Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Vorhergehende ÜberarbeitungLetzte Überarbeitung | |||
— | firewall [17.11.2019 13:10] – havelock | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | ====== Firewall ====== | ||
+ | |||
+ | Auf den Gateways sind Regeln vorhanden für | ||
+ | * NAT: Für ExitVPN | ||
+ | * redis (sofern Teil des Redis-Clusters | ||
+ | * fail2ban | ||
+ | |||
+ | **Zugriff auf Firmware-Updates über Firewall-Regeln steuern** | ||
+ | |||
+ | * Nur speziell zugelassene Knoten dürfen updaten | ||
+ | * Alle anderen Zugriffe werden protokolliert und blockiert | ||
+ | * Ob eine Regel gezogen hat erkennt man am Paketzähler der Regel, die Zuordnung zum Knoten wird über den Kommentar erleichtert | ||
+ | |||
+ | < | ||
+ | ip6tables -N firmware-update | ||
+ | ip6tables -A firmware-update -s <IPv6 vom Knoten -p tcp --dport 80 -m comment --comment " | ||
+ | ip6tables -A firmware-update -j LOG --log-prefix " | ||
+ | ip6tables -A firmware-update -j REJECT | ||
+ | </ | ||