Zimbra Firewall Configuration в Ufw & Firewalld

Zimbra Firewall Configuration в Ufw & Firewalld

В этом руководстве мы рассмотрим, как защитить ваш пакет для совместной работы Zimbra на сервере CentOS 7, Debian и Ubuntu с помощью Firewalld и Ufw соответственно. Если на вашем сервере работает CentOS 6.x, вы можете использовать для него команды UFW или raw iptables, но номера портов остаются прежними.

 

Установка UFW на Ubuntu и CentOS

Установите UFW в Ubuntu с помощью команд:

sudo apt-get update && sudo apt-get -y install ufw

Для CentOS пакет ufw доступен в репозиториях EPEL, добавьте его, как показано ниже:

sudo yum -y install epel-release
sudo yum makecache fast
sudo yum -y install ufw

Установка Firewalld на CentOS 7.x

Если ваш CentOS не поставляется с готовым к использованию firewalld, вы можете установить его с помощью команд:

 

sudo makecache fast
sudo yum -y install firewalld

Запустите и включите службу firewalld.

sudo systemctl start firewalld
sudo systemctl enable firewalld

Не забудьте сначала добавить свой порт ssh, чтобы вас не выгнали.

Настройте Zimbra Firewall с помощью UFW

Из-за недавних атак по усилению Memcache для портов UDP мы не будем включать udp порт Memcache на брандмауэре — порт 11211 / udp. Мы оставим открытым только порт TCP, который защищен от этих атак. Узнайте больше об усилении Memcache Major.

sudo vim /etc/ufw/applications.d/zimbra

Добавьте следующий контент:

[Zimbra]
title=Zimbra Collaboration Server
description=Open source server for email, contacts, calendar, and more.
ports=22,25,80,110,143,161,389,443,465,514,587,993,995,7071,8443,11211/tcp

Включить профиль приложения на ufw

sudo ufw allow Zimbra
sudo ufw enable

Также добавьте порт ssh.

sudo ufw allow ssh

Если вы вносите какие-либо изменения в профиль Zimbra, обновите его, используя:

$ sudo ufw app update Zimbra
Rules updated for profile 'Zimbra'
Skipped reloading firewall

При установке на одном сервере Memcache не используется вне локального сервера. Рассмотрите возможность привязки его к IP-адресу обратной петли. Используйте команды:

sudo su - zimbra
zmprov ms zmhostname zimbraMemcachedBindAddress 127.0.0.1 zmprov ms zmhostname zimbraMemcachedClientServerList 127.0.0.1

Затем перезапустите службу Memcached.

sudo su - zimbra -c "zmmemcachedctl restart"

Настройте Zimbra Firewall с помощью Firewalld

Для пользователей firewalld сначала убедитесь, что firewalld находится в рабочем состоянии.

sudo firewall-cmd --state running

Если не работает, запустите его.

sudo systemctl start firewalld

Затем настройте порты и службы Zimbra на брандмауэре.

sudo firewall-cmd --add-service={http,https,smtp,smtps,imap,imaps,pop3,pop3s} --permanent
sudo firewall-cmd --add-port 7071/tcp --permanent
sudo firewall-cmd -add-port 8443/tcp --permanent

Перезагрузить конфигурации firewalld,

sudo firewall-cmd --reload

Вы можете подтвердить настройки времени выполнения, используя:

$ sudo firewall-cmd --list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: dhcpv6-client http https imap imaps pop3 pop3s smtp smtps snmp ssh
ports: 7071/tcp  8443/tcp
...

Ограничение доступа к панели администратора

Рекомендуется всегда ограничивать доступ к порту  7071  доверенной сети или IP-адресу. Для UFW это делается с помощью команды:

$ sudo ufw allow from 192.168.1.10 to any port 7071
$ sudo ufw allow from 192.168.1.0/24 to any port 7071

С firewalld вы можете использовать Rich Rules.

sudo firewall-cmd --permanent --zone=public --add-rich-rule 'rule family="ipv4" source address="192.168.1.10/32" port protocol="tcp" port="7071" accept'
sudo firewall-cmd --reload

Теперь у вас должна быть защищенная установка Zimbra.

Прокрутить вверх