آموزش امن کردن ( جیل کردن) FreeBSD با استفاده از تنها یک آی پی

  1. نصب ezjail :

برای این کار به زیر شاخه مربوطه میریم و برنامه رو با دستور مریوطه نصب میکنیم:

# cd /usr/ports/sysutils/ezjail

# make install clean

# vi /etc/rc.conf

ezjail_enable=”YES”

# service ezjail start

حالا برای ایجاد محیط (برای صرفجویی در فضا)

# ezjail-admin update -p –i

  1. خوب قضیه چیه؟ من یه وی پی اس دارم و میخوام برای امنیت بیشتر جیل کنمش و دسترسی به یه سری سرویس ها رو محدود تر کنم مثل ssh, http

اول باید یه کارت شبکه مجازی لوپ بگ بسازم :

# vi /etc/rc.conf

cloned_interfaces=”lo1″

ipv4_addrs_lo1=”192.168.0.1-9/29″

حالا

# service netif cloneupCreated clone interfaces: lo1.

 

حالا یه سری تغیراتی رو تو فایروال PF میدیم که از طریق NAT اجازه دسترسی بدیم به بعضی از پورت ها و Public IP :

 

# vi /etc/pf.conf

IP_PUB=”MY Public IP”

IP_JAIL=”192.168.0.2″

NET_JAIL=”192.168.0.0/24″

PORT_JAIL=”{80,443,2020}”

scrub in all

nat pass on em0 from $NET_JAIL to any -> $IP_PUB

rdr pass on em0 proto tcp from any to $IP_PUB port $PORT_WWW -> $IP_JAIL

  • نکته : من پورت دسترسی SSH رو ۲۰۲۰ کردم و الان اینجا گذاشتم

# pfctl -nf  /etc/pf.conf

service pf start

حالا برای اینکه چک کنیم قوانین داخل فایروال رو :

# pfctl -sn

nat pass on em0 inet from 192.168.0.0/24 to any -> YOUR_PUBLIC_IP

rdr pass on em0 inet proto tcp from any to YOUR_PUBLIC_IP port = http -> 192.168.0.2

rdr pass on em0 inet proto tcp from any to YOUR_PUBLIC_IP port = https -> 192.168.0.2

rdr pass on em0 inet proto tcp from any to YOUR_PUBLIC_IP port = 2264 -> 192.168.0.2

 

  • نکته : اگه بخوایی از داخل VPS یه سری کار مانند traceroute, ping , sockstat و از این قبیل انجام بدید باید :

# vi /etc/sysctl.conf

security.jail.allow_raw_sockets=1

جمع آوری : حسین مهرآرا