更多 IT 认证课程请访问 美河学习在线 www.eimhe.com
如下系统中为服务器 2181 端口设置访问权限为例:
注意:设置白名单前先执行“iptables –L -n”命令来检查是否已设置,若结果中
包括如下条目,则白名单已设置,若需要在白名单 list 中添加 ip,请参考”
注意 2”:
target prot opt source destination
ACCEPT tcp -- ip1 0.0.0.0/0 tcp dpt:2181
ACCEPT tcp -- ip2 0.0.0.0/0 tcp dpt:2181
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:2181
如下为白名单设置方案:
方案一(命令行方式):
说明:采用对 zoekeeper 端口鉴权的方式修复漏洞,只允许合法的 ip 访问端口,
在现场环境中只允许电子发票系统内的所有 ip 访问电子签章服务器的 2181 端口,
禁止其他 ip 访问 2181 端口;
修复方案:
1、在命令行窗口执行如下命令(请将下方命令中的 ip1、ip2 等换为电子发票系
统内的本系统之外的其它 ip)
iptables -I INPUT -p tcp --dport 2181 -j DROP
iptables -I INPUT -s ip1 -p tcp --dport 2181 -j ACCEPT
iptables -I INPUT -s ip2 -p tcp --dport 2181 -j ACCEPT
iptables -I INPUT -s ip3 -p tcp --dport 2181 -j ACCEPT
...
service iptables save
service iptables restart
2、重启主机
方案二(修改 iptables 文件方式):
1、 执行如下语句检查 iptables 文件是否存在:
cat /etc/sysconfig/iptables
若不存在,则执行如下语句激活,使得系统生成 iptables 文件
service iptables start
iptables –P OUTPUT ACCEPT
service iptables save
2、vi /etc/sysconfig/iptables
在行“:OUTPUT ACCEPT [0:0]”与行“commit”之前添加如下内容:
-A INPUT -s ip1/32 –p tcp –m tcp –dport 2181 –j ACCEPT
-A INPUT -s ip2/32 –p tcp –m tcp –dport 2181 –j ACCEPT
-A INPUT -s ip3/32 –p tcp –m tcp –dport 2181 –j ACCEPT
评论0