Como restringir o acesso ao Cloud Server somente a determinados IPs?

            Para aumentar a segurança dos serviços contratados, é possível restringir o acesso ao PostgreSQL, MySQL, Apache, SSH e FTP somente a determinados IPs.

            Desta forma, os serviços só estarão disponíveis para estes computadores específicos, como um servidor de VPN, aumentando a segurança de quem pode realizar a administração dos serviços.


            Lembre-se das portas utilizadas por cada serviço:

            Porta
            Serviço
            5432
            Postgres
            3306
            Mysql
            80
            Apache
            22
            SSH
            21
            FTP


            Servidor Linux

            Conecte-se ao servidor onde estão os serviços contratados via SSH. Caso tenha dúvidas de como realizar esta etapa, consulte "Como estabelecer uma conexão SSH com o Cloud Server?"

            Você pode restringir o acesso somente do serviço desejado (atente-se ao número da porta, escrito em azul ).

            No terminal entre com os comandos abaixo, trocando os "x" pelo IP a qual deseja restringir o acesso do serviço. Digite um comando por vez e tecle enter para confirmar.



            Bloquear PostgreSQL:


            iptables -A INPUT -p tcp --dport  5432 ! -s  XXX.XXX.XXX.XXX  -j REJECT
            



            Bloquear MySQL:


            iptables -A INPUT -p tcp --dport  3306 ! -s  XXX.XXX.XXX.XXX  -j REJECT
            



            Bloquear Apache:


            iptables -A INPUT -p tcp --dport  80 ! -s  XXX.XXX.XXX.XXX  -j REJECT
            



            Bloquear SSH:


            iptables -A INPUT -p tcp --dport  22 ! -s  XXX.XXX.XXX.XXX  -j REJECT
            



            Bloquear FTP:


            iptables -A INPUT -p tcp --dport  21 ! -s  XXX.XXX.XXX.XXX  -j REJECT
            


            Fedora/CentOS/RedHat

            Insira o comando /sbin/service iptables save para salvar as regras do iptables e depois chkconfig iptables on para sempre iniciar o iptables no boot.

            Pronto! Agora os serviços que inseriu só estarão disponíveis através da conexão desta máquina (IP) especificado.


            Ubuntu/Debian

            Entre com o comando iptables-save > /etc/firewall.conf.

            Img-02.png



            É necessário editar um arquivo para que as configurações do iptables não desapareçam ao reiniciar, bastando teclar nano /etc/network/if-up.d/iptables.


            Img-03.png



            Será aberta uma página vazia, então insira as linhas:


            #!/bin/sh

            iptables-restore < /etc/firewall.conf

            Img-04.png



            Salve e saia do arquivo (aperte Ctrl+x, depois Y e tecle enter).




            Execute chmod +x /etc/network/if-up.d/iptables para dar permissão ao arquivo.


            Img-05.png



            Pronto! Agora os serviços que inseriu só estarão disponíveis através da conexão desta máquina (IP) especificado.



            Servidor Windows

            Conecte-se ao servidor onde estão os serviços contratados via RDP (Remote Desktop Protocol).

            Em servidor Windows, através do Local Security Policy, é fácil realizar a configuração, bastando seguir os passos:

            Clique em Iniciar > Executar > digite secpol.msc e clique em Ok.

            Img-06.png



            Clique com o botão auxiliar em IP Security Polices on Local Computer e depois em Create IP Security Policy.


            Img-07.png



            Abrirá uma janela, clique em Next, digite um nome (ex: filtro de serviços) e clique em Next.


            Img-08.png



            Desmarque a caixa Activate the default response rule e clique Next.


            Img-09.png



            Marque a caixa Edit properties e clique em Finish.


            Img-10.png



            CRIANDO: A janela de edição irá abrir, desmarque a caixa Use Add Wizard clique em Add... para mostrar a janela de nova regra.


            Img-11.png



            Abaixo das listas de filtros, clique em Add... e outra janela irá abrir.


            Img-12.png



            Digite o nome desejado, como liberar porta 80 (altere o número para o da porta em questão), desmarque a caixa Use Add Wizard e clique em Add...


            Img-13.png



            Nesta janela, em Source address coloque A specific IP Address e insira o endereço IP da máquina que deseja ter o acesso liberado ao serviço. Em Destination address escolha My IP Address. Marque a caixa Mirrored e clique na guia Protocol.


            Restringir1.JPG



            Em Select a protocol type coloque TCP, em Set the IP protocol port, selecione From this port e digite o número da porta desejada. Clique em OK.


            Img-15.png


            Clique em OK. Selecione em IP Filter Lists a regra criada.

            Img-16.png



            No canto superior, clique na guia Filter Action e depois em Add...


            Em Security Methods selecione Permit e clique na guia General.

            Img-17.png


            No nome digite permitir. Clique em OK e selecione-a em Filter Actions. Clique em Close e OK novamente.

            Criou-se a regra de acesso para o IP inserido.



            Agora é necessário bloquear todos os outros acessos, fazendo:




            Dê duplo clique em filtro serviço.


            Img-18.png



            Desmarque a caixa Use Add Wizard e clique em Add...


            Img-19.png



            Em Ip Filter Lists clique em Add... Em nome desejado, coloque bloqueio porta 80 (altere o número para o da porta em questão), desmarque a caixa Use Add Wizard e clique em Add...


            Img-20.png



            Nesta janela, em Source address coloque Any IP Address, em Destination address escolha My IP Address, marque a caixa Mirrored e clique na guia Protocol.


            Img-21.png



            Em Select a protocol type coloque TCP, em Set the IP protocol port selecione From this port e digite o número da porta desejada para bloqueio. Clique em OK e depois em OK novamente. Selecione esta regra na listagem (bloqueio porta 80).


            Img-22.png



            No canto superior, clique na guia Filter Action e depois em Add...


            Em Security Methods selecione Block e clique na guia General. No nome digite bloquear. Clique em OK e selecione-a (bloquear) em Filter Actions.

            Clique em Close e repare se a lista está preenchida da seguinte forma:

            Img-23.png



            Pronto! Clique em OK e ative as regras, clicando com o botão direito sobre ela (filtro serviço) e depois em Assign. Uma flecha verde ficará ao lado do ícone, indicando que está ativa.




            Para adicionar outras portas, dê duplo clique na regra e clique em Add... e faça os passos iniciando do título CRIANDO: citado logo acima neste tutorial, trocando a porta 80 pela desejada, podendo reaproveitar os Filter Action(permitir e bloquear).




            Agora os serviços que inseriu só estarão disponíveis através da conexão desta máquina (IP) especificado.



            Atualizado: 15 Jan 2018 01:38 AM
            Foi útil?  
            Ajude-nos a tornar este artigo melhor
            0 0