Frage Ubuntu erlaubt nur eingehenden Zugriff von 192.168.0.0/8 oder Server-IP-Adresse


Wie kann ich dafür sorgen, dass nur freigegebene IP-Adressen Zugriff auf meinen Ubuntu-Server 12.04 haben, den ich gerade eingerichtet habe.


4
2018-06-29 10:02


Ursprung




Antworten:


Sie können dies mit folgenden Befehlen erreichen, die Sie haben UFW Installieren:

Um nach einer bestimmten IP-Adresse zu verwenden,

sudo ufw allow from XXX.XXX.XXX.XXX

Um durch ein bestimmtes Subnetz zuzulassen, rufen wir die Netzmaske auf und benutzen

sudo ufw allow from XXX.XXX.XXX.XXX/XX

Um einen bestimmten Port und eine IP-Adresse zuzulassen, die Sie verwenden können,

sudo ufw allow from XXX.XXX.XXX.XXX to AAA port YY

Siehe Community-Dokumentation für Voraushilfe.


Verwenden tcpwrappers,

/etc/hosts.deny ist vor /etc/hosts.allow aktiviert, damit Sie gehen können

  • hosts.deny

    ALLES ALLES

Zuerst blockieren wir alles von allen,

  • hosts.allow

    ALLE: localhost

    sshd: 192.168.0.2

Das bedeutet, dass nur 192.168.0.2 in Ihrem lokalen Netzwerk auf den SSH-Server auf diesem Computer zugreifen kann.


7
2018-06-29 12:11



Ich vermute, du könntest es auch mit tcpwrappers (/etc/hosts.allow) machen. - Tom O'Connor


Dies würde mit erreicht werden iptables (netfilter), das integrierte Firewall-Dienstprogramm für Linux.

Je nachdem, was Sie mit Ihrem Server tun (und was Sie bereitstellen), muss dies (sorgfältig) konfiguriert werden, um den entsprechenden Datenverkehr zu ermöglichen.

Da ist ein gutes Tutorial Dies ist auf der offiziellen Hilfswebseite von Ubuntu und es gibt auch ufw (Unkomplizierte Firewall), die in Ubuntu integriert ist, um mit den Grundlagen umzugehen. Wenn Sie beispielsweise nur SSH-Zugriff (TCP 22) von 10.0.0.15 zulassen möchten, tun Sie Folgendes:

sudo ufw allow proto tcp from 10.0.0.15 to any port 22

Sie können auch verwenden ein von mehreren handlichen iptables-Regelgeneratoren, um einen kompletten iptables-Regelsatz zu generieren.

Ein anderer Vorschlag (vor allem wenn dieser Ubuntu-Host im Internet sein wird) wäre zu verwenden SSH-Schlüsselpaare zur Authentifizierung statt Passwörter; Ich würde auch Deaktivieren Sie die Stammanmeldung.


4
2018-06-29 11:07





Bemerkenswert - um den privaten Adressbereich (RFC1918) zu erfassen, möchten Sie wahrscheinlich 192.168.0.0/16, -not- / 8.


2
2018-06-29 13:29



+1. Dieser RFC empfiehlt, den Netzwerkteil für die 192.168-basierten Netze auf nicht weniger als 16 Bit zu begrenzen. Sie könnten sogar 192.168.0.0/24 nehmen, die 254 mögliche Adressen bietet. Mehr als genug für die meisten privaten Netzwerke. - ripat