Toon posts:

DirectAdmin Firewall - Private network

Pagina: 1
Acties:

Onderwerpen

TransIP

Vraag

woensdag 21 juli 2021 20:17

Acties:
  • 0 Henk 'm!
  • Nutcaze
  • Registratie: Oktober 1999
  • Laatst online: 16-08 06:35

Nutcaze

Topicstarter
Ik ben niet heel bekend met Linux en sta voor het volgende probleem.
We hebben meerdere VPS-en bij TransIP. Deze zijn vrij strak dichtgetimmerd middels hun firewall.

Nou heb ik 1 machine waarop alle andere machines ge-backupped worden. Alle machines die ge-backupped moeten worden staan in 1 private network samen met de backup machine zodat alles over het interne netwerk verloopt. De Firewall van Transip (op de hypervisor) is echter niet voor intern verkeer.

Nou hebben we een aantal CentOS7 bakken met DirectAdmin er op met zo'n firewall plugin.
Ik ben niet heel erg bekend met die firewall maar wat ik nou wil is dat de firewall van de bak zelf de volgende rules heeft:
voor verkeer van 192.168.1.* alleen poort 22 open
al het andere verkeer ongewijzigd laten.

Iemand enig idee hoe ik dat kan inregelen?

Als 1 machine dan gecompromitteerd is dan heb je in ieder geval zo veel mogelijk afgeschermd.

[ Voor 4% gewijzigd door Nutcaze op 21-07-2021 20:20 . Reden: extra stukje uitleg ]

Not all chemicals are bad. Without hydrogen or oxygen, for example, there would be no way to make water, a vital ingredient in beer.

Alle reacties

woensdag 21 juli 2021 20:28

Acties:
  • +1 Henk 'm!
  • prakka
  • Registratie: Oktober 2009
  • Nu online

prakka

Zoiets (grotendeels van internet gekopieerd):

code:
1
2
3
4
5
6
7
8
9

Login to SSH.
Open /etc/csf/csf.allow in your preferred text editor. For the sake of this tutorial I'll be using nano.
Add your rules to this file, one per line.
We'll be adding lines in the same format as tcp/udp|in/out|s/d=port|s/d=ip.

tcp|in|d=22|s=192.168.1.1

4. Save the file. If you're in nano, use ^X (Ctrl+X) and tell it "Y" to overwrite the file.
5. Restart CSF using csf -r.


Zie ook https://forums.cpanel.net...n-csf.612871/post-2488019

[ Voor 14% gewijzigd door prakka op 21-07-2021 20:29 ]

woensdag 21 juli 2021 20:47

Acties:
  • 0 Henk 'm!
  • Nutcaze
  • Registratie: Oktober 1999
  • Laatst online: 16-08 06:35

Nutcaze

Topicstarter
prakka schreef op woensdag 21 juli 2021 @ 20:28:
Zoiets (grotendeels van internet gekopieerd):

code:
1
2
3
4
5
6
7
8
9

Login to SSH.
Open /etc/csf/csf.allow in your preferred text editor. For the sake of this tutorial I'll be using nano.
Add your rules to this file, one per line.
We'll be adding lines in the same format as tcp/udp|in/out|s/d=port|s/d=ip.

tcp|in|d=22|s=192.168.1.1

4. Save the file. If you're in nano, use ^X (Ctrl+X) and tell it "Y" to overwrite the file.
5. Restart CSF using csf -r.


Zie ook https://forums.cpanel.net...n-csf.612871/post-2488019
Ok volgens mij zou ik dan met zoiets (als ik ip ranges goed begrijp) een stukje verder komen:
tcp|in|d=22|s=192.168.1.0/24

Maar daarmee blokkeer ik verder nog helemaal niets toch? Ik zeg daarmee niet dat ALLE andere poorten dicht moeten staan voor die ip-range.

De TransIP firewall zorgt er wel voor dat extern verkeer geblokkeerd wordt als het goed is dus andere ip-ranges hoef ik me, denk ik, geen zorgen over te maken.

Het moet dus zo zijn:
alles van 192.168.1.0 t/m 192.168.1.255 mag op poort 22, TCP
alle overige poorten (TCP) mogen niet voor dezelfde ip-range
UDP mag helemaal niet voor die ip-range.
En alle andere ip's moeten ongewijzigd blijven.

[ Voor 8% gewijzigd door Nutcaze op 21-07-2021 21:27 . Reden: "voor die ip-range" toegevoegd ]

Not all chemicals are bad. Without hydrogen or oxygen, for example, there would be no way to make water, a vital ingredient in beer.

donderdag 22 juli 2021 10:11

Acties:
  • 0 Henk 'm!
  • prakka
  • Registratie: Oktober 2009
  • Nu online

prakka

Nutcaze schreef op woensdag 21 juli 2021 @ 20:47:
[...]


Ok volgens mij zou ik dan met zoiets (als ik ip ranges goed begrijp) een stukje verder komen:
tcp|in|d=22|s=192.168.1.0/24

Maar daarmee blokkeer ik verder nog helemaal niets toch? Ik zeg daarmee niet dat ALLE andere poorten dicht moeten staan voor die ip-range.
Nee moet goed zijn.

donderdag 22 juli 2021 21:54

Acties:
  • 0 Henk 'm!
  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 13-09 19:09

jurroen

Security en privacy geek

Die regel stelt inderdaad in wat je wilt: verkeer naar poort 22 over TCP wordt toegestaan vanaf het 192.168.1.0/24 subnet. Verkeer vanaf een ander subnet of over UDP is geen "match" met die regel dus daar verander je dan ook niets aan.

Uit interesse, waarom wil je SSH verkeer firewallen? Mits het goed staat ingesteld zou ik persoonlijk geneigd zijn het meer te vertrouwen dan bijvoorbeeld WHM. In ConfigServer Security & Firewall zit een knop "[Check Server Security]". Als je daar alle SSH configuratiepunten hebt opgepakt is het een veilig communicatiemiddel. Maar dat zijn mijn twee centen, wellicht sta je er anders in - dat is ook helemaal prima!

Je zou wel de standaard poort kunnen veranderen (ik meen dat CSF daar ook over blaat). Dat is niet zozeer veiliger, maar voorkom wel logjamming door portknocks :)

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

vrijdag 23 juli 2021 01:47

Acties:
  • +1 Henk 'm!
  • DJMaze
  • Registratie: Juni 2002
  • Niet online

DJMaze

Nutcaze schreef op woensdag 21 juli 2021 @ 20:17:
Nou heb ik 1 machine waarop alle andere machines ge-backupped worden. Alle machines die ge-backupped moeten worden staan in 1 private network samen met de backup machine zodat alles over het interne netwerk verloopt.
Dat is geen backup. Als TransIP down is kan je niet bij je "backup".

Regel je backups in bij een ander dmv rsync bijvoorbeeld.

Maak je niet druk, dat doet de compressor maar

vrijdag 23 juli 2021 09:33

Acties:
  • 0 Henk 'm!
  • Nutcaze
  • Registratie: Oktober 1999
  • Laatst online: 16-08 06:35

Nutcaze

Topicstarter
jurroen schreef op donderdag 22 juli 2021 @ 21:54:
Die regel stelt inderdaad in wat je wilt: verkeer naar poort 22 over TCP wordt toegestaan vanaf het 192.168.1.0/24 subnet. Verkeer vanaf een ander subnet of over UDP is geen "match" met die regel dus daar verander je dan ook niets aan.

Uit interesse, waarom wil je SSH verkeer firewallen? Mits het goed staat ingesteld zou ik persoonlijk geneigd zijn het meer te vertrouwen dan bijvoorbeeld WHM. In ConfigServer Security & Firewall zit een knop "[Check Server Security]". Als je daar alle SSH configuratiepunten hebt opgepakt is het een veilig communicatiemiddel. Maar dat zijn mijn twee centen, wellicht sta je er anders in - dat is ook helemaal prima!

Je zou wel de standaard poort kunnen veranderen (ik meen dat CSF daar ook over blaat). Dat is niet zozeer veiliger, maar voorkom wel logjamming door portknocks :)
Nee het is juist de bedoeling dat poort 22 de enige open poort is voor intern verkeer.

Not all chemicals are bad. Without hydrogen or oxygen, for example, there would be no way to make water, a vital ingredient in beer.

vrijdag 23 juli 2021 09:35

Acties:
  • +1 Henk 'm!
  • Nutcaze
  • Registratie: Oktober 1999
  • Laatst online: 16-08 06:35

Nutcaze

Topicstarter
DJMaze schreef op vrijdag 23 juli 2021 @ 01:47:
[...]

Dat is geen backup. Als TransIP down is kan je niet bij je "backup".

Regel je backups in bij een ander dmv rsync bijvoorbeeld.
De complete backup-server wordt ook dagelijks geheel ge-rsynced naar een andere lokatie (eigen lokatie) :)

Not all chemicals are bad. Without hydrogen or oxygen, for example, there would be no way to make water, a vital ingredient in beer.

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq