Как закрыть доступ к серверу с любых IP, но с сохранением работы

pravus

pravus

Мой дом здесь!
Регистрация
21 Фев 2013
Сообщения
334
Реакции
242
Привет!
Как закрыть доступ к серверу по всем протоколам, портам и т д., однако, сохранив работоспособность сайтов, в которых жестко прописаны их домены.

Другими словами - оставить все как есть в продакшене, но оставить доступ с 2-х IP например...
Что бы с 2-х IP был доступ и на сайты, и на SSH и прочее...

И что бы Cloudflare тоже видел сервер - что бы работали домены...
 
iptables -ом закрываешь всё (делаешь дефолтом), открываешь что надо
 
metsys написал(а):
iptables -ом закрываешь всё (делаешь дефолтом), открываешь что надо
Нажмите для раскрытия...
Нельзя так iptables использовать. Политика Default DROP не рекомендуется разработчиками утилиты iptables.

PS Напишите скрипт, аналогичный этому

Код: 
#!/bin/sh

FW=/sbin/iptables

$FW -F
$FW -X

$FW -A INPUT -s [your_ip] -j ACCEPT
проверьте, чтобы у вас счетчики отрабатывали на ACCEPT, а потом уже дальше запрещайте то, что не нужно
 
Есть популярная админская примета: "удалённая настройка фаервола — к дальней поездке"

поэтому перед редактированием правил iptables (с включенным DEFAULT DROP) на удаленном сервере можно выполнять команду:
shutdown -r 600
(перезагрузка через 600 секунд). Можно и более "лайтовый" вариант использовать, с выполнением скрипта, который очищает правила iptables или останавливает службу iptables, но писАть дольше :)

Если случится, что сам себя заблокируешь - сервер перезагрузится и правила вернутся в исходное состояние.
Если правила отработают нормально - то дальше выполняем:

shutdown -c
(отмена перезагрузки)


Kenny написал(а):
Нельзя так iptables использовать. Политика Default DROP не рекомендуется разработчиками утилиты iptables.
Нажмите для раскрытия...
 
А потом, когда нужно что-нить очистить в правилах, забываешь, что у тебя default drop (или нанимаешь другого админа) и *здец. Продакшн лежит, пока IP KVM не подключишь, — превед гугл и яндекс =)
 
Народная примета: Удаленная правка фаервола - к дальней поездке.
Ну а если серьезно: я во первых строках правил прописываю доступ себе, а правило дропа - самым последним и не включаю пока все не доделаю. Тьфу-тьфу, уже много лет как проблем не имею.
 
а какой сервер-то? если на windows, то ставишь вылеченный comodo internet security и изгаляешься в фаерволе, как душе угодно.
 
Сначала создай разрешающее правило себе, потом режешь все остальное. А default drop вещь полезная в плане секьюрности, только обращаться аккуратно надо. Пистолетом тоже можно и от агрессора отбиться, и ногу себе прострелить.
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху