同一電腦里VM里的linux服務(wù)器使用SSH都能登錄？先在Linux下的wget下試一下本機(jī)的tomcat地址，然后根據(jù)結(jié)論求解。例如，如果可能的話，您應(yīng)該嘗試slinux系統(tǒng)中如何拒絕特定IP訪問？

同一電腦里VM里的linux服務(wù)器使用SSH都能登錄？

先在Linux下的wget下試一下本機(jī)的tomcat地址，然后根據(jù)結(jié)論求解。例如，如果可能的話，您應(yīng)該嘗試s

linux系統(tǒng)中如何拒絕特定IP訪問？有哪些方法可以實(shí)現(xiàn)？

大概有三種，這里主要介紹后兩種。Selinux主要控制內(nèi)核的訪問權(quán)限。

TCP_Wrappers應(yīng)用級(jí)防火墻

Netfilter網(wǎng)絡(luò)層防火墻

使用selinux內(nèi)核的強(qiáng)制安全訪問控制

您可以使用getenforce來獲取Selinux的當(dāng)前狀態(tài)。

Vi /etc/sysconfig/SELINUX設(shè)置SELINUX。

TCP_Wrappers應(yīng)用級(jí)防火墻簡單易用

用于訪問控制。

首先要知道，并不是所有的服務(wù)都由tcp_wrappers管理，只有那些使用libwrap庫的服務(wù)才被管理。

檢查服務(wù)是否支持tcp_wrappers:

ldd $(哪個(gè)域名)| grep libwrap

比如:ssh服務(wù)，如果輸入了下一行，說明支持，可以使用。

文件訪問控制，否則不。

xinetd管理的服務(wù)和一些獨(dú)立的服務(wù)(可以使用tcp_wrappers來管理httpd smb squid，而不使用tcp_wrappers來管理tcp_wrappers的工作進(jìn)程首先檢查文件，如果該文件中包含請(qǐng)求訪問的主機(jī)名或IP，則允許訪問。如果請(qǐng)求的主機(jī)名或IP不在中，tcpd進(jìn)程將進(jìn)行檢查。查看請(qǐng)求的主機(jī)名或IP是否包含在文件中。如果是，則拒絕訪問；如果它既不包含在中，也不包含在中

，則也允許這種訪問。

示例:只允許192.1680.1訪問sshd，其他所有地址都被拒絕。

sshd: 192 . 168 . 0 . 1 : allow

sshd:ALL

Netfilter網(wǎng)絡(luò)層防火墻

這其實(shí)就是我們常用的iptables。centos7開始使用firewalld服務(wù)，原理是一樣的。

Iptables沒有。;t真正保護(hù)系統(tǒng)，Netfilter真正保護(hù)系統(tǒng)，linux系統(tǒng)的安全框架位于內(nèi)核。

Iptables四個(gè)表五個(gè)鏈四個(gè)表:

過濾表-過濾數(shù)據(jù)包的Nat表-網(wǎng)絡(luò)地址轉(zhuǎn)換(IP，port)的Mangle表-修改數(shù)據(jù)包的業(yè)務(wù)類型和TTL，配置路由實(shí)現(xiàn)QOSRaw表-確定數(shù)據(jù)包是否被狀態(tài)跟蹤。五個(gè)加工鏈:

輸入鏈-傳入數(shù)據(jù)包應(yīng)用此規(guī)則鏈中的策略輸出鏈-傳出數(shù)據(jù)包應(yīng)用此規(guī)則鏈中的策略轉(zhuǎn)發(fā)鏈-轉(zhuǎn)發(fā)數(shù)據(jù)包應(yīng)用此規(guī)則鏈中的策略預(yù)路由鏈-在路由數(shù)據(jù)包之前應(yīng)用此鏈中的規(guī)則(所有傳入數(shù)據(jù)包首先由該鏈處理)后路由鏈-在路由數(shù)據(jù)包之后應(yīng)用此鏈中的規(guī)則(所有傳出數(shù)據(jù)包首先由該鏈處理)

Iptables訪問控制示例:禁止192.168.1.1訪問我的ssh服務(wù)，默認(rèn)端口為22。

iptable -I輸入-p TCP-s 192 . 168 . 1 . 1-d端口22 -j接受