Comment bloquer l'accès SSH et FTP à une IP et une plage de réseau spécifiques dans Linux

Comment bloquer l'accès SSH et FTP à une IP et une plage de réseau spécifiques dans Linux
Bloquer l'accès SSH et FTP à l'aide d'iptables / pare-feu

En règle générale, nous utilisons tous Ssh et FTP services pour accéder souvent aux serveurs distants et aux serveurs privés virtuels. En tant qu'administrateur Linux, vous devez savoir comment bloquer l'accès SSH et FTP à une plage de propriété intellectuelle ou de réseau spécifique dans Linux afin de resserrer le peu de sécurité.

  1. 25 Conseils de sécurité durcissant pour les serveurs Linux
  2. 5 conseils utiles pour sécuriser et protéger le serveur SSH

Ce tutoriel vous montrera comment bloquer l'accès SSH et FTP à une adresse IP particulière et / ou une plage de réseau dans le serveur CentOS 6 et 7. Ce guide a été testé sur Centos 6.X et 7.X versions, mais cela fonctionnera probablement sur d'autres distributions Linux telles que Debian, Ubuntu et Suse / OpenSuse, etc.

Nous le ferons en deux méthodes. La première méthode utilise Iptables/ /pare-feu Et la deuxième méthode utilise TCP emballages avec l'aide de hôtes.permettre et hôtes.refuser déposer.

Reportez-vous aux guides suivants pour en savoir plus sur les iptables et le pare-feu.

  1. Guide de base sur Iptables (pare-feu Linux) Conseils / commandes
  2. Comment configurer un pare-feu iptables pour permettre l'accès à distance aux services à Linux
  3. Comment configurer le «Firewalld» dans Rhel / Centos 7 et Fedora 21
  4. Règles utiles «tout le monde» pour configurer et gérer le pare-feu dans Linux

Maintenant, vous savez ce que c'est Iptables et Pare-feu Et ce sont les bases.

Méthode 1: Bloquer l'accès SSH et FTP à l'aide d'iPtables / Firewalld

Voyons maintenant comment bloquer l'accès SSH et FTP à une IP spécifique (par exemple 192.168.1.100) et / ou la plage de réseau (par exemple 192.168.1.0/24) en utilisant Iptables sur rhel / centos / linux scientifique 6.X versions et Pare-feu sur Centos 7.X.

Bloquer ou désactiver l'accès SSH

--------------------- Sur Pare-feu iptables --------------------- # iptables -i entrée -s 192.168.1.100 -p tcp --dport ssh -j rejet # iptables -i entrée -s 192.168.1.0/24 -P TCP --DPORT SSH -J Rejet 
--------------------- Sur Pare-feu --------------------- # Firewall-CMD - Direct --Add-Rule IPv4 Filtre Entrée 1 -M TCP --Source 192.168.1.100 -P TCP --DPPORT 22 -J Rejet # Firewall-CMD - Direct --Add-Rule IPv4 Filtre Entrée 1 -M TCP --Source 192.168.1.100/24 ​​-P TCP --DPORT 22 -J Rejet 

Pour prendre en vigueur de nouvelles règles, vous devez utiliser la commande suivante.

# Service iptables Enregistrer [sur Iptables Firewall] # Firewall-CMD - Reload [sur Firewalld] 

Maintenant, essayez de Ssh le serveur de l'hôte bloqué. S'il vous plaît, soyez conscient que ici 192.168.1.150 est l'hôte bloqué.

# ssh 192.168.1.150 

Vous devriez voir le message suivant.

SSH: Connectez-vous à l'hôte 192.168.1.150 Port 22: Connexion refusée 

Débloquer ou activer l'accès SSH

Pour débloquer ou activer l'accès SSH, accédez au serveur distant et exécutez la commande suivante:

--------------------- Sur Pare-feu iptables --------------------- # iptables -i entrée -s 192.168.1.100 -p tcp --dport ssh -j accepter # iptables -i entrée -s 192.168.1.100/24 ​​-p tcp --dport ssh -j accepter 
--------------------- Sur Pare-feu --------------------- # Firewall-CMD - Direct --Add-Rule IPv4 Filtre Entrée 1 -M TCP --Source 192.168.1.100 -P TCP --DPORT 22 -J Accepter # Firewall-CMD - Direct --Add-Rule IPv4 Filtre Entrée 1 -M TCP --Source 192.168.1.100/24 ​​-P TCP --DPORT 22 -J Accepter 

Enregistrez les modifications en utilisant la suite pour accéder à votre serveur via SSH.

# Service iptables Enregistrer [sur Iptables Firewall] # Firewall-CMD - Reload [sur Firewalld] 

Bloquer ou désactiver l'accès FTP

En règle générale, les ports par défaut pour FTP sont 20 et 21. Donc, pour bloquer tout le trafic FTP à l'aide d'iPtables, exécutez la commande suivante:

--------------------- Sur Pare-feu iptables --------------------- # iptables -i entrée -s 192.168.1.100 -p tcp --dport 20,21 -j rejet # iptables -i entrée -s 192.168.1.100/24 ​​-P TCP - DPPORT 20,21 -J Rejet 
--------------------- Sur Pare-feu --------------------- # Firewall-CMD - Direct --Add-Rule IPv4 Filtre Entrée 1 -M TCP --Source 192.168.1.100 -P TCP --DPPORT 20,21 -J Rejet # Firewall-CMD - Direct --Add-Rule IPv4 Filter Entrée 1 -M TCP --Source 192.168.1.100/24 ​​-P TCP - DPPORT 20,21 -J Rejet 

Pour prendre en vigueur de nouvelles règles, vous devez utiliser la commande suivante.

# Service iptables Enregistrer [sur Iptables Firewall] # Firewall-CMD - Reload [sur Firewalld] 

Maintenant, essayez d'accéder au serveur à partir de l'hôte bloqué (192.168.1.100), avec commande:

# FTP 192.168.1.150 

Vous obtiendrez un message d'erreur quelque chose comme ci-dessous.

FTP: Connexion: Connexion refusée 

Débloquer ou activer l'accès FTP

Pour débloquer et activer l'accès FTP à retour, exécuter:

--------------------- Sur Pare-feu iptables --------------------- # iptables -i entrée -s 192.168.1.100 -P TCP --DPORT 20,21 -J Accepter # iptables -I Entrée -S 192.168.1.100/24 ​​-P TCP --DPORT 20,21 -J Accepter 
--------------------- Sur Pare-feu --------------------- # Firewall-CMD - Direct --Add-Rule IPv4 Filtre Entrée 1 -M TCP --Source 192.168.1.100 -P TCP --DPPORT 20,21 -J Accepter # Firewall-CMD --Direct --Add-Rule IPv4 Filtre Entrée 1 -M TCP --Source 192.168.1.100/24 ​​-P TCP --DPORT 20,21 -J Accepter 

Enregistrez les modifications avec la commande:

# Service iptables Enregistrer [sur Iptables Firewall] # Firewall-CMD - Reload [sur Firewalld] 

Maintenant, essayez d'accéder au serveur via FTP:

# FTP 192.168.1.150 

Entrez votre nom d'utilisateur FTP et votre mot de passe.

Connecté à 192.168.1.150. 220 Bienvenue au service Tecmint FTP. Nom (192.168.1.150: SK): Tecmint 331 Veuillez spécifier le mot de passe. Mot de passe: 230 Connexion réussie. Le type de système distant est Unix. Utiliser le mode binaire pour transférer des fichiers. ftp> 

Méthode 2: Bloquer l'accès SSH et FTP à l'aide de Wrappers TCP

Si vous ne voulez pas jouer avec Iptables ou Pare-feu, alors Emballages TCP est la meilleure façon de bloquer l'accès SSH et FTP à une IP spécifique et / ou une gamme de réseau.

OpenSSH et FTP sont compilés avec le support TCP Wrappers, ce qui signifie que vous pouvez spécifier les hôtes autorisés à se connecter sans toucher votre pare-feu dans les deux fichiers importants suivants et sont:

  1. / etc / hôtes.permettre
  2. / etc / hôtes.refuser

Comme son nom l'indique, le premier fichier contient des entrées des hôtes autorisés, et la seconde contient des adresses d'hôtes bloqués.

Par exemple, bloquons l'accès SSH et FTP à l'hôte qui a une adresse IP 192.168.1.100 et gamme de réseaux 192.168.1.0. Cette méthode est la même pour les centos 6.x et 7.Série X. Et, bien sûr, cela fonctionnera sur d'autres distributions telles que Debian, Ubuntu, Suse, OpenSuse, etc.

Ouvrir le / etc / hôtes.refuser fichier et ajouter les adresses IP ou la plage de réseau suivantes que vous souhaitez bloquer comme indiqué ci-dessous.

##### pour bloquer l'accès SSH ##### SSHD: 192.168.1.100 SSHD: 192.168.1.0/255.255.255.0 ##### pour bloquer l'accès FTP ##### vsftpd: 192.168.1.100 VSFTPD: 192.168.1.0/255.255.255.0 

Enregistrer et quitter le fichier.

Maintenant, redémarrez le service SSHD et VSFTPD pour prendre en vigueur de nouveaux changements.

--------------- Pour le service SSH --------------- # Service SSHD Restart [sur sysvinit] # systemctl redémarrage sshd [sur systemd] 
--------------- Pour le service FTP --------------- # Service VSftpd Restart [sur sysvinit] # SystemCTL Restart vSftpd [sur SystemD] 

Maintenant, essayez de SSH le serveur ou à partir d'un hôte bloqué.

# ssh 192.168.1.150 

Vous verrez la sortie suivante:

SSH_EXCHANGE_IDENTIFICATION: LIRE: Connexion Réinitialiser par pair 

Maintenant, essayez de ftp le serveur ou à partir d'un hôte bloqué.

# FTP 192.168.1.150 

Vous verrez la sortie suivante:

Connecté à 192.168.1.150. 421 Service non disponible. 

Pour débloquer ou activer à nouveau les services SSH et FTP, modifiez hôtes.refuser Déposer et commenter toutes les lignes et enfin redémarrer les services VSFTPD et SSHD.

Conclusion

C'est tout pour le moment. Pour résumer, nous avons aujourd'hui appris à bloquer une adresse IP et une plage de réseau spécifiques à l'aide d'iptables, de tout le monde et des emballages TCP. Ces méthodes sont assez faciles et simples.

Même, un administrateur de Linux novice peut le faire en quelques minutes. Si vous connaissez d'autres façons de bloquer l'accès SSH et FTP, n'hésitez pas à les partager dans la section des commentaires. Et n'oubliez pas de partager nos articles dans tous vos réseaux sociaux.