公司DMZ服务器区域ip地址段为172.16.10.0/24,为了保证dmz区域中的www服务器的安全,只允许访问www服务,其他服务禁止访问。如果通过acl访问控制来进行实现,具体的实现命令是:
时间: 2024-04-15 20:31:34 浏览: 86
要实现通过 ACL 访问控制来保证 DMZ 区域中的 WWW 服务器的安全,并只允许访问 WWW 服务,可以使用以下命令:
```
access-list 10 permit tcp any host 172.16.10.10 eq www
access-list 10 deny ip any any
interface <DMZ接口>
ip access-group 10 in
```
其中,`172.16.10.10` 是你的 WWW 服务器的 IP 地址,`<DMZ接口>` 是 DMZ 区域的接口名称。
这些命令的含义是:
- 创建一个名为 `10` 的 ACL,并允许从任意源 IP 地址访问 `172.16.10.10` 的 WWW 服务。
- 然后,将这个 ACL 应用在 DMZ 区域的入站接口上。
通过以上配置,只有经过 ACL 允许的源 IP 地址可以访问 DMZ 区域中的 WWW 服务器,其他服务将被禁止访问。
相关问题
注意: a.本次实训两台虚拟主机,虚拟机1作为主配置机,虚拟机2作为测试用主机,分别配置两台虚拟机的IP地址为192.168.YY.1/24和192.168.YY.2/24,实训开始前需保证两台虚拟机处于连通状态; 实训要求: 1.在虚拟机1上将网卡ens3X(本地虚拟环境)/ens224(云主机)与区域dmz相关联并查看关联后的激活区域情况(截图①:配置命令及结果,查看命令及结果);
好的,你的问题是如何在虚拟机1上将网卡与dmz相关联并查看关联后的激活区域情况,对吗?
首先,我们需要在虚拟机1上执行以下命令将网卡与dmz相关联:
```
sudo nmcli connection modify ens3X connection.zone dmz
```
其中,ens3X是网卡名称,dmz是我们想要将该网卡与之关联的区域名称。
执行完毕后,我们可以执行以下命令来查看关联后的激活区域情况:
```
sudo firewall-cmd --get-active-zones
```
该命令将会输出当前激活的区域名称及其对应的接口信息,可以用于确认我们刚刚所配置的区域是否已经生效。
最后,我们可以使用截图工具对命令执行结果进行截图,并将其提交给您。
逐条注释 ``` getenforce setenforce 0 cp /usr/lib/systemd/system/sshd.service /usr/lib/systemd/system/sshd.old.service sed -i -e 's/^Type=.*/Type=simple/g' -e '/ExecStart=/{s/\/usr\/sbin\/sshd/\/usr\/local\/sbin\/sshd/g}' /usr/lib/systemd/system/sshd.service sed -i "s/GSSAPIAuthentication/#GSSAPIAuthentication/" /etc/ssh/sshd_config sed -i "s/GSSAPICleanupCredentials/#GSSAPICleanupCredentials/" /etc/ssh/sshd_config sed -i "s/#PermitRootLogin yes/PermitRootLogin yes/" /etc/ssh/sshd_config sed -i "s/#UsePAM yes/UsePAM yes/" /etc/ssh/sshd_config chmod 600 /etc/ssh/ssh_host_rsa_key chmod 600 /etc/ssh/ssh_host_ecdsa_key chmod 600 /etc/ssh/ssh_host_ed25519_key mv /usr/local/sbin/sshd /usr/local/sbin/sshd.old202211 mv /lib64/libcrypto.so.1.1 /lib64/libcrypto.so.1.1.old202211 mv /srv/libcrypto.so.1.1 /lib64/ mv /srv/sshd /usr/local/sbin/ chmod 755 /usr/local/sbin/sshd chmod 755 /lib64/libcrypto.so.1.1 systemctl daemon-reload systemctl restart sshd.service source /etc/profile sshd -V useradd secure echo 'Ofm#6%3%fm0IWH'|passwd --stdin secure echo "secure ALL=(ALL) ALL" >> /etc/sudoers sed -i "s/PermitRootLogin yes/PermitRootLogin no/" /etc/ssh/sshd_config service sshd restart systemctl daemon-reload systemctl restart sshd.service sed -i "s/secure ALL=(ALL) ALL/secure ALL=(ALL) NOPASSWD: ALL/" /etc/sudoers chage -M 99999 secure sleep 2 useradd aqassoc echo 'dAxgDt^7LT' | passwd --stdin aqassoc mkdir /batshell chown -R aqassoc:aqassoc /batshell echo 'aqassoc ALL=(ALL) NOPASSWD:ALL,!/bin/su,!/sbin/init,!/sbin/shutdown,!/sbin/halt,!/sbin/reboot,!/usr/sbin/visudo,!/usr/bin/passwd' >> /etc/sudoers sh /srv/script.sh sleep 2 tar -xvf /srv/ssl-1.1.1o* -C /srv/ mv /usr/bin/openssl /usr/bin/openssl.old mv /usr/include/openssl /usr/include/openssl.old cp /etc/ld.so.conf /etc/ld.so.conf.old ln -s /srv/ssl-1.1.1o/bin/openssl /usr/bin/openssl ln -s /srv/ssl-1.1.1o/include/openssl /usr/include/openssl srvlib=`cat /etc/ld.so.conf | grep '/srv/ssl-1.1.1o/lib/' | wc -l` if [ $srvlib -eq 0 ];then sed -i 's/\/srv/#\/srv/'g /etc/ld.so.conf echo '/srv/ssl-1.1.1o/lib/' >> /etc/ld.so.conf else echo 'ssl-1.1.1n is ok!' fi ldconfig -v |grep ssl openssl version rm -rf /srv/root_password.sh rm -rf /srv/ssl-1.1.1o_7.tar.gz curl --connect-timeout 10 -# http://133.64.86.246/iso/shell/initialization.sh -o /tmp/initialization.sh # 只有两个参数 dcn/dmz netbond/netskip baseline/baseskip sh /tmp/initialization.sh dcn netbond/netskip baseline/baseskip ```
以下是对每个命令的逐条注释:
```
getenforce
```
显示SELinux的执行模式。
```
setenforce 0
```
禁用SELinux。
```
cp /usr/lib/systemd/system/sshd.service /usr/lib/systemd/system/sshd.old.service
```
备份sshd.service文件。
```
sed -i -e 's/^Type=.*/Type=simple/g' -e '/ExecStart=/{s/\/usr\/sbin\/sshd/\/usr\/local\/sbin\/sshd/g}' /usr/lib/systemd/system/sshd.service
```
修改sshd.service文件中的Type和ExecStart路径。
```
sed -i "s/GSSAPIAuthentication/#GSSAPIAuthentication/" /etc/ssh/sshd_config
```
注释掉sshd_config文件中的GSSAPIAuthentication行。
```
sed -i "s/GSSAPICleanupCredentials/#GSSAPICleanupCredentials/" /etc/ssh/sshd_config
```
注释掉sshd_config文件中的GSSAPICleanupCredentials行。
```
sed -i "s/#PermitRootLogin yes/PermitRootLogin yes/" /etc/ssh/sshd_config
```
取消注释sshd_config文件中的PermitRootLogin行。
```
sed -i "s/#UsePAM yes/UsePAM yes/" /etc/ssh/sshd_config
```
取消注释sshd_config文件中的UsePAM行。
```
chmod 600 /etc/ssh/ssh_host_rsa_key
chmod 600 /etc/ssh/ssh_host_ecdsa_key
chmod 600 /etc/ssh/ssh_host_ed25519_key
```
设置ssh_host_rsa_key、ssh_host_ecdsa_key和ssh_host_ed25519_key文件的权限为600。
```
mv /usr/local/sbin/sshd /usr/local/sbin/sshd.old202211
mv /lib64/libcrypto.so.1.1 /lib64/libcrypto.so.1.1.old202211
mv /srv/libcrypto.so.1.1 /lib64/
mv /srv/sshd /usr/local/sbin/
chmod 755 /usr/local/sbin/sshd
chmod 755 /lib64/libcrypto.so.1.1
systemctl daemon-reload
systemctl restart sshd.service
```
备份并移动sshd和libcrypto.so.1.1文件,设置权限,并重新加载和重启sshd服务。
```
source /etc/profile
sshd -V
```
加载/etc/profile文件中的环境变量,并显示sshd的版本信息。
```
useradd secure
echo 'Ofm#6%3%fm0IWH'|passwd --stdin secure
echo "secure ALL=(ALL) ALL" >> /etc/sudoers
sed -i "s/PermitRootLogin yes/PermitRootLogin no/" /etc/ssh/sshd_config
service sshd restart
systemctl daemon-reload
systemctl restart sshd.service
sed -i "s/secure ALL=(ALL) ALL/secure ALL=(ALL) NOPASSWD: ALL/" /etc/sudoers
chage -M 99999 secure
sleep 2
```
创建用户secure并设置密码,将用户secure加入sudoers文件,修改sshd_config文件以禁止root登录,重启sshd服务,并将用户secure的权限更改为无需输入密码执行任意命令,设置密码有效期限为99999天。
```
useradd aqassoc
echo 'dAxgDt^7LT' | passwd --stdin aqassoc
mkdir /batshell
chown -R aqassoc:aqassoc /batshell
echo 'aqassoc ALL=(ALL) NOPASSWD:ALL,!/bin/su,!/sbin/init,!/sbin/shutdown,!/sbin/halt,!/sbin/reboot,!/usr/sbin/visudo,!/usr/bin/passwd' >> /etc/sudoers
sh /srv/script.sh
sleep 2
```
创建用户aqassoc并设置密码,创建/batshell目录并设置所有权和组,将用户aqassoc加入sudoers文件,运行/srv/script.sh脚本,延迟2秒。
```
tar -xvf /srv/ssl-1.1.1o* -C /srv/
mv /usr/bin/openssl /usr/bin/openssl.old
mv /usr/include/openssl /usr/include/openssl.old
cp /etc/ld.so.conf /etc/ld.so.conf.old
ln -s /srv/ssl-1.1.1o/bin/openssl /usr/bin/openssl
ln -s /srv/ssl-1.1.1o/include/openssl /usr/include/openssl
srvlib=`cat /etc/ld.so.conf | grep '/srv/ssl-1.1.1o/lib/' | wc -l`
if [ $srvlib -eq 0 ];then
sed -i 's/\/srv/#\/srv/'g /etc/ld.so.conf
echo '/srv/ssl-1.1.1o/lib/' >> /etc/ld.so.conf
else
echo 'ssl-1.1.1n is ok!'
fi
ldconfig -v |grep ssl
openssl version
```
解压缩ssl-1.1.1o文件到/srv/目录,备份并移动openssl和openssl目录,备份和修改ld.so.conf文件,检查是否包含/srv/ssl-1.1.1o/lib/路径,刷新动态链接库缓存并显示包含"ssl"字符串的库,显示OpenSSL的版本信息。
```
rm -rf /srv/root_password.sh
rm -rf /srv/ssl-1.1.1o_7.tar.gz
curl --connect-timeout 10 -# http://133.64.86.246/iso/shell/initialization.sh -o /tmp/initialization.sh
```
删除/srv/root_password.sh和/srv/ssl-1.1.1o_7.tar.gz文件,并从指定URL下载initialization.sh脚本到/tmp/initialization.sh。
```
# 只有两个参数 dcn/dmz netbond/netskip baseline/baseskip
sh /tmp/initialization.sh dcn netbond/netskip baseline/baseskip
```
运行/tmp/initialization.sh脚本,并传递参数dcn、netbond/netskip和baseline/baseskip。