Tham gia Đăng nhập
Điểm:0
Nigel Wash avatar Ubuntu

Iptables chỉ cho phép lưu lượng truy cập đến OpenSSH và chặn tất cả lưu lượng truy cập khác

lá cờ cn
Nigel Wash

Tôi cần định cấu hình tường lửa bằng iptables chỉ cho phép lưu lượng truy cập đến các dịch vụ openssh và chặn tất cả lưu lượng truy cập khác. Tôi biết cách chặn tất cả lưu lượng truy cập đến nhưng không biết cách chỉ cho phép lưu lượng truy cập đến vào openssh và đồng thời chặn tất cả lưu lượng truy cập đến khác. Tôi cũng cần ssh được ghi là "lưu lượng ssh" và tất cả lưu lượng bị chặn khác được ghi là "lưu lượng bị chặn".Bất kì sự trợ giúp nào đều được đánh giá cao.

Cảm ơn các bạn

221
0 + 0
Điểm:1
avatar Ubuntu
lá cờ in
matigo

Cách đơn giản nhất để làm điều này sẽ như thế này:

  1. Mở Terminal (nếu chưa mở)
  2. Chặn tất cả lưu lượng đến: 
    sudo ufw mặc định từ chối đến
  3. Cho phép OpenSSH: 
    sudo ufw cho phép OpenSSH

Nếu các kết nối SSH đến từ một tập hợp con giới hạn các IP, chẳng hạn như mạng nội bộ, thì bạn có thể giới hạn OpenSSH ở chỉ cần mạng cục bộ như thế này:

Sudo ufw cho phép từ 192.168.0.0/24 đến bất kỳ cổng 22 proto tcp nào

Ghi chú: Hãy chắc chắn để thay đổi 192.168.0.0 đến một giá trị áp dụng cho mạng.

0 + 0
Nigel Wash avatar
lá cờ cn
Nigel Wash
Xin chào @matigo có thể làm điều đó mà không cần sử dụng ufw không?
0
Hồi đáp
lá cờ in
matigo
Có, nhưng tại sao lại tránh `ufw`? Nó chỉ là một trình bao bọc cho `iptables` và khiến mọi thứ trở nên đơn giản hơn nhiều...
0
Hồi đáp
Điểm:0
Doug Smythies avatar Ubuntu
lá cờ gn
Doug Smythies

Đây là một tập lệnh tạo quy tắc iptables:

#!/bin/sh
FWVER=0.01
#
# ask1368071 Smythies 2021.10.08 Ver:0.01
# Xem tại đây:
# https://askubuntu.com/questions/1368071/iptables-that-only-allow-incoming-traffic-to-openssh-and-block-all-other-traffic
# chạy dưới dạng sudo trên s19.
# mục nhật ký chỉ dành cho mỗi gói ssh MỚI. Có vẻ như không hợp lý khi ghi nhật ký mọi gói ssh, nhưng có thể thực hiện được.
#

echo "Đang tải phiên bản bộ quy tắc ask1368071 $FWVER..\n"

# Vị trí của chương trình iptables
#
IPTABLES=/sbin/iptables

#Đặt các giao diện và địa chỉ BÊN NGOÀI và NỘI BỘ cho mạng
#
# Đặt cho máy tính Smythies s19 (để thử nghiệm). Chỉnh sửa cho máy tính của ask1368071.
EXTIF="br0"
EXTIP="192.168.111.136"
MẠNG="192.168.111.0/24"
VŨ TRỤ="0.0.0.0/0"

# Xóa mọi cấu hình trước đó
# Hãy cẩn thận ở đây. Tôi có thể làm điều này trên s19, nhưng không biết
# về máy tính của Nigel.
#
echo " Xóa mọi quy tắc hiện có và đặt chính sách mặc định.."
$IPTABLES -P INPUT DROP
$IPTABLES -F INPUT
$IPTABLES -P CHẤP NHẬN ĐẦU RA
ĐẦU RA $IPTABLES -F
$IPTABLES -P CHẤP NHẬN VỀ PHÍA TRƯỚC
$IPTABLES -F PHÍA TRƯỚC
$IPTABLES -t nat -F

# Xóa chuỗi do người dùng xác định
$IPTABLES -X
# Đặt lại tất cả các bộ đếm IPTABLES
$IPTABLES -Z
# Smythies: Trong khi tài liệu tham khảo của tôi không có nó, tôi nghĩ điều này là cần thiết.
$IPTABLES -t nat -Z

# giao diện loopback hợp lệ.
#
$IPTABLES -A INPUT -i lo -s $UNIVERSE -d $UNIVERSE -j CHẤP NHẬN

# Cho phép mọi lưu lượng truy cập liên quan quay lại máy chủ trong.
# (Nigel không yêu cầu điều này, nhưng tôi cho rằng điều đó là cần thiết.)
$IPTABLES -A INPUT -i $EXTIF -s $UNIVERSE -d $EXTIP -m state --state THIẾT LẬP, LIÊN QUAN -j CHẤP NHẬN

# Cho phép và đăng nhập các kết nối SSH mới
#
$IPTABLES -A INPUT -i $EXTIF -m state --state NEW -p tcp -s $UNIVERSE -d $EXTIP --dport 22 -j LOG --log-prefix "ssh traffic:" --log-level info
$IPTABLES -A INPUT -i $EXTIF -m state --state NEW -p tcp -s $UNIVERSE -d $EXTIP --dport 22 -j CHẤP NHẬN

# Không cho phép trong bất cứ điều gì khác
# Cũng có thể áp dụng chính sách mặc định tại đây, nhưng đôi khi quy tắc ghi nhật ký cũng được mong muốn.
#
$IPTABLES -A INPUT -i $EXTIF -j LOG --log-prefix "lưu lượng bị chặn:" --thông tin cấp log
$IPTABLES -A INPUT -i $EXTIF -j DROP

# Xong.
#
echo ask1368071 phiên bản bộ quy tắc $FWVER đã xong.

Đây là danh sách sau khi một phiên ssh mới đã được bắt đầu:

doug@s19:~/iptables/misc$ sudo iptables -xvnL
Chuỗi INPUT (chính sách DROP 0 gói, 0 byte)
    pkts byte đích prot chọn không tham gia đích nguồn
       0 0 CHẤP NHẬN tất cả -- lo * 0.0.0.0/0 0.0.0.0/0
      66 5465 CHẤP NHẬN tất cả -- br0 * 0.0.0.0/0 192.168.111.136 trạng thái LIÊN QUAN,THÀNH LIÊN QUAN
       1 52 LOG tcp -- br0 * 0.0.0.0/0 192.168.111.136 trạng thái Tcp MỚI dpt:22 Cờ LOG 0 tiền tố mức 6 "lưu lượng ssh:"
       1 52 CHẤP NHẬN tcp -- br0 * 0.0.0.0/0 192.168.111.136 trạng thái tcp MỚI dpt:22
      18 1382 ĐĂNG NHẬP tất cả -- br0 * 0.0.0.0/0 0.0.0.0/0 LOG cờ 0 cấp 6 tiền tố "giao thông bị chặn:"
      18 1382 THẢ tất cả -- br0 * 0.0.0.0/0 0.0.0.0/0

Chuỗi FORWARD (chính sách CHẤP NHẬN 0 gói, 0 byte)
    pkts byte đích prot chọn không tham gia đích nguồn

ĐẦU RA chuỗi (chính sách CHẤP NHẬN 56 gói, 8793 byte)
    pkts byte đích prot chọn không tham gia đích nguồn

Dưới đây là một số mục nhật ký. Rất tiếc, tôi đã phá vỡ phần chia sẻ samba của mình:

Ngày 8 tháng 10 08:07:15 kernel s19: [249075.860342] lưu lượng bị chặn:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=41 TOS=0x00 PREC=0x00 TTL=128 ID=53951 DF PROTO=TCP SPT=50044 DPT=445 WINDOW=8209 RES=0x00 ACK URGP=0
Ngày 8 tháng 10 08:07:16 kernel s19: [249076.878329] lưu lượng bị chặn:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=41 TOS=0x00 PREC=0x00 TTL=128 ID=53957 DF PROTO=TCP SPT=50044 DPT=445 WINDOW=8209 RES=0x00 ACK URGP=0
Ngày 8 tháng 10 08:07:17 kernel s19: [249077.896198] lưu lượng bị chặn:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=41 TOS=0x00 PREC=0x00 TTL=128 ID=53959 DF PROTO=TCP SPT=50044 DPT=445 WINDOW=8209 RES=0x00 ACK URGP=0
Ngày 8 tháng 10 08:07:18 kernel s19: [249078.914012] lưu lượng bị chặn:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=41 TOS=0x00 PREC=0x00 TTL=128 ID=53960 DF PROTO=TCP SPT=50044 DPT=445 WINDOW=8209 RES=0x00 ACK URGP=0
Ngày 8 tháng 10 08:07:19 kernel s19: [249079.931823] lưu lượng bị chặn:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=41 TOS=0x00 PREC=0x00 TTL=128 ID=53961 DF PROTO=TCP SPT=50044 DPT=445 WINDOW=8209 RES=0x00 ACK URGP=0
Ngày 8 tháng 10 08:07:20 kernel s19: [249080.934176] lưu lượng bị chặn:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=41 TOS=0x00 PREC=0x00 TTL=128 ID=53962 DF PROTO=TCP SPT=50044 DPT=445 WINDOW=8209 RES=0x00 ACK URGP=0
Ngày 8 tháng 10 08:07:20 kernel s19: [249081.115999] lưu lượng bị chặn:IN=br0 OUT= MAC=ff:ff:ff:ff:ff:ff:80:7d:3a:19:ea:59:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=336 TOS=0x00 PREC=0x00 TTL=128 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=316
Ngày 8 tháng 10 08:07:20 kernel s19: [249081.132297] lưu lượng bị chặn:IN=br0 OUT= MAC=ff:ff:ff:ff:ff:ff:80:7d:3a:19:ea:59:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=336 TOS=0x00 PREC=0x00 TTL=128 ID=1 PROTO=UDP SPT=68 DPT=67 LEN=316
Ngày 8 tháng 10 08:07:21 kernel s19: [249081.936134] lưu lượng bị chặn:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=41 TOS=0x00 PREC=0x00 TTL=128 ID=53964 DF PROTO=TCP SPT=50044 DPT=445 WINDOW=8209 RES=0x00 ACK URGP=0
Ngày 8 tháng 10 08:07:22 kernel s19: [249082.938594] lưu lượng bị chặn:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=41 TOS=0x00 PREC=0x00 TTL=128 ID=53965 DF PROTO=TCP SPT=50044 DPT=445 WINDOW=8209 RES=0x00 ACK URGP=0
Ngày 8 tháng 10 08:07:23 kernel s19: [249083.956556] lưu lượng bị chặn:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=41 TOS=0x00 PREC=0x00 TTL=128 ID=53966 DF PROTO=TCP SPT=50044 DPT=445 WINDOW=8209 RES=0x00 ACK URGP=0
Ngày 8 tháng 10 08:07:24 kernel s19: [249084.958914] lưu lượng bị chặn:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=41 TOS=0x00 PREC=0x00 TTL=128 ID=53967 DF PROTO=TCP SPT=50044 DPT=445 WINDOW=8209 RES=0x00 ACK URGP=0
Ngày 8 tháng 10 08:07:25 kernel s19: [249085.976907] lưu lượng bị chặn:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=53968 DF PROTO=TCP SPT=50044 DPT=445 WINDOW=0 RES=0x00 ACK RST URGP=0
Ngày 8 tháng 10 08:07:25 kernel s19: [249085.981353] lưu lượng bị chặn:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=53969 DF PROTO=TCP SPT=61348 DPT=445 WINDOW=64240 RES=0x00 SYN URGP=0
Ngày 8 tháng 10 08:07:26 kernel s19: [249086.985732] lưu lượng bị chặn:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=53970 DF PROTO=TCP SPT=61348 DPT=445 WINDOW=64240 RES=0x00 SYN URGP=0
Ngày 8 tháng 10 08:07:28 kernel s19: [249089.005970] lưu lượng bị chặn:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=53971 DF PROTO=TCP SPT=61348 DPT=445 WINDOW=64240 RES=0x00 SYN URGP=0
Ngày 8 tháng 10 08:07:32 kernel s19: [249093.012998] lưu lượng bị chặn:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=53973 DF PROTO=TCP SPT=61348 DPT=445 WINDOW=64240 RES=0x00 SYN URGP=0
Ngày 8 tháng 10 08:07:35 kernel s19: [249096.205252] ssh traffic:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=53974 DF PROTO=TCP SPT=61351 DPT=22 WINDOW=64240 RES=0x00 SYN URGP=0
Ngày 8 tháng 10 08:07:40 s19 systemd[1]: Đã bắt đầu Phiên 222 của người dùng doug.
Ngày 8 tháng 10 08:07:40 kernel s19: [249101.031397] lưu lượng bị chặn:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=53989 DF PROTO=TCP SPT=61348 DPT=445 WINDOW=64240 RES=0x00 SYN URGP=0
Ngày 8 tháng 10 08:07:46 kernel s19: [249107.046666] lưu lượng bị chặn:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=53997 DF PROTO=TCP SPT=61352 DPT=445 WINDOW=64240 RES=0x00 SYN URGP=0
Ngày 8 tháng 10 08:07:47 kernel s19: [249108.061299] lưu lượng bị chặn:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=53998 DF PROTO=TCP SPT=61352 DPT=445 WINDOW=64240 RES=0x00 SYN URGP=0
Ngày 8 tháng 10 08:07:49 kernel s19: [249110.065547] lưu lượng bị chặn:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=53999 DF PROTO=TCP SPT=61352 DPT=445 WINDOW=64240 RES=0x00 SYN URGP=0
Ngày 8 tháng 10 08:07:53 kernel s19: [249114.090375] lưu lượng bị chặn:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=54001 DF PROTO=TCP SPT=61352 DPT=445 WINDOW=64240 RES=0x00 SYN URGP=0
Ngày 8 tháng 10 08:08:01 kernel s19: [249122.092377] lưu lượng bị chặn:IN=br0 OUT= MAC=3c:7c:3f:0d:99:83:04:d4:c4:93:f4:55:08:00 SRC=192.168.111.122 DST=192.168.111.136 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=54021 DF PROTO=TCP SPT=61352 DPT=445 WINDOW=64240 RES=0x00 SYN URGP=0
0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.