Запретить весь вход...
 

Запретить весь входящий/исходящий трафик, кроме списка ip адресов

8 Записи
2 Пользователи
1 Reactions
425 Просмотры
Записи: 4
Создатель темы
(@sanekk)
Active Member
Присоединился: 8 месяцев назад
Добрый день.
 
Дано:
Centos 7 минимальная установка
ОС обновлено ядро и все пакеты со стандартного репозитория
Установлен "1С-Битрикс: Веб-окружение" - Linux (BitrixEnv)
Установлен CURL
Брандмауэр firewalld
 
На серваке будет софт, трафик будет на 2-3 ip адреса (входящий/исходящий)
 
Задача:
Запретить весь входящий/исходящий трафик, кроме списка ip адресов. 
 
Посоветуйте нубу как это лучше реализовать?
 
Ответить
Метки темы
7 Ответов
Записи: 926
Admin
(@zerox)
Prominent Member
Присоединился: 11 лет назад

Вы же пишите, что установлен Брандмауэр firewalld. С его помощью и запрещайте. В интернете очень много материала по настройке firewalld. 

Ответить
6 Ответов
(@sanekk)
Присоединился: 8 месяцев назад

Active Member
Записи: 4

@zerox Да я понимаю, только опыта не хватает. Вот например если через firewalld  запретить весь входящий/исходящий трафик, кроме моего ip и ip адресов нужных мне сервисов(репозиторий для обновления ОС и т.д.), может быть такая ситуация что например через обновление или установку какого либо сервиса я занесу майнер или другое вредоносное ПО, то он может дать доступ к моему серваку или стучать в сеть куда ему нужно в обход установленых правил в firewalld ?

Ответить
Admin
(@zerox)
Присоединился: 11 лет назад

Prominent Member
Записи: 926

@sanekk если софт ставить только из официальных репозиториев, то шанс занести какой-то зловред на сервер ничтожно мал. В основном все вирусы на веб серверы заходят через уязвимости самого кода сайта. И с этим, увы, ничего не поделать. В Битриксах уязвимости встречаются нередко. Так что на 100% обезопаситься всё равно не получится. Важно делать регулярно бэкапы, хранить их подольше и проверять, что из них можно восстановить сайт.

Ответить
(@sanekk)
Присоединился: 8 месяцев назад

Active Member
Записи: 4

@zerox спасибо за быстрые ответы, ещё вопрос, любое ПО которое установлено на серв или любое вредоносное ПО которое попало на серв(через уязвимости на сайте или ещё как то) весь трафик входящий/исходящий проходит через firewalld или может быть трафик в обход  firewalld?

Ответить
Admin
(@zerox)
Присоединился: 11 лет назад

Prominent Member
Записи: 926

@sanekk в обход быть не может, но отследить его с помощью только файрвола проблематично. Он не предназначен для этого, так как служит в основном для ограничения доступа. Но если у вас работает веб сервер, то HTTP протокол в любом случае будет открыт и любой зловред может через него передавать всё, что угодно.

Ответить
(@sanekk)
Присоединился: 8 месяцев назад

Active Member
Записи: 4

@zerox

в обход быть не может

отлично, спасибо!

Но если у вас работает веб сервер, то HTTP протокол в любом случае будет открыт и любой зловред может через него передавать всё, что угодно.

на серваке будет Веб-сервер т.к. нужен HTTP трафик, будет БД и приложение к которому будет обращение по АПИ с одного внешнего IP адреса и приложение будет отвечать только на этот же IP.

Если я через файрвол запрещаю весь исходящий траф, кроме нужного мне IP, то получается зловред пытается отправить исходящий траф через Веб сервер, далее этот траф от веб-сервера фильтруется правилами файрвола и если траф идёт куда-то на другой IP, то файрвол не пропускает этот траф, я верно размышляю?

Ответить
Admin
(@zerox)
Присоединился: 11 лет назад

Prominent Member
Записи: 926

@sanekk да, верно. Также можно включить логирование запрещающих правил файрвола. Тогда будет видно, что кто-то пытается стучаться наружу.

Ответить
Используешь Telegram? Подпишись на канал автора →
This is default text for notification bar