Score:0

คุณจะบล็อกผู้ใช้เฉพาะจาก IP เฉพาะและพอร์ตใดพอร์ตหนึ่งได้อย่างไร

ธง ma

แค่สงสัยที่นี่ไม่มีกรณีการใช้งานจริง ...

คำตอบน่าจะเป็น /etc/hosts.deny แต่ถามเผื่อว่ามีวิธีอื่นให้ทำ

Score:1
ธง cn
Bob

คุณสามารถใช้ netfilter "เจ้าของ" โมดูล/ส่วนขยายเพื่อสร้างกฎที่เหมาะสมเพื่อจับคู่ทราฟฟิกจากผู้ใช้เฉพาะ (บนระบบ Linux ที่ผู้ใช้อาศัยอยู่)

sudo iptables -I OUTPUT -m Owner --uid-owner <USERNAME> -p tcp -m tcp -d ที่อยู่ปลายทาง --dport ปลายทางหมายเลขพอร์ต -j REJECT 

แต่เมื่อทราฟฟิก IP ออกจากระบบ จะไม่มีแนวคิดของ "ชื่อผู้ใช้/เจ้าของ" ในทราฟฟิก TCP/IP อีกต่อไป แพ็กเก็ตจะมีเพียงโปรโตคอล ที่อยู่ IP และหมายเลขพอร์ต และไม่มีการระบุผู้ใช้ที่คุณสามารถใช้เป็นพื้นฐานที่เชื่อถือได้สำหรับ กฎไฟร์วอลล์บนระบบระยะไกลหรือในไฟร์วอลล์ระดับกลาง

ทางออกทางประวัติศาสตร์สำหรับสิ่งนั้นคือ ระบุ โปรโตคอลและ ระบุ บริการ (RFC 931 และลูกหลาน RFC 1413) ทำงานบนที่อยู่ IP ต้นทางของการเชื่อมต่อขาเข้า ซึ่งจะส่งคืนชื่อผู้ใช้ที่เชื่อมโยงกับการเชื่อมต่อ TCP เฉพาะ นั่นคือสิ่งที่อนุญาตการตรวจสอบสิทธิ์ตามชื่อผู้ใช้ใน เจ้าภาพ[อนุญาต|ปฏิเสธ] การควบคุมการเข้าถึง ฉันไม่รู้จักใครเลยที่ยังคงสนับสนุนหรือไว้วางใจบริการระบุตัวตนอีกต่อไป และแม้แต่ RFC ก็ค่อนข้างชัดเจนในข้อ 6 เกี่ยวกับข้อพิจารณาด้านความปลอดภัย "พิธีสารระบุตัวตนไม่ได้มีวัตถุประสงค์เพื่อเป็นการอนุญาตหรือ โปรโตคอลการควบคุมการเข้าถึง"ดังนั้นอย่าไปที่นั่น

ma flag
"อย่าไปที่นั่น" - ขายแล้ว ขอบคุณสำหรับข้อมูลเชิงลึกของคุณ
Score:1
ธง th

คุณสามารถติดตั้งแพ็คเกจ UFW (Uncomplicated Firewall) จากนั้นใช้ UFW เพื่อสร้างรายการบางรายการ เมื่อเปิดใช้งาน UFW ทราฟฟิกขาเข้าทั้งหมดจะถูกบล็อก & ทราฟฟิกขาออกจะได้รับอนุญาตตามค่าเริ่มต้น ก่อนเปิดใช้งาน UFW ตรวจสอบให้แน่ใจว่าได้อนุญาตการเชื่อมต่อ SSH ในรายการที่อนุญาตพิเศษ เพื่อป้องกันการล็อกคุณออกจากเซิร์ฟเวอร์ด้วย sudo ufw อนุญาต 22. เพื่อเปิดใช้งานไฟร์วอลล์ของคุณ คุณสามารถใช้ sudo ufw เปิดใช้งาน. หากต้องการรีโหลดการกำหนดค่าไฟร์วอลล์ คุณสามารถป้อน sudo ufw โหลดซ้ำ.

ในการบล็อกที่อยู่ IPv4/6 เฉพาะ คุณสามารถสร้างรายการ ufw ด้วยคำสั่งนี้: sudo ufw ปฏิเสธจาก [ที่อยู่ IPv4] ไปยังใดๆ เพื่อบล็อกที่อยู่ IPv4 จากเซิร์ฟเวอร์ทั้งหมดของคุณ

แต่ฉันไม่ทราบแน่ชัดเกี่ยวกับการบล็อกที่อยู่และพอร์ต IPv4 ที่ระบุด้วย UFW

ma flag
แท้จริงแล้ว Ufw และ Firewalld ดูเหมือนจะเป็นทางออกที่เป็นไปได้เช่นกัน ขอขอบคุณ
Kuezy avatar
th flag
ไม่มีปัญหา :) ยินดีช่วยเหลือ

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา