Configuração do firewall no host KVM do Ubuntu

2

Eu tenho um servidor Ubuntu 9.10 com virtualização KVM instalado (vou chamá-lo de HOST). Ele tem três VMs em execução, uma com o Apache instalado (chamando-o de APACHE), uma com o Mysql instalado (chamando-o de MYSQL) e uma com o Jetty rodando na porta 8080 (JETTY). O host tem uma ponte configurada para fornecer acesso às VMs.

Gostaria de executar um firewall no host, mas não em cada VM. O firewall deve bloquear todas as portas no host e nas VMs que não são necessárias. Aqui está especificamente como eu gostaria de configurá-lo:

  • O HOST só deve poder se conectar via SSH dentro de seu netblock.
  • O HOST não deve ter outras portas além do SSH aberto.
  • APAHCE, o MYSQL deve poder ser conectado via SSH de qualquer lugar.
  • O MYSQL deve poder ser conectado via porta 3306 somente dentro do netblock.
  • O JETTY deve poder ser conectado à porta 8080 (ele está sendo executado como um usuário, portanto não pode ser executado em 80), mas o tráfego para a porta 80 também deve ser encaminhado para 8080 no firewall, para que ele possa aparecem como um servidor http regular.

Eu recentemente mudei para o Ubuntu, então não tenho certeza qual é a melhor ferramenta de firewall. Eu já usei o iptables no CentOS no passado, mas o iptables não está rodando no meu sistema host. Eu vi referência a UWF como a ferramenta de firewall para o Ubuntu? Parece que o UWF está instalado, mas não ativo.

Alguma sugestão sobre como fazer isso acontecer? Quais arquivos devo editar? Existem bons HOWTOs em fazer isso que eu não encontrei?

    
por Tauren 09.03.2010 / 23:16

4 respostas

1

Acho que o UFW é apenas uma fachada para o iptables. De qualquer forma, você pode jogar com seu frontend gráfico.

Mas eu sugiro strongmente que você aprenda o iptables. Documentação oficial do Unbuntu: link

    
por 10.03.2010 / 14:43
0

Para o que você descreve, não acho que você precise de uma configuração de firewall (ou seja, filtro de pacotes). Simplesmente certifique-se de que todos os serviços desnecessários estejam desabilitados ou ouça somente em localhost / 127.0.0.1 e que os serviços necessários (SSH, soquete TCP do MySQL) escutem somente interfaces ou sub-redes específicas.

Para o SSH, essa é a diretiva ListenAddress em / etc / ssh / sshd_config bind-address em /etc/mysql/my.cnf . Nos sistemas Linux também existe a possibilidade de usar /etc/hosts.allow e /etc/hosts.deny para maior segurança.

Não confie em um filtro de pacotes para fornecer toda a segurança de que você precisa. Muito mais importante é saber exatamente quais serviços estão sendo executados e onde eles estão escutando. Você não pode simplesmente colocar um firewall na frente de um host mal configurado e seguro e esperar acabar com isso. É uma prática muito ruim.

    
por 10.03.2010 / 15:04
0

parece um szenario perfeito para shorewall . O shorewall é uma ferramenta de firewall baseada em zonas para o iptables / netfilter e muito fácil de configurar

    
por 11.03.2010 / 14:28
0

Veja o que você está procurando ...

link

    
por 16.10.2010 / 06:01