понедельник, 20 ноября 2017 г.

Как быстро спрятать сервер и исходящий траффик


Когда у вас паранойя и вы не хотите пользоваться общедоступными анномайзерами, которые дают не всегда приличную скорость. Вам надо замаскировать исходящий трафик или не офишировать подключение к удаленному серверу, вам может подойти следующее решение.

1. Берем VPS за который можно платить в криптовалюте.
2. Настраиваем Squid как прокси сервер для браузинга
3. Настраиваем NAT для маскарадинга подключений на удаленный точки.
4. Защищаем наш сервер от сторонних подключений.

Кратко про SQUID на CENTOS 

Устанавливаем - yum install squid
Изменяем конфигурацию - стандартный порт, на ваш любимый - идем в /etc/squid/squid.conf и меняем:
http_port 3131
acl localnat src our_network #  прописываем нужные нам подсети
Перезапускаем - service squid restart

Настраиваем перенаправление трафика на удаленные сервера на FirewallD

Порт который будет слушать наша VPS - 444, порт куда перенаправлять 3389 и адрес маскируемого сервера 94.22.11.11. Обратите внимание что до настройки проброса портов у вас должен быть привязан внешний интерфейс к нужной вам зоне а так же включен маскарадинг в этой зоне.

А теперь внимание, так как порядок обработки правил следующий

The basic ordering of rules inside a zone is the same for all zones
1) Any port forwarding and masquerading rules set for that zone.
2) Any logging rules set for that zone.
3) Any deny rules set for that zone.
4) Any allow rules set for that zone.

подобный способ добавления проброса порта
firewall-cmd --permanent --zone=public --add-porwardport=port=444:proto=tcp:toport=3389:toaddr=94.22.11.11
разрешает подключение на порт с любого адреса.

Для ограничения входящего траффика на проброшенный порт необходимо создать rich-rule
firewall-cmd --zone=public --permanent --add-rich-rule='rule family="ipv4" source address="212.90.54.13" forward-port to-addr="94.22.11.11" to-port="3389" port="443"  protocol="tcp"'



Настройка правил доступа на FirewallD
Если вы для работы с сервером будете подключаться только с определенных адресов на конкретные серисы сервера, то следует ужесточить политику доступа и разрешить только данные адреса:
    - создаем сервис в котором прописуем порты на которые мы будем подключаться
   firewall-cmd --permanent --add-service=PRDP
   firewall-cmd --permanent  --service=PRDP --add-port=444/tcp
   firewall-cmd --reload
 
   - создаем правило разрешающее подключение на порт с подсети или конкретного адреса.
    #source address="our_network" - указываем наши подсети или ip, с которых мы должны подключаться
    firewall-cmd —permanent —zone=public —add-rich-rule 'rule family="ipv4" service name="PRDP" source address="our_network" accept'   
 
   firewall-cmd —reload

Таким же образом не забываем настроить разрешения для SQUID, если это нам необходим. Если же мы хотим иметь доступ к прокси с любого адреса, используем следующий набор команд.
 
   firewall-cmd --permanent --zone=public --add-port=3131/tcp


Полезные ссылки:
http://www.linuxjournal.com/content/understanding-firewalld-multi-zone-configurations?page=0,1
https://fedoraproject.org/wiki/FirewallD/ru

Комментариев нет: