Необходимо ли иметь правила брандмауэра между доверенными узлами, связывающимися на их внутренних интерфейсах?

Question

Необходимо ли иметь правила брандмауэра между доверенными узлами, связывающимися на их внутренних интерфейсах?

У меня есть 6 узлов, которые имеют доступ в Интернет на eth1 и частный доступ друг к другу на eth0. В настоящее время у меня есть правила брандмауэра для eth0, для таких вещей, как memcached и NFS. Это необходимо? Это настоящая головная боль, так как NFS, например, обменивается данными с разными портами, и недавно я представил glusterfs, который нуждается в еще большем количестве. Является ли головной болью выяснения того, какие бэкэнд-порты разблокировать, стоит повышения безопасности?

Я должен упомянуть, что у меня все еще будет правило брандмауэра на eth0 для блокировки серверов, принадлежащих другим в том же центре данных.

Спасибо

1

iptables nfs

Источник

Tom 30 июн '12 в 22:59

3 ответа

Решение

Открытие портов для NFS и glusterfs не должно быть головной болью.

Glusterfs использует много портов, но это известный и ограниченный список, поэтому его можно записать в сценарий. NFS может быть настроен на использование определенных портов (в /etc/sysconfig/nfs на RHEL и аналогичных серверах NFS), а не на случайных.

0

Источник

ramruma 01 июл '12 в 11:04

Если каждому серверу разрешено связываться с любым другим сервером на каждом открытом порту, то брандмауэры на самом деле ничего не делают, и вы также можете использовать общий прием. Если есть некоторый внутренний трафик, который не разрешен, то это зависит от последствий, которые эти ограничения будут обойдены, по сравнению с усилиями управления.

0

Источник

mgorven 01 июл '12 в 06:18

Другие вопросы по тегам iptables nfs

Tonny 01 июл '12 в 09:56 2012-07-01 09:56 · Accepted Answer · 2012-07-01 09:56

Это боль, я согласен. Вы можете обойтись без (пока вы все еще блокируете все остальное на eth0, которое вы уже указали).

Единственный риск: если один из ваших 6 серверов скомпрометирован, "плохому парню" легче попасть на остальные 5.
Скорее всего, они работают на той же ОС с той же уязвимостью, что и первый сервер, поэтому злоумышленник, вероятно, также может скомпрометировать их с помощью eth1.
Но если эти 6 серверов являются разными ОС или имеют разные сервисы, выставленные на eth1, то дополнительный FW на eth0 может помешать злоумышленнику получить доступ к другим 5.

Независимо от того, какой выбор вы сделаете: я надеюсь, что вы настроили разные учетные записи / пароли для этих машин. В любом случае, вы, вероятно, включили SSH на eth0. Если злоумышленник получает учетную запись 1, он может просто войти в следующее окно, если они совпадают. Иногда хорошей идеей является аутентификация по идентификатору пользователя / паролю поверх аутентификации по ключу.