Linode es una plataforma en la cúmulo llamativo y fundada antiguamente que AWS. En ese entonces, solíamos llamarlos VPS (Supuesto Private Server). Recientemente, agregaron una nueva función de firewall para controlar el golpe a la red a mi servidor Linode desde la cúmulo. Probemos el firewall en la cúmulo Linode.
¿Qué es un firewall en la cúmulo Linode?
Un firewall no es más que reglas simples que filtran el tráfico desconfiado que llega a su servidor o red Linux. Usamos un firewall para cercar y permite el tráfico de red según nuestras micción. Por ejemplo, puedo permitir que la única dirección IP específica inicie sesión a través de SSH. Por supuesto, debe habilitar e instalar dicho firewall para el servidor Linux. Un firewall en la cúmulo hace el mismo trabajo a nivel de red. Para que el tráfico pueda conservarse o negarse. Podemos controlar el flujo de paquetes fácilmente. Podemos configurar reglas de entrada y salida para el servidor.
¿Pero no tenemos iptables, ufw, firewalld para el servidor Linux?
Muchos desarrolladores, administradores de sistemas de Linux de telediario y usuarios encuentran difícil la sintaxis de iptables. Muchos terminan configurando políticas de firewall incorrectas y dándoles una falsa ilusión y una sensación de seguridad. Por lo tanto, se puede usar un firewall en la cúmulo para proteger el servidor. Todavía lo llamamos Firewall-as-a-Service (FWaaS), y estamos subcontratando el trabajo de filtrado de paquetes IP al firewall Linode. Por supuesto, podemos combinar tanto el firewall en la cúmulo como iptables. En algunos casos, todavía necesitará iptables. Por ejemplo, los contenedores de Linux y las aplicaciones basadas en Docker necesitan reglas NAT para redirigir el tráfico a los contenedores correctos.
Prueba de conducción del firewall en la cúmulo Linode
Asociar un firewall Linode es simple. Entré en mi administrador de Linode y elegí Cortafuegos en el menú de la izquierda. Haga clic en «Asociar un firewall». Todavía podemos usar la opción CLI:
Asociar un nuevo firewall Linode para proteger mi caja Alpine Linux
El cortafuegos Linode establece reglas de entrada sensibles que permiten el tráfico DNS y SSH de forma predeterminada. No hay ninguna regla de salida configurada y todo el tráfico de mi servidor Linux está permitido de forma predeterminada:
Regla de firewall de entrada / salida predeterminada
Como alojaré un sitio web, necesito destapar los puertos TCP 443 (HTTPS) y 80 (HTTP). Puede destapar cualquier puerto y controlar el golpe a una dirección IP específica o permitir que todos usen el sitio web:
Destapar puertos HTTP y HTTPS
Restringamos el tráfico SSH a OpenVPN o Wireguard CIDR 10.8.1.0/24 o una dirección IP pública como 1.2.3.4:
De forma predeterminada, las solicitudes de ping-pong están bloqueadas. Seamos buenos internautas y permitamos ICMP usando una regla personalizada:
Permitir solicitud de ping entrante
Las reglas de salida de Linode limitan las conexiones de red salientes de un servicio de Linode en función de los puertos y destinos que configuramos. De forma predeterminada, todas las solicitudes salientes del servidor se permiten, pero decidí insensibilizar la política de seguridad de IP. Al final, así es como se veía:
Sin secuestro, me perdí dos características:
- Seto de velocidad para SSH o cualquier otro puerto. Por ejemplo, niegue las conexiones desde una dirección IP que haya intentado iniciar seis o más conexiones en los últimos 30 segundos. Esa característica sería perspicaz.
- Todavía me gustaría ver un cuadro de texto de comentario personalizado para reglas personalizadas. Digamos que necesito investigar qué se configura la regla de entrada UDP / 1194.
Espero que agreguen estas dos pequeñas características y harán que el producto sea aún mejor.
Cómo validar la política de IP establecida por el firewall en la cúmulo de Linode
Utilice el comando nmap desde su escritorio Linux o macOS / BSD:sudo nmap your-linode-ip-here
Futuro de muestra:
Nmap scan report for li2xyz-abc.members.linode.com (172.10z.xxx.yyy) Host is up (0.016s latency). Not shown: 998 filtered ports PORT STATE SERVICE 80/tcp closed http 443/tcp closed https
Resumiendo
En común, encontré la interfaz de beneficiario manejable de usar y perfecta para nuevos desarrolladores de Linux o administradores de sistemas. El firewall en la cúmulo subcontratado elimina las conjeturas de configurar una política de IP válida. Siempre he preferido cerrar todas las ventanas y destapar el enfoque de política IP de puertos TCP / UDP requerido. La seguridad es como una cebolla para mí. Necesita diferentes capas para proteger sus sitios web o aplicaciones. Por lo tanto, adicionalmente del firewall en la cúmulo Linode, necesitamos instalar WAF (firewall de aplicaciones web) como ModSecurity para Nginx o Apache. Para los ataques DoS / DDoS y el control de bots, necesita un firewall en la cúmulo distribuido proporcionado por Cloudflare, Fastly, AWS y otros. No olvide consultar la documentación del firewall de Linode, ya que ofrece más información.
Descargo de responsabilidad: Linode es un patrocinador corporativo de nixCraft desde 2017. Escribo esta reseña como un beneficiario atinado y la recomiendo a todos mis clientes y visitantes del blog.
