Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
firewall [07.04.2018 08:03] – angelegt havelock | firewall [17.11.2019 13:11] (aktuell) – havelock | ||
---|---|---|---|
Zeile 5: | Zeile 5: | ||
* redis (sofern Teil des Redis-Clusters | * redis (sofern Teil des Redis-Clusters | ||
* fail2ban | * fail2ban | ||
+ | |||
+ | **Zugriff auf Firmware-Updates über Firewall-Regeln steuern** | ||
+ | |||
+ | * Nur speziell zugelassene Knoten dürfen updaten | ||
+ | * Alle anderen Zugriffe werden protokolliert und blockiert | ||
+ | * Ob eine Regel gezogen hat erkennt man am Paketzähler der Regel, die Zuordnung zum Knoten wird über den Kommentar erleichtert | ||
+ | |||
+ | < | ||
+ | ip6tables -N firmware-update | ||
+ | ip6tables -A firmware-update -s <IPv6 vom Knoten> -p tcp --dport 80 -m comment --comment " | ||
+ | ip6tables -A firmware-update -j LOG --log-prefix " | ||
+ | ip6tables -A firmware-update -j REJECT | ||
+ | |||
+ | ip6tables -I INPUT -p tcp --dport 80 -j firmware-update | ||
+ | </ | ||
+ | |||