安裝Jumpserver

 

 

 

 

 全程按照官方安裝文檔流程完成本次安裝：

官方文檔地址：http://docs.jumpserver.org/zh/docs/step_by_step.html

1、系統環境

Centos7 x64
setenforce 0  # 能夠設置配置文件永久關閉：/etc/selinux/config
systemctl stop iptables.service
systemctl stop firewalld.service

# 修改字符集，不然可能報 input/output error的問題，由於日誌裏打印了中文
localedef -c -f UTF-8 -i zh_CN zh_CN.UTF-8
export LC_ALL=zh_CN.UTF-8
echo 'LANG="zh_CN.UTF-8"' > /etc/locale.conf

#更換源地址
mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.163.com/.help/CentOS7-Base-163.repo
yum clean all
yum makecache

 

2、準備 Python3 和 Python 虛擬環境

1、安裝依賴包
yum -y install wget sqlite-devel xz gcc automake zlib-devel openssl-devel epel-release git

2、編譯安裝
cd /usr/local/src/
wget https://www.python.org/ftp/python/3.6.6/Python-3.6.6.tar.xz
tar xf Python-3.6.6.tar.xz && cd Python-3.6.6
./configure && make && make install
# 這裏必須執行編譯安裝，不然在安裝 Python 庫依賴時會有麻煩..

3、創建Python虛擬環境
#由於 CentOS 6/7 自帶的是 Python2，而 Yum 等工具依賴原來的 Python，爲了避免擾亂原來的環境咱們來使用 Python 虛擬環境
[root@jumpserver Python-3.6.6]# cd /opt/
[root@jumpserver opt]# pwd
/opt
[root@jumpserver opt]# python3 -m venv py3
[root@jumpserver opt]# source /opt/py3/bin/activate
(py3) [root@jumpserver opt]# 

4、 自動載入 Python 虛擬環境配置
#此項僅爲懶癌晚期的人員使用，防止運行 Jumpserver 時忘記載入 Python 虛擬環境致使程序沒法運行。使用autoenv
cd /opt
git clone git://github.com/kennethreitz/autoenv.git
echo 'source /opt/autoenv/activate.sh' >> ~/.bashrc
source ~/.bashrc

 

3、安裝Jumpserver

 

1、下載或Clone項目
項目提交較多 git clone 時較大，你能夠選擇去 Github 項目頁面直接下載zip包
cd /opt/
git clone https://github.com/jumpserver/jumpserver.git && cd jumpserver && git checkout master
echo "source /opt/py3/bin/activate" > /opt/jumpserver/.env  # 進入 jumpserver目錄時將自動載入 python 虛擬環境

# 首次進入 jumpserver 文件夾會有提示，按 y 便可
Are you sure you want to allow this? (y/N) y

2、安裝依賴 RPM 包
cd /opt/jumpserver/requirements
yum -y install $(cat rpm_requirements.txt)  # 若是沒有任何報錯請繼續

3、安裝 Python 庫依賴
pip install -r requirements.txt  # 不要指定-i參數，由於鏡像上可能沒有最新的包，若是沒有任何報錯請繼續
註釋：Pip 加速設置請參考 <https://segmentfault.com/a/1190000011875306>

4、安裝 Redis, Jumpserver 使用 Redis 作 cache 和 celery broke
yum -y install redis
systemctl start redis
systemctl enable redis

5、安裝 MySQL
本教程使用 Mysql 做爲數據庫，若是不使用 Mysql 能夠跳過相關 Mysql 安裝和配置
# centos7下安裝的是mariadb
yum -y install mariadb mariadb-devel mariadb-server 
systemctl enable mariadb
systemctl start mariadb

6、建立數據庫 Jumpserver 並受權
$ mysql
create database jumpserver default charset 'utf8';
grant all on jumpserver.* to 'jumpserver'@'127.0.0.1' identified by 'somepassword';
flush privileges;

7、修改 Jumpserver 配置文件
cd /opt/jumpserver
cp config_example.py config.py
vi config.py

 

#注意: 不要直接複製本文檔的內容；配置文件是 Python 格式，不要用 TAB，而要用空格

"""
    jumpserver.config
    ~~~~~~~~~~~~~~~~~

    Jumpserver project setting file

    :copyright: (c) 2014-2017 by Jumpserver Team
    :license: GPL v2, see LICENSE for more details.
"""
import os

BASE_DIR = os.path.dirname(os.path.abspath(__file__))

class Config:
    # Use it to encrypt or decrypt data

    # Jumpserver 使用 SECRET_KEY 進行加密，請務必修改如下設置
    # SECRET_KEY = os.environ.get('SECRET_KEY') or '2vym+ky!997d5kkcc64mnz06y1mmui3lut#(^wd=%s_qj$1%x'
    SECRET_KEY = '請隨意輸入隨機字符串（推薦字符大於等於 50位）'

    # Django security setting, if your disable debug model, you should setting that
    ALLOWED_HOSTS = ['*']

    # DEBUG 模式 True爲開啓 False爲關閉，默認開啓，生產環境推薦關閉
    # 注意：若是設置了DEBUG = False，訪問8080端口頁面會顯示不正常，須要搭建 nginx 代理才能夠正常訪問了
    DEBUG = False

    # 日誌級別，默認爲DEBUG，可調整爲INFO, WARNING, ERROR, CRITICAL，默認INFO
    LOG_LEVEL = 'ERROR'
    LOG_DIR = os.path.join(BASE_DIR, 'logs')

    # 使用的數據庫配置，支持sqlite3, mysql, postgres等，默認使用sqlite3
    # See https://docs.djangoproject.com/en/1.10/ref/settings/#databases

    # 默認使用SQLite，若是使用其餘數據庫請註釋下面兩行
    # DB_ENGINE = 'sqlite3'
    # DB_NAME = os.path.join(BASE_DIR, 'data', 'db.sqlite3')

    # # 若是須要使用mysql或postgres，請取消下面的註釋並輸入正確的信息,本例使用mysql作演示
    DB_ENGINE = 'mysql'
    DB_HOST = '127.0.0.1'
    DB_PORT = 3306
    DB_USER = 'jumpserver'
    DB_PASSWORD = 'somepassword'
    DB_NAME = 'jumpserver'

    # Django 監聽的ip和端口，生產環境推薦把0.0.0.0修改爲127.0.0.1，這裏的意思是容許x.x.x.x訪問，127.0.0.1表示僅容許自身訪問
    # ./manage.py runserver 127.0.0.1:8080
    HTTP_BIND_HOST = '127.0.0.1'
    HTTP_LISTEN_PORT = 8080

    # Redis 相關設置
    REDIS_HOST = '127.0.0.1'
    REDIS_PORT = 6379
    REDIS_PASSWORD = ''

    def __init__(self):
        pass

    def __getattr__(self, item):
        return None

class DevelopmentConfig(Config):
    pass

class TestConfig(Config):
    pass

class ProductionConfig(Config):
    pass

# Default using Config settings, you can write if/else for different env
config = DevelopmentConfig()

繼續以下操做

1、生成數據庫表結構和初始化數據
cd /opt/jumpserver/utils
bash make_migrations.sh

2、運行 Jumpserver
cd /opt/jumpserver
./jms start all  # 後臺運行使用 -d 參數./jms start all -d

#新版本更新了運行腳本，使用方式./jms start|stop|status|restart all  後臺運行請添加 -d 參數

運行不報錯，請瀏覽器訪問 http://http://10.10.10.60:8080 默認帳號: admin 密碼: admin 頁面顯示不正常先不用處理，跟着教程繼續操做就行，後面搭建 nginx 代理就能夠正常訪問了！

3、安裝 SSH Server 和 WebSocket Server: Coco

1、下載或 Clone 項目
cd /opt
source /opt/py3/bin/activate
git clone https://github.com/jumpserver/coco.git && cd coco && git checkout master
echo "source /opt/py3/bin/activate" > /opt/coco/.env  # 進入 coco 目錄時將自動載入 python 虛擬環境

2、安裝依賴
cd /opt/coco/requirements
yum -y  install $(cat rpm_requirements.txt)
pip install -r requirements.txt -i https://pypi.org/simple

3、修改配置文件並運行
cd /opt/coco
cp conf_example.py conf.py  # 若是 coco 與 jumpserver 分開部署，請手動修改 conf.py
vi conf.py

# 注意對齊，不要直接複製本文檔的內容

#!/usr/bin/env python3
# -*- coding: utf-8 -*-
#

import os

BASE_DIR = os.path.dirname(__file__)


class Config:
    """
    Coco config file, coco also load config from server update setting below
    """
    # 項目名稱, 會用來向Jumpserver註冊, 識別而已, 不能重複
    # NAME = "localhost"
    NAME = "coco"

    # Jumpserver項目的url, api請求註冊會使用, 若是Jumpserver沒有運行在127.0.0.1:8080，請修改此處
    # CORE_HOST = os.environ.get("CORE_HOST") or 'http://127.0.0.1:8080'
    CORE_HOST = 'http://127.0.0.1:8080'

    # 啓動時綁定的ip, 默認 0.0.0.0
    # BIND_HOST = '0.0.0.0'

    # 監聽的SSH端口號, 默認2222
    # SSHD_PORT = 2222

    # 監聽的HTTP/WS端口號，默認5000
    # HTTPD_PORT = 5000

    # 項目使用的ACCESS KEY, 默認會註冊,並保存到 ACCESS_KEY_STORE中,
    # 若是有需求, 能夠寫到配置文件中, 格式 access_key_id:access_key_secret
    # ACCESS_KEY = None

    # ACCESS KEY 保存的地址, 默認註冊後會保存到該文件中
    # ACCESS_KEY_STORE = os.path.join(BASE_DIR, 'keys', '.access_key')

    # 加密密鑰
    # SECRET_KEY = None

    # 設置日誌級別 ['DEBUG', 'INFO', 'WARN', 'ERROR', 'FATAL', 'CRITICAL']
    # LOG_LEVEL = 'INFO'

    # 日誌存放的目錄
    # LOG_DIR = os.path.join(BASE_DIR, 'logs')

    # Session錄像存放目錄
    # SESSION_DIR = os.path.join(BASE_DIR, 'sessions')

    # 資產顯示排序方式, ['ip', 'hostname']
    # ASSET_LIST_SORT_BY = 'ip'

    # 登陸是否支持密碼認證
    # PASSWORD_AUTH = True

    # 登陸是否支持祕鑰認證
    # PUBLIC_KEY_AUTH = True

    # 和Jumpserver 保持心跳時間間隔
    # HEARTBEAT_INTERVAL = 5

    # Admin的名字，出問題會提示給用戶
    # ADMINS = ''
    COMMAND_STORAGE = {
        "TYPE": "server"
    }
    REPLAY_STORAGE = {
        "TYPE": "server"
    }


config = Config()

 

啓動coco服務

$ ./cocod start  # 後臺運行使用 -d 參數./cocod start -d

# 新版本更新了運行腳本，使用方式./cocod start|stop|status|restart  後臺運行請添加 -d 參數

啓動成功後去Jumpserver 會話管理-終端管理（http://10.10.10.60:8080/terminal/terminal/）接受coco的註冊，若是頁面不正常能夠等部署完成後再處理

 

四. 安裝 Web Terminal 前端: Luna

Luna 已改成純前端，須要 Nginx 來運行訪問
訪問（https://github.com/jumpserver/luna/releases）下載對應版本的 release 包，直接解壓，不須要編譯

4.1 解壓 Luna
cd /opt
wget https://github.com/jumpserver/luna/releases/download/1.3.2/luna.tar.gz
tar xvf luna.tar.gz
chown -R root:root luna

 

五. 安裝 Windows 支持組件（若是不須要管理 windows 資產，能夠直接跳過這一步）

由於手動安裝 guacamole 組件比較複雜，這裏提供打包好的 docker 使用, 啓動 guacamole
5.1 Docker安裝 (僅針對CentOS7，CentOS6安裝Docker相對比較複雜)（國內不必定能使用）
yum remove docker-latest-logrotate  docker-logrotate  docker-selinux dockdocker-engine
yum install -y yum-utils   device-mapper-persistent-data   lvm2

# 添加docker官方源
yum-config-manager --add-repo  https://download.docker.com/linux/centos/docker-ce.repo
yum makecache fast
yum install docker-ce -y

# 國內部分用戶可能沒法鏈接docker官網提供的源，這裏提供阿里雲的鏡像節點供測試使用（能夠先使用這個）
yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
rpm --import http://mirrors.aliyun.com/docker-ce/linux/centos/gpg
yum makecache fast
yum -y install docker-ce

systemctl start docker
systemctl status docker
systemctl enable docker

 

5.2 啓動 Guacamole

這裏所須要注意的是 guacamole 暴露出來的端口是 8081，若與主機上其餘端口衝突請自定義

修改下面 docker run 裏的 JUMPSERVER_SERVER 參數，填上 Jumpserver 的 url 地址, 啓動成功後去 Jumpserver 會話管理-終端管理（http://10.10.10.60:8080/terminal/terminal/）接受[Gua]開頭的一個註冊，若是頁面顯示不正常能夠等部署完成後再處理

#docker run --name jms_guacamole -d \
  -p 8081:8081 -v /opt/guacamole/key:/config/guacamole/key \
  -e JUMPSERVER_KEY_DIR=/config/guacamole/key \
  -e JUMPSERVER_SERVER=http://10.10.10.60:8080 \
  registry.jumpserver.org/public/guacamole:latest

六. 配置 Nginx 整合各組件

6.1 安裝 Nginx 根據喜愛選擇安裝方式和版本
yum -y install nginx

6.2 準備配置文件 修改 /etc/nginx/nginx.conf
vim /etc/nginx/nginx.conf
... ...
# 把默認server配置塊改爲這樣
server { listen 80;  # 代理端口，之後將經過此端口進行訪問，再也不經過8080端口

    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header Host $host;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

    location /luna/ {
        try_files $uri / /index.html;
        alias /opt/luna/;
    }

    location /media/ {
        add_header Content-Encoding gzip;
        root /opt/jumpserver/data/;
    }

    location /static/ {
        root /opt/jumpserver/data/;
    }

    location /socket.io/ {
        proxy_pass       http://localhost:5000/socket.io/;  # 若是coco安裝在別的服務器，請填寫它的ip
        proxy_buffering off;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }

    location /guacamole/ {
        proxy_pass       http://localhost:8081/;  # 若是guacamole安裝在別的服務器，請填寫它的ip
        proxy_buffering off;
        proxy_http_version 1.1;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection $http_connection;
        access_log off;
        client_max_body_size 100m;  # Windows 文件上傳大小限制
    }

    location / {
        proxy_pass http://localhost:8080;  # 若是jumpserver安裝在別的服務器，請填寫它的ip
 } } 
... ...

6.3 運行 Nginx
nginx -t   # 確保配置沒有問題, 有問題請先解決

# CentOS 7
systemctl start nginx
systemctl enable nginx

 

6.4 開始使用 Jumpserver

檢查應用是否已經正常運行

$ cd /opt/jumpserver
$ ./jms status  # 肯定jumpserver已經運行，若是沒有運行請從新啓動jumpserver

$ cd /opt/coco
$ ./cocod status  # 肯定jumpserver已經運行，若是沒有運行請從新啓動coco

# 若是安裝了 Guacamole
$ docker ps  # 檢查容器是否已經正常運行，若是沒有運行請從新啓動Guacamole
服務所有啓動後，訪問 http://10.10.10.60，訪問nginx代理的端口，不要再經過8080端口訪問

默認帳號: admin 密碼: admin

若是部署過程當中沒有接受應用的註冊，須要到Jumpserver 會話管理-終端管理 接受 Coco Guacamole 等應用的註冊。

6.五、** 測試鏈接**

若是登陸客戶端是 macOS 或 Linux ，登陸語法以下
$ ssh -p2222 admin@192.168.244.144
$ sftp -P2222 admin@192.168.244.144
密碼: admin

若是登陸客戶端是 Windows ，Xshell Terminal 登陸語法以下
$ ssh admin@192.168.244.144 2222
$ sftp admin@192.168.244.144 2222
密碼: admin
若是能登錄表明部署成功

# sftp默認上傳的位置在資產的 /tmp 目錄下
# windows拖拽上傳的位置在資產的 Guacamole RDP上的 G 目錄下

 

 

6.五、服務器重啓後須要的恢復操做

若是有一天服務器因其餘緣由重啓了，恢復Jumpserver需作以下操做：

1、檢查selinux：
[root@jumpserver ~]# getenforce 
Enforcing
[root@jumpserver ~]# setenforce 0
註釋：能夠執行修改/etc/selinux/config文件，永久禁用；

2、查看防火牆是否開放80端口
3、查看mysql、redis、nginx、docker是否正常運行
systemctl start docker
docker ps

4、啓動其餘進程
[root@jumpserver ~]# source /opt/py3/bin/activate
(py3) [root@jumpserver ~]# cd /opt/jumpserver
(py3) [root@jumpserver jumpserver]# ./jms start all -d

(py3) [root@jumpserver jumpserver]# cd /opt/coco
(py3) [root@jumpserver coco]# ./cocod start -d

(py3) [root@jumpserver coco]# docker restart jms_guacamole

# 若是接受註冊後顯示不在線，重啓gua就行了

 

6.六、jumpserver常見問題彙總

官方文檔： http://docs.jumpserver.org/zh/docs/faq.html

GItHub:https://github.com/jumpserver/jumpserver/wiki/v0.3.2-%E5%B8%B8%E8%A7%81%E9%97%AE%E9%A2%98-FAQ

 

 

 

這時就能夠在瀏覽器內輸入：http://10.10.10.60  打開Jumpserver了

 

7、Jumpserver的基本使用

前提條件：

　　一臺安裝好 Jumpserver 系統的可用主機（堡壘機）

　　一臺或多臺可用的 Linux、Windows資產設備（被管理的資產）

 

 7.一、系統設置

　　1.1 基本設置

　　# 修改 URL 的 localhost 爲你的實際 url 地址，不然郵件收到的地址將爲 localhost，修改完 url 地址後須要重啓 jumpserver 服務（重啓才能生效，後續會解決這個問題）

　　

　　1.二、郵箱設置

　　

註釋：

若是是163的郵箱，當傳入發送郵箱正確的用戶名和密碼時，老是收到到：550 User has no permission這樣的錯誤，其實咱們用Java發送郵件時至關於自定義客戶端根據用戶名和密碼進行登陸，
而後使用SMTP服務發送郵件。但新註冊的163郵件默認是不開啓客戶端受權驗證的（對自定的郵箱大師客戶端默認開啓），所以登陸老是會被拒絕，驗證沒有權限。解決辦法是進入163郵箱，進入郵箱中心——客戶端受權密碼，選擇開啓便可；
有的用戶因爲開啓了受權碼，若是輸入郵箱登陸密碼的話會報535 Error：authentication failed

　　3.三、系統設置項內的其餘設置（略）

7.二、建立用戶

　　1.一、建立用戶組

　　jumpserver的普通用戶是用於登陸web管理頁面以及命令行登陸該堡壘機的用戶，首先建立一個用戶組

　　

　　1.二、建立用戶組

 

  7.三、資產管理

　　1.一、資產列表類

 

　　1.二、管理用戶類

管理用戶是資產上的 root，或擁有 NOPASSWD: ALL sudo 權限的用戶，Jumpserver 使用該用戶來推送系統用戶、獲取資產硬件信息等

# 若是使用ssh私鑰管理資產，須要先在資產上設置，這裏舉個例子供參考（本例登陸資產使用root爲例）
(1). 在資產上生成 root 帳戶的公鑰和私鑰
  # ssh-keygen -t rsa  # 默認會輸入公鑰和私鑰文件到 ~/.ssh 目錄

(2). 將公鑰輸出到文件 authorized_keys 文件，並修改權限
  # cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
  # chmod 400 ~/.ssh/authorized_keys

(3). 打開RSA驗證相關設置
  $ vim /etc/ssh/sshd_config

      RSAAuthentication yes
      PubkeyAuthentication yes
      AuthorizedKeysFile      .ssh/authorized_keys

(4). 重啓 ssh 服務
  # service sshd restart

(5). 上傳 ~/.ssh 目錄下的 id_rsa 私鑰到 jumpserver 的管理用戶中保存便可！     

# 這樣就可使用 ssh私鑰 進行管理服務器
# 名稱能夠按資產樹來命名。用戶名root。密碼和 SSH 私鑰必填一個

 

 

　　1.三、系統用戶類

我的理解：管理用戶只是用來初次設置系統時使用：在資產系統中建立一個指定的、權限有限制的Jump用戶；獲取系統信息。系統用戶是：須要存在資產系統中的普通用戶

附錄：（等同於Linux系統中的sudo受權）

# 系統用戶是 Jumpserver 跳轉登陸資產時使用的用戶，能夠理解爲登陸資產用戶
# 系統用戶的 Sudo 欄設定用戶的 sudo 權限

# 這裏簡單舉幾個例子
Sudo /bin/su  # 當前系統用戶能夠免sudo密碼執行sudo su命令

Sudo /usr/bin/git,/usr/bin/php,/bin/cat,/bin/more,/bin/less,/usr/bin/tail
# 當前系統用戶能夠免sudo密碼執行git php cat more less tail

Sudo !/usr/bin/yum  # 禁止執行 yum 權限

# 此處的權限應該根據使用用戶的需求彙總後定製，原則上給予最小權限便可
# 下圖爲不容許用戶執行一些危險的操做，容許其餘的全部權限

 

　　1.四、網域列表　　

若是有多個的互相隔離的網絡，設置資產屬於的網域，使用網域網關跳轉登陸

 

　　1.五、標籤管理

　　　　就是給資產打個標籤（起好主機名比打標籤強）

　　

 

7.四、權限管理

 

 

7.4.1 受權後進行測試

 

註釋：若是不想使用密匙，也可使用密碼

 

7.5會話管理

　　1.一、在線會話

　　　　記錄當前鏈接資產的會話用戶；

　　1.二、歷史會話

　　　

 

註釋：會話完成後，須要關閉對應的會話窗口，不然就會出現ID:2的現象；

　　1.三、命令記錄

　　　　記錄會話中輸入的命令

             

 

　　1.四、web終端

　　　　

 

　　1.五、終端管理

 　　　　

7.六、做業中心

 　　1.一、任務列表

 

7.七、日誌審計

　　1.一、FTP審計

 

 

 

 8.1防火牆設置（iptables）

(py3) [root@jumpserver opt]# cat /etc/sysconfig/iptables
#nat表是建立映射的時候添加的，不用修改
*nat
:PREROUTING ACCEPT [5130:306500]
:INPUT ACCEPT [4914:295268]
:OUTPUT ACCEPT [28601:1717434]
:POSTROUTING ACCEPT [28601:1717434]
:DOCKER - [0:0]
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A POSTROUTING -s 172.17.0.2/32 -d 172.17.0.2/32 -p tcp -m tcp --dport 8080 -j MASQUERADE
-A DOCKER -i docker0 -j RETURN
-A DOCKER ! -i docker0 -p tcp -m tcp --dport 8081 -j DNAT --to-destination 172.17.0.2:8080
COMMIT

#下邊的須要本身設置
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1977:170592]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 10.100.0.0/24 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT    #只有特定IP能夠訪問80端口-A INPUT -s 172.17.0.2/32 -p tcp -m state --state NEW --dport 8080 -j ACCEPT    #這個是必需要設置的！！！！
-A INPUT -p tcp -m tcp --dport 10052 -j ACCEPT   #這個是可使用ssh登陸jumpserver的主機
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT