Segurança com o encaminhamento de IP do kernel ativado

3

Eu recentemente habilitei o IP Forwarding em um servidor da Web de produção que também atua como um servidor VPN. Quais problemas de segurança, se algum, eu acabei de me preparar? E existem regras de iptables que devo configurar para limitar o encaminhamento para o meu túnel VPN?

    
por muncherelli 01.09.2011 / 02:14

2 respostas

4

Você só terá problemas de segurança se seu servidor for comprometido. Qualquer pessoa que entrar em seu servidor terá acesso a máquinas em sua rede, como se fosse o servidor (suas máquinas provavelmente confiam em seu servidor). Você deve definitivamente ter algumas regras de iptables! Basicamente, você quer que o iptables bloqueie tudo, desde o mundo externo até o seu firewall, exceto a (s) porta (s) do (s) servidor (es) e porta (s) do servidor VPN.

Eu recomendaria algo como o link da shorewall para configurar isso para você, mas algumas pessoas pensam em criar as regras do iptables melhor, desde que você entenda mais sobre o que está acontecendo.

    
por 01.09.2011 / 02:54
1

Você deve definitivamente minimizar qualquer capacidade de roteamento daquele servidor usando o iptables (FORWARD).

Qual servidor VPN você executa? Você tem endereços fixos para suas contas VPN? Suponho que você tenha conhecimento básico de como o iptables deve ser chamado (qual opção / argumento faz o quê)?

Algumas regras de exemplo podem parecer assim, você precisa substituir XXXX e variáveis com valores sensatos que se ajustam à sua configuração:

IPT=/usr/sbin/iptables
# deactivate FORWARD by default as you only want to grant access with a whitelist.
$IPT -P FORWARD DROP
# allow established connections
$IPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
# allow access to your VPN-server from the outside
$IPT -A INPUT -i $OUTER_INTERFACE -p XXXX --dport XXXX -j ACCEPT
# allow access to some host (-d)/protocol (-p)/destination port (--dport) from one VPN-account
$IPT -A FORWARD -i $VPN_INTERFACE -o $LAN_OR_OUTER_INTERFACE -s $IP_FROM_VPN -d $SOME_HOST -p XXXX --dport XXXX
# allow access from your LAN-network/-host to the VPN-clients
$IPT -A FORWARD -i $LAN_INTERFACE -o $VPN_INTERFACE -s $LAN_NET_OR_HOST -j ACCEPT
# allow access from the VPN to the WAN
$IPT -A FORWARD -i $VPN_INTERFACE -o $OUTER_INTERFACE -s $VPN_NET_OR_HOST -j ACCEPT
    
por 01.09.2011 / 09:38