プライベートWebアプリケーション用のCentOS 7 Firewalldゾーンの設定

Question

また、確認する必要がありますこれFedora Wikiページ。最も厳しい方法なので、ドロップゾーンを使いたいと思います。

IPからポート22（または他のSSHポート）に接続しfirewall-cmd ---permanent -zone=home --add-forward-port=port=22:proto=tcp:toaddr=xxx.xxx.xxx.xxx、次の手順で自分のIPアドレスを受け入れるための高度なルールを作成します。
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="xxx.xxx.xxx.xxx" allow'すべてのIPアドレスについて
http、httpsなどのサービスを追加（現在、すべてのユーザーが利用可能）firewall-cmd --permanent --zone=drop --add-service=<service>
firewall-cmd --reloadこれらの永続ルールを適用するには、実行してください。
インターフェイスを変更してfirewall-cmd --zone=drop --add-interface=<interface>古い領域から削除する必要があるかもしれません。（firewall-cmd --list-all-zonesfirewalldがインターフェイスが複数の領域にあることを許可していることを確認してください。）
SSHアクセスが失われていない場合は、すべてが機能するはずです。最後のコマンドを再実行する必要がありますが、今は --permanent スイッチを使用します。

しかし、Webアプリケーションの特定のユーザーリストへのアクセスをどのように許可しますか？もちろん、私が説明した設定は、各ユーザーが静的IPアドレスを持っている場合にのみ機能します。

編集：以下は、ゾーンの概念の簡単な説明です。この機能は実際にはサーバーにとってあまり役に立ちませんが、より良い例はラップトップです。自宅にいるときは、dlnaを介して自動的に音楽を共有できます。この場合、ホームエリアでdlnaポートを開き、ホームWiFiまたはイーサネットLANにある場合は、ファイアウォールエリアをホームに切り替えるようにNetworkManagerを設定します。ただし、publicパブリックWiFiホットスポットにサインアップすると、パブリックネットワークに対して異なるルールが自動的に適用され、この共有を有効にする必要がないため、デフォルトゾーンにする必要があります。たとえば、ホームネットワークの外部からSSH経由でホームサーバーにアクセスする場合は、ファイアウォールルール以外のセキュリティテクノロジを使用するには、ファイアウォールを「パブリック」に設定し、デフォルトでSSHポートのどこからでも接続を許可する必要があります。。この非常に脆弱なSSHアクセスを保護するには、クライアント証明書認証とIP移動の変更が発生したときに無差別代入攻撃を識別してブロックできるfall2banというプログラムのみを使用するように構成する必要があります。 Web サーバーには、アクセス制限などの特定の機能もあります。

Answer 1

また、確認する必要がありますこれFedora Wikiページ。最も厳しい方法なので、ドロップゾーンを使いたいと思います。

IPからポート22（または他のSSHポート）に接続しfirewall-cmd ---permanent -zone=home --add-forward-port=port=22:proto=tcp:toaddr=xxx.xxx.xxx.xxx、次の手順で自分のIPアドレスを受け入れるための高度なルールを作成します。
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="xxx.xxx.xxx.xxx" allow'すべてのIPアドレスについて
http、httpsなどのサービスを追加（現在、すべてのユーザーが利用可能）firewall-cmd --permanent --zone=drop --add-service=<service>
firewall-cmd --reloadこれらの永続ルールを適用するには、実行してください。
インターフェイスを変更してfirewall-cmd --zone=drop --add-interface=<interface>古い領域から削除する必要があるかもしれません。（firewall-cmd --list-all-zonesfirewalldがインターフェイスが複数の領域にあることを許可していることを確認してください。）
SSHアクセスが失われていない場合は、すべてが機能するはずです。最後のコマンドを再実行する必要がありますが、今は --permanent スイッチを使用します。

しかし、Webアプリケーションの特定のユーザーリストへのアクセスをどのように許可しますか？もちろん、私が説明した設定は、各ユーザーが静的IPアドレスを持っている場合にのみ機能します。

編集：以下は、ゾーンの概念の簡単な説明です。この機能は実際にはサーバーにとってあまり役に立ちませんが、より良い例はラップトップです。自宅にいるときは、dlnaを介して自動的に音楽を共有できます。この場合、ホームエリアでdlnaポートを開き、ホームWiFiまたはイーサネットLANにある場合は、ファイアウォールエリアをホームに切り替えるようにNetworkManagerを設定します。ただし、publicパブリックWiFiホットスポットにサインアップすると、パブリックネットワークに対して異なるルールが自動的に適用され、この共有を有効にする必要がないため、デフォルトゾーンにする必要があります。たとえば、ホームネットワークの外部からSSH経由でホームサーバーにアクセスする場合は、ファイアウォールルール以外のセキュリティテクノロジを使用するには、ファイアウォールを「パブリック」に設定し、デフォルトでSSHポートのどこからでも接続を許可する必要があります。。この非常に脆弱なSSHアクセスを保護するには、クライアント証明書認証とIP移動の変更が発生したときに無差別代入攻撃を識別してブロックできるfall2banというプログラムのみを使用するように構成する必要があります。 Web サーバーには、アクセス制限などの特定の機能もあります。

プライベートWebアプリケーション用のCentOS 7 Firewalldゾーンの設定

ベストアンサー1

おすすめ記事