我进行了初步搜索,但未能找到完全相同/相似的问题。
我正在我们的网络中配置一个服务器,以便让第三方的普通用户获得 SSH 访问权限。
我正在尝试使用服务器将服务器与网络隔离IPTables。我的想法是阻止SSH对网络其他部分的传出访问。我想问这是否足够,或者我应该阻止其他任何东西,或者我应该IPTables只在侧面采取什么预防措施。
第三方将没有root或无法提升访问权限。他们只能通过单个静态 IP 通过 SSH 连接到服务器。
答案1
一般来说,对于这样的例子,您需要一个非军事区 (DMZ) 来放置该服务器。DMZ 前面的防火墙将允许从指定 IP 地址通过 SSH 访问该服务器(您提到只允许一个静态 IP),然后 DMZ 后面的防火墙(在 DMZ 和您的本地网络之间)将阻止来自该服务器的所有其他内容。
阻止的内容取决于使用服务器的人需要访问的内容。例如,即使您使用 IPTables 阻止 SSH,其他所有服务仍可用(ftp、nfs、smb、dns、dhcp 等 - 列表仅供参考),因此,除非您希望他们能够访问所有内容,否则您需要阻止所有这些内容。