Cách định cấu hình máy chủ chỉ sử dụng nội bộ [Ubuntu]

Tôi đang cố gắng xây dựng VM- Home Lab với các Máy chủ Ubuntu khác nhau. Tôi muốn làm cho mọi máy chủ không thể truy cập được từ bên ngoài / internet và tôi nghĩ rằng tôi có thể làm điều này bằng cách định cấu hình iptables.

Tôi đã thử một vài Hướng dẫn gợi ý cho tôi DROP tất cả lưu lượng truy cập và thiết lập nó chỉ thành ACCPET từ mạng nội bộ của tôi (ví dụ: 10.10.0.0/24).

Tuy nhiên, khi tôi làm theo các turotials này, tôi luôn gặp phải một vài lỗi:

• Trước hết, nếu tôi bắt đầu bằng lệnh, iptables -P INPUT DROPtôi không thể tiếp tục với các lệnh còn lại, vì máy chủ bằng cách nào đó không thể giải quyết tên máy chủ của chính mình
• Khi tôi thêm Phạm vi IP cục bộ của mình, iptables -A INPUT -i eth0 -s 192.168.100.0/24 -m state --state NEW,ESTABLISHED -j ACCEPTtôi không thể truy cập máy chủ của mình từ máy chủ của mình qua ssh hoặc thậm chí không thể tải trang web được lưu trữ trên đó

Mục tiêu chính của tôi là làm cho máy chủ có thể truy cập được từ mọi máy tính, máy tính xách tay, v.v ... trên mạng gia đình của tôi, nhưng không phải từ bên ngoài. Vì vậy, bạn bè của tôi và tôi có thể làm việc cùng nhau trong các dự án mã hóa, khi họ mang theo máy tính xách tay của họ.

Có lẽ tôi đang làm quá sức và có thể có một cách dễ dàng hơn (Sử dụng trình ảo hóa hộp ảo).

Các dịch vụ chạy trên máy là gitlab-ce và jira.

Bất kỳ trợ giúp sẽ được đánh giá cao, vì đây là lần đầu tiên tôi làm việc với những thứ như vậy (tôi thực sự chỉ là một nhà phát triển phần mềm: P)

Chúc mừng

Bạn có một số cách để định cấu hình trình ảo hóa của mình để đạt được mục tiêu:

1. Mỗi VM có bộ điều hợp mạng được đính kèm bridged adapter . Sau đó, bạn phải định cấu hình IP công cộng (ví dụ: trong 10.10.0.0/24) cho mỗi bộ điều hợp mạng này.

   Cuối cùng, bạn có thể thực thi các lệnh iptables sau trên máy chủ của mình:

   • iptables -P INPUT DROP để đặt chính sách mặc định của bạn là DROP
   • iptables -A INPUT -i eth0 -s 10.10.0.0/24 -j ACCEPT : để cho phép gói từ mạng nội bộ của bạn.

2. Mỗi VM có bộ điều hợp mạng được đính kèm NAT . Sau đó, bạn phải định cấu hình chuyển hướng cổng cho từng dịch vụ của từng VM (Cài đặt VM> Mạng> Nâng cao> Nút chuyển tiếp cổng ở dưới cùng). Vui lòng xem ghi chú ở cuối bài để biết thêm chi tiết về cấu hình chuyển tiếp cổng.

   Sau đó, bạn phải thực hiện các lệnh iptables sau trên máy chủ của mình:

   • iptables -P INPUT DROP
   • iptables -A INPUT -i eth0 -s 10.10.0.0/24 -j ACCEPT
   • thay vì lệnh cuối cùng, bạn có thể chính xác hơn trong ủy quyền của mình: iptables -A INPUT -i eth0 -s 10.10.0.0/24 --dport ssh -j ACCEPTnhưng đôi khi bạn có thể phải cấu hình lại iptables nếu bạn thêm nhiều dịch vụ cho máy ảo của mình.

Trong trường hợp đó, máy ảo của bạn sẽ không thể truy cập được từ internet và từ phần còn lại của mạng nội bộ, giả sử rằng toàn bộ mạng nội bộ của bạn là 10.0.0.0/8. Lưu ý Bạn sẽ có thêm thông tin chi tiết về cầu nối / NAT và chuyển tiếp cổng tại đây

BIÊN TẬP

Xem xét các điều khoản bên dưới yêu cầu, tôi đã không nhận ra rằng mạng cục bộ của bạn là 'chỉ' 10.10.0.0/24 (chứ không phải 10.0.0.0/8). Trên hết, 10.10.0.0/24 thuộc về mạng riêng rộng hơn 10.0.0.0/8 ( https://en.wikipedia.org/wiki/Private_network ), không thể định tuyến trên internet (ý tôi là không có VPN, nhưng đó không phải là định tuyến kỹ thuật). Do đó, máy khách từ internet sẽ không thể truy cập máy ảo nội bộ.