آموزش امن کردن ( جیل کردن) FreeBSD با استفاده از تنها یک آی پی
- نصب ezjail :
برای این کار به زیر شاخه مربوطه میریم و برنامه رو با دستور مریوطه نصب میکنیم:
# cd /usr/ports/sysutils/ezjail
# make install clean
# vi /etc/rc.conf
ezjail_enable=”YES”
# service ezjail start
حالا برای ایجاد محیط (برای صرفجویی در فضا)
# ezjail-admin update -p –i
- خوب قضیه چیه؟ من یه وی پی اس دارم و میخوام برای امنیت بیشتر جیل کنمش و دسترسی به یه سری سرویس ها رو محدود تر کنم مثل ssh, http
اول باید یه کارت شبکه مجازی لوپ بگ بسازم :
# vi /etc/rc.conf
cloned_interfaces=”lo1″
ipv4_addrs_lo1=”192.168.0.1-9/29″
حالا
# service netif cloneupCreated clone interfaces: lo1.
حالا یه سری تغیراتی رو تو فایروال PF میدیم که از طریق NAT اجازه دسترسی بدیم به بعضی از پورت ها و Public IP :
# vi /etc/pf.conf
IP_PUB=”MY Public IP”
IP_JAIL=”192.168.0.2″
NET_JAIL=”192.168.0.0/24″
PORT_JAIL=”{80,443,2020}”
scrub in all
nat pass on em0 from $NET_JAIL to any -> $IP_PUB
rdr pass on em0 proto tcp from any to $IP_PUB port $PORT_WWW -> $IP_JAIL
- نکته : من پورت دسترسی SSH رو ۲۰۲۰ کردم و الان اینجا گذاشتم
# pfctl -nf /etc/pf.conf
service pf start
حالا برای اینکه چک کنیم قوانین داخل فایروال رو :
# pfctl -sn
nat pass on em0 inet from 192.168.0.0/24 to any -> YOUR_PUBLIC_IP
rdr pass on em0 inet proto tcp from any to YOUR_PUBLIC_IP port = http -> 192.168.0.2
rdr pass on em0 inet proto tcp from any to YOUR_PUBLIC_IP port = https -> 192.168.0.2
rdr pass on em0 inet proto tcp from any to YOUR_PUBLIC_IP port = 2264 -> 192.168.0.2
- نکته : اگه بخوایی از داخل VPS یه سری کار مانند traceroute, ping , sockstat و از این قبیل انجام بدید باید :
# vi /etc/sysctl.conf
security.jail.allow_raw_sockets=1
جمع آوری : حسین مهرآرا