我正在创build一些防火墙规则来阻止我们最近在ESX服务器主机上看到的一些SSH暴力攻击。 我已经从CLI中尝试了以下规则来首先阻止所有SSH通信,然后允许我感兴趣的两个范围:
esxcfg-firewall --ipruleAdd 0.0.0.0/0,22,tcp,REJECT,"Block_SSH" esxcfg-firewall --ipruleAdd 11.130.0.0/16,22,tcp,ACCEPT,"Allow_PUBLIC_SSH" esxcfg-firewall --ipruleAdd 10.130.0.0/16,22,tcp,ACCEPT,"Allow_PRIVATE_SSH" 但是,这些规则不能按预期工作。 我知道,如果你不先input阻止规则,那么允许规则将不会被处理。 现在我们遇到了第一个进入的允许规则被忽略的问题,这样阻塞规则就起作用了,最后input的允许规则起作用了。 我很好奇,如果有人对esxcfg-firewall –ipruleAdd命令如何允许一些不同范围的IP有任何意见? 我很茫然,难以find有关这方面的例子或进一步的文档。
在此先感谢您的帮助。
这不是防火墙,但为什么不改变SSH运行的端口呢? 它不会阻止任何专门针对你的暴力攻击,但它会阻止漫游在互联网上的随机机器人执行这些攻击。 看起来相当简单: http : //www.vm-help.com/esx40i/ESXi_enable_SSH.php