Ad Widget

**Hamardaban** · 09-10-2020, 13:41

Вопрос не относиться напрямую к zabbix - фронтенд работает под вебсервером просто как сайт.
Вот в вебсервере и делайте настройки доступа к сайту!
Об этом надеюсь информацию в интернете найдете? ;-)

**H1r0Sh1mA** · 09-10-2020, 13:47

можно на уровне iptables , а можно через nginx https://docs.nginx.com/nginx/admin-g...s-proxied-tcp/

**evlasov** · 09-10-2020, 13:48

Originally posted by H1r0Sh1mA

можно на уровне iptables , а можно через nginx https://docs.nginx.com/nginx/admin-g...s-proxied-tcp/

Спасибо за идею, у меня на Apache2 поднят web.

**H1r0Sh1mA** · 09-10-2020, 13:57

Originally posted by evlasov

Спасибо за идею, у меня на Apache2 поднят web.

В таком случае http://httpd.apache.org/docs/2.2/en/...uthz_host.html , но я бы раздавал разрешения на уровне iptables (или что Вы у себя используете), чтобы веб сервер не озадачивался не нужным.

**evlasov** · 09-10-2020, 14:15

Originally posted by H1r0Sh1mA

В таком случае http://httpd.apache.org/docs/2.2/en/...uthz_host.html , но я бы раздавал разрешения на уровне iptables (или что Вы у себя используете), чтобы веб сервер не озадачивался не нужным.

Спасибо, сейчас буду изучать мануалы, как это выполнить.

**evlasov** · 09-10-2020, 15:32

Спасибо, вычитал много статей, начал применять правки в iptables, но эффекта как то не увидел

**H1r0Sh1mA** · 09-10-2020, 17:31

эффекта нет потому, что у Вас по умолчанию политика в INPUT = ACCEPT, т.е Вы разрешаете все входящие соединения и нет запрещающих и конкретизирующих правил.

Вообще тема настройки iptables отдельная, уходит за пределы топика и каждый любит готовить ее по своему, но поскольку Вам сейчас не до прочтения гримуаров по iptables посмотрите

IPTables rules for Zabbix - IT Blog

https://ixnfo.com/en/iptables-rules-for-zabbix.html

Suppose on the default server INPUT DROP, then I will give an example of the rule for Zabbix agent: I will give an example of the rule for Zabbix server: If you need to open access only to a specific IP address or network, for example 192.168.5.0/24, then: If INPUT is the default ACCEPT, then … Continue reading "IPTables rules for Zabbix"

в дальнейшем погуглите iptables bash script (можно начать копать отсюда https://ph0en1x.net/92-iptables-fire...x-systemd.html) - это сильно поможет в управлении цепочками правил.

дебажить Ваши правила очень удобно так (для linux):
открываете отдельный терминал и мониторите цепочки через которые проходит траффик (Вы увидите через какие цепочки правил проходят пакеты)

Code:

watch -n 1 iptables -L -n -v

и до кучи посмотрите как мониторить траффик через утилиту tcpdump(это не обязательно , но очень полезно) (пример: tcpdump -pni $ext_interfae_name host РАЗРЕШЕННЫЙ_IP_АДРЕС).

**evlasov** · 14-10-2020, 12:03

Всем большое спасибо за советы, реализовал все следующим образом:

С помощью: ipset

Code:

yaml install ipset  #Устанавливаем - ipset
ipset -N whitelist iphash #Создаем список - "whitelist"
ipset -A whitelist 1.2.3.4,1.2.3.5 #Через запятую вносим IP которые мы хотим впустить на сервер, в файл -  "whitelist"
ipset -L whitelist #Проверяем правильность введённых данных

Далее используем iptables

Code:

iptables -I INPUT 1 -p tcp -m tcp --dport 80 -j DROP#Закрываем всем доступ к 80 порту
iptables -I INPUT 1 -p tcp --dport 80 -m set --match-set whitelist src -j ACCEPT #Предоставляем возможность входа на 80 порт ip которые состоят в whitelist - выше созданном.

Вот таким образом у меня это удалось, всем огромное спасибо, за советы.

Ad Widget

Авторизация пользователей по white list ip в Zabbix

Авторизация пользователей по white list ip в Zabbix

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment