关于服务器只允许特定IP访问的设置-Linux、Windows server 2003、2008、2012

本文介绍了如何在Windows Server 2003、2008、2012及Linux操作系统上配置防火墙,仅允许特定IP地址进行远程登录。通过详细步骤说明,帮助读者实现等保测评要求的安全配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

等保测评要求:对服务器限制远程终端登录地址
于是有了:对于某一个服务器,要限定特定IP对其进行访问的需求。
因为存在:Windows server 2003、2008、2012及Linux这几种主流服务器。
我们分不同服务器来描述。

Windows server 2003
1.Win键+R键,输入 Control 打开控制面板
2.找到 windows防火墙
3.常规选项卡中,选择 启用
4. 例外选项卡中,勾选 远程桌面-选中,点编辑-勾选TCP 3389,点 更改范围-选中 自定义列表,然后把允许访问的IP地址写进去。
这样就实现了 通过服务器自身防火墙,限定特定IP来访问本服务器的目的。

详见:
http://blog.163.com/jlj_sk/blog/static/2257929320111099261759/ windows 2003 防火墙设置 只允许 指定IP 访问指定端口

当然,需要注意的是,因为开启了防火墙,会对服务器的其他应用产生影响,比如,FTP功能没法使用了,比如,瑞星杀毒软件服务器联系不到当前服务器,我们参照刚才步骤4中的步骤,按需添加 允许的程序、允许的端口(点 添加程序、添加端口 按钮)。

Windows server 2008
1.找到控制面板
2.找到Window防火墙
3.高级设置-入站规则-找到 远程桌面(TCP-In)-双击
常规选项卡中 选中 允许连接
作用域选项卡中,远程IP地址 -选中 下列IP地址-右击添加,将允许访问该服务器的IP地址一个个添加进去。
4.点 应用,OK。

为了安全起见,我们把 入站规则-找到 远程桌面-RemoteFX(TCP-In)也做同样的操作。

RemoteFX是微软在Windows 7/2008 R2 SP1中增加的一项桌面虚拟化技术,使得用户在使用远程桌面或虚拟桌面进行游戏应用或者图形创作时,可以获得和本地桌面一致的效果。

因为Windows server 2008防火墙默认打开的,在添加应用程序的过程中顺便把需要开放的程序、端口都打开了。所以,不存在windows server 2003 的这种情况。
当然,如果防火墙原先是关闭的,要打开的话,涉及到的应用受到影响,也还是要开启相应的应用和端口。

Windows server 2012
Windows server 2012 与 windows server 2008 大致一致。
我们修改入站规则中的:
远程桌面-用户模式(TCP-In)
远程桌面-用户模式(UDP-In)

Linux 操作系统
说,Linux操作系统,默认把防火墙是关闭的。
因为如果打开的话,可能需要很多相应设置
于是,针对linux操作系统,简化成:
关闭防火墙的情况下,只允许几个特定IP 通过ssh服务远程登录到linux操作系统中:

// 开启只允许几个IPssh到某个linux操作系统中
vi /etc/hosts.allow
sshd:114.80.100.159:allow

vi /etc/hosts.deny
sshd:ALL

service sshd restart

文件编辑好了 :wq进行保存这种细节操作就省略了哈~~

全文终。

要在Linux系统中设置一个只允许特定网站和IP访问的SOCKS5代理服务器,你可以使用ss(Systemd SOCKS Server)工具,它是一个基于iptables的高级、功能丰富的SOCKS服务器。以下是基本步骤: 1. **安装ss**: 首先需要安装ss,如果是基于Debian或Ubuntu的发行版,可以运行: ``` sudo apt-get update && sudo apt-get install ss ``` 如果是基于CentOS或RHEL的发行版,通常会使用`epel-release`和`sudo yum install socat` 2. **编辑配置文件**: 创建一个配置文件,例如 `/etc/ss/sshd_config` 或自定义路径,并添加如下内容,替换`[ALLOWED_IPS]`和`[ALLOWED_DOMAINS]`部分为你想限制的IP地址和域名: ```bash [SS] mode=server listen=localhost:1080 require-auth yes [ALLOWED_IPS] address = <allowed_ip_1>, <allowed_ip_2> [ALLOWED_DOMAINS] domain = www.example1.com,www.example2.com [BLACKLIST] reject all ``` 3. **应用规则**: 使用`ss -tun`命令创建并启用socks5服务,同时加载你的配置文件: ```bash sudo ss -tun <config_file> -o "mode=ss;listen=1080;auth=required;clients=yes" ``` 4. **防火墙规则**: 可能还需要更新iptables规则,允许端口1080的出站连接。运行: ```bash sudo iptables -A OUTPUT -p tcp --dport 1080 -m state --state NEW,ESTABLISHED -j ACCEPT ``` 5. **启动和自动开机启动**: 将上述命令添加到systemd服务中以便开机自启动,创建一个.service文件,如 `/etc/systemd/system/sshd-proxy.socket`,然后运行 `sudo systemctl daemon-reload` 和 `sudo systemctl enable sshd-proxy.socket`。 6. **验证代理设置**: 测试代理连接,确保只有指定的IP和域名能够通过代理。可以在客户端设置SOCKS5代理,例如Chrome浏览器,将代理设置为`socks5://localhost:1080`。 请注意,这只是一个基础设置,实际需求可能会更复杂,比如使用用户认证、黑名单管理等。完成后别忘了备份你的配置。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值