Безопасность в yggdrasil

Пример настройки firewall для nftables

Настройки отображения темы Показывать по сообщений с сортировкой .
Выводить , отправленные .
Одна страница
Распечатать
4X_Pro
Создатель сайта
Всего сообщений: 3793
Зарегистрирован: 9 дек. 2015 г., 19:20
Рейтинг пользователя: 1930

1
. Редактировалось 1 раз, последний — #1
В отличие от IPv4, где пользовательские устройства обычно находятся за NAT, в yggdrasil любой компьютер виден «напрямую». Если на нём запущены какие-то сервера, в настройках которых стоит прослушка всех интерфейсов (что-нибудь вроде listen 0.0.0.0 или listen :: в конфигурационных файлах), любой желающий сможет к ним подключиться, что не всегда желательно. (Типичный пример — ssh или ftp на домашнем сервере или локальный mysql на компьютере разработчика с примитивным паролем.)  Чтобы избежать этого, нужно настроить firewall, разрешив, например, доступ только с тех IP в yggdrasil, которые принадлежат другим вашим устройствам. В последних версиях Debian удобно делать это с помощью nftables. Для этого добавим в конец файла /etc/nftables.conf такие правила (внимание: если использовать их без изменений, то они запретят и доступ по обычному Iv6):
table ip6 yggdasil {         chain INCOMING {                 type filter hook input priority filter; policy drop;                 iifname "lo" counter packets 0 bytes 0 accept                 ct state established,related accept                 ip6 saddr доверенный_IP_1 accept comment "Allow access from my first host"                 ip6 saddr доверенный_IP_2 accept comment "Allow access from my second host"                 iifname "tun0" ct state new icmp type echo-request counter packets 0 bytes 0 accept comment "Allow ping"         }         chain FORWARDING {                 type filter hook forward priority 0; policy drop;         }         chain OUTGOING {                 type filter hook output priority 0; policy accept;         } }
Строку ip6 saddr доверенный_IP_N accept можно повторять столько раз, сколько потребуется, а вместо доверенный_IP_N нужно написать реальные IP-адреса.
Далее нужно включить и перезапустить nftables:
systemctl enable nftables systemctl restart nftables

Ребята, давайте жить спокойно!

Одна страница
Распечатать

У вас нет прав для отправки сообщений в эту тему.

Задать вопрос

Здесь можно задать мне вопрос или спросить совета по любой теме, затронутой в блогах или на форуме. После того, как я отвечу, вопрос и ответ появятся в соответствующем разделе. Но не забываем, что я — сторонник slow life, поэтому каких-либо сроков ответов не обещаю. Самые интересные вопросы станут основой для новых тем на форуме или записей в блоге.
Сразу предупреждаю: глупости, провокации, троллинг и тому подобное летит прямо в /dev/null.