কীভাবে নিশ্চিত করতে হবে যে এসএসএইচ পোর্ট কেবলমাত্র একটি নির্দিষ্ট আইপি ঠিকানার জন্য উন্মুক্ত?

এটি আমার /etc/sysconfig/iptables:

এটিতে দুটি পোর্ট খোলা রয়েছে 80 অ্যাপাচি এবং 22 এসএসএসের জন্য।

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

22 পোর্টের জন্য (এসএসএইচ) আমি নিশ্চিত করতে চাই যে কোনও নির্দিষ্ট আইপি ঠিকানা ব্যতীত কেউ এই বন্দরের সাথে সংযোগ স্থাপন করতে পারে না।

উদাহরণ আইপি:

1.2.3.4

আমার আইপি যদি পরিবর্তন হয় এবং আমি আর আমার সার্ভারে এসএসএইচ না করতে পারি তবে কী সম্পর্কিত কোনও পর্যবেক্ষণ / উদ্বেগ উপেক্ষা করুন।

যদি আমি প্রশ্নটি সঠিক উপায়ে পাই তবে আপনি চান যে আপনার সার্ভারটি কেবল পোর্ট ২২-এর নির্দিষ্ট আইপি ঠিকানা থেকে পৌঁছানো যায়, আপনি এর জন্য আইপটেবলগুলি আপডেট করতে পারেন:

iptables -A INPUT -p tcp -s YourIP --dport 22 -j ACCEPT

সেক্ষেত্রে আপনার অভ্যন্তরীণ নেটওয়ার্কের জন্য যদি আপনার ডিএনএস খোলার প্রয়োজন হয় তবে আপনি কেবল আপনার আইআইপি-তে এসএস পোর্টটি খুলছেন:

iptables -A INPUT -p udp -s YourIP --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -s YourIP --dport 53 -j ACCEPT

একবার আপনি সেগুলিকে যুক্ত করে those আইপিগুলির জন্য খোলার পরে, আপনাকে বাকি আইপিগুলির জন্য দরজাটি বন্ধ করতে হবে

iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 22 -j DROP
iptables -A INPUT -p udp -s 0.0.0.0/0 --dport 53 -j DROP
iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 53 -j DROP

(আপনার রোলসেটে নিয়মগুলি সঠিক অবস্থানে সেট করার বিষয়টি নিশ্চিত করুন currently iptables -A INPUTবিধিগুলি INPUTবর্তমানে যেমন রয়েছে তেমন যোগ করবে))

বা জোল যেমন বলেছিল আপনি তার পরিবর্তে একটি নিয়ম যুক্ত করতে পারেন:

iptables -A INPUT -p tcp ! -s <permittedIP> -j DROP

অথবা আপনি এটি দিয়ে ফায়ারওয়ালে ডিফল্ট নীতি সেট করতে পারেন

iptables -P INPUT DROP

সংক্ষেপে, এসও তে এই প্রশ্নে যেমন উপস্থাপন করা হয়েছে :

iptables -A INPUT -p tcp --dport 22 -s YourIP -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP

যদিও আমি এসএসএইচ কীগুলি ব্যবহার করার পরামর্শ দিচ্ছি, আমি আপনাকে একটি ব্যাখ্যা দেব।

আপনি যেটি অর্জনের চেষ্টা করছেন তার জন্য আপনাকে আইপেটেবলগুলি ব্যবহার করতে হবে না, একাধিক উপায় রয়েছে। এটি IPtables উপায়:

iptables -I INPUT -s [YOUR_HOME_IP] -p tcp -m tcp --dport [SSH_PORT] -j ACCEPT

[YOUR_HOME_IP] = আপনার বাড়ির আইপি (বেশ সোজা)

[SSH_PORT] = আপনি যে বন্দরে এসএসএইচ চালাচ্ছেন (ডিফল্ট 22)

iptables -I INPUT -p tcp -m tcp --dport [SSH_PORT] -j REJECT

এটি নিশ্চিত করে যে আপনার আইপি ব্যতীত আর কেউ এসএসএইচে লগ ইন করতে পারে না।

এর আরও একটি উপায় রয়েছে, যা হল কিছুতে যুক্ত করে sshd_config।

নিম্নলিখিত যুক্ত করুন:

AllowUsers root@[YOUR_HOME_IP]
PermitRootLogin without-password

এটি আপনাকে rootপাসওয়ার্ড না চাইতেই আপনার আইপি থেকে ব্যবহারকারী হিসাবে এসএসএইজে লগ ইন করতে দেয় allows

দয়া করে মনে রাখবেন যে একটি ক্রোনজ সঙ্গে

iptables -X
iptables -F

স্মার্ট হতে পারে যাতে আপনি এসএসএইচ দিয়ে আপনার সার্ভার থেকে লক আউট না হয়ে যান (ক্রোনজপ আইপেটেবলগুলি পুনরায় সেট করবে যাতে আপনি আবার অ্যাক্সেস পাবেন)। যদি আপনার এখনও অ্যাক্সেস থাকে তবে আপনি ক্রোনজব সরিয়ে আপনার আইপিটিবেলগুলি আবার সেট আপ করতে পারেন।

অন্যান্য উত্তরগুলি iptables -Iতাদের উদাহরণগুলিতে ব্যবহার করছে যা আপনার ব্যবহার করা উচিত তা প্রায়শই হয় না।

iptables প্রথম রুলটি কার্যকর করে যা মেলে, তাই নিয়মের ক্রমটি খুব গুরুত্বপূর্ণ। -Iহ'ল "সন্নিবেশ" কমান্ড, এবং প্রদত্ত নিয়মটি কোন তালিকার তালিকায় রয়েছে তা নির্দিষ্ট করতে একটি সূচক পরামিতি ব্যবহার করা উচিত। -Aহ'ল "অ্যাপেন্ড" কমান্ড, যা তালিকার শেষের দিকে নিয়ম যুক্ত করবে।

কিছু বিতর্কিত (সম্ভবত সমস্ত) -Iইনডেক্স প্যারামিটার ছাড়াই ব্যবহার করা নিয়মকে সূচী একটিতে যুক্ত করবে, এটি প্রথম নিয়মকে পরীক্ষা করে দেখবে। এই দৃশ্যে যদি আপনি চালিত শেষ কমান্ডটি হয় iptables -I INPUT -s tcp 0.0.0.0/0 -j DROPতবে iptables আপনার সমস্ত ACCEPTশৃঙ্খলা ছেড়ে দেবে, পরে শৃঙ্খলে আপনার কোনও বিধি আছে কিনা তা নির্বিশেষে ।

এখানে একটি নিয়ম স্থাপনের একটি নমুনা দেওয়া হয়েছে যা কেবলমাত্র একক আইপি থেকে এসএসএইচকে অনুমতি দেয়:

নিয়ম ছাড়াই শুরু:

#> iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

একটি নতুন "1.2.3.4 থেকে এসএসএইচকে অনুমতি দিন" বিধি যুক্ত করুন:

#>iptables -A INPUT -p tcp -s 1.2.3.4 --dport 22 -j ACCEPT

অন্যান্য সমস্ত আইপি থেকে এসএসএইচ অবরোধ করুন:

#>iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 22 -j DROP

এখন আপনার ইনপুট চেনটি দেখতে পাবেন:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  1.2.3.4              0.0.0.0/0            tcp dpt:22
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22

পরে, যদি আপনার দ্বিতীয় আইপি শ্বেত তালিকাতে প্রয়োজন হয় তবে আপনি -Iপ্যারামিটারটি ব্ল্যাকলিস্টের নিয়মের আগে স্থাপন করতে পারেন ।

#>iptables -I INPUT 2 -p tcp -s 4.3.2.1 --dport 22 -j ACCEPT

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  1.2.3.4              0.0.0.0/0            tcp dpt:22
ACCEPT     tcp  --  4.3.2.1              0.0.0.0/0            tcp dpt:22
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22

লক্ষ্য করুন যে -I INPUT 2নতুন নিয়মটি নিয়ম সংখ্যা 2 হিসাবে যুক্ত করেছেন এবং DROP বিধিটিকে 3 নম্বরে ঠেকিয়েছেন।