使用 IPset 进行端口敲门

端口敲门(Port knocking)技术,即服务通过动态的添加 iptables 规则来隐藏系统开启的服务,使用自定义的一系列序列号来「敲门」,使系统开启需要访问的服务端口,才能对外访问。不使用时,再使用自定义的序列号来「关门」,将端口关闭,不对外监听。进一步提升了服务和系统的安全性。

关闭SELinux

查看 SELinux 状态:

getenforce

临时关闭 SELinux(设为 Permissive 模式):

setenforce 0

永久关闭 SELinux(重启生效):

修改 /etc/selinux/config 文件
将 SELINUX=enforcing 改为 SELINUX=disabled

安装 ipset

CentOS 7 需要先关闭 Firewall 防火墙:

systemctl stop firewalld.service
systemctl disable firewalld.service

创建规则

创建一个名为 allowlist 的规则并设置有效期为 30 秒

ipset create allowlist hash:ip timeout 30

设置IP白名单

# 放行IP规则
iptables -A INPUT -p tcp -m set --match-set allowlist src -j ACCEPT

# 关闭22端口
iptables -A INPUT -p tcp --dport 22 -j DROP

iptables 是由上而下的进行规则匹配,放行规则需在禁行规则之前才能生效。

开放指定IP

# 将IP加入白名单
ipset -exist add allowlist 192.168.37.1 timeout 30

其他指令

# 查看白名单IP列表
ipset list allowlist

如果手工将其 timeout 值设置为 0 的话,即为存活时间无限久。

posted @ 2020-05-07 16:05  陈旭华  阅读(1048)  评论(0编辑  收藏  举报