我最近被分配了一项任务,要建立一个安全的开发环境。我正在考虑做以下事情:
- 使用 OpenVPN 连接到服务器。
- 使用防火墙规则阻止本地网络之外的所有传入连接
- 服务将包括 SHH、HTTP/HTTPS 和 git
这可能吗?
更新:我想更合适的问题是如何阻止本地网络之外的访问。
答案1
使用 UFW 应该相当容易。
假设你的范围是 192.168.1.x,那么它将是这样的
sudo ufw allow from 192.168.1.0/24 to any port 22
sudo ufw allow from 192.168.1.0/24 to any port 80
sudo ufw allow from 192.168.1.0/24 to any port 443
如果你想限制对特定 IP 地址的访问,那么可以这样写
sudo ufw allow form xxx.xxx.x.x to any port 22
基本上只是检查一下UFW - 社区帮助 Wiki并复习 UFW。
此外,如果你想限制对 VPN 的访问,端口通常
1701/tcp, 4500/udp, and 500/udp
但你可能需要查一下以确保
答案2
您无法明确限制“所有非来自 OpenVPN 的传入连接”...您可以通过端口号进行限制,这通常与应用程序密切相关 - 但本地机器无法绝对确定连接的来源。也就是说,由于这些东西都在被认为是相对安全的协议下运行,只要您遵循其他最佳实践,如良好的密码等,那么这是一个很好的开始。