プライベートWebアプリケーション用のCentOS 7 Firewalldゾーンの設定

プライベートWebアプリケーション用のCentOS 7 Firewalldゾーンの設定

man設定する前に、関連するすべてのページを読み、プレインストールされているすべてのファイルにfirewalld移動しました。firewalld最大のセキュリティを提供するzonesように設定する方法は?firewallprivate web application

ユースケースは次のとおりです。

1.) Twenty known users will have http/https access to the web  
    application from specific machines.  
2.) One administrator will have remote ssh login access.
3.) The app will send and receive SSL email with the 20 users, the 
    administrator, and with a known group of other users that will 
    change over time and that will be defined by the users through 
    the web application.
4.) The app includes a database, a war file, and uses various services.  
5.) All usage not described in steps 1 through 4 will be blocked.  

私が理解したように、1つ以上のゾーンにインターフェイスを追加し、そのインターフェイスを持つゾーンにサービスを追加する必要があります。また、ソースIPアドレスをゾーンに追加できることもわかります。また、豊富なルールを使用して構成を定義できることも発見しました。しかし、私は以前にファイアウォールを構成したことがありません。 firewalld誰かが上記のユースケースをリモートWebサーバーCentOS 7の特定のゾーン/インターフェース/サービス/ソースに変換する方法を教えてください。

しかもそう/etc/firewalld/firewalld.conf言いましたね。それは何でなければならないか。default zonepublicdefault zone

答え1

また、確認する必要がありますこれFedora Wikiページ。最も厳しい方法なので、ドロップゾーンを使いたいと思います。

  • IPからポート22(または他のSSHポート)に接続しfirewall-cmd ---permanent -zone=home --add-forward-port=port=22:proto=tcp:toaddr=xxx.xxx.xxx.xxx、次の手順で自分のIPアドレスを受け入れるための高度なルールを作成します。
  • firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="xxx.xxx.xxx.xxx" allow'すべてのIPアドレスについて
  • http、httpsなどのサービスを追加(現在、すべてのユーザーが利用可能)firewall-cmd --permanent --zone=drop --add-service=<service>
  • firewall-cmd --reloadこれらの永続ルールを適用するには、実行してください。
  • インターフェイスを変更してfirewall-cmd --zone=drop --add-interface=<interface>古い領域から削除する必要があるかもしれません。 (firewall-cmd --list-all-zonesfirewalldがインターフェイスが複数の領域にあることを許可していることを確認してください。)
  • SSHアクセスが失われていない場合は、すべてが機能するはずです。最後のコマンドを再実行する必要がありますが、今は --permanent スイッチを使用します。

しかし、Webアプリケーションの特定のユーザーリストへのアクセスをどのように許可しますか?もちろん、私が説明した設定は、各ユーザーが静的IPアドレスを持っている場合にのみ機能します。

編集:以下は、ゾーンの概念の簡単な説明です。この機能は実際にはサーバーにとってあまり役に立ちませんが、より良い例はラップトップです。自宅にいるときは、dlnaを介して自動的に音楽を共有できます。この場合、ホームエリアでdlnaポートを開き、ホームWiFiまたはイーサネットLANにある場合は、ファイアウォールエリアをホームに切り替えるようにNetworkManagerを設定します。ただし、publicパブリックWiFiホットスポットにサインアップすると、パブリックネットワークに対して異なるルールが自動的に適用され、この共有を有効にする必要がないため、デフォルトゾーンにする必要があります。たとえば、ホームネットワークの外部からSSH経由でホームサーバーにアクセスする場合は、ファイアウォールルール以外のセキュリティテクノロジを使用するには、ファイアウォールを「パブリック」に設定し、デフォルトでSSHポートのどこからでも接続を許可する必要があります。 。この非常に脆弱なSSHアクセスを保護するには、クライアント証明書認証とIP移動の変更が発生したときに無差別代入攻撃を識別してブロックできるfall2banというプログラムのみを使用するように構成する必要があります。 Web サーバーには、アクセス制限などの特定の機能もあります。

関連情報