커널 IP 전달에 대한 보안 활성화

커널 IP 전달에 대한 보안 활성화

최근 VPN 서버 역할도 하는 프로덕션 웹 서버에서 IP 전달을 활성화했습니다. 방금 설정한 보안 질문(있는 경우)은 무엇입니까? VPN 터널로의 전달을 제한하려면 iptables 규칙을 설정해야 합니까?

답변1

서버가 손상된 경우에만 보안 문제가 발생합니다. 귀하의 서버에 들어가는 사람/사물은 마치 서버인 것처럼 네트워크에 있는 컴퓨터에 액세스할 수 있습니다(귀하의 컴퓨터는 아마도 귀하의 서버를 신뢰합니다). 넌 꼭 그랬어야 했어일부iptables 규칙! 기본적으로 웹 서버 포트와 VPN 서버 포트를 제외하고 iptables가 외부 세계에서 방화벽까지 모든 것을 차단하기를 원합니다.

해안벽같은거 추천해드려요http://www.shorewall.net/이것은 당신을 위해 설정되었지만 어떤 사람들은 무슨 일이 일어나고 있는지 더 많이 알 수 있기 때문에 iptables 규칙을 직접 만드는 것이 더 낫다고 생각합니다.

답변2

이 서버의 라우팅 기능을 최소화하려면 반드시 iptables(FORWARD)를 사용해야 합니다.

어떤 VPN 서버를 실행하고 있나요? VPN 계정에 고정된 주소가 있나요? 나는 당신이 iptables를 호출하는 방법(어떤 옵션/매개변수가 무엇을 하는지)에 대한 기본 사항을 알고 있다고 가정합니다.

일부 예제 규칙은 다음과 같을 수 있습니다. 여기서 XXXX 및 변수를 설정에 적합한 값으로 바꿔야 합니다.

IPT=/usr/sbin/iptables
# deactivate FORWARD by default as you only want to grant access with a whitelist.
$IPT -P FORWARD DROP
# allow established connections
$IPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
# allow access to your VPN-server from the outside
$IPT -A INPUT -i $OUTER_INTERFACE -p XXXX --dport XXXX -j ACCEPT
# allow access to some host (-d)/protocol (-p)/destination port (--dport) from one VPN-account
$IPT -A FORWARD -i $VPN_INTERFACE -o $LAN_OR_OUTER_INTERFACE -s $IP_FROM_VPN -d $SOME_HOST -p XXXX --dport XXXX
# allow access from your LAN-network/-host to the VPN-clients
$IPT -A FORWARD -i $LAN_INTERFACE -o $VPN_INTERFACE -s $LAN_NET_OR_HOST -j ACCEPT
# allow access from the VPN to the WAN
$IPT -A FORWARD -i $VPN_INTERFACE -o $OUTER_INTERFACE -s $VPN_NET_OR_HOST -j ACCEPT

관련 정보