linux防火墙添加ip白名单_linux防火墙设置ip白名单

2024-08-31 02:25:21

1.linux防御cclinux防御

2.Linux配置sshsshlinux配置

3.linux中如何禁止某个用户使用机群中某一个节点?

4.vfp防火墙添加白名单

5.iptables 还能对特定程序或用户进行限制么

linux防火墙添加ip白名单_linux防火墙设置ip白名单

一般安装linux课程时都把SELinux与iptables安排在后面，使初学者配置linux服务器时不成功，却没有头绪，那是因为在RedHat linux操作系统中默认开启了防火墙，SELinux也处于启动状态，一般状态为enforing。致使很多服务端口默认是关闭的。

所以好多服务初学者明明配置文件正确，等验证时有时连ping也ping不通。建议初学者在未学到SELlinux与iptables之前，配置服务器把这两项都关掉。

扩展资料

SELinux 的作用及权限管理机制：

SELinux 主要作用就是最大限度地减小系统中服务进程可访问的（最小权限原则）。

SELinux 有三种工作模式，分别是：

1、enforcing：强制模式。违反 SELinux 规则的行为将被阻止并记录到日志中。

2、permissive：宽容模式。违反 SELinux 规则的行为只会记录到日志中。一般为调试用。

3、disabled：关闭 SELinux。

SELinux 工作模式可以在 /etc/selinux/config 中设定。

如果想从 disabled 切换到 enforcing 或者 permissive 的话，需要重启系统。反过来也一样。

enforcing 和 permissive 模式可以通过 setenforce 1|0 命令快速切换。

需要注意的是，如果系统已经在关闭 SELinux 的状态下运行了一段时间，在打开 SELinux 之后的第一次重启速度可能会比较慢。因为系统必须为磁盘中的文件创建安全上下文。

SELinux 日志的记录需要借助 auditd.service 这个服务，请不要禁用它。

linux防御cclinux防御

防火墙参数的介绍？

防护日志DDOS防火墙DDOS防火墙开启DDOS防火墙参数设置IP冻结时间设置单个IP单位时间相应连接请求设置扫描攻击参数设置流量攻击参数设置保存，设置成功

dns防护怎么做？

1.授权DNS服务器限制名字服务器递归查询功能，递归dns服务器要限制递归访问的客户（启用白名单IP段）

2.限制区传送zonetransfer，主从同步的DNS服务器范围启用白名单，不在列表内的DNS服务器不允许同步zone文件

allow-transfer{};

allow-update{};

3.启用黑白名单

已知的攻击IP加入bind的黑名单，或防火墙上设置禁止访问；

通过acl设置允许访问的IP网段；

通过acl设置允许访问的IP网段；通过acl设置允许访问的IP网段；

4.隐藏BIND的版本信息；

5.使用非root权限运行BIND；

4.隐藏BIND的版本信息；

5.使用非root权限运行BIND；

6.删除DNS上不必要的其他服务。创建一个DNS服务器系统就不应该安装Web、POP、gopher、NNTPNews等服务。

建议不安装以下软件包：

1）X-Windows及相关的软件包；2）多媒体应用软件包；3）任何不需要的编译程序和脚本解释语言；4）任何不用的文本编辑器；5）不需要的客户程序；6）不需要的其他网络服务。确保域名解析服务的独立性，运行域名解析服务的服务器上不能同时开启其他端口的服务。权威域名解析服务和递归域名解析服务需要在不同的服务器上独立提供；

7.使用dnstop监控DNS流量

#yuminstalllibpcap-develncurses-devel

下载源代码://dns.measurement-factory/tools/dnstop/src/dnstop-20140915.tar.gz

#；

9.增强DNS服务器的防范Dos/DDoS功能

使用SYNcookie

增加backlog,可以一定程度减缓大量SYN请求导致TCP连接阻塞的状况

缩短retries次数:Linux系统默认的tcp_synack_retries是5次

限制SYN频率

防范SYNAttack攻击:#echo1>/proc/sys/net/ipv4/tcp_syncookies把这个命令加入/etc/rc.d/rc.local文件中；

10.：对域名服务协议是否正常进行监控，即利用对应的服务协议或用相应的测试工具向服务端口发起模拟请求，分析服务器返回的结果，以判断当前服务是否正常以及内存数据是否变动。在条件允许的情况下，在不同网络内部部署多个探测点分布式监控；

11.提供域名服务的服务器数量应不低于2台，建议独立的名字服务器数量为5台。并且建议将服务器部署在不同的物理网络环境中;使用入侵检测系统，尽可能的检测出中间人攻击行为;在域名服务系统周围部署抗攻击设备，应对这类型的攻击;利用流量分析等工具检测出DDoS攻击行为，以便及时取应急措施；

12.：限制递归服务的服务范围，仅允许特定网段的用户使用递归服务；

13.：对重要域名的解析结果进行重点监测，一旦发现解析数据有变化能够及时给出告警提示;部署dnssec；

14.建立完善的数据备份机制和日志管理系统。应保留最新的3个月的全部解析日志，并且建议对重要的域名信息系统取7×24的维护机制保障，应急响应到场时间不能迟于30分钟。

为什么防火墙连接经常断掉？

怀疑是遭受DDOS攻击，

1、短暂开启访问日志，看看是哪些ip，再deny那些可疑ip

2、限掉IP地址段，或者向运营商购买流量清洗、防ddos攻击的服务

一般硬件防火墙有配置秒单位的数据流和数据连接，干掉ddos一般通过配置上限，

类似于超过多少个连接，马上断掉连接。很容易误伤这类软件。没有彻底的解决方案。

如果可以的话换一个

云服务器

+DDOS高防（也可也用CDN价成本相对能低不少）

云服务器

Linux配置sshsshlinux配置

dns防护怎么做？

1.授权DNS服务器限制名字服务器递归查询功能，递归dns服务器要限制递归访问的客户（启用白名单IP段）

2.限制区传送zonetransfer，主从同步的DNS服务器范围启用白名单，不在列表内的DNS服务器不允许同步zone文件

allow-transfer{};

allow-update{};

3.启用黑白名单

已知的攻击IP加入bind的黑名单，或防火墙上设置禁止访问；

通过acl设置允许访问的IP网段；

通过acl设置允许访问的IP网段；通过acl设置允许访问的IP网段；

4.隐藏BIND的版本信息；

5.使用非root权限运行BIND；

4.隐藏BIND的版本信息；

5.使用非root权限运行BIND；

6.删除DNS上不必要的其他服务。创建一个DNS服务器系统就不应该安装Web、POP、gopher、NNTPNews等服务。

建议不安装以下软件包：

7.使用dnstop监控DNS流量

#yuminstalllibpcap-develncurses-devel

下载源代码://dns.measurement-factory/tools/dnstop/src/dnstop-20140915.tar.gz

#；

9.增强DNS服务器的防范Dos/DDoS功能

使用SYNcookie

增加backlog,可以一定程度减缓大量SYN请求导致TCP连接阻塞的状况

缩短retries次数:Linux系统默认的tcp_synack_retries是5次

限制SYN频率

防范SYNAttack攻击:#echo1>/proc/sys/net/ipv4/tcp_syncookies把这个命令加入/etc/rc.d/rc.local文件中；

12.：限制递归服务的服务范围，仅允许特定网段的用户使用递归服务；

13.：对重要域名的解析结果进行重点监测，一旦发现解析数据有变化能够及时给出告警提示;部署dnssec；

10本渗透书籍？

渗透攻击红队助力此次“互联网空间-亿万守护”，这里为大家推荐10本互联网安全相关、并收获诸多好评的书籍，希望对大家有帮助，文末也有互动赠书环节，欢迎大家参与

推荐书单

《互联网安全建设从0到1》

推荐语：这是一本适合从安全小白到企业安全负责人阅读的安全书籍，作者林鹏将自己多年丰富的安全经验融入此书，通俗易懂，雅俗共赏，既可作为安全工程师的工具手册，解决各类常见安全问题，也可以指导安全负责人如何从0到1系统地建设企业安全体系，非常值得推荐。

《CTF特训营:技术详解、解题方法与竞赛技巧》

推荐语：国内首本CTF赛事技术解析书籍，老牌CTF战队FlyPig撰写，从安全技术、解题方法、竞赛技巧3大维度全面展开，Web、Reverse、PWN、Crypto、APK、IoT6大篇，扎扎实实30章，厚达518页，三度Pwn2Own冠军Flanker、CTF赛事国内推动先驱者诸葛建伟、段海新教授联袂推荐。考虑到广大CTF学子，学生群体会比较多，作者团队强烈要求降低图书定价，象征性只拿1%版税用来公益捐出。

《Python安全攻防：渗透测试实战指南》

推荐语：在网络安全领域，是否具备编程能力是“脚本小子”和真正黑客的本质区别。本书围绕Python在网络安全渗透测试各个领域中的应用展开，通过大量图解，从实战攻防场景分析代码，帮助初学者快速掌握使用Python进行网络安全编程的方法，深入浅出地讲解如何在渗透测试中使用Python，使Python成为读者手中的神兵利器。MS08067安全实验室出品。

《KaliLinux高级渗透测试（原书第3版）》

推荐语：原书第3版全新升级，KaliLinux渗透测试经典之作。本书从攻击者的角度来审视网络框架，详细介绍攻击者“杀链”取的具体步骤，包含大量实例，并提供源码。

《Linux系统安全：纵深防御、安全扫描与入侵检测》

推荐语：这是一部从技术原理、工程实践两个方面系统、深入讲解Linux系统安全的著作，从纵深防御、安全扫描、入侵检测3个维度细致讲解了如何构建一个如铜墙铁壁般的Linux防护体系。作者胥峰是资深的Linux系统安全专家、运维技术专家，有13年的从业经验，厚积薄发。本书得到了来自腾讯、阿里等知名企业的多位行业专家的高度评价。全书不仅包含大量工程实践案例，而且为各种核心知识点绘制了方便记忆的思维导图。

《数据安全架构设计与实战》

推荐语：数据安全畅销书。随着数据时代的到来-安全体系架构逐步由之前的“以网络为中心”（称为网络安全）过渡到“以数据为中心”（称为数据安全）。本书将使用数据安全这一概念-并以数据的安全收集或生成、安全使用、安全传输、安全存储、安全披露、安全流转与跟踪、安全销毁为目标-整个安全体系-并进而将安全架构理念融入产品开发过程、安全技术体系及流程中-更好地为企业的安全目标服务。

《网络空间安全防御与态势感知》

推荐语：本书是一部关于网络空间安全防御与态势感知的专题学术文章合集，全面覆盖网络空间安全态势感知研究的理论要点，并包括丰富的面向实践的实验数据和经验教训资料，对从事网络空间安全态势感知研究与开发工作的读者极具指导作用，对广大网络安全从业人员也有较大的参考价值。

《基于数据科学的恶意软件分析》

推荐语：国内首部从数据分析视角系统阐释恶意软件分析的实践指南，JoshuaSaxe、HillarySanders两位作者均为一线安全企业Sophos首席数据科学家，根据丰富的实战经验全面地展示了如何将数据科学技术应用于解决重大的网络安全问题。曹建农、肖新光、周鸿_、薛峰鼎力推荐！

《Linux网络安全精要》

推荐语：本书强调了Linux的书籍或课程里经常忽略掉的网络安全部分，从Linux基础讲起，涵盖了用户和用户组、文件和数据存储、自动化、网络、进程和日志管理、软件包管理、安全任务等内容。英文原版入选BookAuthority2019年评选的“学习Linux最适合的10本新书”，并且涉及CompTIALinux+和LPIC-1考试的关键主题。

《EffectiveCybersecurity(中文版)》

推荐语：有效的网络安全实现起来是非常困难的。许多组织投入了大量的人力和物力，制定了最佳的实践文件以及实施和评估网络安全的标准。这本书合理地组织、强化和解释了所有这些材料，以便安全从业人员能够有效地使用它们。

web反弹shell怎么防护？

反弹shell实际是通过linux的socket技术进行通信的，这个过程都需要建立TCP三次握手，然后在通过固定端口进行通信。对于靶机Centos6.9来说，反弹shell的TCP通信端口为某随机端口，那么我们只需要在iptables的filter表的INPUT或OUTPUT链上随便进行一个限制，让其TCP连接不能成功，即可限制反弹shell。

需要注意的是，linux中iptables的默认策略都是ACCEPT，此时防火墙实际是使用黑名单策略，很容易被绕过，这也是很多攻击者经常能够反弹shell成功的原因。

linux中如何禁止某个用户使用机群中某一个节点?

linux查看ssh端口号命令？

请使用"netstat-ntlp|grepssh"命令查看，第三列是ip:port，比如0.0.0.0:22，表示监听在所有网卡，端口是22。

通过查看配置文件也可以：cat/etc/ssh/sshd_config|grepPort

linux下怎么使SSH服务开机自动运行？

linux下让ssh服务开机自动运行，可以通过systemctl命令来设置。

1、设置ssh开机自启动sudosystemctlenablessh说明：sudo是提升权限，systemctl是服务管理器，enable是systemctl的参数，表示启用开机自动运行，ssh是要设置的服务名称。设置成功后，可以用chkconfig查看一下ssh的开机启动状态，on表示已设置开机自启动。

2、ssh禁用开机自启动sudosystemctldisablessh说明：sudo是提升权限，systemctl是服务管理器，disable是systemctl的参数，表示禁止开机运行，ssh是要设置的服务名称。

如何在linux下配置ssh和sftp使用不同的端口号？

1、两个deamon

要实现ssh和sftp分离，分别监听不同的端口，可以通过创建两个‘/usr/sbin/sshd’后台程序，一个监听22端口(ssh)，一个监听20022端口(sftp)，为了区分ssh和sftp服务的后台程序，这里将ssh服务的后台程序保持为/usr/sbin/sshd，而将sftp服务的后台程序改为/usr/sbin/sftpd。/usr/sbin/sftpd是/usr/sbin/sshd的一个链接，其内容完全相同(ln-sf/usr/sbin/sshd/usr/sbin/sftpd)。

2、两个service

SLES12使用systemd管理系统服务，ssh服务对应/usr/lib/systemd/system/sshd.service文件，实现sftp服务时可以将/usr/lib/systemd/system/sshd.service复制到/etc/systemd/system/sftpd.service，然后修改sftpd.service文件内容。(使用修改好的sftpd.service文件即可)

3、其他文件系统的ssh服务是通过安装openssh实现的，可以通过rpm-qlopenssh查看该rpm包含哪些文件。总结实现ssh和sftp分离的相关的文件有：

ssh服务sftp服务

/usr/lib/systemd/system/sshd.service/etc/systemd/system/sftpd.service(通过修改/usr/lib/systemd/system/sshd.service文件得到)

/etc/pam.d/sshd/etc/pam.d/sftpd(通过复制/etc/pam.d/sshd文件得到)

/etc/ssh/sshd_config/etc/ssh/sftpd_config(通过复制/etc/ssh/sshd_config文件得到)

/usr/sbin/rcsshd/usr/sbin/rcsftpd(ln-sf/usr/sbin/service/usr/sbin/rcsftpd)

/usr/sbin/sshd/usr/sbin/sftpd(ln-sf/usr/sbin/sshd/usr/sbin/sftpd)

/etc/sysconfig/ssh/etc/sysconfig/sftp(通过修改/etc/sysconfig/ss件得到)

至此，我们已经实现了两个服务。

但是，ssh服务和sftp服务并没有真正的分离，此时已然可以通过22号端口使用ssh服务和sftp服务，而新开的20022端口也可以使用ssh服务（ssh-p20022username@serverip）和sftp服务（sftp-oPort=20022username@serverip）。

4、关闭22号端口下的sftp服务编辑/usr/sbin/sshd的配置文件/etc/ssh/sshd_config文件，将Subsystem参数注释掉，然后重启sshd同时也可以设置可访问22号端口的用户白名单：编辑/etc/ssh/sshd_config文件，设置AllowGroups参数（设设置为AllowGroupssshonly），限制仅AllowGroups组内的用户可通过22号端口ssh登录系统（对于需要ssh登录系统的用户可通过usermod-Asshonlyusername>将其加入到AllowGroups组内）

5、“关闭20022号端口下的ssh服务”sftp作为一个子服务，它的开启依赖于ssh服务，因此不能从本质上关闭ssh服务而只开启sftp服务。可以用以下方式来规避：/usr/sbin/sftpd的配置文件/etc/ssh/sftpd_config中包含Subsystem参数配置（推荐使用Subsystemsftpinternal-sftp-lINFO-fAUTH）/etc/ssh/sftpd_config中包含AllowGroups参数（设为AllowGroupssftponly），限制仅AllowGroups组内的用户可以访问20022端口将AllowGroups组内的用户的shell改为/bin/false(usermod-s/bin/falseusername>)，使AllowGroups组内的用户仅能sftp登录系统（如果一个用户即需要ssh，又需要sftp，则不能将其shell改为/bin/false）

6、用户白名单配置配置之后，需将系统内需要ssh访问系统的用户加入到sshonly组内，需将系统内需要sftp访问系统的用户加入到sftponly组，同时需要ssh和sftp的用户则sshonly和sftponly组都要加入。

7、重启ssh服务和sftp服务，并设置开机启动

servicesshdrestartservicesftpdrestart

vfp防火墙添加白名单

是linux集群还是oracle集群？

1、linux集群的话很简单，删除该主机上的该用户就搞定。如果用的是负载均衡设备，那么可以在设备上进行相关的配置。

2、oracle集群。

i、可以尝试配置IP白名单，即在$ORACLE_HOME/network/admin/sqlnet.ora文件中设置允许访问的该主机的IP地址。当然如果有其他用户共用了同一IP这个方法就不适用了。

ii、可以尝试在客户端设置所访问的主机地址，从而达到限制访问的目的，不过这样别人同样可以进行相同的修改，达到访问限定主机的目的。

iii、可以尝试对不同服务（也可以说不同的用户名，因为在客户端你需要为每个用户设置固定端口）配置不同的端口，不过这需要网络层面的相关配置（如，防火墙对端口和IP地址的绑定等），否则和上面一条一样，别人同样可以通过修改客户端配置访问该主机。

iiii、直接在网络层面限制，针对某些服务的链接可放行的主机。（这个需要配备单独的网络监察设备，否则很难分辨通过客户端进行的链接。）

iptables 还能对特定程序或用户进行限制么

使用Firewalld。

Firewalld是可用于许多Linux发行版的防火墙管理解决方案，它充当Linux内核提供的iptables数据包过滤系统的前端。使用firewall管理工具来管理防火墙添加IP白名单。

区域zone基本上是一组规则，它们决定了允许哪些流量，具体取决于你对计算机所连接的网络的信任程度。为网络接口分配了一个区域，以指示防火墙应允许的行为。

linux下要使用iptables限制只有指定的ip才能访问本机则需要先设置一个默认的规则 iptables有默认的规则，它可以适用于所有的访问因为只有指定或特定的ip地址才能访问本机所以可以将默认的规则设置为所有访问全部阻止（当然这里需要注意下，如果你要设置的机器是在远端，比如vps则需要注意在设置默认规则的同时要将与该服务器链接的ip添加进白名单，否则在设置完默认阻止后你也无法访问这台服务器，也无法再进行操作了，我们可以使用分号;或者&&来在同一个命令行下来完成默认阻止和将自己的ip添加进白名单，如你的ip地址为1.2.3.4则可以这样输入iptables -P INPUT DROP;iptables -A INPUT -s 1.2.3.4 -p tcp -j ACCEPT，或者也可以指定一个端口) 设置默认规则后则可以添加白名单了比如允许2.3.4.5访问则可以 iptables -A INPUT -s 2.3.4.5 -p tcp -j ACCEPT 如果要限定的不是整个服务器而只是该服务器中的某个服务比如web服务（一般端口在80，s在443）则我们可以使用0.0.0.0/0来阻止所有的ip地址比如 iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j DROP 以及 iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 443 -j DROP 来阻止所有访问web服务器的ip地址然后再添加指定的ip到白名单比如添加1.2.3.4，我们可以 iptables -A INPUT -s 1.2.3.4 -p tcp --dport 80 -j ACCEPT 如果我们允许某个网段下的所有ip都可以访问的话比如1.2.3.[0-255]，我们可以 iptables -A INPUT -s 1.2.3.0/24 -p tcp --dport -j ACCEPT 总之不管是阻止所有的服务还是只阻止指定的服务我们可以先将默认的规则设置为所有ip都不可访问然后再手动添加ip地址到白名单推荐阅读《linux就该这么学》。