当我nmap的 raspi ( nmap -6 -p- domain.sth) 连接到互联网并运行 Ubuntu Mate 16.04 时,我得到以下结果:
Not shown: 65532 closed ports
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
5900/tcp open vnc
我希望 ssh 可以从整个互联网访问,但不希望 smtp 或 vnc 只能在本地访问。也就是说,我不能只停止 smtp 和 vnc,因为我仍然希望在本地发送邮件,并且我仍然希望 ssh 到我的 raspi,然后使用 vnc。我告诉我的 vnc 客户端localhost首先通过 ssh 连接到我的 raspi。
这些服务也不应该在同一网络内访问。如果这同时适用于 IPv4 和 IPv6,那就太好了。无论如何,无法通过 Internet 通过 IPv4 访问该设备(只能通过 IPv6),但在同一网络内,可以通过 IPv4 访问该设备。
答案1
您有 2 个选择:
- 将两个服务配置为绑定到 localhost(127.0.0.1 和 ::1),而不是通配符地址(0.0.0.0 和 ::)。这被认为是“更干净”(并且绝对更便携)。
- 用于
iptables删除与它们的传入连接。
当然,为了深度防御,你可以两者都做。