Для підвищення безпеки свого сервера шляхом обмеження доступу до вашого сервера за певними протоколами і / або ip-address можна скористатися утилітою iptables.
iptables - це утиліта яка призначена для фільтрації пакетів і NAT (з man page).
iptables - administration tool for IPv4 packet filtering and NAT
У даній статті я буду розглядати роботу iptables для обмеження доступу до ssh.
Якщо ви періодично дивіться на файл auth.log
cat /var/log/auth.log | grep sshd
Якщо у вас є віртуальний сервер, то доступ до нього в разі будь-якої проблеми ви зможете отримати через консоль.
Якщо доступу до консолі немає, то сервер можна просто перезавантажити в особистому кабінеті (зазвичай така можливість є). Після перезавантаження iptables обнуляться.
Коли все працює так як потрібно і ви розібралися в iptables. то можна зробити наступне для збереження налаштувань і роботи iptables після перезапуску сервера:
# Створюємо файл в которве будемо зберігати налаштування iptables і експортуємо поточні настройки туди:
sudo sh -c "iptables-save> /etc/iptables.rules"
# Переходимо в мережеві настройки і добаляют до налаштувань потрібного інтерфейсу комманду "pre-up iprables-restore /etc/iptables.rules" для того щоб мережева служба зберігала настройки iptables в разі відключення інтерфейсу.
sudo vim / etc / network / interfaces
auto eth0
iface eth0 inet dhcp
post-down iptables-save> /etc/iptables.rules
pre-up iprables-restore
Підсумковий результат можна посмотерть так:
server:
$ Sudo iptables -L -v --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 406 26448 ACCEPT all - any any anywhere anywhere ctstate RELATED, ESTABLISHED
2 0 0 ACCEPT tcp - any any 192.168.56.2 anywhere tcp dpt: ssh
3 0 0 ACCEPT tcp - any any 172.26.0.0/16 anywhere tcp dpt: ssh
4 0 0 DROP tcp - any any anywhere anywhere tcp dpt: ssh
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 256 packets, 24466 bytes)
num pkts bytes target prot opt in out source destination