Como restringir o acesso ao Cloud Server somente a determinados IPs?

Como restringir o acesso ao Cloud Server somente a determinados IPs?

Para aumentar a segurança dos serviços contratados, é possível restringir o acesso ao PostgreSQL, MySQL, Apache, SSH e FTP somente a determinados IPs.

Desta forma, os serviços só estarão disponíveis para estes computadores específicos, como um servidor de VPN, aumentando a segurança de quem pode realizar a administração dos serviços.


Lembre-se das portas utilizadas por cada serviço:

Porta
Serviço
5432
Postgres
3306
Mysql
80
Apache
22
SSH
21
FTP


Servidor Linux

Conecte-se ao servidor onde estão os serviços contratados via SSH. Caso tenha dúvidas de como realizar esta etapa, consulte "Como estabelecer uma conexão SSH com o Cloud Server?"

Você pode restringir o acesso somente do serviço desejado (atente-se ao número da porta, escrito em azul ).

No terminal entre com os comandos abaixo, trocando os "x" pelo IP a qual deseja restringir o acesso do serviço. Digite um comando por vez e tecle enter para confirmar.



Bloquear PostgreSQL:


iptables -A INPUT -p tcp --dport  5432 ! -s  XXX.XXX.XXX.XXX  -j REJECT



Bloquear MySQL:


iptables -A INPUT -p tcp --dport  3306 ! -s  XXX.XXX.XXX.XXX  -j REJECT



Bloquear Apache:


iptables -A INPUT -p tcp --dport  80 ! -s  XXX.XXX.XXX.XXX  -j REJECT



Bloquear SSH:


iptables -A INPUT -p tcp --dport  22 ! -s  XXX.XXX.XXX.XXX  -j REJECT



Bloquear FTP:


iptables -A INPUT -p tcp --dport  21 ! -s  XXX.XXX.XXX.XXX  -j REJECT


Fedora/CentOS/RedHat

Insira o comando /sbin/service iptables save para salvar as regras do iptables e depois chkconfig iptables on para sempre iniciar o iptables no boot.

Pronto! Agora os serviços que inseriu só estarão disponíveis através da conexão desta máquina (IP) especificado.


Ubuntu/Debian

Entre com o comando iptables-save > /etc/firewall.conf.

Img-02.png



É necessário editar um arquivo para que as configurações do iptables não desapareçam ao reiniciar, bastando teclar nano /etc/network/if-up.d/iptables.


Img-03.png



Será aberta uma página vazia, então insira as linhas:


#!/bin/sh

iptables-restore < /etc/firewall.conf

Img-04.png



Salve e saia do arquivo (aperte Ctrl+x, depois Y e tecle enter).




Execute chmod +x /etc/network/if-up.d/iptables para dar permissão ao arquivo.


Img-05.png



Pronto! Agora os serviços que inseriu só estarão disponíveis através da conexão desta máquina (IP) especificado.



Servidor Windows

Conecte-se ao servidor onde estão os serviços contratados via RDP (Remote Desktop Protocol).

Em servidor Windows, através do Local Security Policy, é fácil realizar a configuração, bastando seguir os passos:

Clique em Iniciar > Executar > digite secpol.msc e clique em Ok.

Img-06.png



Clique com o botão auxiliar em IP Security Polices on Local Computer e depois em Create IP Security Policy.


Img-07.png



Abrirá uma janela, clique em Next, digite um nome (ex: filtro de serviços) e clique em Next.


Img-08.png



Desmarque a caixa Activate the default response rule e clique Next.


Img-09.png



Marque a caixa Edit properties e clique em Finish.


Img-10.png



CRIANDO: A janela de edição irá abrir, desmarque a caixa Use Add Wizard clique em Add... para mostrar a janela de nova regra.


Img-11.png



Abaixo das listas de filtros, clique em Add... e outra janela irá abrir.


Img-12.png



Digite o nome desejado, como liberar porta 80 (altere o número para o da porta em questão), desmarque a caixa Use Add Wizard e clique em Add...


Img-13.png



Nesta janela, em Source address coloque A specific IP Address e insira o endereço IP da máquina que deseja ter o acesso liberado ao serviço. Em Destination address escolha My IP Address. Marque a caixa Mirrored e clique na guia Protocol.


Restringir1.JPG



Em Select a protocol type coloque TCP, em Set the IP protocol port, selecione From this port e digite o número da porta desejada. Clique em OK.


Img-15.png


Clique em OK. Selecione em IP Filter Lists a regra criada.

Img-16.png



No canto superior, clique na guia Filter Action e depois em Add...


Em Security Methods selecione Permit e clique na guia General.

Img-17.png


No nome digite permitir. Clique em OK e selecione-a em Filter Actions. Clique em Close e OK novamente.

Criou-se a regra de acesso para o IP inserido.



Agora é necessário bloquear todos os outros acessos, fazendo:




Dê duplo clique em filtro serviço.


Img-18.png



Desmarque a caixa Use Add Wizard e clique em Add...


Img-19.png



Em Ip Filter Lists clique em Add... Em nome desejado, coloque bloqueio porta 80 (altere o número para o da porta em questão), desmarque a caixa Use Add Wizard e clique em Add...


Img-20.png



Nesta janela, em Source address coloque Any IP Address, em Destination address escolha My IP Address, marque a caixa Mirrored e clique na guia Protocol.


Img-21.png



Em Select a protocol type coloque TCP, em Set the IP protocol port selecione From this port e digite o número da porta desejada para bloqueio. Clique em OK e depois em OK novamente. Selecione esta regra na listagem (bloqueio porta 80).


Img-22.png



No canto superior, clique na guia Filter Action e depois em Add...


Em Security Methods selecione Block e clique na guia General. No nome digite bloquear. Clique em OK e selecione-a (bloquear) em Filter Actions.

Clique em Close e repare se a lista está preenchida da seguinte forma:

Img-23.png



Pronto! Clique em OK e ative as regras, clicando com o botão direito sobre ela (filtro serviço) e depois em Assign. Uma flecha verde ficará ao lado do ícone, indicando que está ativa.




Para adicionar outras portas, dê duplo clique na regra e clique em Add... e faça os passos iniciando do título CRIANDO: citado logo acima neste tutorial, trocando a porta 80 pela desejada, podendo reaproveitar os Filter Action(permitir e bloquear).




Agora os serviços que inseriu só estarão disponíveis através da conexão desta máquina (IP) especificado.