centos7系统内配置ip
作者:geek玩物
网络安全有一句话“当攻击成本大于收益时,你的系统就是安全的”
对于我们这种普通用户来说,收益甚微。只配使用脚本攻击,也就是说只要提高脚本小子的攻击成本就能够那么我们的内网设备就是相对安全的。
对于我个人而言,我是很不喜欢直接将内网设备直接暴露在公网中的。比如直接暴露端口到公网或者通过frp/nps工具间接的将端口暴露到公网中。这意味着所有人都可以可以访问位于内网中的设备,若是密码强度不够脚本小子就可以暴力破解密码登陆你的内网设备
对此我都是通过诸如像“Zerotier“之类的虚拟局域网工具。只暴露一个端口,用高强度公私钥提高攻击成本来确保相对安全。但是虚拟局域网工具对于家庭成员使用起来过于麻烦,直接网址就能访问的方式对于不懂电脑的家庭成员来说是最优解。那如何保证直接暴露在公网的内网设备安全了?在内网穿透第三篇教程里,通过nginx配置双向ssl来拒绝非授权用户访问内网设备。但是大部分的app都不支持自定义ssl双向认证因此被拒绝访问,只能通过浏览器访问时才能使用双向ssl。不能使用app,假设在内网的nas使用体验直接砍半。
还是那句话:提高攻击成本来抵御攻击。通过这几年云主机的使用经验来说,大部分的暴力破解尝试登陆都是来自国外ip,来自国内的ip几乎没有。因此屏蔽国外ip访问,只允许国内ip访问就能杜绝大部分脚本小子的攻击。
此教程针对性 centos6,centos7,ubuntu系统。
基本原理
通过设置防火墙白名单,仅仅允许白名单内ip入站,来允许我们希望的ip访问服务器。当我们把国内的ip段加载到白名单时就能实现屏蔽国外ip的作用。
安装ipset
#Debian/Ubuntu系统
apt-get -y install ipset
#CentOS系统
yum -y install ipset
新建一个allcn.sh文件,并复制下列内容到其中。服务器切换到root用户,并将allcn.sh文件上传到/root目录,之后允许命令“chmod +x allcn.sh”。如果你用家里的服务器,请在#放行局域网地址下面加入自己的内网地址段。
之后用root权限执行命令“/root/allcn.sh“就能屏蔽国外ip,执行“/root/allcn.sh stop“停止屏蔽国外ip。
#! /bin/bash
#判断本次运行时间
#判断是否具有root权限
root_need() {
if [[ $EUID -ne 0 ]]; then
echo "Error:This script must be run as root!" 1>&2
exit 1
fi
}
#检查系统分支及版本(主要是:分支->>版本>>决定命令格式)
check_release() {
if uname -a | grep el7 ; then
release="centos7"
elif uname -a | grep el6 ; then
release="centos6"
yum install ipset -y
elif cat /etc/issue |grep -i ubuntu ; then
release="ubuntu"
apt install ipset -y
fi
}
#安装必要的软件(wget),并下载中国IP网段文件(最后将局域网地址也放进去)
get_china_ip() {
#安装必要的软件(wget)
rpm --help >/dev/null 2>&1 && rpm -qa |grep wget >/dev/null 2>&1 ||yum install -y wget ipset >/dev/null 2>&1
dpkg --help >/dev/null 2>&1 && dpkg -l |grep wget >/dev/null 2>&1 ||apt-get install wget ipset -y >/dev/null 2>&1
#该文件由IPIP维护更新,大约一月一次更新(也可以用我放在国内的存储的版本,2019-05-18日版)
[ -f china_ip_list.txt ] && mv china_ip_list.txt china_ip_list.txt.old
wget https://github.com/17mon/china_ip_list/blob/master/china_ip_list.txt
cat china_ip_list.txt |grep 'js-file-line">' |awk -F'js-file-line">' '{print $2}' |awk -F'> china_ip.txt
rm -rf china_ip_list.txt
#wget https://www.321dz.com/shell/china_ip.txt
#放行局域网地址
echo "192.168.0.0/18" >> china_ip.txt
echo "10.0.0.0/8" >> china_ip.txt
echo "172.16.0.0/12" >> china_ip.txt
}
#只允许国内IP访问
ipset_only_china() {
echo "ipset create whitelist-china hash:net hashsize 10000 maxelem 1000000" > /etc/ip-black.sh
for i in $( cat china_ip.txt )
do
echo "ipset add whitelist-china $i" >> /etc/ip-black.sh
done
echo "iptables -I INPUT -m set --match-set whitelist-china src -j ACCEPT" >> /etc/ip-black.sh
#拒绝非国内和内网地址发起的tcp连接请求(tcp syn 包)(注意,只是屏蔽了入向的tcp syn包,该主机主动访问国外资源不用影响)
echo "iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 0 -j DROP" >> /etc/ip-black.sh
#拒绝非国内和内网发起的ping探测(不影响本机ping外部主机)
echo "iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP" >> /etc/ip-black.sh
#echo "iptables -A INPUT -j DROP" >> /etc/ip-black.sh
rm -rf china_ip.txt
}
run_setup() {
chmod +x /etc/rc.local
sh /etc/ip-black.sh
rm -rf /etc/ip-black.sh
#下面这句主要是兼容centos6不能使用"-f"参数
ipset save whitelist-china -f /etc/ipset.conf || ipset save whitelist-china > /etc/ipset.conf
[ $release = centos7 ] && echo "ipset restore -f /etc/ipset.conf" >> /etc/rc.local
[ $release = centos6 ] && echo "ipset restore < /etc/ipset.conf" >> /etc/rc.local
echo "iptables -I INPUT -m set --match-set whitelist-china src -j ACCEPT" >> /etc/rc.local
echo "iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 0 -j DROP" >> /etc/rc.local
echo "iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP" >> /etc/rc.local
#echo "iptables -A INPUT -j DROP" >> /etc/rc.local
}
main() {
check_release
get_china_ip
ipset_only_china
case "$release" in
centos6)
run_setup
;;
centos7)
chmod +x /etc/rc.d/rc.local
run_setup
;;
ubuntu)
sed -i '/exit 0/d' /etc/rc.local
run_setup
echo "exit 0" >> /etc/rc.local
;;
esac
}
main
脚本执行完成后就可以禁止国外ip访问服务器了,我使用一个新加坡的vps访问腾讯云华南区的云服务可以看到没办法访问。
由于对应国家ip段是会发生变化的,所以需要定时更新,所以需要加入定时任务。ip段库是一个月更新一次的,所以我们让脚本一个月执行一次就好了。执行命令“vim /etc/crontab“。按住i键,将下面这行复制到文件的最后一行。按esc键,输入”:wq!“保存退出。执行命令”crontab /etc/crontab“使得计划任务生效。
* * * 1 * root bash /root/allcn.sh
郭葛邰1832centos 7 nat 怎么配置dns ip -
薄士图13142284850 ______ 因为需要配置固定IP,在网上找了很久终于找到一个可行的例子,自己配置成功了.1.首先获取你的GATEWAY 方便后面在cento系统配置里使用选取菜单栏:Edit->Virtual Network Editor 选择VMnet8,点击NAT Settings查看一下GATEWAY地址...
郭葛邰1832如何在CentOS 7中安装,配置和安全FTP服务器 -
薄士图13142284850 ______ ftp服务器测试环境 1、CentOS 7.2 2、服务器IP地址 192.168.1.101、安装并启动 FTP 服务1.1 安装 VSFTPD 使用 yum 安装 vsftpd yum install -y vsftpd1.2 启动 VSFTPD 安装完成后,启动 FTP 服务:service vsftpd start 启动后,可以看到系统已经监听了 21 端口:netstat -nltp | grep 21 此时,访问 ftp://192.168.1.10 可浏览机器上的 /var/ftp目录了.开机启动服务 chkconfig --level 2345 vftpd on 具体可以到 【5分享】 搜索文档FTP
郭葛邰1832如何在 CentOS 7 上安装和安全配置 MariaDB 10
薄士图13142284850 ______ 第一步:添加 MariaDB yum 仓库 1、首先在 RHEL/CentOS 和 Fedora 操作系统中添加 MariaDB 的 YUM 配置文件 MariaDB.repo 文件. ? 1 # vi /etc/yum.repos.d/MariaDB.repo 根据您操作系统版本,选择下面的相应内容添加到文件的末尾. 在 ...
郭葛邰1832如何重新安装centos 7 系统 -
薄士图13142284850 ______ 说明:截止目前CentOS 7.x最新版本为CentOS 7.0,下面介绍CentOS 7.0的具体安装配置过程 服务器相关设置如下:操作系统:CentOS 7.0 64位 IP地址:192.168.21.128 网关:192.168.21.2 DNS:8.8.8.8 8.8.4.4 备注:生产服务器如果是大内...
郭葛邰1832如何在centos7中配置httpd2.4 -
薄士图13142284850 ______ httpd的主配置: /etc/httpd/conf/httpd.conf 这个文件大多数情况下你不需要修改 httpd的扩展配置: /etc/httpd/conf.d下面所有以 .conf 结尾的文件 这里你可以配置虚拟主机和扩展配置. 详细配置方法参考官方 httpd.apache.org
郭葛邰1832centos7怎么进行网络配置,连接x - shell -
薄士图13142284850 ______ 如果你在安装时配置的话,预计是直接有的GUI界面的,就是最开始的时候的那个页面,有网络配置选项的(建议你选择中文安装) 但是你现在预计是装好了的,因为你要求用xshell 连接,也就是通过ssh连接.可能会有点小问题,首先你要先能...
郭葛邰1832详解如何在 CentOS 7 中安装或升级最新的内 -
薄士图13142284850 ______ 步骤 1:检查已安装的内核版本 让我们安装了一个发行版,它包含了一个特定版本的内核.为了展示当前系统中已安装的版本,我们可以:# uname -sr 下面的图片展示了在一台 CentOS 7 服务器上的输出信息:在 CentOS 7 上检查内核版本 如...
郭葛邰1832centos7怎么安装 centos7安装步骤 -
薄士图13142284850 ______ 这里为已经光盘引导启动,进入centos7安装选项: Install Centos7 安装centos7 Test this media & install CentOS 7 测试安装文件并安装 Troubleshooting 故障修复 2 我选择的是第一项,进入下面的界面,选择中文,点击继续,或者选...
郭葛邰1832centos7 怎么配置yum 163的源 -
薄士图13142284850 ______ 1.备份/etc/yum.repos.d/CentOS-Base.repo mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup2.下载repo文件, 放入/etc/yum.repos.d/(操作前请做好相应备份) wget http://mirrors.163.com/.help/CentOS7-Base-163.repo mv CentOS7-Base-163.repo /etc/yum.repos.d/ 3.运行以下命令生成缓存 yum clean all yum makecache
郭葛邰1832centos7 最小化安装如何配置 -
薄士图13142284850 ______ 一、设置bios从光盘启动,到如下界面,选择第二个选项,安装桌面环境的操作系统使用.二、这一步是安装欢迎界面,接着选择用于安装过程中使用的语言与键盘.注意:语言选择中文,键盘就默认.三、选择安装到哪一个设备,没有特别的要求就选择基本设备就可以了.注意:这一步提示是否要保留硬盘里的数据,注意数据安全.四、接下来设置系统的主机名以及网络ip ,时区,root超级用户的密码.五、到了磁盘分区这一步,一定要根据自己的实际情况来分,如果不知道怎么会就使用默认.六、接下来格式化硬盘分区,并开始安装系统.七、最后系统安装完成,就可以进入centos 6.5 桌面环境了.