本文介绍了SNAT技术的工作原理及其应用场景,并深入探讨了TCPWrappers服务在Linux系统中的配置与使用方法,包括如何设置访问控制列表以实现对网络服务的安全管理。
SNAT
SNAT是一种为了解决IP地址匮乏而设计的技术,它可以使得多个内网中的用户通过同一个外网IP接入Internet。该技术的应用非常广泛,甚至可以说我们每天都在使用,只不过没有察觉到罢了。
服务的访问控制列表
TCP Wrappers是RHEL 7系统中默认启用的一款流量监控程序,它能够根据来访主机的地址与本机的目标服务程序作出允许或拒绝的操作。换句话说,Linux系统中其实有两个层面的防火墙,第一种是前面讲到的基于TCP/IP协议的流量过滤工具,而TCP Wrappers服务则是能允许或禁止Linux系统提供服务的防火墙,从而在更高层面保护了Linux系统的安全运行。TCP Wrappers服务的控制列表文件配置起来并不复杂,常用的参数:
| 客户端类型 | 示例 | 满足示例的客户端列表 |
|---|---|---|
| 单一主机 | 192.168.10.10 | IP地址为192.68.10.10的主机 |
| 指定网段 | 192.168.10. | IP段为192.168.10.0/24的主机 |
| 指定网段 | 192.168.10.0/255.255.255.0 | IP段为192.168.10.0/24的主机 |
| 指定DNS后缀 | .linuxprobe.com | 所有DNS为.linuxprobe.com的主机 |
| 指定主机名称 | www.linuxprobe.com | 主机名称为www.linuxprobe.com的主机 |
| 指定所有客户端 | ALL | 所有主机包括在内 |
在配置TCP Wrappers服务时需要遵循两个原则:
1、编写拒绝策略规则时,填写的是服务名称,而非协议名称;
2、建议先编写拒绝策略规则,再编写允许策略规则,以便直观地看到相应的效果。
允许/拒绝sshd服务
1、vim /etc/hosts.deny #编辑/etc/hosts.deny文件
2、sshd:* #禁止所有流量访问本机sshd服务
3、ssh 192.168.10.10 #尝试访问本机sshd服务,发现就算是本机自身也不能访问本机sshd服务
4、vim /etc/hosts.allow #编辑/etc/hosts.allow文件
5、sshd:192.168.10.0/24 #允许指定网段访问本机sshd服务
6、ssh 192.168.10.10 #尝试访问本机sshd服务,发现可以了
配置网络服务
1、vim /etc/sysconfig/network-scripts/ifcfg-eno16777736
systemctl restart network
2、umtui
systemctl restart network
3、nm-connection-editor
4、
网络会话
RHEL和CentOS系统默认使用NetworkManager来提供网络服务,这是一种动态管理网络配置的守护进程,能够让网络设备保持连接状态。可以使用nmcli命令来管理Network Manager服务。nmcli是一款基于命令行的网络配置工具,功能丰富,参数众多。
具体参数意义:
1、con-name:网络会话名称
2、type:网络类型
3、ifname:网卡名称
4、autoconnect :网络会话默认是否自动激活,yes是no否
5、ip4:ip地址及子网掩码
6、gw4:网关
7、add/delete:添加/删除
8、up/down:启用/禁用
创建公司与家庭的IP地址
1、nmcli connection show #查看已有的网络会话,DEVICE一列有值的那行说明那个会话在启用
2、nmcli connection add con-name company ifname eno16777756 autoconnect no type ethernet ip4 192.168.10.10/30 gw4 192.168.10.1
3、nmcli connection add con-name house type ethernet ifname eno16777756
4、nmcli connection show #查到刚创建的会话也在这里头了
5、nmcli connection up house #启用网络会话house
6、nmcli connection show #可以看到名为house的网络会话DEVICE列有显示对应的网卡名称
7、nmcli connection down house #关闭网络会话house
8、nmcli connection show #可以看到此时所有网络回话DEVICE列均没有值,说明没有任何会话在启用状态
9、nmcli connection delete house #删除网络会话house
10、nmcli connection show #查看创建的所有网络会话,剩下原有的eno16777756和company
远程控制服务
sshd服务的配置信息保存在/etc/ssh/sshd_config文件中
sshd服务配置文件中包含的参数以及作用
| 参数 | 作用 |
|---|---|
| Port 22 | 默认的sshd服务端口 |
| ListenAddress 0.0.0.0 | 设定sshd服务器监听的IP地址 |
| Protocol 2 | SSH协议的版本号 |
| HostKey /tc/ssh/ssh_host_key | SSH协议版本为1时,DES私钥存放的位置 |
| HostKey /etc/ssh/ssh_host_rsa_key | SSH协议版本为2时,RSA私钥存放的位置 |
| HostKey /etc/ssh/ssh_host_dsa_key | SSH协议版本为2时,DSA私钥存放的位置 |
| PermitRootLogin yes | 设定是否允许root管理员直接登录 |
| StrictModes yes | 当远程用户的私钥改变时直接拒绝连接 |
| MaxAuthTries 6 | 最大密码尝试次数 |
| MaxSessions 10 | 最大终端数 |
| PasswordAuthentication yes | 是否允许密码验证 |
| PermitEmptyPasswords no | 是否允许空密码登录(很不安全) |
scp命令中可用的参数及作用
| 参数 | 作用 |
|---|---|
| -v | 显示详细的连接进度 |
| -P | 指定远程主机的sshd端口号 |
| -r | 用于传送文件夹 |
| -6 | 使用IPv6协议 |
安全密钥验证
1.在客户端主机(192.168.10.20)生成“密钥对”(生成公钥和私钥)。
2.在客户端中把生成的公钥传送给服务端(192.168.10.10)。
3.在服务端,修改sshd配置文件,使其只允许密钥验证,拒绝口令验证。修改后重启sshd服务。
4.在客户端远程登录服务器测试是否配置成功。
扫一扫
67
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
