防止伺服器訪問部分網路

我進行了初步搜尋，但找不到確切/類似的問題。

我正在我們的網路中配置一個伺服器，以便為來自第三方的普通使用者提供 SSH 訪問權限。

我正在嘗試將伺服器與伺服器上使用的網路隔離開來IPTables。我的想法是阻止SSH對網路其他部分的傳出訪問。我在問這是否足夠，或者我應該阻止其他任何事情，或者我應該IPTables只採取什麼預防措施。

第三方將沒有root或提升訪問權限。他們只能從單個靜態 IP SSH 到伺服器。

通常，對於這樣的實例，您將有一個非軍事區 (DMZ) 來放置此伺服器。DMZ 前面的防火牆將允許從指定 IP 地址 SSH 到此伺服器（您提到只允許一個靜態 IP）然後 DMZ 後面的防火牆（在 DMZ 和您的本地網路之間）將阻止來自該伺服器的所有其他內容。

您阻止的內容取決於使用伺服器的人需要訪問的內容。例如，即使您使用 IPTables 阻止 SSH，所有其他服務都將可用（ftp、nfs、smb、dns、dhcp 等 - 一個列表只是為了給您一個想法），所以除非您希望它們能夠訪問一切，那麼你需要阻止所有這些。

引用自：https://serverfault.com/questions/935186