如何阻止除来自 /29 IP 块或 LAN 内的 SSH 连接之外的连接?(CentOS 7 和 Ubuntu 12)

如何阻止除来自 /29 IP 块或 LAN 内的 SSH 连接之外的连接?(CentOS 7 和 Ubuntu 12)

我发现我们的服务器上有数千次登录失败,我想尽我所能阻止坏人成功登录。我想阻止任何不是来自我们拥有的 /29 块的人通过 SSH 进入我们的服务器。

我已经禁用了 root 登录、密码验证、安装了 fail2ban 并设置了 SSH 密钥。这是一个多余的步骤还是一个不错的保护层?如果是后者,我该如何实现这一点?

答案1

将逻辑添加到您的防火墙,例如:

iptables -I INPUT -s 10.0.0.0/29 -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -j DROP

答案2

Match只需在配置中创建两个定义所需行为的部分:

Match Address 11.22.33.44/29
   AllowUsers *

Match Address *
   AllowUsers

相关内容