Joka (Diskussion | Beiträge) |
Jnk (Diskussion | Beiträge) K (Textersetzung - „IMT“ durch „ZIM“) |
||
| (2 dazwischenliegende Versionen von einem anderen Benutzer werden nicht angezeigt) | |||
| Zeile 3: | Zeile 3: | ||
|os=Linux | |os=Linux | ||
|service=Service:Housing und Hosting | |service=Service:Housing und Hosting | ||
| − | |targetgroup=Angestellte,Studierende | + | |targetgroup=Angestellte, Studierende |
|hasdisambig=Ja | |hasdisambig=Ja | ||
|disambiguation=Hosting - OS | |disambiguation=Hosting - OS | ||
| Zeile 10: | Zeile 10: | ||
|marker=Stub | |marker=Stub | ||
}} | }} | ||
| − | Auf Servern im Hostingmodell OS setzt das | + | Auf Servern im Hostingmodell OS setzt das ZIM auf eine lokale Firewall auf dem Server, die mittels nftables realisiert wird. |
In dieser Anleitung werden konkrete Beispiele gegeben, um die Firewall wie gewünscht zu manipulieren. | In dieser Anleitung werden konkrete Beispiele gegeben, um die Firewall wie gewünscht zu manipulieren. | ||
== nftables == | == nftables == | ||
Einen kurzen Überblick gibt es hier: https://wiki.nftables.org/wiki-nftables/index.php/Quick_reference-nftables_in_10_minutes | Einen kurzen Überblick gibt es hier: https://wiki.nftables.org/wiki-nftables/index.php/Quick_reference-nftables_in_10_minutes | ||
| − | === Struktur der | + | === Struktur der ZIM Regeln === |
Wir legen für ipv6 und ipv4 verschiedene Tabellen in nftables an. Diese heissen ip und ip6. | Wir legen für ipv6 und ipv4 verschiedene Tabellen in nftables an. Diese heissen ip und ip6. | ||
Im Normalfall sind für Kunden folgende Zeilen relevant: | Im Normalfall sind für Kunden folgende Zeilen relevant: | ||
| Zeile 32: | Zeile 32: | ||
=== SSH Zugriff === | === SSH Zugriff === | ||
| − | Obwohl Sie ohne Probleme auch den SSH-Zugriff selber anlegen könnten, wäre es ratsam, diesen mit dem | + | Obwohl Sie ohne Probleme auch den SSH-Zugriff selber anlegen könnten, wäre es ratsam, diesen mit dem ZIM abzustimmen, da in der Regel die Datacenter Firewall keinen SSH Zugriff von überall erlaubt, sondern nur von speziellen Jump-Hosts. |
| − | == | + | == Docker == |
| − | Falls Sie Docker auf Ihrem Server einsetzen wollen, dann sagen Sie uns bitte bescheid, damit wir docker korrekt konfigurieren können. Sonst kann es dazu führen, dass eine Änderung an den Regeln Anwendungen, die in docker Containern laufen, unerreichbar macht. | + | Falls Sie Docker auf Ihrem Server einsetzen wollen, dann sagen Sie uns bitte bescheid ([[Optionale Pakete]]), damit wir docker korrekt konfigurieren können. Sonst kann es dazu führen, dass eine Änderung an den Regeln Anwendungen, die in docker Containern laufen, unerreichbar macht. |
== Externe Firewalls == | == Externe Firewalls == | ||
| − | Bitte beachten Sie, dass ihr Server hinter weiteren Firewalls steht. Nur weil ein Port auf dem Server geöffnet wurde, heißt nicht, dass dieser automatisch aus dem Internet erreichbar ist. Bitte besprechen Sie das weitere Vorgehen mit dem | + | Bitte beachten Sie, dass ihr Server hinter weiteren Firewalls steht. Nur weil ein Port auf dem Server geöffnet wurde, heißt nicht, dass dieser automatisch aus dem Internet erreichbar ist. Bitte besprechen Sie das weitere Vorgehen mit dem ZIM. |
== Siehe auch == | == Siehe auch == | ||
[[Hosting - OS]] | [[Hosting - OS]] | ||
Aktuelle Version vom 17. Mai 2024, 13:38 Uhr
| Anleitung | |
|---|---|
 Linux | |
| Informationen | |
| Betriebssystem | Linux |
| Service | Housing und Hosting |
| Interessant für | Angestellte und Studierende |
| Linux Portalseite | |
 | This article is a stub. You can help us by expanding it. |
Auf Servern im Hostingmodell OS setzt das ZIM auf eine lokale Firewall auf dem Server, die mittels nftables realisiert wird. In dieser Anleitung werden konkrete Beispiele gegeben, um die Firewall wie gewünscht zu manipulieren.
nftables[Bearbeiten | Quelltext bearbeiten]
Einen kurzen Überblick gibt es hier: https://wiki.nftables.org/wiki-nftables/index.php/Quick_reference-nftables_in_10_minutes
Struktur der ZIM Regeln[Bearbeiten | Quelltext bearbeiten]
Wir legen für ipv6 und ipv4 verschiedene Tabellen in nftables an. Diese heissen ip und ip6. Im Normalfall sind für Kunden folgende Zeilen relevant:
chain custom_rules {
tcp dport { mysql, 9200, 9300, 27017-27019 } jump log-reject comment "No remote access to mysql, mongodb, elasticsearch"
tcp dport ssh counter jump ssh comment "jump to ssh chain once"
tcp dport ssh counter jump admin_access comment "jump to ssh chain once"
tcp dport ssh counter jump log-reject comment "Drop everything ssh that was not allowed yet"
counter accept comment "Hosted Server accepts everything that is not explicitly filtered"
}
Somit wird automatisch der komplette Zugriff auf den Host freigegeben, der nicht in den Ports (22,3306,9200,9300,27017-27019) liegt. Wollen Sie den Zugriff weiter einschränken, können Sie das über eine Datei in /etc/nftables.d realisieren. Es liegt bereits eine Beispieldatei im Ordner, an der Sie sich orientieren können.
SSH Zugriff[Bearbeiten | Quelltext bearbeiten]
Obwohl Sie ohne Probleme auch den SSH-Zugriff selber anlegen könnten, wäre es ratsam, diesen mit dem ZIM abzustimmen, da in der Regel die Datacenter Firewall keinen SSH Zugriff von überall erlaubt, sondern nur von speziellen Jump-Hosts.
Docker[Bearbeiten | Quelltext bearbeiten]
Falls Sie Docker auf Ihrem Server einsetzen wollen, dann sagen Sie uns bitte bescheid (Optionale Pakete), damit wir docker korrekt konfigurieren können. Sonst kann es dazu führen, dass eine Änderung an den Regeln Anwendungen, die in docker Containern laufen, unerreichbar macht.
Externe Firewalls[Bearbeiten | Quelltext bearbeiten]
Bitte beachten Sie, dass ihr Server hinter weiteren Firewalls steht. Nur weil ein Port auf dem Server geöffnet wurde, heißt nicht, dass dieser automatisch aus dem Internet erreichbar ist. Bitte besprechen Sie das weitere Vorgehen mit dem ZIM.