iptables防火墙禁止某些IP访问ssh的方法分享

最新推荐文章于 2024-05-05 04:07:58 发布
最新推荐文章于 2024-05-05 04:07:58 发布
阅读量3.3k 收藏 1
点赞数
分类专栏: linux 文章标签: iptables ssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nfwaiting/article/details/84456282
版权
本文介绍下,在linux中通过使用iptables防火墙,禁止某些IP或IP段访问ssh服务的方法,有需要的朋友,参考下吧。
web服务器挂掉了,原因不明,要好好查查了,竟然发现是ssh的问题。

查看nginx的日志,在/var/log/nginx中,没有发现任何出错信息。
也可能是系统内存超了,被OpenVZ内核KILL了吧?
查了一下,果然发现:
 

uid resource held maxheld barrier limit failcnt
3004536: kmemsize 3626521 4652581 51200000 51200000 0
lockedpages 0 0 2048 2048 0
privvmpages 34041 131231 131200 262200 3
shmpages 1281 1297 128000 128000 0

私有虚拟页面privvmpages的数值超了,有3次失败请求。一个页面4KB,所以这个VPS的内存是512M.

我在这个VPS上只开启了nginx,vsftpd,Mysqld,php-cgi,xxfpm等服务,不可能占用那么多内存吧。
php的进程数量是用自己写的xxfpm限制死了,只能有3个进程。这些所有的服务一共才占用100多MB内存,怎么可能超了512M呢?

而nginx占用的内存真的很小呀,
 

复制代码代码示例:
root 22333 0.0 0.1 4988 716 ? Ss Apr29 0:00 nginx: master process /usr/sbin/nginx
www-data 22334 0.0 0.3 5524 1740 ? S Apr29 0:00 nginx: worker process

再次查看/var/log下的日志文件,发现auth.log文件体积很大,难道枚举root密码了。
因为sshd会给每个连接fork一个进程,所以当被大量攻击时,ssh的进程会变得很多。
 

...
Apr 29 11:39:02 293621 CRON[21809]: pam_unix(cron:session): session closed for user root
Apr 29 12:09:01 293621 CRON[21843]: pam_unix(cron:session): session opened for user root by (uid=0)
Apr 29 12:09:01 293621 CRON[21843]: pam_unix(cron:session): session closed for user root
Apr 29 12:25:01 293621 CRON[21861]: pam_unix(cron:session): session opened for user root by (uid=0)
Apr 29 12:25:01 293621 CRON[21861]: pam_unix(cron:session): session closed for user root
Apr 29 12:28:58 293621 sshd[21867]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=208.115.207.253 user=root
Apr 29 12:28:58 293621 sshd[21866]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=208.115.207.253 user=root
Apr 29 12:29:01 293621 sshd[21867]: Failed password for root from 208.115.207.253 port 58931 ssh2
Apr 29 12:29:01 293621 sshd[21866]: Failed password for root from 208.115.207.253 port 56639 ssh2
Apr 29 12:39:01 293621 CRON[21879]: pam_unix(cron:session): session opened for user root by (uid=0)
Apr 29 12:39:01 293621 CRON[21879]: pam_unix(cron:session): session closed for user root
Apr 29 13:09:01 293621 CRON[21913]: pam_unix(cron:session): session opened for user root by (uid=0)
Apr 29 13:09:01 293621 CRON[21913]: pam_unix(cron:session): session closed for user root
Apr 29 13:25:01 293621 CRON[21931]: pam_unix(cron:session): session opened for user root by (uid=0)
Apr 29 13:25:01 293621 CRON[21931]: pam_unix(cron:session): session closed for user root
Apr 29 13:39:01 293621 CRON[21947]: pam_unix(cron:session): session opened for user root
...

对付这种攻击,可以限制IP、用户连接数,也可以取消root账户密码登录,采用证书认证。
之前脚本学堂,发过一篇文章:免口令登录远程SSH服务,就是使用证书登录的。

个人觉得,最有效的方法,还是使用iptables防火墙,在防火墙里设置IP白名单。
即避免了产生大量的流量,也不会产生sshd的连接进程。

在iptables中,添加两个常用的IP段,其他网段的数据包都DROP了,而不是REJECT(REJECT还要发送ICMP回应包给连接方)。
 

复制代码代码示例:
# iptables -A INPUT -p tcp --dport 22 -s 120.0.0.0/8 -j ACCEPT
# iptables -A INPUT -p tcp --dport 22 -s 183.0.0.0/8 -j ACCEPT
# iptables -A INPUT -p tcp --dport 22 -j DROP

测试:
在另外一个机子连接这个VPS,数据包被成功DROP了。
 

复制代码代码示例:
root@293621:~# iptables -vL
Chain INPUT (policy ACCEPT 36 packets, 6257 bytes)
pkts bytes target prot opt in out source destination
222 16280 ACCEPT tcp -- any any 120.0.0.0/8 anywhere tcp dpt:ssh
0 0 ACCEPT tcp -- any any 183.0.0.0/8 anywhere tcp dpt:ssh
4 240 DROP tcp -- any any anywhere anywhere tcp dpt:ssh

又一次体会到iptables的威力,看来这块的内容,得找个时间好好加强下,好用啊。

本文出处参考:http://www.jbxue.com/LINUXjishu/9833.html

南方侯鸟
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
限制ip访问Oracle数据库的方法步骤
12-14
【限制IP访问Oracle数据库的方法步骤】 一、概述 在网络安全管理中,限制特定IPIP范围访问Oracle数据库是一项重要的任务,以确保数据安全和防止未经授权的访问。本文将详细介绍三种方法来实现这一目标:通过`sql...
Linux CentOS上用iptables设置防火墙遇到的问题
01-09
 允许入站ssh连接 iptables -A INPUT -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT  允许针对eth0网卡的入站8092端口访问 iptables -A INPUT -i eth0 -p tcp -m tcp –dport 8092 -j ...
禁用ssh爆破,禁止其他ip ssh登录到主机
shelutai的博客
12-31 1062
禁用ssh爆破,禁止其他ip ssh到主机
禁止某些用户使用ssh远程登录
weixin_34032827的博客
07-11 647
-----------------------------------------FTP用户禁止登陆ssh source:http://security.zdnet.com.cn/security_zone/2011/0703/2044654.shtml 本文摘要   在第一行加入 auth required pam_listfile.so item=use...
linux 使用iptables阻断到某个ip某个端口的访问_iptables禁止某个ip访问80端口
最新发布
2301_76328475的博客
05-05 701
在对网络配置进行更改时,确保我们完全了解这些更改的后果,以避免不必要的网络中断。请注意,操作 iptables 需要 root 权限,因此在大多数命令前使用了。继续以之前的例子为例,即删除阻止到。设置的阻断规则,我们可以使用。
Linux 禁止用户或 IP通过 SSH 登录
fhw925464207的博客
06-07 2985
1.只允许指定用户进行登录(白名单):在 /etc/ssh/sshd_config 配置文件中设置 AllowUsers 选项,(配置完成需要重启 SSHD 服务)格式如下: 2.只拒绝指定用户进行登录(黑名单):在/etc/ssh/sshd_config配置文件中设置DenyUsers选项,(配置完成需要重启SSHD服务)格式如下: 限制 IP SSH 登录 除了可以禁止某个用户登录,我们还可以针对固定的IP进行禁止登录,linux 服务器通过设置 /etc/hosts.allow 和 /etc/host
使用iptables规则禁止ssh恶意访问并设置访问白名单
qq_44880708的博客
03-03 1745
使用iptables规则禁止ssh恶意访问 系统环境:ubuntu18.04 用到的命令行工具:iptables; ipset; iblocklist2ipset 功能: 当某IP一分钟内三次以上试图使用ssh远程登录你的服务器时,对方向我方22端口发送的请求会直接被drop,一分钟后恢复正常。 实现: ...
Linux命令--iptables--使用/实例
IT利刃出鞘的博客
07-21 5085
本文介绍Linux的iptables命令的用法。
Linux防火墙iptables入门教程
01-10
Iptables是一个基于命令行的防火墙工具,它使用规则链来允许/阻止网络流量。当一条网络连接试图在你的系统中建立时,iptables会查找其对应的匹配规则。如果找不到,iptables将对其采取默认操作。几乎所有的Linux发行...
阿里云Centos配置iptables防火墙.docx
11-01
阿里云CentOS配置iptables防火墙是一项重要的安全措施,尽管阿里云提供了云盾服务,但额外的防火墙层能提供额外的安全保障。以下是配置iptables防火墙的详细步骤: 1. **检查iptables服务状态**: 首先,通过运行`...
firewall:使用 iptables 在 Linux 中生成防火墙的 bash 脚本集。 基于
06-08
防火墙使用 iptables 在 Linux 上管理防火墙的脚本。标准用法您只需要运行一个脚本来管理防火墙,但您可以向其传递各种命令。 它们通常应按显示的顺序运行。 请注意,所有命令都需要以 root 权限执行(例如,通过...
Linux SSH安全策略限制IP登录的两种方法
Bertram的博客
09-07 4421
Linux SSH安全策略限制IP登录的两种方法
实用小技巧-限制SSH登录LINUX的主机IP
huiyangxu blog
12-10 1998
实用小技巧-限制SSH登录LINUX的主机IP
如何限制IP,通过SSH登陆linux服务器
weixin_34392435的博客
01-05 153
方法一: 在/etc/hosts.allow中添加允许ssh登陆的ip或者网段 sshd:192.168.1.2:allow 或者 sshd:192.168.1.0/24:allow 在/etc/hosts.deny添加不允许ssh登陆的IP sshd:ALL #ALL表示除了上面允许的,其他的ip 都拒绝登陆ssh 方法二: 使...
iptables的规则ssh登录限制
yeah
11-04 9637
iptables -N TELNET_LIMIT -m state –state NEW ,这个是TCP包的状态,匹配TCP包状态为NEW,类似状态还有ESTABLISHED等 iptables -P INPUT ACCEPT iptables -A SSH_LIMIT -s 10.7.100.146 -j RETURN iptables -F SSH_LIMIT
禁止部分用户使用ssh登陆
阿太 Jin 的专栏
03-20 658
 如果你的系统里有个wheel组的用户zyme那么在/etc/ssh/sshd_config里最后加句话就可以了AllowUsers zyme如果还有个叫wangbin的呢,那么就AllowUsers zyme wangbin两个名字间用空格呀。more   /var/log/messages   |grep   ssh     查出可疑的ssh登录ip;    
Linux禁止IP、解封IP方法
1
08-10 3401
注意,如果想让写入的规则永久有效,请执行 service iptables save iptables -A INPUT -s 222.89.227.30/32 -j ACCEPT   加入规则表 iptables -A INPUT -s 116.255.169.12 -j DROP 删除规则表 在Linux服务器被攻击的时候,有的时候会有几个主力IP。如果能拒绝掉这几个IP的攻
Linux 使用 iptables 禁止某些 IP 访问
Summer的博客
04-07 2987
一般来说,现在的攻击者不会使用一个网段的IP来攻击(太招摇了),IP一般都是散列的。于是下面就详细说明一下封杀单个IP的命令,和解封单个IP的命令。后面跟的是规则,INPUT表示入站,***.***.***.***表示要封停的IP,DROP表示放弃连接。如果能拒绝掉这几个IP的攻击的话,会大大减轻服务器的压力,说不定服务器就能恢复正常了。要封停或者是解封IP,其实就是在IP规则表中对入站部分的规则进行添加操作。其实也就是将单个IP封停的IP部分换成了Linux的IP段表达式。关闭/开启/重启防火墙
Linux 禁止某个IP地址ssh访问的几种方法
是日已过,命亦随减的博客
09-04 6726
linux 服务器通过设置/etc/hosts.allow和/etc/hosts.deny这个两个文件,hosts.allow许可大于hosts.deny可以限制或者允许某个或者某段IP地址远程 SSH 登录服务器,方法比较简单,且设置后立即生效,不需要重启SSHD服务,具体如下: /etc/hosts.allow添加 sshd:192.168.0.1:allow #允许 192.168.0.1 这个IP地址SSH登录 sshd:192.168.0.:allow #允许192.168.0.1/24这段IP
iptables禁止所有ip访问
08-20
### 回答1: 可以使用以下命令禁止所有 IP 访问: ``` iptables -P INPUT DROP ``` 这条命令会将防火墙的默认输入策略设置为 DROP,即丢弃所有未被允许的输入流量。 如果需要允许特定 IP 访问,可以使用以下命令: ``` iptables -A INPUT -s [IP_ADDRESS] -j ACCEPT ``` 其中 [IP_ADDRESS] 是允许访问IP 地址。 注意:这些命令只在当前会话有效,重启电脑或服务器后会失效,如需永久生效,需要保存配置。 ### 回答2: 要使用iptables禁止所有IP访问,首先需要打开终端以管理iptables规则。在终端中输入以下命令以禁止所有IP访问: ``` iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP ``` 这些命令将设置默认策略为拒绝所有输入、输出和转发的数据包。 接下来,我们需要确保已经将所有现有的规则清空,以免产生冲突。在终端中输入以下命令: ``` iptables -F iptables -X ``` 这些命令将清空所有的规则和用户定义的链。 最后,我们需要添加一条规则允许本地回环接口的访问。在终端中输入以下命令: ``` iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT ``` 这些命令将允许本地回环接口(即127.0.0.1)的访问。 完成以上操作后,iptables禁止所有IP访问,除了本地回环接口。为了使这些规则持久化,需要将规则保存到防火墙配置文件中。具体操作可以根据不同的Linux发行版而有所不同。 需要注意的是,禁止所有IP访问可能会导致互联网连接的完全中断。因此,在执行此操作前应谨慎考虑,并确保您有其他方式维护服务器的远程访问和管理。 ### 回答3: 要禁止所有IP访问,可以使用iptables工具来实现。iptables是Linux系统中的一个防火墙工具,可以用来配置和管理数据包的过滤规则。 首先,我们需要执行以下命令以清除任何现有的iptables规则: ``` sudo iptables -F sudo iptables -X sudo iptables -Z ``` 之后,我们可以使用如下命令来创建一条规则,禁止所有IP访问: ``` sudo iptables -P INPUT DROP ``` 这条规则将设置INPUT链的默认策略为DROP,意味着所有输入数据包将被丢弃,除非其他规则明确允许。因此,在执行这个命令后,除非添加其他允许特定IP访问的规则,系统将禁止所有IP访问。 请注意,这条规则会阻止所有的传入连接,包括SSH和其他服务。如果你仍然需要通过SSH等方式远程连接到系统,可以在执行上述命令之前,加上针对SSH连接的例外规则: ``` sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT ``` 这条规则将允许来自任何IP的TCP连接,目的端口为22(SSH默认端口)。 最后,我们可以使用以下命令来保存iptables规则,以防止重启后失效: ``` sudo iptables-save > /etc/sysconfig/iptables ``` 希望以上解答能够满足您的要求,如有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值