我进行了初步搜索,但未能找到完全相同/相似的问题。
我正在我们的网络中配置一个服务器,以便让第三方的普通用户获得 SSH 访问权限。
我正在尝试使用服务器将服务器与网络隔离IPTables
。我的想法是阻止SSH
对网络其他部分的传出访问。我想问这是否足够,或者我应该阻止其他任何东西,或者我应该IPTables
只在侧面采取什么预防措施。
第三方将没有root
或无法提升访问权限。他们只能通过单个静态 IP 通过 SSH 连接到服务器。
答案1
一般来说,对于这样的例子,您需要一个非军事区 (DMZ) 来放置该服务器。DMZ 前面的防火墙将允许从指定 IP 地址通过 SSH 访问该服务器(您提到只允许一个静态 IP),然后 DMZ 后面的防火墙(在 DMZ 和您的本地网络之间)将阻止来自该服务器的所有其他内容。
阻止的内容取决于使用服务器的人需要访问的内容。例如,即使您使用 IPTables 阻止 SSH,其他所有服务仍可用(ftp、nfs、smb、dns、dhcp 等 - 列表仅供参考),因此,除非您希望他们能够访问所有内容,否则您需要阻止所有这些内容。