Ograniczenie dostępu SSH dla wybranych adresów IP

Przedstawimy w jaki sposób ograniczyć dostęp do SSH działającego w Wirtualnej Maszynie do wybranych adresów IP z wykorzystaniem Zapory sieciowej.

Dowiesz się także w jaki sposób zmodernizować obecne środowisko, abyś mógł wykorzystywać Zaporę sieciową niezależnie od obecnej konfiguracji sieciowej.

Zapora sieciowa służy do kontrolowania komunikacji w obu kierunkach (przychodzącej i wychodzącej) z Adaptera sieciowego w Sieci. Może być przyłączona wyłącznie do Sieci prywatnej. Reguły Zapory sieciowej mają zastosowanie do wszystkich Adapterów sieciowych w Sieci, niezależnie czy Adres IP komunikacji jest prywatnym Adresem IP, czy jest publicznym Adresem IP powiązanym z Adresem IP w Sieci.

To otwiera możliwość wykorzystania Zapory sieciowej także do kontroli ruchu z siecią Internet.

Między innymi z tego względu rekomendujemy wykorzystywanie Wirtualnych Maszyn w Sieci prywatnej, także jeżeli mają mieć dostęp do Internet, a nawet same być bezpośrednio osiągalne z Sieci Internet.

Jeżeli tworzysz nowe środowisko - w miarę możliwości rekomendujemy wykorzystanie Bramy sieciowej, która zachowuje izolacje od zagrożeń sieci Internet, a jednocześnie jest łatwiejsza w utworzenia i utrzymaniu od własnej Wirtualnej maszyny pełniącą funkcje Bramy sieciowej. Wówczas utworzenie Zapory sieciowej, przyłączenia jej do Sieci oraz prawidłowa konfiguracja reguł pozwoli na sprawną kontrolę ruchu.

Jeżeli posiadasz istniejące środowisko, które dotąd nie wykorzystywało Sieci możesz rozpocząć stopniowo z niej korzystać, a od razu samego początku korzystać z możliwości jaką daje Zapora sieciowa. Konieczne będzie jedynie wykorzystanie powiązania prywatnego Adresu IP z dotychczasowym publicznym Adresem IP. Taka operacja nie powinna zakłócić funkcjonowania większości aplikacji sieciowych. Pozwoli natomiast na czerpanie z możliwości Zapory sieciowej.

Przygotowanie środowiska nowego

Utwórz Sieć

W celu wykonania operacji postępuj zgodnie z przewodnikiem.

Utwórz Wirtualną Maszynę przyłączoną do Sieci

W celu wykonania operacji postępuj zgodnie z przewodnikiem.

Utwórz Bramę sieciową

W celu wykonania operacji postępuj zgodnie z przewodnikiem.

Przyłącz Bramę sieciową do Sieci

W celu wykonania operacji postępuj zgodnie z przewodnikiem.

Utwórz Wirtualną Maszynę przyłączoną do Sieci

W celu wykonania operacji postępuj zgodnie z przewodnikiem.

Modyfikacja środowiska dotychczasowego

Utrwal wykorzystywany Adres IP

W celu wykonania operacji postępuj zgodnie z przewodnikiem.

Wyłącz Wirtualną Maszynę

W celu wykonania operacji postępuj zgodnie z przewodnikiem.

Usuń Adapteru sieciowego z Wirtualnej Maszyny

W celu wykonania operacji postępuj zgodnie z przewodnikiem.

Dodaj Adapter sieciowy przyłączony do Sieci

W celu wykonania operacji postępuj zgodnie z przewodnikiem.

Uruchom ponownie Wirtualną Maszynę

W celu wykonania operacji postępuj zgodnie z przewodnikiem.

Wprowadzenie kontroli sieciowej

Utwórz nową Zaporę sieciową

W celu wykonania operacji postępuj zgodnie z przewodnikiem.

Przyłącz Zaporę sieciową do Sieci

W celu wykonania operacji postępuj zgodnie z przewodnikiem.

Usuń domyślną regułę ruchu przychodzącego dla "SSH"

W celu wykonania operacji postępuj zgodnie z przewodnikiem.

Dodaj nową regułę, która dopuści ruch z np. podstawowego biura

Dodaj regułę zapory sieciowej o następujących parametrach:

  • kierunek: przychodzący (ingress)
  • priorytet: 300
  • filter: tcp:22
  • strefa zewnętrzna:{external_ip}
  • strefa wewnętrzna: *
  • nazwa: Allow SSH from Primary Office

W celu wykonania operacji postępuj zgodnie z przewodnikiem.

Zastąp poniższe wartości:

  • {external_ip} - adres IP, który wykorzystujesz do połączenia

Dodaj nową regułę, która zablokuje pozostały ruch

Dodaj regułę zapory sieciowej o następujących parametrach:

  • kierunek: przychodzący (ingress)
  • priorytet: 250
  • filter: tcp:22
  • strefa zewnętrzna:0.0.0.0\0
  • strefa wewnętrzna: *
  • nazwa: Deny SSH traffic

W celu wykonania operacji postępuj zgodnie z przewodnikiem.

Czy uważasz ten artykuł za przydatny? Tak Nie