EchoCow

念念不忘,必有回响

念念不忘,必有回响
  menu
96 文章
89 评论
89201 浏览
4 当前访客
ღゝ◡╹)ノ❤️

rhce 2 配置防火墙对 SSH 的限制

在 serverx和 desktopx上设置防火墙,对 SSH实现访问限制:

  • 允许 example.com域的客户对 serverx和 desktopx进行 ssh访问。
  • 禁止 my133t.org域的客户对 serverx和 desktopx进行 ssh访问。
  • 备注: my133t.org是在172.17.10℃/24网络。
  • 根据考试实际提供的网段配置

操作

--->防火墙会检查的部分

(1)IP来源 (信任域、非信任域)

(2)访问的对象 (服务ssh/http、端口)

(3)访问的协议 (TCP/UDP)

(4)目标IP (防火墙设备,例如路由器NAT)

  1. 关闭与屏蔽 iptables 以及其他防火墙
systemctl  mask  ebtables.service
systemctl  mask  iptables
systemctl  mask  ip6tables
  1. 开启 firewalld 防火墙以及开机启动
systemctl  enable  firewalld
systemctl  start  firewalld
  1. 配置防火墙富规则
mandb                   //更新 man 
man  -k  rich              //查询防火墙副规则的 man 路径
man  firewalld.richlanguage     //防火墙富规则查询

规则查看

规则

名称含义
rule类型family="ipv4 | ipv6"
source来源/源地址source address="address[/mask]" [invert="True"]
destination目的地址destination address="address[/mask]" invert="True"
service服务service name="service name"
port端口port port="port value" protocol="tcp | udb"
protocol协议protocol value="protocol value"
ICMP-Block报文块icmp-block name="icmptype name"
Masquerade伪装masquerade
Forward-Port转发forward-port port="port value" protocol="tcp|udp" to-port="port value" to-addr="address"
Log日志log [prefix="prefix text"] [level="log level"] [limit value="rate/duration"]
Action审计
action行为accept, reject or drop

配置具体规则

firewall-cmd --add-rich-rule="rule family=ipv4 source address=172.25.47.10/24 service name=ssh reject" --permanent
firewall-cmd --reload

念念不忘,必有回响。

如果觉得文章不错或者帮到了您,帮忙点点下面广告呗~谢谢啦~

评论