חומת האש באובונטו
-
ברצוני לחסום כל מי שניגש לשרת שלי לכתובת שמראים על בוטים וכדומה.
בדקתי את הפקודהsudo ufw status
ואני מקבל בתגובהStatus: inactive
.
ברצוני להבין למה הוא מכובה, ומה הסיכון בלפתוח אותו, ואיך אוכל לדעת שאני לא חוסם את עצמי שאם אני יפעיל את חומת האש אזי פורט 22 לא ייחסם לי לרשת שלי.
אציין מדובר בשרת EC2 של AWS.
עד היום ניהלתי את חומת האש כלפי מתן גישה לפורט 22 וכדומה על ידי שהם חסומים בחומת האש בקונסולה של אמזון, והחרגתי את כתובות הIP שלי שתהיינה פתוחות.
אך פורט 80 ו 443 פתוחים שם לחלוטין, ולמיטב הבנתי זה בלאגן לחסום שם כתובות ספציפיות, ולכן אני חושב שאת זה אני אמור לתת לשרת עצמו לעשות.
תודה -
@חוקר נדמה לי שהיא באמת לא מאופשרת בברירת מחדל.
לפני שאתה מפעיל אתה מאפשר את הSSH ככה:sudo ufw allow ssh
אם יש לך גם nginx תכתוב גם
sudo ufw allow 'nginx full'
(הssh זה שירות מוכר ע"י הufw כי הוא מוגדר בקובץ תחת התיקיה
/etc/ufw/applications.d
).אם אין הודעת שגיאה בפקודות הנ"ל,
אתה מפעיל אותו מיידית ונדמה לי שאין בזה חשש, ככה אני עושה בכל השרתים שלי. -
אל תשכח שהסדר של הרולים (rules)
קובע, כך שאפילו אם פתוח SSH
אם יש לך rule אחריו שסוגר אותו
הוא יחסם -
@upsilon01 הוא לא צריך לזכור את זה כי הוא לא הולך לעשות שום רול חסימה.
-
@dovid אם כבר מדברים, מישהוא התנסה או בירר למה דוקר עוקף את החומת אש? אם אני חושף למשל
-p 3306:3306
לא יעזור לי לחסום את זה בחומת את ברגע שזה בדוקר זה פשוט יהיה פתוח... -
@שמואל4 כי החומת אש זה רק לתעבורה מבחוץ (תמיד localhost:3306 יעבוד),
המיפוי פורטים של דוקר הופך את השירות להיות על אותו מכונה ממש. -
@dovid אמר בחומת האש באובונטו:
כי החומת אש זה רק לתעבורה מבחוץ (תמיד localhost:3306 יעבוד),
זה ברור, אני מדבר על גישה מבחוץ, ברגע שהפורט נפתח מדוקר זה נפתח גם מבחוץ למרות שההגדרה היא רשימה לבנה
-
@שמואל4
ufw זה מעטפת ל iptables
והדוקר יכול לקנפג את iptables לבדאפשר לבטל את זה בקונפיגורציה של דוקר
DOCKER_OPTS="--iptables=false"