Como restringir o acesso ao Cloud Server somente a determinados IPs?

De Wiki
Ir para: navegação, pesquisa


Para aumentar a segurança dos serviços contratados, é possível restringir o acesso ao PostgreSQL, MySQL, Apache, SSH e FTP somente a determinados IPs.

Desta forma, os serviços só estarão disponíveis para estes computadores específicos, como um servidor de VPN, aumentando a segurança de quem pode realizar a administração dos serviços.


Lembre-se das portas utilizadas por cada serviço:

Porta Serviço
5432 Postgres
3306 Mysql
80 Apache
22 SSH
21 FTP


Servidor Linux

Conecte-se ao servidor onde estão os serviços contratados via SSH. Caso tenha dúvidas de como realizar esta etapa, consulte "Como estabelecer uma conexão SSH com o Cloud Server?"

Você pode restringir o acesso somente do serviço desejado (atente-se ao número da porta, escrito em azul ).

No terminal entre com os comandos abaixo, trocando os "x" pelo IP a qual deseja restringir o acesso do serviço. Digite um comando por vez e tecle enter para confirmar.


Bloquear PostgreSQL:

iptables -A INPUT -p tcp --dport  5432 ! -s  XXX.XXX.XXX.XXX  -j REJECT


Bloquear MySQL:

iptables -A INPUT -p tcp --dport  3306 ! -s  XXX.XXX.XXX.XXX  -j REJECT


Bloquear Apache:

iptables -A INPUT -p tcp --dport  80 ! -s  XXX.XXX.XXX.XXX  -j REJECT


Bloquear SSH:

iptables -A INPUT -p tcp --dport  22 ! -s  XXX.XXX.XXX.XXX  -j REJECT


Bloquear FTP:

iptables -A INPUT -p tcp --dport  21 ! -s  XXX.XXX.XXX.XXX  -j REJECT


Fedora/CentOS/RedHat

Insira o comando /sbin/service iptables save para salvar as regras do iptables e depois chkconfig iptables on para sempre iniciar o iptables no boot.

Pronto! Agora os serviços que inseriu só estarão disponíveis através da conexão desta máquina (IP) especificado.


Ubuntu/Debian

Entre com o comando iptables-save > /etc/firewall.conf.


Img-02.png


É necessário editar um arquivo para que as configurações do iptables não desapareçam ao reiniciar, bastando teclar nano /etc/network/if-up.d/iptables.


Img-03.png


Será aberta uma página vazia, então insira as linhas:

#!/bin/sh

iptables-restore < /etc/firewall.conf


Img-04.png


Salve e saia do arquivo (aperte Ctrl+x, depois Y e tecle enter).


Execute chmod +x /etc/network/if-up.d/iptables para dar permissão ao arquivo.


Img-05.png


Pronto! Agora os serviços que inseriu só estarão disponíveis através da conexão desta máquina (IP) especificado.


Servidor Windows

Conecte-se ao servidor onde estão os serviços contratados via RDP (Remote Desktop Protocol).

Em servidor Windows, através do Local Security Policy, é fácil realizar a configuração, bastando seguir os passos:

Clique em Iniciar > Executar > digite secpol.msc e clique em Ok.


Img-06.png


Clique com o botão auxiliar em IP Security Polices on Local Computer e depois em Create IP Security Policy.


Img-07.png


Abrirá uma janela, clique em Next, digite um nome (ex: filtro de serviços) e clique em Next.


Img-08.png


Desmarque a caixa Activate the default response rule e clique Next.


Img-09.png


Marque a caixa Edit properties e clique em Finish.


Img-10.png


CRIANDO: A janela de edição irá abrir, desmarque a caixa Use Add Wizard clique em Add... para mostrar a janela de nova regra.


Img-11.png


Abaixo das listas de filtros, clique em Add... e outra janela irá abrir.


Img-12.png


Digite o nome desejado, como liberar porta 80 (altere o número para o da porta em questão), desmarque a caixa Use Add Wizard e clique em Add...


Img-13.png


Nesta janela, em Source address coloque A specific IP Address e insira o endereço IP da máquina que deseja ter o acesso liberado ao serviço. Em Destination address escolha My IP Address. Marque a caixa Mirrored e clique na guia Protocol.


Restringir1.JPG


Em Select a protocol type coloque TCP, em Set the IP protocol port, selecione From this port e digite o número da porta desejada. Clique em OK.


Img-15.png


Clique em OK. Selecione em IP Filter Lists a regra criada.


Img-16.png


No canto superior, clique na guia Filter Action e depois em Add...

Em Security Methods selecione Permit e clique na guia General.


Img-17.png


No nome digite permitir. Clique em OK e selecione-a em Filter Actions. Clique em Close e OK novamente.

Criou-se a regra de acesso para o IP inserido.


Agora é necessário bloquear todos os outros acessos, fazendo:


Dê duplo clique em filtro serviço.


Img-18.png


Desmarque a caixa Use Add Wizard e clique em Add...


Img-19.png


Em Ip Filter Lists clique em Add... Em nome desejado, coloque bloqueio porta 80 (altere o número para o da porta em questão), desmarque a caixa Use Add Wizard e clique em Add...

Img-20.png


Nesta janela, em Source address coloque Any IP Address, em Destination address escolha My IP Address, marque a caixa Mirrored e clique na guia Protocol.


Img-21.png


Em Select a protocol type coloque TCP, em Set the IP protocol port selecione From this port e digite o número da porta desejada para bloqueio. Clique em OK e depois em OK novamente. Selecione esta regra na listagem (bloqueio porta 80).


Img-22.png


No canto superior, clique na guia Filter Action e depois em Add...

Em Security Methods selecione Block e clique na guia General. No nome digite bloquear. Clique em OK e selecione-a (bloquear) em Filter Actions.

Clique em Close e repare se a lista está preenchida da seguinte forma:


Img-23.png


Pronto! Clique em OK e ative as regras, clicando com o botão direito sobre ela (filtro serviço) e depois em Assign. Uma flecha verde ficará ao lado do ícone, indicando que está ativa.


Para adicionar outras portas, dê duplo clique na regra e clique em Add... e faça os passos iniciando do título CRIANDO: citado logo acima neste tutorial, trocando a porta 80 pela desejada, podendo reaproveitar os Filter Action (permitir e bloquear).


Agora os serviços que inseriu só estarão disponíveis através da conexão desta máquina (IP) especificado.