Zimbra Firewall Configuration в Ufw & Firewalld
В этом руководстве мы рассмотрим, как защитить ваш пакет для совместной работы Zimbra на сервере CentOS 7, Debian и Ubuntu с помощью Firewalld и Ufw соответственно. Если на вашем сервере работает CentOS 6.x, вы можете использовать для него команды UFW или raw iptables, но номера портов остаются прежними.
Установка UFW на Ubuntu и CentOS
Установите UFW в Ubuntu с помощью команд:
sudo apt-get update && sudo apt-get -y install ufw
Для CentOS пакет ufw доступен в репозиториях EPEL, добавьте его, как показано ниже:
sudo yum -y install epel-release sudo yum makecache fast sudo yum -y install ufw
Установка Firewalld на CentOS 7.x
Если ваш CentOS не поставляется с готовым к использованию firewalld, вы можете установить его с помощью команд:
sudo makecache fast sudo yum -y install firewalld
Запустите и включите службу firewalld.
sudo systemctl start firewalld sudo systemctl enable firewalld
Не забудьте сначала добавить свой порт ssh, чтобы вас не выгнали.
Настройте Zimbra Firewall с помощью UFW
Из-за недавних атак по усилению Memcache для портов UDP мы не будем включать udp порт Memcache на брандмауэре — порт 11211 / udp. Мы оставим открытым только порт TCP, который защищен от этих атак. Узнайте больше об усилении Memcache Major.
sudo vim /etc/ufw/applications.d/zimbra
Добавьте следующий контент:
[Zimbra]
title=Zimbra Collaboration Server
description=Open source server for email, contacts, calendar, and more.
ports=22,25,80,110,143,161,389,443,465,514,587,993,995,7071,8443,11211/tcp
Включить профиль приложения на ufw
sudo ufw allow Zimbra sudo ufw enable
Также добавьте порт ssh.
sudo ufw allow ssh
Если вы вносите какие-либо изменения в профиль Zimbra, обновите его, используя:
$ sudo ufw app update Zimbra Rules updated for profile 'Zimbra' Skipped reloading firewall
При установке на одном сервере Memcache не используется вне локального сервера. Рассмотрите возможность привязки его к IP-адресу обратной петли. Используйте команды:
sudo su - zimbra zmprov mszmhostname
zimbraMemcachedBindAddress 127.0.0.1 zmprov mszmhostname
zimbraMemcachedClientServerList 127.0.0.1
Затем перезапустите службу Memcached.
sudo su - zimbra -c "zmmemcachedctl restart"
Настройте Zimbra Firewall с помощью Firewalld
Для пользователей firewalld сначала убедитесь, что firewalld находится в рабочем состоянии.
sudo firewall-cmd --state running
Если не работает, запустите его.
sudo systemctl start firewalld
Затем настройте порты и службы Zimbra на брандмауэре.
sudo firewall-cmd --add-service={http,https,smtp,smtps,imap,imaps,pop3,pop3s} --permanent sudo firewall-cmd --add-port 7071/tcp --permanent sudo firewall-cmd -add-port 8443/tcp --permanent
Перезагрузить конфигурации firewalld,
sudo firewall-cmd --reload
Вы можете подтвердить настройки времени выполнения, используя:
$ sudo firewall-cmd --list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: dhcpv6-client http https imap imaps pop3 pop3s smtp smtps snmp ssh
ports: 7071/tcp 8443/tcp
...
Ограничение доступа к панели администратора
Рекомендуется всегда ограничивать доступ к порту 7071 доверенной сети или IP-адресу. Для UFW это делается с помощью команды:
$ sudo ufw allow from 192.168.1.10 to any port 7071 $ sudo ufw allow from 192.168.1.0/24 to any port 7071
С firewalld вы можете использовать Rich Rules.
sudo firewall-cmd --permanent --zone=public --add-rich-rule 'rule family="ipv4" source address="192.168.1.10/32" port protocol="tcp" port="7071" accept' sudo firewall-cmd --reload
Теперь у вас должна быть защищенная установка Zimbra.