Firewall: consente tutto il traffico da fonti autenticate via. una connessione ssh aperta

Sto cercando un modo per evitare di modificare le regole del firewall tutto il tempo sui test e sui server dev. Non voglio aprire tutte le porte. Pensavo forse che ci sia un modo per consentire automaticamente il traffico dalle fonti con una connessione stabilita di ssh. (Anni fa qualcuno mi ha detto che hanno fatto questo per dev / test server -> nessuna modifica di root e firewall necessari e le applicazioni non devono essere protette)

So che potrei utilizzare un tunnel di ssh, ma il problema con questo è con le applicazioni portuali dinamiche, le applicazioni multiport e il puro overhead del lavoro.

  • Linux: blocca IPv6 per determinate applicazioni / hostname
  • Dovecot con Postfix su Ubuntu: avviso: SASL: connessione al client privato / auth-client non riuscito: nessun file o directory
  • Perché "AcceptEnv *" è considerato insicuro?
  • backup rsync / ssh / rsnapshot - esecuzione di script remoto
  • Come posso controllare per una corrispondenza di string e un file vuoto nella stessa istruzione di script if / then bash?
  • Provisioning per un piccolo team di sviluppo software Linux
  • IpTables e altri firewall probabilmente non sanno se una connessione ssh è stata autenticata ma c'è forse un lavoro intorno o alternativa? (ad esempio impostato per più di 5 secondi -> chiave pubblica / privata scollegamento automatico in caso di errore)

    • INPUT DROP
    • Consentire il rimorso
    • ALLOW SSH
    • PERMETTE LA RETE LOCALE
    • Permettere tutto il traffico da fonti con una connessione stabilita ssh.

    Tutte le regole sono dirette in avanti oltre all'ultima. Purtroppo non ho le informazioni di contatto della persona che una volta ho parlato e non ho potuto scavare niente di simile in una buona ora di ricerca.

    È anche ansible questo? Apprezzo qualsiasi input 🙂

    One Solution collect form web for “Firewall: consente tutto il traffico da fonti autenticate via. una connessione ssh aperta”

    Potresti probabilmente piegare 'fail2ban' ai tuoi desideri, usando un filter personalizzato per rilevare gli events di accesso riusciti e un'azione personalizzata per aggiungere le regole iptables per l'IP di origine rilevata anziché proibirle.

    È un po 'strano in modo da vorresti alcuni commenti davvero buoni nella tua configuration per la prossima persona che verrà per capire cosa sulla terra stavi facendo 🙂

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.