Giunsa Pag-block ang SSH ug FTP Access sa Piho nga IP ug Network Range sa Linux
Kasagaran kaming tanan naggamit sa mga serbisyo sa SSH ug FTP kanunay aron ma-access ang mga hilit nga server ug virtual nga pribado nga mga server. Isip usa ka administrador sa Linux, kinahanglan nimong mahibal-an kung giunsa pag-block ang SSH ug FTP nga pag-access sa piho nga IP o network range sa Linux aron mas higpitan ang seguridad.
- 25 Mga Tip sa Pagpagahi sa Seguridad alang sa mga Server sa Linux
- 5 Mapuslanon nga mga Tip sa Pagsiguro ug Pagpanalipod sa SSH Server
Kini nga panudlo magpakita kanimo kung unsaon pag-block sa SSH ug FTP nga pag-access sa usa ka partikular nga IP address ug/o usa ka network range sa CentOS 6 ug 7 server. Kini nga giya gisulayan sa CentOS 6.x ug 7.x nga mga bersyon, apan kini lagmit magamit sa ubang mga distribusyon sa Linux sama sa Debian, Ubuntu, ug SUSE/openSUSE etc.
Buhaton nato kini sa duha ka paagi. Ang unang pamaagi mao ang paggamit sa IPtables/firewallD ug ang ikaduhang pamaagi mao ang paggamit sa TCP wrappers uban sa tabang sa hosts.allow ug hosts.deny file.
Tan-awa ang mosunod nga mga giya aron makahibalo og dugang mahitungod sa IPtables ug Firewalld.
- Basic Guide sa IPtables (Linux Firewall) Tips/Commands
- Unsaon Pag-setup sa Iptables Firewall aron Ma-enable ang Remote Access sa Mga Serbisyo sa Linux
- Unsaon Pag-configure ang 'FirewallD' sa RHEL/CentOS 7 ug Fedora 21
- Mapuslanon nga 'FirewallD' nga mga Lagda sa Pag-configure ug Pagdumala sa Firewall sa Linux
Karon nahibal-an nimo kung unsa ang IPtables ug FirewallD ug kini ang sukaranan.
Pamaagi 1: I-block ang SSH ug FTP Access Gamit ang IPtables/FirewallD
Karon atong tan-awon kon unsaon pag-block sa SSH ug FTP access sa usa ka piho nga IP (pananglitan 192.168.1.100) ug/o network range (pananglitan 192.168.1.0/24) gamit ang IPtables sa RHEL/CentOS/Scientific Linux 6.x nga mga bersyon ug FirewallD sa CentOS 7.x.
--------------------- On IPtables Firewall --------------------- # iptables -I INPUT -s 192.168.1.100 -p tcp --dport ssh -j REJECT # iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport ssh -j REJECT
--------------------- On FirewallD --------------------- # firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100 -p tcp --dport 22 -j REJECT # firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100/24 -p tcp --dport 22 -j REJECT
Aron mapatuman ang bag-ong mga lagda, kinahanglan nimo nga gamiton ang mosunod nga sugo.
# service iptables save [On IPtables Firewall] # firewall-cmd --reload [On FirewallD]
Karon, sulayi nga SSH ang server gikan sa gibabagan nga host. Palihug hinumdomi nga dinhi ang 192.168.1.150 mao ang gibabagan nga host.
# ssh 192.168.1.150
Kinahanglan nimong makita ang mosunod nga mensahe.
ssh: connect to host 192.168.1.150 port 22: Connection refused
Aron ma-unblock o ma-enable ang SSH access, adto sa remote server ug padagana ang mosunod nga command:
--------------------- On IPtables Firewall --------------------- # iptables -I INPUT -s 192.168.1.100 -p tcp --dport ssh -j ACCEPT # iptables -I INPUT -s 192.168.1.100/24 -p tcp --dport ssh -j ACCEPT
--------------------- On FirewallD --------------------- # firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100 -p tcp --dport 22 -j ACCEPT # firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100/24 -p tcp --dport 22 -j ACCEPT
I-save ang mga pagbag-o gamit ang pagsunod aron ma-access ang imong server pinaagi sa SSH.
# service iptables save [On IPtables Firewall] # firewall-cmd --reload [On FirewallD]
Kasagaran, ang default nga mga pantalan alang sa FTP mao ang 20 ug 21. Busa, aron babagan ang tanan nga trapiko sa FTP gamit ang IPtables padagana ang mosunod nga sugo:
--------------------- On IPtables Firewall --------------------- # iptables -I INPUT -s 192.168.1.100 -p tcp --dport 20,21 -j REJECT # iptables -I INPUT -s 192.168.1.100/24 -p tcp --dport 20,21 -j REJECT
--------------------- On FirewallD --------------------- # firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100 -p tcp --dport 20,21 -j REJECT # firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100/24 -p tcp --dport 20,21 -j REJECT
Aron mapatuman ang bag-ong mga lagda, kinahanglan nimo nga gamiton ang mosunod nga sugo.
# service iptables save [On IPtables Firewall] # firewall-cmd --reload [On FirewallD]
Karon, sulayi ang pag-access sa server gikan sa gibabagan nga host (192.168.1.100), uban ang mando:
# ftp 192.168.1.150
Makakuha ka usa ka mensahe sa sayup sama sa ubos.
ftp: connect: Connection refused
Aron ma-unblock ug ma-enable ang FTP access balik, pagdagan:
--------------------- On IPtables Firewall --------------------- # iptables -I INPUT -s 192.168.1.100 -p tcp --dport 20,21 -j ACCEPT # iptables -I INPUT -s 192.168.1.100/24 -p tcp --dport 20,21 -j ACCEPT
--------------------- On FirewallD --------------------- # firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100 -p tcp --dport 20,21 -j ACCEPT # firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100/24 -p tcp --dport 20,21 -j ACCEPT
I-save ang mga pagbag-o gamit ang mando:
# service iptables save [On IPtables Firewall] # firewall-cmd --reload [On FirewallD]
Karon, sulayi ang pag-access sa server pinaagi sa FTP:
# ftp 192.168.1.150
Pagsulod sa imong ftp username ug password.
Connected to 192.168.1.150. 220 Welcome to TecMint FTP service. Name (192.168.1.150:sk): tecmint 331 Please specify the password. Password: 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp>
Pamaagi 2: I-block ang SSH ug FTP Access Gamit ang TCP Wrappers
Kung dili nimo gusto nga magsamok sa IPTables o FirewallD, nan ang mga wrapper sa TCP mao ang labing maayo nga paagi aron babagan ang SSH ug FTP nga pag-access sa usa ka piho nga IP ug/o usa ka lainlaing network.
Ang OpenSSH ug FTP gihugpong uban ang suporta sa TCP wrappers, nga nagpasabot nga mahimo nimong ipiho kung unsang mga host ang gitugotan nga magkonektar nga dili mahikap ang imong firewall sa mosunod nga duha ka hinungdanon nga mga file ug mao ang:
- /etc/hosts.allow
- /etc/hosts.deny
Sama sa gipasabot sa ngalan, ang una nga file adunay mga entry sa gitugotan nga mga host, ug ang ikaduha adunay mga adres sa gibabagan nga mga host.
Pananglitan, atong babagan ang SSH ug FTP access sa host nga adunay IP address 192.168.1.100 ug network range 192.168.1.0. Kini nga pamaagi parehas alang sa CentOS 6.x ug 7.x nga serye. Ug, siyempre, kini molihok sa ubang mga distribusyon sama sa Debian, Ubuntu, SUSE, openSUSE ug uban pa.
Ablihi ang /etc/hosts.deny file ug idugang ang mosunod nga mga IP Address o network range nga gusto nimong babaganan sama sa gipakita sa ubos.
##### To block SSH Access ##### sshd: 192.168.1.100 sshd: 192.168.1.0/255.255.255.0 ##### To block FTP Access ##### vsftpd: 192.168.1.100 vsftpd: 192.168.1.0/255.255.255.0
Pag-save ug paggawas sa file.
Karon, i-restart ang sshd ug vsftpd nga serbisyo aron mahimo ang bag-ong mga pagbag-o.
--------------- For SSH Service --------------- # service sshd restart [On SysVinit] # systemctl restart sshd [On SystemD]
--------------- For FTP Service --------------- # service vsftpd restart [On SysVinit] # systemctl restart vsftpd [On SystemD]
Karon, sulayi nga SSH ang server o gikan sa usa ka gibabagan nga host.
# ssh 192.168.1.150
Imong makita ang mosunod nga output:
ssh_exchange_identification: read: Connection reset by peer
Karon, sulayi ang FTP sa server o gikan sa usa ka gibabagan nga host.
# ftp 192.168.1.150
Imong makita ang mosunod nga output:
Connected to 192.168.1.150. 421 Service not available.
Aron ma-unblock o mapagana pag-usab ang mga serbisyo sa SSH ug FTP, i-edit ang hosts.deny file ug ikomento ang tanang linya ug sa kataposan i-restart ang vsftpd ug sshd services.
Konklusyon
Kana lang sa pagkakaron. Sa pagsumaryo, karon nahibal-an namon kung giunsa ang pag-block sa usa ka piho nga IP address ug network range gamit ang IPtables, FirewallD, ug TCP wrapper. Kini nga mga pamaagi sayon ug prangka.
Bisan pa, ang usa ka bag-ong administrador sa Linux makahimo niini sa pipila ka minuto. Kung nahibal-an nimo ang uban pang mga paagi aron mapugngan ang pag-access sa SSH ug FTP, ayaw kahadlok nga ipaambit kini sa seksyon sa komento. Ug ayaw kalimti nga ipaambit ang among mga artikulo sa imong tanan nga mga social network.