Hallo, ik heb hier een webserver op 192.168.1.1 te draaien met daarop SSH2 voor SFTP uploads.
Daarvoor staat een dual NIC Ubuntu server met daarop iptables an ufw.
Ik ben de beveiliging aan het plannen en mijn plan is het volgende. Mijn vraag is, gaat dit werken? Voor SSH2 port 22, wil ik van buitenaf naar poort 4500 verbinden, vandaar die DNAT op TCP 4500. Poort 443 ga ik niet gebruiken.
Voor auto updates op de webserver heb ik port 80 en 53 naar buiten opstaan. Port 22 is om de firewall zelf te beheren.
DNAT:
- Forward traffic incoming at WAN on TCP port 4500 to IP address 192.168.1.1 at TCP port 22
- Forward traffic incoming at WAN on TCP port 80 to IP address 192.168.1.1 at TCP port 80
Inbound (vanaf WAN):
- Allow all RELATED and ESTABLISHED connections from all source IP’s (0.0.0.0)
- Allow TCP destination port 80 from all source IP’s (0.0.0.0)
- Allow TCP destination port 4500 from 203.208.67.5
- Allow TCP destination port 22 from 203.208.67.5
- Deny all traffic from everywhere (0.0.0.0)
Outbound (vanaf LAN):
- Allow all RELATED and ESTABLISHED connections to all destination IP’s
- Allow destination TCP port 80 from 192.168.1.1 (for updates)
- Allow destination UDP port 53 from 192.168.1.1 (for the DNS client)
- Deny all NEW connections from all source IP’s (0.0.0.0).
- Deny all traffic to everywhere (0.0.0.0)
De firewall rules op de webserver zijn:
Inbound:
- Allow all NEW connections on TCP destination port 80 from 192.168.1.254
- Allow all NEW connections on TCP destination port 22 from 192.168.1.254 (for uploads and management)
- Allow all RELATED and ESTABLISHED connections
Outbound:
- Allow all RELATED and ESTABLISHED connections
- Allow all NEW connections on destination UDP port 53
- Allow all NEW connections on destination TCP port 80
- Deny all traffic to anywhere (0.0.0.0)
Ok, dit hierboven heb ik nu... moet ik met iptables eigenlijk wel die bovenste 2 allows ingeven (TCP 443 en 4500) aangezien ik die via DNAT naar binnen forward?
DNS heb ik nu doorgelaten, ongeacht de connection state, aangezien dit UDP is.
Klopt dit zo? Kan iemand hier even advies op geven? Alvast bedankt!
Daarvoor staat een dual NIC Ubuntu server met daarop iptables an ufw.
Ik ben de beveiliging aan het plannen en mijn plan is het volgende. Mijn vraag is, gaat dit werken? Voor SSH2 port 22, wil ik van buitenaf naar poort 4500 verbinden, vandaar die DNAT op TCP 4500. Poort 443 ga ik niet gebruiken.
Voor auto updates op de webserver heb ik port 80 en 53 naar buiten opstaan. Port 22 is om de firewall zelf te beheren.
DNAT:
- Forward traffic incoming at WAN on TCP port 4500 to IP address 192.168.1.1 at TCP port 22
- Forward traffic incoming at WAN on TCP port 80 to IP address 192.168.1.1 at TCP port 80
Inbound (vanaf WAN):
- Allow all RELATED and ESTABLISHED connections from all source IP’s (0.0.0.0)
- Allow TCP destination port 80 from all source IP’s (0.0.0.0)
- Allow TCP destination port 4500 from 203.208.67.5
- Allow TCP destination port 22 from 203.208.67.5
- Deny all traffic from everywhere (0.0.0.0)
Outbound (vanaf LAN):
- Allow all RELATED and ESTABLISHED connections to all destination IP’s
- Allow destination TCP port 80 from 192.168.1.1 (for updates)
- Allow destination UDP port 53 from 192.168.1.1 (for the DNS client)
- Deny all NEW connections from all source IP’s (0.0.0.0).
- Deny all traffic to everywhere (0.0.0.0)
De firewall rules op de webserver zijn:
Inbound:
- Allow all NEW connections on TCP destination port 80 from 192.168.1.254
- Allow all NEW connections on TCP destination port 22 from 192.168.1.254 (for uploads and management)
- Allow all RELATED and ESTABLISHED connections
Outbound:
- Allow all RELATED and ESTABLISHED connections
- Allow all NEW connections on destination UDP port 53
- Allow all NEW connections on destination TCP port 80
- Deny all traffic to anywhere (0.0.0.0)
Ok, dit hierboven heb ik nu... moet ik met iptables eigenlijk wel die bovenste 2 allows ingeven (TCP 443 en 4500) aangezien ik die via DNAT naar binnen forward?
DNS heb ik nu doorgelaten, ongeacht de connection state, aangezien dit UDP is.
Klopt dit zo? Kan iemand hier even advies op geven? Alvast bedankt!
:strip_icc():strip_exif()/u/7418/the_hat_icon.jpg?f=community){kind=icon}
Dit topic is gesloten.