【Firewall】服务器访问限制白名单

最新推荐文章于 2024-05-11 14:16:52 发布
最新推荐文章于 2024-05-11 14:16:52 发布
阅读量946 收藏 5
点赞数 2
文章标签: 服务器 excel 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51417587/article/details/138181126
版权

方法一、主机限制

[root@slave2 ~]# ssh -V
OpenSSH_6.6.1p1, OpenSSL 1.0.1e-fips 11 Feb 2013
[root@slave2 ~]# cat /etc/centos-release
CentOS Linux release 7.3.1611 (Core)

修改配置文件/etc/hosts.allow

#在配置文件末新增参数,具体IP按需调整
[root@slave1 opt]# vi /etc/hosts.allow
#允许单个IP访问
sshd:192.168.124.64:allow
#允许IP段访问
sshd:192.168.124.*:allow

修改配置文件/etc/hosts.deny

#在配置文件末新增参数
[root@slave1 opt]# vim /etc/hosts.deny
#拒绝除hosts.allow里指定IP之外的所有ssh访问
sshd:ALL

重启服务

#重启ssh服务
[root@slave1 opt]# systemctl restart sshd
#限制访问前的状态
#会有提示输入密码的选项
[root@slave2 ~]# ssh 192.168.124.82 -p 8017
root@192.168.124.82's password:
#限制访问后的状态:
#远程ssh端口依然是通的
[root@slave2 ~]# telnet 192.168.124.82 8017
Trying 192.168.124.82...
Connected to 192.168.124.82.
Escape character is '^]'.
^]
telnet> ^CConnection closed.
#但是无法通过ssh访问
[root@slave2 ~]# ssh 192.168.124.82 -p 8017
ssh_exchange_identification: read: Connection reset by peer

方法二、sshd_config限制

vi /etc/ssh/sshd_config
新增配置
#仅允许192.168.124.64主机通过root用户访问,AllowUsers root@ip1,ip2,
AllowUsers root@192.168.124.64
#重启sshd
systemctl restart sshd

#多用户情况格式
AllowUsers user1@ip1,ip2 user2@ip3,ip4
------------------------------------------------
拒绝指定用户进行登录(黑名单)# 拒绝 zhangsan、lisi 帐户通过 SSH 登录系统
DenyUsers   zhangsan lisi    #Linux系统账户

方法三、防火墙限制

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.124.64/32" port protocol="tcp" port="8017" accept"
firewall-cmd --permanent --zone=public --remove-service=ssh
firewall-cmd --reload

firewall常用命令

开放防火墙端口

#开放防火墙端口
firewall-cmd --permanent --zone=public --add-port=7001-7004/tcp
firewall-cmd --permanent --zone=public --add-port=9740/tcp
#加载立即生效
firewall-cmd --reload
#查看当前开放端口
firewall-cmd --list-ports
#删除防火墙端口
firewall-cmd --permanent --zone=public --remove-port=9740/tcp 
–permanent代表永久设置
-reload 代表使用永久设置立马生效。
–zone代表设置的区域
不写就是默认区域。

允许指定ip的所有流量

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.124.64/32" accept" # 表示允许来自192.168.124.64的所有流量

允许指定ip的指定协议

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.124.64/32" protocol value="icmp" accept" # 允许192.168.124.64主机的icmp协议,即允许192.168.124.64主机ping

允许指定ip访问指定服务

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.124.64/32" service name="ssh" accept" # 允许192.168.124.64主机访问ssh服务

允许指定ip访问指定端口

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.124.64/32" port protocol="tcp" port="22" accept" # 允许192.168.124.64主机访问22端口

允许指定网段访问指定端口

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.0.1/24" port protocol="tcp" port="22" accept" # 允许192.168.0.x主机访问22端口

源自IP或子网的流量导向指定的区域

firewall-cmd --permanent --zone=public --add-source=192.168.0.0/24
firewall-cmd --permanent --zone=public --remove-source=192.168.0.0/24

禁止指定ip/网段,在上面各个命令中,将 accept 设置为 reject表示拒绝

防火墙的区域

查看所有的域:firewall-cmd --get-zones
查看active区域信息: firewall-cmd --get-active-zones
查看指定网卡所属区域: firewall-cmd --get-zone-of-interface=eno1
查看默认区域:firewall-cmd --get-default-zone
修改默认区域:firewall-cmd --set-default-zone=internal
查看特定区域的所有配置:firewall-cmd --zone=public --list-all
添加ssh服务:firewall-cmd --permanent --zone=public --add-service=ssh
删除ssh服务:firewall-cmd --permanent --zone=public --remove-service=ssh
允许icmp协议:firewall-cmd --permanent --zone=public --add-protocol=icmp
取消icmp协议:firewall-cmd --permanent --zone=public --remove-protocol=icmp
linux下防火墙加白名单
linuxlsq的博客
08-28 3万+
在linux系统中安装yum install iptables-services 然后 vi /etc/sysconfig/iptables # Generated by iptables-save v1.4.7 on Sun Aug 28 12:14:02 2016 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTP
Centos7 防火墙策略-9个区域-限制ip及白名单
weixin_43741718的博客
03-08 1649
区域(zone)基本上是一组规则,它们决定了允许哪些流量,具体取决于你对计算机所连接的网络的信任程度。为网络接口分配了一个区域,以指示防火墙应允许的行为。Firewalld 一般已经默认内置了 9 个区域(zone),每个区域有不同的规则。这是在public中作策略,单独放开某个ip某个访问某个端口。这就是允许某个ip访问指定的端口。Firewalld 中的基本概念 区域(zone)3.查看单个区域public的规则。区域,允许的放入trusted区域。1.查看当前所有区域的规则。区域,拒绝的单独放入。
服务器白名单是什么意思
weixin_71114441的博客
02-23 541
其实服务器白名单与域名备案有关,当网站配置完成后,需要把域名解析到机房ip,机房根据工信部要求,使用国内机房必须进行域名备案,否则网站将不允许用域名访问,也就是说,在域名解析绑定后,需要填服务器ip地址和域名信息在到白名单管理,这样才可以访问,当然前提是你的域名已经备案通过且没有非法信息。过白名单,就是你架设的网站,需要用到你的域名,域名解析过之后,还不能访问,需要机房在路由上设置一下,信任你的网站,这样才可以访问。前提条件是你的域名备案通过且没有非法信息。你也可以选择某些不需要过白名单服务器。在电脑系
Linux查看防火墙白名单
feiyu208的专栏
12-07 3536
原文链接:https://blog.csdn.net/qq_36811160/article/details/107978752。Linux检查防火墙白名单,开通白名单。2、开启白名单(替换IP和端口号即可)
服务器白名单
m0_54187478的博客
05-11 636
服务器白名单是一种安全措施,用于限制谁可以访问服务器资源。它定义了一组被允许访问或执行特定操作的IP地址、用户或设备。通过仅允许这些已验证和信任的实体进行连接,白名单可以有效地提高服务器的安全性和控制。
firewall ip白名单设置
热门推荐
01-26 2万+
一、firewall服务 1、启动 systemctl start firewalld 2、设置开机自启动 systemctl enable firewalld 二、firewall配置 1、查看默认防火墙状态 firewall-cmd --state 2、查看防火墙规则 firewall-cmd --list-all 3、查看区域信息 irewall-cmd --ge...
CentOS Firewall 配置使用
键盘上温暖而又美好的时光
10-11 328
1、firewalld的基本使用 启动: systemctl start firewalld 关闭: systemctl stop firewalld 查看状态: systemctl status firewalld 开机禁用 : systemctl disable firewalld 开机启用 :systemctl enable firewalld 2.systemctl服务管理工具 启动一个服务:systemctl start firewalld.service 关闭一...
centos7配置firewall白名单
小徕虫的博客
04-22 7811
要解决的问题 在服务器搭建了nacos环境后,想通过防火墙策略限制网络访问,保证安全。因为是暴露在公网环境中,所以只想让1xx.1xx.1xx.1xx这个IP能访问到8848这个端口。其它IP的访问不可用。 背景环境 [root@owxwoldsev23pa~]# cat /etc/centos-release CentOS Linux release 7.6.1810 (Core) [root@owxwoldsev23pa~]# firewall-cmd --version 0.6.3 [root@owx
Linux服务器配置ip白名单防止远程登录以及端口暴露
HealerJean梦想博客
06-25 1万+
前言 博主用的服务器是阿里云购买的,其实阿里云已经提供安全策略共给我们使用了,但是如果是公司自己的服务器,或者是我们自己的虚拟机等。还是需要自己看看配置好防火墙和如何配置白名单的。 1、阿里云的服务器,本身并没有防火墙,但是我们可以安装一个IPtable防火墙(这里阿里云的服务器系统为Centos),这样的话,就需要防火墙和阿里云网址配置的白名单同时生效才可以喽。 1、服务器防火...
服务器设置 白名单
weixin_34194702的博客
05-25 3052
Linux服务器防火墙白名单设置 登上服务器,编辑防火墙配置文件   vi /etc/sysconfig/iptables   把需要访问本台服务器的其他服务器ip地址,以及本台服务器需要开放的端口号添加上   如下: # Firewall configuration written by system-config-firewall # Manual customization ...
详解firewall的规则设置与命令(白名单设置)
01-10
一. 设置firewall规则 例1:对外暴露8080端口 firewall-cmd --permanent --add-port=8080/tcp 例2:使mysql服务的3306端口只允许192.168.1.1/24网段的服务器访问 #添加规则 firewall-cmd --permanent --add-rich-rule=rule family=ipv4 source address=192.168.1.1/24 port protocol=tcp port=3306 accept #reload使生效 firewall-cmd --reload 例3:端
防火墙白名单设置方法_firewalld_centos7.pdf
10-31
firewall设置访问白名单,仅允许合法的ip访问特定端口,如下以9089端口以及5672端口为例
内网&虚拟机静态IP设置&VMWare内网通外网不通&把某一网段白名单&虚拟机ping不通主机&虚拟机桥接改成非192.168网段&服务器与电脑直连共享wifi
weixin_46045444的博客
11-24 1840
首先关于虚拟机网络问题,先打开网络适配器,查看是否有vmware下载后的两个自带的虚拟网卡,网络和internet->更改适配器 可以看到VMnet1和VMnet8两个虚拟机网卡和wlan网卡以及笔记本自带的有线以太网2网卡 ,如果没有虚拟机网卡则win+r输入service.msc 查看vmware DHCP是否启动,开启此服务,默认自启动 之后进入虚拟机主页面(将虚拟机都挂起)->编辑->虚拟机网络编辑页面 更改设置 选择还原默认设置即可使虚拟机网卡复现 然后打开一个虚拟机,
防火墙添加ip白名单
core815的专栏
05-24 6030
防火墙添加ip白名单
linux防火墙查看及白名单配置
weixin_41580036的博客
01-14 9372
一、iptables防火墙 1、基本操作 #查看防火墙状态 service iptables status #停止防火墙 service iptables stop #启动防火墙 service iptables start #重启防火墙 service iptables restart #永久关闭防火墙 chkconfig iptables off #永久关闭后重启 chkconfig iptables on 2、开启80端口 vim /etc/sysconfig/iptab
防火墙开启及白名单开启
qq_44157567的博客
08-16 848
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="IP地址" port protocol="tcp" port="8080-8090" accept'firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="IP地址" port protocol="tcp" port="8080" accept'
firewalld添加黑白名单
看着博客敲代码
01-27 2425
【代码】firewalld添加黑白名单
WinServer服务器IP访问白名单设置
风飘向太阳
02-20 1万+
WinServer服务器IP访问白名单设置 文章目录WinServer服务器IP访问白名单设置前言一、进入本地安全策略配置二、添加两个IP筛选器(一个封所有IP,一个开放部分IP)1.封所有:任何IP到任何IP——>筛选器操作:阻止2.开放部分IP:添加目的IP(一个特定的IP)--到我的IP地址——>筛选器操作:许可三、右键空白处创建一个IP安全策略重点 前言 在系统部署实践中,经常需要对服务器进行安全加固,常用的需求是仅开放部分可靠IP地址允许访问系统,这里就用到了服务器IP访问
centos7怎么查看防火墙以及添加白名单
青春不打烊的博客
04-13 2969
其中,`--zone=public` 表示将规则应用于公共区域,`--add-service=ssh` 表示允许 SSH 流量通过,`--add-service=http` 和 `--add-service=https` 表示允许 HTTP 和 HTTPS 流量通过。需要注意的是,如果你的系统上已经安装了 `iptables`,那么 `firewall` 和 `iptables` 可能会产生冲突,建议只使用其中一个来管理防火墙。如果你的服务器是运行在云端的虚拟机上,那么可能还需要检查云服务商的安全组设置。
linux系统防火墙白名单
最新发布
07-25
Linux系统的防火墙是一种网络安全策略工具,它通过控制进出主机的数据包流量来保护系统免受攻击。其中,“白名单”防火墙策略是指只允许特定IP地址、端口或服务的访问,而对于其他请求则予以拒绝。 ### Linux系统防火墙白名单详解 #### 1. **配置原理** - 白名单防火墙的核心思想是在网络接入点设置规则,只允许已知来源(即白名单内的IP地址)发起连接尝试,并对所有未列出的来源自动阻断。 - 这种方法相对于黑名单更为安全,因为它默认假设一切未知的流量都是潜在威胁,并主动阻止它们。 #### 2. **常见应用** - 系统管理员可以使用白名单限制外部服务器对内部系统的访问,尤其是当内部网络需要对外部提供有限的服务时,如Web服务器、数据库服务等。 - 对于关键基础设施或敏感数据处理环境,采用严格的白名单策略能显著提高安全性,减少非预期的外部访问风险。 #### 3. **实现方式** - **iptables**: 这是一个广泛使用的Linux命令行防火墙工具。通过iptables规则,可以配置白名单策略。例如,允许特定IP地址的TCP连接: ```bash sudo iptables -A INPUT -s [白名单IP] -p tcp --dport [目标端口] -j ACCEPT ``` - **Firewalld**: 作为iptables的一个图形界面替代品,firewalld提供更易于管理的防火墙规则。创建自定义区域并添加白名单规则: ```bash sudo firewall-cmd --permanent --zone=public --add-service=http sudo firewall-cmd --reload ``` 上述命令示例允许公共区域能访问HTTP服务,其中`[白名单IP]`需替换为你想要添加到白名单的具体IP。 #### 4. **注意事项** - 配置白名单时务必谨慎,因为一旦将错误的IP地址误认为“可信”,可能会导致新的安全漏洞。 - 定期更新和审核白名单列表,移除不再需要的或已知有问题的条目。 - 使用白名单的同时应考虑结合其他的网络安全措施,比如入侵检测系统(IDS)、入侵防御系统(IPS)等,构建多层次的安全防护体系。 --- **相关问题**: 1. **如何在Linux上使用iptables配置白名单防火墙规则?** 2. **在实际部署中,什么时候应该启用白名单防火墙策略?** 3. **白名单策略与黑名单策略相比,在实施过程中有哪些优势和劣势?**
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值