我刚刚检查了nmap的代理服务器(ubuntu 10.04与鱿鱼)的漏洞,我决定开始一个强化过程…是否有可能closures,例如,只有在eth1 ssh端口? 所以我可以继续使用它,当我在与eth0局域网。 我有各种服务,在我的LAN非常方便,但我想明确地closures从互联网的访问。
虽然@ wolfgangsz的回答是正确的,但大多数守护进程可以select“绑定到”或“监听”,这样您可以select要连接的接口或IP。 在sshd的情况下,你应该在/etc/ssh/sshd_config文件中join这样的内容:
ListenAddress <IP_on_eth1>
这种方法的好处在于,你确定这个守护进程不会在其他接口上可用。 规则集的错误或延迟应用规则(或重新启动防火墙)可能会使您的服务器暂时暴露于互联网。
通常的做法是使用防火墙。 在Linux下,大多数防火墙都是基于iptables的。 根据你的linux技能,你可以在脚本文件中设置iptables规则,然后从/etc/init.d/中的条目中运行它,或者,如果你不太stream利地使用shell脚本,你可以看看任何Lokkit(非常简单,但也不是很灵活)或Guarddog(更高级的)等防火墙的用户友好标准包。 其他选项是firestarter,shorewall或fwbuilder。
一般而言,您希望或需要的灵活性越高,应用程序就越复杂。 iptables的一些真正高级function只能通过直接编写规则来完成。