Назад | Перейти на главную страницу

Правила firewalld, разрешающие статический IP-доступ по SSH с бэкдором?

Я новичок в firewalld и centos 7. Я прочитал другие вопросы и узнал о «зонах» и правилах. Прямо сейчас он в состоянии по умолчанию:

# firewall-cmd --get-default-zone
public

# firewall-cmd --list-all
public
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: dhcpv6-client ftp ssh
  ports: 21/tcp 80/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

Каждые пару дней я вхожу в систему через SSH, и система сообщает мне, что было более 20000 неудачных попыток входа. Пора настроить брандмауэр!

Мои потребности:

разрешить доступ по SSH только с определенного IP-адреса
но как справиться с маловероятным событием, если мой IP изменится в будущем перед Я могу отпустить эту настройку?
разрешить веб-службы HTTP и HTTPS (порт 80 и 443) с любого адреса
заблокировать все остальное

Я прошу помощи, чтобы понять, как подойти к этому сценарию - и, конечно, имеет ли он смысл!

У вас есть несколько вариантов:

внесите в белый список несколько IP-адресов, если это возможно для вас
атаки грубой силы на машины, выставленные в Интернете, являются фактом жизни, такие инструменты, как Fail2ban, CSF + LFD, очень помогут
вы могли бы создать VPN на вашем сервере (или в другом месте, если он является частью более крупной инфраструктуры), затем внесите в белый список диапазон частных IP-адресов VPN (например, 10. * 172. *)
вы могли бы настроить стук порта сделать порт SSH незаметным

Учитывая, что у вас есть веб-сервер и, возможно, FTP, я думаю, что вариант № 2 будет подходящим и защитит службы, отличные от SSH. Вы можете комбинировать больше вариантов в зависимости от ваших требований.

Что касается веб-сервера, также может быть желательным WAF (брандмауэр веб-приложений).