Networking

防止伺服器訪問部分網路

  • October 12, 2018

我進行了初步搜尋,但找不到確切/類似的問題。

我正在我們的網路中配置一個伺服器,以便為來自第三方的普通使用者提供 SSH 訪問權限。

我正在嘗試將伺服器與伺服器上使用的網路隔離開來IPTables。我的想法是阻止SSH對網路其他部分的傳出訪問。我在問這是否足夠,或者我應該阻止其他任何事情,或者我應該IPTables只採取什麼預防措施。

第三方將沒有root或提升訪問權限。他們只能從單個靜態 IP SSH 到伺服器。

通常,對於這樣的實例,您將有一個非軍事區 (DMZ) 來放置此伺服器。DMZ 前面的防火牆將允許從指定 IP 地址 SSH 到此伺服器(您提到只允許一個靜態 IP)然後 DMZ 後面的防火牆(在 DMZ 和您的本地網路之間)將阻止來自該伺服器的所有其他內容。

您阻止的內容取決於使用伺服器的人需要訪問的內容。例如,即使您使用 IPTables 阻止 SSH,所有其他服務都將可用(ftp、nfs、smb、dns、dhcp 等 - 一個列表只是為了給您一個想法),所以除非您希望它們能夠訪問一切,那麼你需要阻止所有這些。

引用自:https://serverfault.com/questions/935186