我有一个网络,其中有许多虚拟机托管主要用于内部使用的应用程序,但它们也通过 Traefik 暴露在互联网上。由于其中一个最终可能会被黑客入侵,因此阻止虚拟机的直接出站连接似乎是个好主意。但是,我希望能够运行更新,因此我需要一种方法来允许更新的出站连接。我目前的想法是安装代理服务器(可能是 Squid),配置虚拟机以使用此代理进行更新,并禁止防火墙中虚拟机的所有直接出站连接。因为我不是 IT 专业人士,所以我想就这个想法获得一些反馈。谢谢。
答案1
你需要做的是:
- 收集服务器需要通信的网站或域的列表。
- 安装 Squid,配置其 ACL 以仅接受来自您的服务器和您已经收集的网站列表的连接。
- 配置您的服务器与 Squid 通信并拒绝它们直接访问互联网。
- 监控 Squid 日志中服务器可能尝试与之通信但您忘记将其添加到列表中的其他网站。