Como bloquear o acesso SSH e FTP a IP específico e intervalo de rede no Linux

Normalmente todos nós usamos Ssh e Ftp serviços frequentemente para acessar os servidores remotos e servidores privados virtuais. Como administrador do Linux, você deve ciente sobre como bloquear o acesso SSH e FTP a um intervalo de IP ou rede específico no Linux para apertar mais a segurança da segurança.

1. 25 dicas de segurança de endurecimento para servidores Linux
2. 5 dicas úteis para proteger e proteger o servidor SSH

Este tutorial mostrará como bloquear o acesso SSH e FTP a um endereço IP específico e/ou a um intervalo de rede no CentOS 6 e 7 Server. Este guia foi testado em CENTOS 6.x e 7.x versões, mas provavelmente funcionará em outras distribuições Linux, como Debian, Ubuntu e SUSE/OpenSuse etc.

Faremos isso em dois métodos. O primeiro método é usar Iptables/Firewalld e o segundo método está usando TCP invólucros com a ajuda de anfitriões.permitir e anfitriões.negar arquivo.

Consulte os seguintes guias para saber mais sobre iptables e firewalld.

1. Guia básico sobre dicas / comandos iptables (Linux Firewall)
2. Como configurar um firewall iptables para ativar o acesso remoto a serviços no Linux
3. Como configurar 'firewalld' em Rhel/Centos 7 e Fedora 21
4. Regras úteis de 'firewalld' para configurar e gerenciar o firewall no Linux

Agora você está ciente do que é Iptables e Firewalld E é básico.

Método 1: Bloco SSH e Acesso FTP usando iptables/firewalld

Agora vamos ver como bloquear o acesso SSH e FTP a um IP específico (por exemplo 192.168.1.100) e/ou intervalo de rede (por exemplo 192.168.1.0/24) usando Iptables em RHEL/CENTOS/Linux Scientific 6.x versões e Firewalld no CentOS 7.x.

Bloquear ou desativar o acesso SSH

--------------------- Sobre Iptables firewall --------------------- # iptables -i entrada -s 192.168.1.100 -P TCP - -Dport ssh -j rejeitar # iptables -i entrada -s 192.168.1.0/24 -P TCP - -DPORT SSH -J 

--------------------- Sobre Firewalld --------------------- # firewall-cmd-Direct --dd-re-regra IPv4 Input 1 -m TCP-Source 192.168.1.100 -P TCP - -Dport 22 -j Rejeitar # firewall -cmd - -Direct --Add -Rule IPv4 Filtro Input 1 -m TCP -Source 192.168.1.100/24 ​​-P TCP - -Dport 22 -j Rejeitar 

Para obter novas regras em vigor, você precisa usar o seguinte comando.

# Serviço iptables Save [On iptables firewall] # firewall-cmd--reload [no firewalld] 

Agora, tente Ssh o servidor do host bloqueado. Por favor, esteja atento que aqui 192.168.1.150 é o host bloqueado.

# SSH 192.168.1.150 

Você deve ver a seguinte mensagem.

SSH: Conecte -se ao Host 192.168.1.150 Porta 22: conexão recusada 

Desbloquear ou ativar o acesso SSH

Para desbloquear ou ativar o acesso SSH, vá para o servidor remoto e execute o seguinte comando:

--------------------- Sobre Iptables firewall --------------------- # iptables -i entrada -s 192.168.1.100 -P TCP - -Dport ssh -j aceita # iptables -i entrada -s 192.168.1.100/24 ​​-P TCP - -Dport ssh -j aceita 

--------------------- Sobre Firewalld --------------------- # firewall-cmd-Direct --dd-re-regra IPv4 Input 1 -m TCP-Source 192.168.1.100 -P TCP - -Dport 22 -j Aceitar # firewall -cmd - -Direct --Add -Rule IPv4 Filtro Input 1 -m TCP -Source 192.168.1.100/24 ​​-P TCP - -Dport 22 -J Aceitar 

Salve as alterações usando o seguinte para acessar seu servidor via SSH.

# Serviço iptables Save [On iptables firewall] # firewall-cmd--reload [no firewalld] 

Bloquear ou desativar o acesso FTP

Normalmente, as portas padrão para Ftp são 20 e 21. Então, para bloquear todo o tráfego FTP usando iptables, execute o seguinte comando:

--------------------- Sobre Iptables firewall --------------------- # iptables -i entrada -s 192.168.1.100 -P TCP - -DPORT 20,21 -J REJETO # iptables -i Input -s 192.168.1.100/24 ​​-P TCP - -DPORT 20,21 -J Rejeitar 

--------------------- Sobre Firewalld --------------------- # firewall-cmd-Direct --dd-re-regra IPv4 Input 1 -m TCP-Source 192.168.1.100 -P TCP - -DPORT 20,21 -J REJETO # Firewall -CMD - -Direct -Filtro IPv4 de R -Rule 1 -M TCP -SOURCE 192.168.1.100/24 ​​-P TCP - -DPORT 20,21 -J Rejeitar 

Para obter novas regras em vigor, você precisa usar o seguinte comando.

# Serviço iptables Save [On iptables firewall] # firewall-cmd--reload [no firewalld] 

Agora, tente acessar o servidor do host bloqueado (192.168.1.100), com comando:

# ftp 192.168.1.150 

Você receberá uma mensagem de erro algo como abaixo.

FTP: Connect: conexão recusada 

Desbloquear ou ativar o acesso FTP

Para desbloquear e ativar o acesso do FTP de volta, execute:

--------------------- Sobre Iptables firewall --------------------- # iptables -i entrada -s 192.168.1.100 -P TCP - -Dport 20,21 -j Aceitar # iptables -i Entrada -s 192.168.1.100/24 ​​-P TCP - -DPORT 20,21 -J Aceitar 

--------------------- Sobre Firewalld --------------------- # firewall-cmd-Direct --dd-re-regra IPv4 Input 1 -m TCP-Source 192.168.1.100 -P TCP - -DPORT 20,21 -J ACEITO # Firewall -CMD - -Direct -Add R -Rule IPv4 Entrada 1 -m TCP -SOURCE 192.168.1.100/24 ​​-P TCP - -DPORT 20,21 -J Aceitar 

Salve as alterações com o comando:

# Serviço iptables Save [On iptables firewall] # firewall-cmd--reload [no firewalld] 

Agora, tente acessar o servidor via FTP:

# ftp 192.168.1.150 

Digite seu nome de usuário e senha do FTP.

Conectado a 192.168.1.150. 220 Bem -vindo ao serviço Tecmint FTP. Nome (192.168.1.150: SK): Tecmint 331, especifique a senha. Senha: 230 Login bem -sucedido. O tipo de sistema remoto é Unix. Usando o modo binário para transferir arquivos. ftp> 

Método 2: Bloco SSH e acesso FTP usando invólucros TCP

Se você não quer mexer com Iptables ou Firewalld, então Invólucros de tcp é a melhor maneira de bloquear o acesso SSH e FTP a um IP específico e/ou uma variedade de rede.

OpenSSH e FTP são compilados com o suporte do TCP Wrappers, o que significa que você pode especificar quais hosts podem se conectar sem tocar no seu firewall nos dois arquivos importantes e são:

1. /etc/hosts.permitir
2. /etc/hosts.negar

Como o nome indica, o primeiro arquivo contém entradas de hosts permitidos, e o segundo contém endereços de hosts bloqueados.

Por exemplo, vamos bloquear o acesso SSH e FTP ao host que possui endereço IP 192.168.1.100 e alcance de rede 192.168.1.0. Este método é o mesmo para o CentOS 6.X e 7.X série. E, é claro, funcionará em outras distribuições como Debian, Ubuntu, SUSE, OpenSuse etc.

Abra o /etc/hosts.negar Arquive e adicione os seguintes endereços IP ou intervalo de rede que você deseja bloquear como mostrado abaixo.

##### para bloquear o acesso ssh ##### sshd: 192.168.1.100 SSHD: 192.168.1.0/255.255.255.0 ##### para bloquear o acesso FTP ##### vsftpd: 192.168.1.100 vsftpd: 192.168.1.0/255.255.255.0 

Salvar e sair do arquivo.

Agora, reinicie o serviço SSHD e VSFTPD para levar novas mudanças para efetivas.

--------------- Para serviço ssh --------------- # Service SSHD RESTART [ON SYSVINIT] # SystemCtl Reiniciar SSHD [no Systemd] 

--------------- Para serviço FTP --------------- # Service vsftpd RESTART [ON SYSVINIT] # SystemCtl Restart vsftpd [no Systemd] 

Agora, tente ssh o servidor ou de um host bloqueado.

# SSH 192.168.1.150 

Você verá a seguinte saída:

SSH_EXCHANGE_IDENTIFICAÇÃO: Leia: Redefinição de conexão por pares 

Agora, tente FTP o servidor ou de um host bloqueado.

# ftp 192.168.1.150 

Você verá a seguinte saída:

Conectado a 192.168.1.150. 421 Serviço não disponível. 

Para desbloquear ou ativar os serviços SSH e FTP novamente, edite anfitriões.negar Arquive e comente todas as linhas e finalmente reinicie os serviços vsftpd e sshd.

Conclusão

É tudo por agora. Para resumir, hoje aprendemos a bloquear um endereço IP específico e uma faixa de rede usando IPTABLES, Firewalld e Wrappers TCP. Esses métodos são bem fáceis e diretos.

Mesmo, um administrador de Linux iniciante pode fazer isso em alguns minutos. Se você conhece outras maneiras de bloquear o acesso ao SSH e FTP, sinta -se à vontade para compartilhá -los na seção de comentários. E não se esqueça de compartilhar nossos artigos em todas as suas redes sociais.