Безопасность в yggdrasil
Пример настройки firewall для nftables
Одна страница
Распечатать
. Редактировалось 1 раз, последний — #1
В отличие от IPv4, где пользовательские устройства обычно находятся за NAT, в yggdrasil любой компьютер виден «напрямую». Если на нём запущены какие-то сервера, в настройках которых стоит прослушка всех интерфейсов (что-нибудь вроде listen 0.0.0.0 или listen :: в конфигурационных файлах), любой желающий сможет к ним подключиться, что не всегда желательно. (Типичный пример — ssh или ftp на домашнем сервере или локальный mysql на компьютере разработчика с примитивным паролем.) Чтобы избежать этого, нужно настроить firewall, разрешив, например, доступ только с тех IP в yggdrasil, которые принадлежат другим вашим устройствам. В последних версиях Debian удобно делать это с помощью nftables. Для этого добавим в конец файла /etc/nftables.conf такие правила (внимание: если использовать их без изменений, то они запретят и доступ по обычному Iv6):
Строку ip6 saddr доверенный_IP_N accept можно повторять столько раз, сколько потребуется, а вместо доверенный_IP_N нужно написать реальные IP-адреса.
Далее нужно включить и перезапустить nftables:
table ip6 yggdasil {
chain INCOMING {
type filter hook input priority filter; policy drop;
iifname "lo" counter packets 0 bytes 0 accept
ct state established,related accept
ip6 saddr доверенный_IP_1 accept comment "Allow access from my first host"
ip6 saddr доверенный_IP_2 accept comment "Allow access from my second host"
iifname "tun0" ct state new icmp type echo-request counter packets 0 bytes 0 accept comment "Allow ping"
}
chain FORWARDING {
type filter hook forward priority 0; policy drop;
}
chain OUTGOING {
type filter hook output priority 0; policy accept;
}
}
Строку ip6 saddr доверенный_IP_N accept можно повторять столько раз, сколько потребуется, а вместо доверенный_IP_N нужно написать реальные IP-адреса.
Далее нужно включить и перезапустить nftables:
systemctl enable nftables
systemctl restart nftables
Ребята, давайте жить спокойно!
Одна страница
Распечатать У вас нет прав для отправки сообщений в эту тему.