -p TCP -DPOR SSH -J RECECT
--------------------- Pada Firewalld --------------------- # firewall-cmd --direct --add-rule IPv4 filter input 1 -m tcp --source 192.168.1.100 -p TCP --Dport 22 -J ACCEPT # FIREWALL -CMD --IRECT --ADD -RULE IPv4 Filter Input 1 -M TCP --Sumber 192.168.1.100/24 -p TCP - -Dort 22 -J Terima
Simpan perubahan menggunakan berikut untuk mengakses server Anda melalui SSH.
# Service ptables simpan [di iptables firewall] # firewall-cmd --reload [di firewalld]
Memblokir atau menonaktifkan akses FTP
Biasanya, port default untuk Ftp adalah 20 Dan 21. Jadi, untuk memblokir semua lalu lintas FTP menggunakan ptables menjalankan perintah berikut:
--------------------- Pada Firewall ptables --------------------- # ptables -i input -s 192.168.1.100 -p TCP -DPOR 20,21 -J Tolak # ptables -i input -s 192.168.1.100/24 -p TCP -DPOR 20,21 -J Tolak
--------------------- Pada Firewalld --------------------- # firewall-cmd --direct --add-rule IPv4 filter input 1 -m tcp --source 192.168.1.100 -p TCP --Dport 20,21 -J Tolak # Firewall -CMD --Direct --Add -aturan IPv4 Filter Input 1 -M TCP --Sumber 192.168.1.100/24 -p TCP -DPOR 20,21 -J Tolak
Untuk menerapkan aturan baru, Anda perlu menggunakan perintah berikut.
# Service ptables simpan [di iptables firewall] # firewall-cmd --reload [di firewalld]
Sekarang, cobalah untuk mengakses server dari host yang diblokir (192.168.1.100), dengan perintah:
# FTP 192.168.1.150
Anda akan mendapatkan pesan kesalahan seperti di bawah ini.
FTP: Connect: Koneksi ditolak
Buka Blokir atau Aktifkan Akses FTP
Untuk membuka blokir dan mengaktifkan akses FTP kembali, jalankan:
--------------------- Pada Firewall ptables --------------------- # ptables -i input -s 192.168.1.100 -p TCP -DPOR 20,21 -J ACCEPT # ptables -i input -s 192.168.1.100/24 -P TCP -DPOR 20,21 -J Terima
--------------------- Pada Firewalld --------------------- # firewall-cmd --direct --add-rule IPv4 filter input 1 -m tcp --source 192.168.1.100 -p TCP --Dport 20,21 -J Terima # Firewall -CMD --Direct --Add -aturan IPv4 Filter Input 1 -M TCP --Sumber 192.168.1.100/24 -P TCP -DPOR 20,21 -J Terima
Simpan perubahan dengan perintah:
# Service ptables simpan [di iptables firewall] # firewall-cmd --reload [di firewalld]
Sekarang, cobalah untuk mengakses server melalui FTP:
# FTP 192.168.1.150
Masukkan nama pengguna dan kata sandi FTP Anda.
Terhubung ke 192.168.1.150. 220 Selamat Datang di Layanan FTP Tecmint. Nama (192.168.1.150: SK): Tecmint 331 Harap tentukan kata sandi. Kata Sandi: 230 Login Sukses. Jenis sistem jarak jauh adalah unix. Menggunakan mode biner untuk mentransfer file. ftp>
Metode 2: Blok Akses SSH dan FTP Menggunakan Pembungkus TCP
Jika Anda tidak ingin mengacaukan Ptable atau Firewalld, Kemudian Pembungkus TCP adalah cara yang lebih baik untuk memblokir akses SSH dan FTP ke IP tertentu dan/atau berbagai jaringan.
OpenSSH dan FTP dikompilasi dengan dukungan pembungkus TCP, yang berarti Anda dapat menentukan host mana yang diizinkan untuk terhubung tanpa menyentuh firewall Anda di dua file penting berikut dan adalah:
- /etc/host.mengizinkan
- /etc/host.membantah
Seperti namanya, file pertama berisi entri host yang diizinkan, dan yang kedua berisi alamat host yang diblokir.
Misalnya, mari kita memblokir akses SSH dan FTP ke host yang memiliki alamat IP 192.168.1.100 dan rentang jaringan 192.168.1.0. Metode ini sama untuk Centos 6.x dan 7.Seri x. Dan, tentu saja, itu akan bekerja pada distribusi lain seperti Debian, Ubuntu, Suse, OpenSUSE dll.
Buka /etc/host.membantah
File dan tambahkan alamat IP berikut atau rentang jaringan yang ingin Anda blokir seperti yang ditunjukkan di bawah ini.
##### Untuk memblokir akses SSH ##### SSHD: 192.168.1.100 SSHD: 192.168.1.0/255.255.255.0 ##### untuk memblokir akses ftp ##### vsftpd: 192.168.1.100 vsftpd: 192.168.1.0/255.255.255.0
Simpan dan Keluar dari file.
Sekarang, restart layanan SSHD dan VSFTPD untuk menerapkan perubahan baru.
--------------- Untuk Layanan SSH --------------- # Service SSHD RESTART [ON SYSVINIT] # SystemCTL Restart SSHD [ON SYSTEMD]
--------------- Untuk Layanan FTP --------------- # Layanan VSFTPD Restart [di Sysvinit] # SystemctL Restart vsftpd [di Systemd]
Sekarang, coba ssh server atau dari host yang diblokir.
# SSH 192.168.1.150
Anda akan melihat output berikut:
SSH_EXCHANGE_IDENTIFIKASI: Baca: Koneksi Reset oleh Peer
Sekarang, cobalah untuk FTP server atau dari host yang diblokir.
# FTP 192.168.1.150
Anda akan melihat output berikut:
Terhubung ke 192.168.1.150. 421 Layanan tidak tersedia.
Untuk membuka blokir atau mengaktifkan layanan SSH dan FTP lagi, edit tuan rumah.membantah File dan komentar keluar semua baris dan akhirnya restart VSFTPD dan Layanan SSHD.
Kesimpulan
Itu saja untuk saat ini. Untuk menyimpulkan, hari ini kami belajar cara memblokir alamat IP dan rentang jaringan tertentu menggunakan iptables, firewalld, dan pembungkus TCP. Metode ini cukup mudah dan mudah.
Bahkan, seorang administrator Linux pemula dapat melakukan ini dalam beberapa menit. Jika Anda tahu beberapa cara lain untuk memblokir akses SSH dan FTP, jangan ragu untuk membaginya di bagian komentar. Dan jangan lupa untuk membagikan artikel kami di semua jejaring sosial Anda.
- « Karier mana yang memilih Programmer vs Administrator
- Cara menyinkronkan file/direktori menggunakan rsync dengan port SSH non-standar »