LinuxはIP制限 - の/ etc / hosts.allowファイルと/etc/hosts.deny文書を[オン]

以下のような

特定のIP訪問を制限

考え

設定することを拒否し、その設定は、特定のサービスのための具体的なプロセスであり、ここでsshdがある通常の練習は、ホストを使用することで見えます
これは、使用してネットワークをセットアップすることになります

XXX0 / 24

その後、本当に面白い24を追加すると、そのすべてを維持する可能性があります

上記方法は、サブ一致アプローチであると思われます
シンプルなルックスは、フロントの部分を保持するために直接行くことができる場合

131.155。例えば131.155.1.1として、任意のものがものを続い一致

SSHDの制限であることに加えて、それはすべてのものにそれを制限するために見えるが、これはもう少し特別なホストのようなものですが、ホストは唯一の唯一のドメイン名を解決します

経験

、発生直ちに有効になりますが、開かれたシェルには有効ではありませんので、セットのシェル側を保つ再オープンシェル中
その構文は非常に興味深いです、最後の部分ができないように見えるかもしれません

192.168.0.0/255.255.255.0:deny

それぞれにおいて、[]は、IP、複数の分割され、そして[：]はその処理を分割され
ああ地獄[255.255.255.0]ローカル・エリア・ネットワークを参照するように見えます
ルックスはすべて小文字サイズにすることができます
これは、修正の発効後、リアルタイムに動作します

強迫観念

許可と拒否の優先順位はどのように我々がやっているです

有効なIPセグメント仕事

これが動作しているようです

[ルート@ li576- 236〜] ＃猫/etc/hosts.allowの ＃1 。このファイルには、あるホストの名前について説明しhosts.allowの＃を決めたとして、地元のINETサービスを使用することを許可＃を「は/ usr / sbinにすることによって＃ / tcpdの」サーバー。＃の   シェルのsshdのための＃：。11.8、12.1、18.3.:allow

面白いです

これは0.0 IPが存在しないに見えますが、仮想のように見えます

192.168.1.0

最初の試み

リミットSSHD

hosts.denyに

編集への直接アクセス

Vimの/etc/hosts.denyを

このようなものに参加し、すべてを拒否

＃何のSSHDない
のsshd：ALL

hosts.allowファイル

編集を入力します。

Vimの/etc/hosts.allowを

0.0段落を試してみてください - 申し訳ありませんログインすることはできません！仮面

シェルの場合＃ -何の関係もありません
SSHDを：101.11.0.0 / 24

すべてのIPは、それに合わせた場合は？それが動作するように示しており、ログインすることができます

シェルの場合＃ -それは正確に、24で役割を果たし、このIPを許可することができます
SSHDを：101.11.10.1 / 24

そして、後でそれを削除する必要がありますか？ - それは働きました！

シェルの場合＃ -それは、IPセクションを可能に！すごいああ
sshdを：101.11。

その他の例

奇妙な場合があることをここで注意してください！ - 最後の部分が省略されている場合、あなたは完全にスペースをクリアする必要があります！空間の一部として定期的な試合になります
それこれに基づき、プラス24のもの？ - それは動作しません。

シェルの場合＃ -それは、このIPセグメントを許可することはできません、失敗
SSHD：101.11。/ 24-

それは増加のラベルの後ろには何ですか？ - それはまた、動作します

-シェルの場合＃は、ラベルの背後に邪魔にならないように見えます
：sshdの101.11：許可します。

ラベルのいずれかのことか？ - いいえ、それはやめ

シェルの場合＃ -それは今、何もしなかったIPを拒否された-と定期的な問題がある可能性があり
SSHD：101.11：こんにちは。

背中の真ん中に修正がそれを許可する場合は？ - なかったも

シェルの場合＃ -まだ乾いていないものを-定期的な問題がある可能性があり
SSHD：101.11.:allow：こんにちは

カンマ、それの複数のIP？もう一つは、おそらくあまり、うまくいきませんでした。理由

シェルの場合＃ -コンマは、労働者が唯一の少ない第二の点であってもよいし、最初に働いた-別のトライする価値
のsshd：101.11 ,. 103.22：許可：こんにちは

カンマを持参し、それぞれの最後の点で、それは働きました！

シェルの場合＃ -コンマ、すべての作業！少し続く、それは宇宙のように見えると（最高）に依存しない必要があり
sshdを：。101.11、103.22.:allow

考え

それが見えます。この文書に記載されているウィンドウがあります。

オーディオのアイデア

SSHDの制限は、それがそのような設定で、ファイルのコマンド（命令？）などの制限のホストである、複雑に見えない、それの大部分が行われ、その後、あなたはそれは親愛なるきみへ（話をすることを拒否）に設定することができそしてこの興味深いとそれがホスト側のものの限界であるように見えるので、このセットは、PPTPサービスでも使用することができるということである（基盤となるネットワークサービスシステム？）

- > ....に見えるか、それを維持..mac hosts.allowの目標...勝利もそれを曲げる...（C：/ウィンドウ/ドライバ/ etc / hostsの？）？

経験

_古いツアーのlinuxの下では/etc/hosts.allowと/etc/hosts.denyファイルは、_ Baiduのスペース愛する^{経験に沿ってを}^[1]

/etc/hosts.allowファイルと/etc/hosts.denyファイルのLinuxの下で
は/etc/hosts.allowと/etc/hosts.denyこれら2つのファイルは、サーバーの設定ファイルをTCPDされ、サーバはマシンの外部にtcpdのIPサービスを制御することができるが、アクセス。これらの2つのプロファイルの形式：

サービスプロセス名：ホストリスト：ホスト・リストの[：：コマンド]ルールは、オプションのコマンド操作のサーバー名と一致した場合

マシンのIPへのアクセスを禁止/etc/hosts.allowの制御は、マシンのIPアドレスにアクセスすることは、/ etc / hosts.denyに制御。設定ファイルは、2つの競合がある場合は、/etc/hosts.denyをが優先する。ここでは/etc/hosts.allowの例です：
ALL：127.0.0.1＃すべてのサービスはsmbdの処理を行うマシンがマシンにアクセスすることを可能にする：IPアクセスの192.168.0.0/255.255.255.0＃192.168.0セグメントは、smbdのサービスを可能
ALLあなたが（ドメイン名は変装）と一致しないそのIPアドレスとドメイン名を制御したいときの状況の特定の項目、PARANOID戦況を除いて試合を除いて、すべてのケースに一致するキーワード。
今日、あなたはサーバに悪質なIPアドレスのログを無効にすることができます。リモートアクセスがそう、SSHDプロセスを必要とするため：
次のように改正する：
1：一番下の行を追加し、「/etc/hosts.allowの」ファイルを変更します。
SSHD：192.168.100.0/255.255.255.0位LAN上のすべてのマシンがサーバーにアクセスできるようにしますsshdプロセスは
sshdを：60.28.160.244＃は、サーバー上でこの60.28.160.244の外部ネットワークへのアクセスのsshdプロセスを許可し
、最後の行を追加し、「/etc/hosts.denyを」ファイルを変更します：2
のsshd：すべての上のすべての＃禁止
注意：）：改正前に、「/etc/hosts.allowの」ファイルを修正し、修正が完了した直後に終了しないでください、着陸テストが行われるべきです
2）：ファイルの変更後、ただちに有効に、しかしプログラムは効果なしのために実行されています。

鳥兄弟のLinuxプライベートキッチン-サービスは削除しないでください^{方法の知識に沿ってを}^[2]

かどうかTCP_WRAPPERSキットを見てください：

/etc/hosts.allowファイルと/etc/hosts.denyファイルの使用を開始するために、コンピュータの設定を接続するには、それはあなたのLinuxホストが内部を見るためのソフトウェア「TCP_WRAPPERS」が必要それはソフトウェアのセットがあり、使用してください：

rpmで-q TCP_WRAPPERSまたは-qa回転数を| grepをするTCPが

ない場合は、このソフトウェアを使用している場合、それは自然に表示されます、あなたのLinux光ディスク、rpmファイルを入れてください右の何かを置きます！

設定は、コンピュータが（/etc/hosts.allowファイル）に署名することができます

、実際には非常に簡単であるだけでは/etc/hosts.allow変更（このファイルがない場合は、viエディタを使用してください）、このファイルは、例えば、私の自宅のコンピュータ私の内部ドメイン（LAN）である192.168.1.0/255.255.255.0で、コンピュータのIPの代わりにこのドメインは192.168.1.1です- 192.168.1.255の間で！：だから、私は、このファイルの内容がそのようになるように設定されている/etc/hosts.allowのだろう

はin.telnetd：192.168.1.0/255.255.255.0、.ncku.edu.twは：許可

の理由は追加.ncku.edu.twであります私はあなたが私の家族に大連でLinuxホストに私を作ることができ、この行を追加し、国立成功大学にしています。

（/etc/hosts.denyを）に署名することはできませんコンピュータを設定します。

お使いのコンピュータは、配線するように設定され、その後hosts.denyには使用されませんので、hosts.allowのを設定した場合、通常の状況下で、原因の後、Linuxはまず、このファイルをhosts.allowのファイルを決定します、次のように/etc/hosts.denyをは、「すべてのコンピュータは、ログインを許可されていない」として設定されている：

はin.telnetdは：ALL：拒否

の結果として、基本的な保護対策がある（自動実行の再起動なしで！）。

hosts.allowファイル- Linuxのコマンド- Unixのコマンド^{道の知識に沿って}^[3]

PATTERNS

アクセス制御言語は以下のパターンを実装します。

`で始まる文字列「。キャラクター。その名の最後のコンポーネントは、指定されたパターンに一致する場合は、ホスト名が一致しています。例えば、パターン `.tue.nlは「` wzv.win.tue.nlホスト名と一致します」。
`で終わる文字列です。」キャラクター。その最初の数値フィールドは、与えられた文字列に一致する場合は、ホストアドレスが一致しています。例えば、パターンは131.155を `。」アイントホーフェン大学ネットワーク（131.155.xx）に属する（ほぼ）全てのホストのアドレスと一致します。
`@」文字で始まる文字列は、NIS（旧YP）のネットグループ名として扱われます。それは指定されたネットグループのホストメンバーである場合、ホスト名が一致しています。ネットグループのマッチは、デーモンプロセス名やクライアントユーザー名のためにサポートされていません。
フォーム `NNNN / MMMMの発現は、一対`ネット/マスクとして解釈されます '。`ネットは「ビット単位にし、アドレスと`マスクの等しい」場合のIPv4ホストアドレスが一致しています。例えば、ネット/マスクパターン `131.155.72.0/255.255.254.0' は範囲`内のすべてのアドレスと一致131.155.72.0' `131.155.73.255' を介して。

SSHの制限IP上陸-ミスターカン- 51CTOの技術のブログ^{の方法の知識に沿って}^[4]

/etc/hosts.allowの入力では
（192.168.10.88を使用して、SSHのIPの着陸、またはネットワークセグメント192.168.10.0/24を許可するということです）
sshdを：192.168.10.88：許可

/etc/hosts.denyを入力して（表現許可上記に加えて、他のIP）は、SSHを着陸を拒否した
のsshd：ALL
この記事では、Unix、リンクスサーバーのSSHアクセスを向上させることができ、いくつかのいくつかのセキュリティ対策についてお話します。
：個人的に、私は非常に強く措置があるお勧め
のSSHアクセスを制限1.、sshdがIPアドレスにバインドすると、すべてのIPアドレスが完全に異なるセキュリティですできるようになります。
2.別のポートにデフォルトのポート22をsshdが。
手順は次のとおりです。
前提：
- SSHクライアントを私はパテを使用することをお勧め（Googleで検索、あなたはすぐにそれを見つけることができます）
SSHサービスがインストールされている
最初のステップは：ルートSSHとしてサーバーにログオンします。
ステップ2：コマンドプロンプトで入力：ピコ-wの/ etc / SSH / sshd_configの
第三段階：ページダウンし、この文書で見つかった領域のように：

ポート22
プロトコール2、1
ListenAddressを0.0.0.0
ListenAddressを::

ステップ4：コメント解除＃記号、および変更
#Port 22ポートを
このようにそれを修正し
、ポート5678
（（49151は、ポートの最大数である）あなたがデジタル合成ポートを使用していない4-5を選択）
プロトコル#Protocol 2、1
：これを読ん
議定書2には、
アドレス#ListenAddress 0.0.0.0を聞く
：これを読ん
ListenAddressを125.121.123.15（ここではアドレスではなく、独自の一般的なクライアントのIPアドレスのサーバにアクセスするために）
、あなたは無効にしたい場合は第五の工程は、直接rootでログインあなたが知っている表示するには、スクロールダウン

はいのPermitRootLogin

フロントのコメント記号＃を削除し、修正しない
のPermitRootLoginは何の
変更を保存するには、Ctrlキーを押し、Ctrl + Xキーを押して終了キーの組み合わせ。
6番目のコマンドプロンプトで、次のコマンドを入力します。再起動/etc/rc.d/init.d/sshd
SSHを終了する第7の工程を、あなたは新しいポート番号（例：49151）を使用して、後でログオンする必要があり、サーバが唯一の制限を可能に特定の
IPアドレス（例えば：125.121.123.15）SSHでログインしています。
注意：
変更はログインできないなどの問題が発生し、あなただけの、あなたのサーバーやTelnetサーバーにモニターを接続して設定を変更し、再度SSHログインする必要がある場合。Telnetは非常に安全でないプロトコルであるので、あなたがそれを使用した後は、rootのパスワードを変更することが最善です。
（終了）

または
LinuxのSSHアクセス制限IP

/etc/hosts.allowの入力中
（192.168.10.88を使用して、SSHのIPの着陸を許可する、またはネットワークセグメント192.168.10.0/24があることである）
192.168.10.88を：：sshdを許可します

/etc/hosts.denyを入力に（他のIPで許可SSHを着陸拒否される場合を除き表される）は、
sshdを：すべての

ポート変更する
VIの/ etc / SSH / sshd_configファイルの
ポート3333

のIPと最後の行を
ルート@のIPをAllowUsersという------------------特定のIPを許可するどのようなアカウントのログイン

からの振替

の/ etc / hosts.allowファイルと/etc/hosts.denyファイル - - LinuxはIPを制限する生と死弱気、それが乾燥受け入れることを拒否！ - CSDNブログhttps://blog.csdn.net/u013634961/article/details/39855543