允许从 LAN 和一个外部 IP 访问 ssh 和 proftp

Question

有很多可能的方法可以做到这一点，有些简单但不好（tcp_wrappers），有些更好但复杂（iptables），有些简单而且基本上同样好（firewalld）

TCP 包装器（又名hosts_access），你可能需要mod_wrap模块到 ProFTPd。在 SSHD 中它到目前为止运行良好。
```
/etc/hosts.deny:
  ALL: ALL

/etc/hosts.allow:
  sshd, proftpd: 192.168., 1.2.3.4
```
如果你的 LAN 是192.168.0.0/16，并且你的外部 IP 是1.2.3.4

Firewalld 的使用iptables更加复杂，因为它们在网络层面上阻止它：

firewall-cmd --zone=internal --add-service=ssh
firewall-cmd --zone=internal --add-service=ftp
firewall-cmd --zone=internal --add-source=192.168.0.0/16
firewall-cmd --zone=internal --add-source=1.2.3.4/32
firewall-cmd --zone=public --remove-service=ssh
firewall-cmd --zone=public --remove-service=ftp

（来源）

Answer 1

有很多可能的方法可以做到这一点，有些简单但不好（tcp_wrappers），有些更好但复杂（iptables），有些简单而且基本上同样好（firewalld）

TCP 包装器（又名hosts_access），你可能需要mod_wrap模块到 ProFTPd。在 SSHD 中它到目前为止运行良好。
```
/etc/hosts.deny:
  ALL: ALL

/etc/hosts.allow:
  sshd, proftpd: 192.168., 1.2.3.4
```
如果你的 LAN 是192.168.0.0/16，并且你的外部 IP 是1.2.3.4

Firewalld 的使用iptables更加复杂，因为它们在网络层面上阻止它：

firewall-cmd --zone=internal --add-service=ssh
firewall-cmd --zone=internal --add-service=ftp
firewall-cmd --zone=internal --add-source=192.168.0.0/16
firewall-cmd --zone=internal --add-source=1.2.3.4/32
firewall-cmd --zone=public --remove-service=ssh
firewall-cmd --zone=public --remove-service=ftp

（来源）

允许从 LAN 和一个外部 IP 访问 ssh 和 proftp

答案1

相关内容