Frage Erlaube Verbindungen zu VNC-Server nur von bestimmten IP-Adressen


Ich verwalte einen Ubuntu 11.10 Server. Ich habe tightvncserver installiert, damit ich eine Desktop-Umgebung auf dem Server haben kann.

Mein Problem ist jetzt, dass ich auf Probleme mit bösartigen Leuten stoße, die den VNC-Server mit Authentifizierungsversuchen spammen. Ich habe das Passwort verbessert, aber es ist immer noch unbequem, da es mich daran hindert, mich zu verbinden, da die Person alle Authentifizierungsversuche verbraucht.

Es gibt ziemlich viele 5 IP-Adressen, die in der Lage sein sollten, sich am VNC-Server zu authentifizieren, diese Person benutzt Proxies aus Rumänien, China, Korea usw.

Wie kann ich Authentifizierungsversuche für NUR die von mir angegebenen IP-Adressen akzeptieren?

Im Wesentlichen möchte ich das Gegenteil von diesem tun: Wie man VNC Zugang zu einer bestimmten IP verweigert?

Und das mit VNC stattdessen: Wie kann ich die SSH-Passwort-Authentifizierung nur von bestimmten IP-Adressen zulassen?

Irgendwelche Ideen?

Vielen Dank, Brandon


4
2018-05-11 17:59


Ursprung


Die Konfiguration von iptables ist eine Option, könnte aber auch die Konfiguration des VNC-Servers sein. Ermöglicht tight die Konfiguration einer Client-Whitelist? - jippie
Als vorübergehende Lösung habe ich die Proxies nur manuell mit iptables blockiert, da es bisher nur wenige gab. Wenn man bedenkt, dass die Person sich bemüht, es tatsächlich weiter zu versuchen, bedeutet das, dass sie nicht so schnell verschwinden werden. - Brandon


Antworten:


Du könntest benutzen ufw - die "unkomplizierte Firewall", die mit einer Standard-Ubuntu-Installation geliefert wird.

sudo ufw allow 22/tcp
sudo ufw allow 5901/tcp from 12.34.56.78
sudo ufw default reject incoming
sudo ufw enable

Welches ist:

  • erlaube SSH-Verbindungen (sonst wirst du dich selbst aussperren)
  • erlaube VNC-Verbindungen von einer IP-Adresse (bearbeite den Port, wenn du nicht 5901 verwendest)
  • lehnen Sie alle anderen eingehenden Verbindungen ab
  • Aktivieren Sie die Firewall

Stellen Sie sicher, dass Sie ssh zulassen, bevor Sie die Firewall aktivieren, andernfalls werden Sie gesperrt.


4
2018-05-11 18:10



Ich habe jedoch festgestellt, dass die zweite Zeile Ihrer Lösung nicht funktioniert hat sudo ufw allow from 12.34.56.78 to any port 5901 schien den Trick zu machen. Dies ermöglicht alle Protokolle, obwohl dies nur für TCP geändert werden kann. - Noah Buscher