背景：

為了修復(fù)安全掃描中發(fā)現(xiàn)的漏洞，我們需要對某些服務(wù)設(shè)置訪問限制。具體來說，就是要確保只有指定的內(nèi)部IP地址能夠訪問這些服務(wù)。

解決方案：使用Firewalld防火墻規(guī)則

有兩種方式可以設(shè)置這些規(guī)則：

1. 通過修改XML配置文件

首先，通過vim編輯器打開/etc/firewalld/zones/public.xml文件，然后添加以下示例規(guī)則：

<!-- 允許來自特定內(nèi)部IP（如192.168.20.86/32）訪問本服務(wù)器的MySQL服務(wù)（默認(rèn)端口3306） -->
<rule family="ipv4">
  <source address="192.168.20.86/32"/>
  <port protocol="tcp" port="3306"/>
  <accept/>
</rule>

解釋：

• <rule>：定義了一條規(guī)則。
• 設(shè)置規(guī)則的family屬性為ipv4。
• <source>：定義了允許的IP地址。在這個例子中，192.168.20.86/32表示僅允許此IP訪問。
• <port>：確定了目標(biāo)端口和協(xié)議類型。這里指定了TCP協(xié)議下的MySQL默認(rèn)端口3306。
• <accept/>意味著當(dāng)規(guī)則匹配時，流量將被允許通過。

2. 或者使用命令行直接添加規(guī)則

# 添加規(guī)則
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.20.86/32" accept'

# 移除規(guī)則
firewall-cmd --permanent --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.20.86/32" accept'

注意：每次修改規(guī)則后都需要運行firewall-cmd --reload來重新加載防火墻配置。

驗證方法

在其他服務(wù)器上，我們可以通過telnet命令進行驗證：

telnet 192.168.20.86 3306

深度了解防火墻邏輯

防火墻工作時會依次檢查每條規(guī)則。首先匹配源IP，然后是目標(biāo)端口。若兩者都匹配，則執(zhí)行接受動作，允許流量通過。反之，則繼續(xù)檢查下一條規(guī)則，直至找到匹配條目或由默認(rèn)策略處理。

應(yīng)用場景與擴展

此方法非常適合用于加強數(shù)據(jù)庫的安全控制，例如限制僅有特定IP能夠連接MySQL服務(wù)器3306端口。此外，在進行網(wǎng)絡(luò)分隔時也非常有用，確保只有受信任的設(shè)備或服務(wù)才能相互通信。

最后，在需要拒絕特定IP訪問時，可以使用 <reject/> 或 <drop/> 動作：

<rule family="ipv4">
  <source address="192.168.20.86/32"/>
  <port protocol="tcp" port="3306"/>
  <reject/>
</rule>

<reject/> 會向源頭發(fā)送拒絕通知，而 <drop/> 則悄無聲息地丟棄流量，適用于希望不泄露系統(tǒng)信息的場景。

到此這篇關(guān)于Linux限制ip訪問的解決方案的文章就介紹到這了,更多相關(guān)Linux限制ip訪問內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評論