Wéi blockéiert SSH an FTP Zougang zu spezifesche IP an Netzwierk Range am Linux


Normalerweis benotze mir all SSH a FTP Servicer dacks fir Zougang zu de Fernserveren a virtuelle privaten Serveren ze kréien. Als Linux Administrateur musst Dir Iech bewosst sinn wéi Dir SSH an FTP Zougang zu spezifesche IP oder Netzberäich am Linux blockéiert fir d'Sécherheet bësse méi festzehalen.

  1. 25 Hardening Sécherheetstips fir Linux Server
  2. 5 Nëtzlech Tipps fir SSH Server ze sécheren an ze schützen

Dësen Tutorial weist Iech wéi Dir SSH an FTP Zougang zu enger bestëmmter IP Adress an/oder engem Netzberäich am CentOS 6 an 7 Server blockéiert. Dëse Guide gouf op CentOS 6.x an 7.x Versioune getest, awer et wäert wahrscheinlech op aner Linux Verdeelungen wéi Debian, Ubuntu, an SUSE/openSUSE etc.

Mir maachen et an zwou Methoden. Déi éischt Method benotzt IPTables/FirewallD an déi zweet Method benotzt TCP Wrapper mat der Hëllef vun hosts.allow an hosts.deny Datei.

Kuckt déi folgend Guiden fir méi iwwer IPTables a Firewalld ze wëssen.

  1. Basis Guide iwwer IPTables (Linux Firewall) Tipps/Kommandoen
  2. Wéi eng Iptables Firewall opzestellen fir Remote Access zu Servicer am Linux z'aktivéieren
  3. Wéi konfiguréieren 'FirewallD' an RHEL/CentOS 7 a Fedora 21
  4. Nëtzlech 'FirewallD' Regele fir Firewall a Linux ze konfiguréieren an ze managen

Elo wësst Dir iwwer wat IPTables a FirewallD ass an et ass Basics.

Method 1: Block SSH an FTP Zougang mat IPTables/FirewallD

Loosst eis elo kucken wéi Dir SSH an FTP Zougang zu enger spezifescher IP (zum Beispill 192.168.1.100) an/oder Netzwierk (zum Beispill 192.168.1.0/24) blockéiert mat IPtables op RHEL/CentOS/Scientific Linux 6.x Versiounen an FirewallD op CentOS 7.x.

--------------------- On IPtables Firewall ---------------------
# iptables -I INPUT -s 192.168.1.100 -p tcp --dport ssh -j REJECT
# iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport ssh -j REJECT
--------------------- On FirewallD ---------------------
# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100 -p tcp --dport 22 -j REJECT
# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100/24 -p tcp --dport 22 -j REJECT

Fir nei Regelen a Kraaft ze huelen, musst Dir de folgende Kommando benotzen.

# service iptables save         [On IPtables Firewall]
# firewall-cmd --reload         [On FirewallD]

Elo probéiert de Server vum blockéierten Host ze SSH. Maacht weg datt hei 192.168.1.150 de blockéierte Host ass.

# ssh 192.168.1.150

Dir sollt de folgende Message gesinn.

ssh: connect to host 192.168.1.150 port 22: Connection refused

Fir den SSH Zougang ze spären oder z'aktivéieren, gitt op de Remote Server a lafen de folgende Kommando:

--------------------- On IPtables Firewall ---------------------
# iptables -I INPUT -s 192.168.1.100 -p tcp --dport ssh -j ACCEPT
# iptables -I INPUT -s 192.168.1.100/24 -p tcp --dport ssh -j ACCEPT
--------------------- On FirewallD ---------------------
# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100 -p tcp --dport 22 -j ACCEPT
# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100/24 -p tcp --dport 22 -j ACCEPT

Späichert d'Ännerunge mat de folgende fir Zougang zu Ärem Server iwwer SSH.

# service iptables save         [On IPtables Firewall]
# firewall-cmd --reload         [On FirewallD]

Typesch sinn d'Default Ports fir FTP 20 an 21. Also, fir all FTP Traffic mat IPTables ze blockéieren, lafen de folgende Kommando:

--------------------- On IPtables Firewall ---------------------
# iptables -I INPUT -s 192.168.1.100 -p tcp --dport 20,21 -j REJECT
# iptables -I INPUT -s 192.168.1.100/24 -p tcp --dport 20,21 -j REJECT
--------------------- On FirewallD ---------------------
# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100 -p tcp --dport 20,21 -j REJECT
# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100/24 -p tcp --dport 20,21 -j REJECT

Fir nei Regelen a Kraaft ze huelen, musst Dir de folgende Kommando benotzen.

# service iptables save         [On IPtables Firewall]
# firewall-cmd --reload         [On FirewallD]

Elo probéiert de Server vum blockéierten Host (192.168.1.100) ze kréien, mam Kommando:

# ftp 192.168.1.150

Dir kritt eng Fehlermeldung eppes wéi hei drënner.

ftp: connect: Connection refused

Fir den FTP Zougang zréck z'aktivéieren an z'aktivéieren, lafen:

--------------------- On IPtables Firewall ---------------------
# iptables -I INPUT -s 192.168.1.100 -p tcp --dport 20,21 -j ACCEPT
# iptables -I INPUT -s 192.168.1.100/24 -p tcp --dport 20,21 -j ACCEPT
--------------------- On FirewallD ---------------------
# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100 -p tcp --dport 20,21 -j ACCEPT
# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100/24 -p tcp --dport 20,21 -j ACCEPT

Späichert d'Ännerunge mam Kommando:

# service iptables save         [On IPtables Firewall]
# firewall-cmd --reload         [On FirewallD]

Elo, probéiert de Server iwwer FTP ze kréien:

# ftp 192.168.1.150

Gitt Äre ftp Benotzernumm a Passwuert un.

Connected to 192.168.1.150.
220 Welcome to TecMint FTP service.
Name (192.168.1.150:sk): tecmint
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> 

Method 2: Block SSH an FTP Zougang mat TCP Wrappers

Wann Dir net wëllt mat IPTables oder FirewallD messen, dann ass TCP Wrapper de bessere Wee fir SSH an FTP Zougang zu enger spezifescher IP an/oder enger Rei vu Netzwierker ze blockéieren.

OpenSSH an FTP gi mat TCP Wrapper Support kompiléiert, dat heescht datt Dir spezifizéiere kënnt wéi eng Hosten erlaabt sinn ze verbannen ouni Är Firewall an de folgenden zwee wichtege Dateien ze beréieren a sinn:

  1. /etc/hosts.allow
  2. /etc/hosts.deny

Wéi den Numm et scho seet, enthält déi éischt Datei Entréen vun erlaabten Hosten, an déi zweet enthält Adresse vu blockéierte Hosten.

Zum Beispill, loosst eis den SSH an den FTP Zougang zum Host blockéieren deen d'IP Adress 192.168.1.100 an d'Netzberäich 192.168.1.0 huet. Dës Method ass d'selwecht fir CentOS 6.x an 7.x Serie. An natierlech funktionnéiert et op aner Verdeelungen wéi Debian, Ubuntu, SUSE, openSUSE etc.

Öffnen d'Datei /etc/hosts.deny op a füügt déi folgend IP Adressen oder Netzwierkberäich un, déi Dir wëllt blockéieren wéi hei ënnendrënner.

##### To block SSH Access #####
sshd: 192.168.1.100
sshd: 192.168.1.0/255.255.255.0

##### To block FTP Access #####
vsftpd: 192.168.1.100
vsftpd: 192.168.1.0/255.255.255.0

Späichert a gitt d'Datei aus.

Elo, sshd a vsftpd Service nei starten fir nei Ännerungen a Kraaft ze huelen.

--------------- For SSH Service ---------------
# service sshd restart        [On SysVinit]
# systemctl restart sshd      [On SystemD]
--------------- For FTP Service ---------------
# service vsftpd restart        [On SysVinit]
# systemctl restart vsftpd      [On SystemD]

Elo probéiert de Server oder vun engem blockéierte Host ze SSH.

# ssh 192.168.1.150

Dir gesitt déi folgend Ausgang:

ssh_exchange_identification: read: Connection reset by peer

Elo, probéiert de Server oder vun engem blockéierte Host ze FTP.

# ftp 192.168.1.150

Dir gesitt déi folgend Ausgang:

Connected to 192.168.1.150.
421 Service not available.

Fir SSH- a FTP-Servicer erëm z'aktivéieren oder z'aktivéieren, änneren d'hosts.deny Datei a kommentéiert all Linnen a schliisslech nei starten vsftpd an sshd Servicer.

Conclusioun

Dat ass alles fir elo. Fir ze summéieren, hu mir haut geléiert wéi Dir eng spezifesch IP Adress an Netzwierkberäich blockéiert mat IPTables, FirewallD, an TCP Wrapper. Dës Methoden sinn zimlech einfach an einfach.

Och, en Ufänger Linux Administrateur kann dëst an e puer Minutten maachen. Wann Dir e puer aner Weeër kennt fir SSH- a FTP-Zougang ze blockéieren, fille se gratis an der Kommentarsektioun ze deelen. An vergiesst net eis Artikelen an Ären all sozialen Netzwierker ze deelen.