Comments 10
deny any any на внешний интерфейс, wireguard для доступа с наружи и все. Нет никакого смысла фигней заниматься внутри домашней сети.
Предлагаем проверить свои скиллы и решить задачку
$100
А там внутри сети еще же и маршрутизатор стоит между 10.10.10.0.0/24, 10.10.2.0/24 и 10.10.100.0/24? А какие правила на нем настроены? А там NAT на нем стоит или маршрут на 10.0.0.0/8 с сервера прописан в сторону роутера статично? А PBR роутер поддерживает?
Вы задачи-то четче ставьте...
10.10.10.0.2/24
Это ipv8?
ChatGPT что вам ответил на этот таск? :)
SSH, MYSQL, RDP, HTTPS, WireGuard
ssh и https - протоколы с хорошей репутацией. можно разрешить отовсюду без ограничений.
если сервер и/или его клиенты в РФ то wg уже сдох или скоро сдохнет. можно убирать.
rdp туннелируется в ssh, напрямую недоступен.
ps: сервер настроен по идеологии zero trust, там без разницы 10.10.10.10 или 666.555.444.333 и кто из них домашняя сеть а кто нет.
сходил по ссылке, а там винда и виндовый фаервол.
а теперь решите мою задачу. какой шанс намотать 0day за месяц без обновлений (которые раз в месяц) , если ваш сервер вписался в базу shodan за первую неделю uptime ? на 443/tcp слушает родной IIS, на 22/tcp - родной sshd.
50% :)
Или намотаешь, или нет :)
100% правильного ответа у меня нет.
1) я плохо знаком с IIS. также очень зависит от того какое на нем веб-приложение опубликовано: статический самодельный сайт, OWA или 1С (есть и на это любители). upd: а может быть и SharePoint.
2) я совершенно не знаком с родным виндовым sshd и не собираюсь знакомиться, у меня есть более проверенное решение.
вывод: выставить honeypot (не ВМ, его распознают и эксфильтруются со свистом) и пронаблюдать 2-3 месяца. Интернет покажет чьи в лесу шишки.
Задача о хитрых ACL. Сможете решить?