O Ubuntu só permite acesso de entrada a partir de 192.168.0.0/8 ou endereço IP do servidor

4

Como posso fazer com que apenas endereços IP aprovados tenham acesso ao meu servidor Ubuntu 12.04? Eu apenas o configurei.

    
por RussellHarrower 29.06.2012 / 12:02

3 respostas

7

Você pode conseguir isso com os seguintes comandos, desde que tenha UFW install:

Para permitir o uso de um endereço IP específico,

sudo ufw allow from XXX.XXX.XXX.XXX

Para permitir por uma sub-rede específica, invocamos a máscara de rede e o usamos,

sudo ufw allow from XXX.XXX.XXX.XXX/XX

Para permitir por uma porta específica e um endereço IP, você pode usar,

sudo ufw allow from XXX.XXX.XXX.XXX to AAA port YY

Por favor, consulte documentação da comunidade para ajuda antecipada.

Usando tcpwrappers ,

/etc/hosts.deny é verificado antes de /etc/hosts.allow, então você pode ir

  • hosts.deny

    ALL: ALL

primeiro, bloqueamos tudo de todos,

  • hosts.allow

    ALL: localhost

    sshd: 192.168.0.2

que significa apenas 192.168.0.2 em sua rede local pode acessar o servidor ssh nessa máquina.

    
por 29.06.2012 / 14:11
4

Isso seria realizado com iptables (netfilter), o utilitário interno de firewall para Linux.

Dependendo do que você está fazendo com seu servidor (e do que está veiculando), isso precisará ser (cuidadosamente) configurado para permitir o tráfego adequado.

Há um bom tutorial sobre isso no site de ajuda oficial do Ubuntu e também há ufw (Firewall Descomplicado) que é integrado ao Ubuntu para lidar com o básico. Por exemplo, se você quiser permitir somente acesso SSH (TCP 22) a partir de 10.0.0.15, você faria isso:

sudo ufw allow proto tcp from 10.0.0.15 to any port 22

Você também pode usar um de vários geradores de regras iptables para gerar um conjunto de regras iptables inteiro.

Outra sugestão (especialmente se esse host Ubuntu estiver na Internet) seria usar pares de chaves SSH para autenticação em vez de senhas ; Eu também desabilitar logins de root .

    
por 29.06.2012 / 13:07
2

Vale a pena notar - para pegar o intervalo de endereços privados (RFC1918), você provavelmente quer 192.168.0.0/16, -not- / 8.

    
por 29.06.2012 / 15:29