Я провел предварительный поиск и не смог найти точного / похожего вопроса.
Я настраиваю сервер в нашей сети, чтобы предоставить доступ по SSH обычному пользователю от третьего лица.
Я пытаюсь изолировать сервер от сети, используя IPTables на сервере. Моя идея - заблокировать исходящие SSH доступ к другим частям сети. Я спрашиваю, достаточно ли этого, или мне следует заблокировать что-нибудь еще, или какие меры предосторожности следует предпринять IPTables только сторона.
У третьей стороны не будет root или повышенный доступ. Они смогут подключаться к серверу по SSH только с одного статического IP-адреса.
Как правило, для такого случая у вас будет демилитаризованная зона (DMZ) для размещения этого сервера. Брандмауэр перед DMZ позволит SSH к этому серверу с указанного IP-адреса (вы упомянули, что разрешается только один статический IP-адрес) а затем брандмауэр за DMZ (между DMZ и вашей локальной сетью) блокирует все остальное с этого сервера.
То, что вы блокируете, зависит от того, к чему нужен доступ человеку, использующему сервер. Например, даже если вы заблокируете SSH с помощью IPTables, все остальные службы будут доступны (ftp, nfs, smb, dns, dhcp и т. Д. - список, чтобы дать вам представление), поэтому, если вы не хотите, чтобы они имели доступ все, тогда вам нужно будет все это заблокировать.