CentOS7 配置防火墙规则应对漏洞扫描

已于 2022-05-26 15:41:56 修改
阅读量2.1k 收藏 8
点赞数 1
分类专栏: 服务器运维 云平台 Rancher 文章标签: 运维 网络 linux
于 2022-05-26 15:41:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq12547345/article/details/124985391
版权
1、背景

我用六台虚拟机搭建了一套 Rancher 环境,用于团队开发、测试使用,但是由于版本较老,被安全人员扫出一些漏洞,升级 Rancher 又太麻烦,而且怕万一出问题影响使用,所以只能采用防火墙白名单模式曲线救国了。

2、环境

  • 主机信息:
    192.168.10.11 - 192.168.10.16 是 Rancher 集群所用六台主机 ip 地址
    192.168.10.10 是我个人主机 ip 地址,需要访问 Rancher,所以需要单独添加规则
    192.168.10.20 - 192.168.10.100 是团队开发人员的主机 ip 地址,需要访问 Rancher 上部署的服务

  • 端口信息:
    Rancher 默认使用 30000 - 32767 作为 NodePod 服务对外映射的端口范围

3、防火墙配置
  1. 开启防火墙服务
    systemctl start firewalld
systemctl enable firewalld
  2. 设置拦截规则为全部拒绝
    firewall-cmd --permanent --zone=public --set-target=DROP
  3. 放行 30000 - 32767 范围端口
    firewall-cmd --permanent --zone=public --add-port=30000-32767/tcp
  4. 放行集群间所有端口
    firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.10.11 accept'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.10.12 accept'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.10.13 accept'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.10.14 accept'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.10.15 accept'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.10.16 accept'
  5. 放行我本机 ip 可以访问 Rancher 的 8080 和 8443 服务
    firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.10.10 port protocol=tcp port=8080 accept'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.10.10 port protocol=tcp port=8443 accept'
  6. 加载配置使生效(不执行则规则不生效)
    firewall-cmd --reload
4、效果

在配置防火墙规则前,通过绿盟漏洞扫描工具扫出以下端口的漏洞信息:

端口漏洞信息
80nginx 安全漏洞(CVE-2021-23017)
443nginx 安全漏洞(CVE-2021-23017)
2379SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
2380SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
8181nginx 安全漏洞(CVE-2021-23017)
10257SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
10259SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
20048目标主机showmount -e信息泄露(CVE-1999-0554)

防火墙规则开启后,30000 以上端口的容器服务不受影响,同事可以正常使用。
Rancher 集群之间不受影响,集群之间所有节点互相无限制。
我访问 Rancher UI 也不受影响,因为我单独把 8080 和 8443 端口对我 ip 放行。
至此,算是暂时可以避免被漏洞扫描出中高危。

鬼畜的稀饭
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AWVS的简介与安装
ChuMeng1999的博客
11-17 873
它将会扫描整个网站,它通过跟踪站点上的所有链接和robots.txt实现扫描。然后WVS就会映射出站点的结构并显示每个文件的细节。在上述的发现阶段或扫描过程之后,WVS就会自动地对所发现的每一个页面发动一系列的漏洞攻击,这实质上是横拟黑客的攻击过程,这是一个自动扫描阶段。在它发现漏洞之后,WVS就会在“Alerts Node (警告节点)”中报告这些漏洞。每一个报告都包含着漏洞信息和如何修复漏洞的建议。
CentOS7防火墙的一些常用配置介绍
01-10
centos 7中防火墙是一个非常的强大的功能了,但对于centos 7中在防火墙中进行了升级了,下面我们一起来详细的看看关于CentOS7防火墙的一些常用配置。 # 启动 systemctl start firewalld # 查看状态 systemctl ...
如何拒绝端口扫描
weixin_33946605的博客
09-14 1609
为保护路由器不受端口扫描的探测,我们可以记录下试图探测你的IP,并使用IP地址列表记录下,然后拒绝这些IP访问。 在/ip firewall filter add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" ad...
CentOS7 Docker防火墙的简单配置教程
09-30
主要给大家介绍了关于CentOS7 Docker防火墙的简单配置方法,以及总结了docker在centos7下的一些坑,文中通过示例代码介绍的非常详细,需要的朋友可以参考借鉴,下面随着小编来一起学习学习吧。
CentOS7 系统安全及应用(二),2024年最新企业级项目实战讲解
最新发布
2401_83946545的博客
04-15 796
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。| -sU | UDP扫描,扫描主机开启的 UDP 的服务,速度慢,结果不可靠 |
网络靶场实战--飞塔(Fortinet)防火墙认证绕过漏洞(CVE-2022-40684)
蛇矛实验室
12-13 3876
我们这一小节简单了解了身份认证绕过流程,分析并复现了fortigate防火墙身份认证绕过漏洞的形成过程以及如何利用。蛇矛实验室成立于2020年,致力于安全研究、攻防解决方案、靶场对标场景仿真复现及技战法设计与输出等相关方向。团队核心成员均由从事安全行业10余年经验的安全专家组成,团队目前成员涉及红蓝对抗、渗透测试、逆向破解、病毒分析、工控安全以及免杀等相关领域。
windows server服务器有端口漏洞如何解决
皮燕子
03-04 823
1.如果服务器不需要连接外网的话,可以直接开启防火墙。 2.我们可以直接阻止有漏洞的端口: 进入“Windows防火墙”设置面板以后,点击左侧菜单中的“高级设置”。 进入“高级设置”的设置面板后,我们依次点击面板中的“入站规则”--“新建规则”。 在“新建规则”的设置页面中,我们首先设置规则类型。这里我们选择端口类型。然后点击下一步。 设置该规则操作的端口号。然后继续点击下一步。 设置规则对端口要做如何的操作。设置好后,还是继续点击下一步。进入配置文件设置时,直接下一步跳过进入最后的设置。 最后一
基于centos部署的 漏洞扫描工具(afrog)
故南思北的博客
08-11 2012
afrong 开源漏洞扫描工具
Centos7系统安全漏洞怎么修复?(超详细修复方案)
jennycisp的博客
05-25 4132
一. 内网升级服务及命令版本方法内网环境,无法使用yum命令 —— 则离线升级安装rpm包Centos的rpm包地址(大多数包可在这找到):CentOS Mirror若是包版本不全,可使用此博客的4.1方法下载安装升级包:Docker系列之二:离线安装docker_sara的博客-CSDN博客_docker离线安装升级软件包命令:rpm会自动卸载相应软件包的旧版本// * 指代rpm包的名字// 此命令是离线升级安装软件包,若有网,则可以直接使用yum命令。
Linux centos7漏洞扫描工具 Nessus8.15.9的下载、安装
Darren洋的博客
06-20 2463
Linux centos7漏洞扫描工具 Nessus8.15.9的下载、安装
防火墙.iptables-tcp-flags防止nmap端口扫描
newlife1441的博客
07-16 2489
iptables如何防止nmap扫描?Linux中真正的防火墙是Netfilter,但由于都是通过应用层程序如iptables或firewalld进行操作,所以我们一般把iptables或firewalld叫做Linux防火墙,iptables都是针对IPv4的,如果IPv6,则要用ip6tables。...
linux关闭X服务
a568804062的博客
03-12 4167
检测到远端X服务正在运行中 1:漏洞扫描出现X服务,需要关闭该服务,奈何找不到关闭方案 本文说两种关闭X服务的方案: 方案1:通过防火墙禁用6000端口 适用于redhat7.x linux7.x centos7.x #启动防火墙 systemctl start firewalld #开启6000端口 firewall-cmd --zone=public --add-port=6000/tcp –permanent #移除6000端口 firewall-cmd --zone=public --remo
CentOS 7-防火墙配置
08-11
CentOS 7-防火墙配置
主机、web漏洞修复整理
JBbo01的博客
10-26 6977
系统运维安扫,检测主机、web等安全漏洞,现把发现的漏洞修复整理记录一下。
防火墙阻断扫描设备_记一次故障排查
呦菜呦爱玩的博客
03-24 493
acl策略上是允许这个扫描的ip地址通过,但是匹配到了安全配置文件的威胁类型,所以给这个扫描ip地址,当作威胁给你阻断了。3.查看威胁日志,发现动作是阻断的,威胁类型是漏洞方式,这说明防火墙识别到扫描的威胁,将该IP阻断了。1.确定扫描设备的IP,在防火墙上查看流量日志,威胁日志,查看防火墙对源IP的策略是阻断还是放行。2.查看流量日志,发现动作是允许的,而且有该IP的流量,这说明放行的acl策略没有问题。用扫描设备扫描内部网络,扫描了一会,就不行了,ping也ping不通。
linux firewalld白名单配置 解决openssh扫描漏洞
weixin_42001360的博客
03-30 1884
【代码】linux firewalld白名单配置 解决openssh扫描漏洞
LinuxCentos7 nc探测端口命令并实时探测
J_Lee
07-02 3194
文章目录一. centos7 系统使用nc探测端口1.1 安装nc工具1.2 端口探测二.nc工具实时探测端口2.1 编写shell脚本2.2 后台运行2.3 screen其它使用 一. centos7 系统使用nc探测端口 1.1 安装nc工具 yum install nc -y 1.2 端口探测 TCP端口探测 使用方法: nc -w 1 IP地址 端口 < /dev/null && echo "tcp port ok" 举例 对方tcp端口可连接: # nc
常见绿盟扫描主机漏洞及修复方案
热门推荐
06-11 1万+
1、服务器支持 SSL Insecure Renegotiation (CVE-2009-3555)【原理扫描】 中 修复意见: 建议升级openssl来进行修复,openssl-0.98m之后的版本就已经修复了该漏洞使用了Secure Renegotiation。 2、SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808) 中 修复意见: 对于NGINX的修补 修改nginx配置文件中的 ssl_ciphers项 ssl_ciphers"ECDHE-..
猿创征文|centos7升级openssh服务(再也不怕漏扫啦)
zsk_john的技术分享专用博客
08-31 2106
openssh服务是一个基础服务,这个干什么用的不用多说,为了安全(有些安全部门喜欢这个,经常扫一扫漏洞,然后说你的ssh有漏洞),因此,可能需要升级这个服务,话不多说,直接开干。 升级方式为源码编译安装,openssh的强依赖是openssl,而OpenSSL又是一个非常基础的服务,因此,两者都要升级。
centos7中如何配置防火墙规则
06-11
在 CentOS 7 中,可以使用 firewall-cmd 命令来配置防火墙规则。以下是一些常用的命令: 1. 查看所有防火墙规则: ``` sudo firewall-cmd --list-all ``` 2. 开放一个端口,比如 80 端口: ``` sudo ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值