Защита через Firewall-cmd системы Ubuntu 18.04 Server

Posted by

Допустим есть система на базе Ubuntu 18.04 Server и нужно посредством firewall-cmd настроить базовую защиту по сетевой части для нее. Кратко разобранные примеры использования firewall-cmd можно посмотреть здесь.

Итак, система Ubuntu 18.04 Server развернута либо в локальной сети, либо куплена как VPS на CloudLite (ссылка для перехода: https://cloudlite.ru/?from=4116 + промокод: CloudLITE4116)

Устанавливаем пакет firewalld, активируем его на загрузку после перезагрузки и стартуем:

Дефолтная настройка от установщика подразумевает одну зону, зона public и разрешенные сервисы:

Шаг №1: Изменяю зону, где зона home это из списка дефолтных, в ней доступ ограничивается только прописанными настройками.

Шаг №2: Ограничиваем подключение к этой системе только из доверенной локальной сети (если система, как VPS, но можно пропустить или добавить ту с которой Вы будете подключаться к ней)

Если данная система в локальной сети, то я бы рекомендовал предопределить сеть или определенные компьютеры в ней с которых можно к ней подключаться:

, но у меня нет сервиса ssh, точнее есть, но у него изменен порт, можно создать свой и его добавить, заменив ssh на свой или же

Шаг №3: Изменяем номер порта для службы SSH, чтобы подключиться к этой системе можно было через отличный от дефолтного порта (Default: 22/tcp), но до этого добавляем его в брандмауэр, см. предыдущий пункт. Иначе если действия выполняются удаленно на системе вы потеряете доступ к ней.

Переподключась к системе, но уже на указанный выше порт (порт может быть любым кроме зарегистрированных сервисов и в промежутке от 1 до 65535)

Шаг №4: Удаляем из настроек брандмауэра сервис ssh и те которые предопределены в зоне home:

Шаг №5: Запретим проверку системы через ICMPзапрос к ней, делается через утилиту ping:

Проверяем:

Destination Host Prohibited – хост назначения запрещен.

И проверяем с другой системы из отличной от сети 172.33.33.0/24 что могу подключиться к ней – ответ не могу, как и задумано:

Отлично, я закрыл хост от возможности (базовой возможности) проверить жив ли они или нет.

Итак, это базовая настройка, уже используя ее я буду наращивать функционал и переводить свои сервисы использующие ufw на firewall-cmd. Работы предстоит много, а пока на этом у меня всё, с уважением автор блога Олло Александр aka ekzorchik.