HowTo:透過跳板機將個體納入防火牆保護範圍
準備工作
若欲透過跳板機將虛擬運算個體納入防火牆保護範圍,請於建立進階虛擬防火牆前,先建立以下資源:
- 建立 2 段 虛擬網路:信任網路與非信任網路
- 建立虛擬運算個體:跳板機 1 台、受防火牆保護之個體數台 (以下稱 受保護個體,請選擇信任網路建立)
信息
- 進階虛擬防火牆跨越 3 網段:
- 信任網路:跳板機、受保護個體所屬網段
- 非信任網路:防火牆對外服務的網段
- 管理網路:在防火牆建立後,將會自動建立管理網路,可透過此網路管理防火牆
- 跳板機:可作為受保護且無對外 IP 之個體連入之機器
透過跳板機將個體納入防火牆保護範圍
完成上方準備工作後,接著請建立進階虛擬防火牆。建立完成後,請設定以下步驟 (以 Ubuntu 為例),讓虛擬運算個體可受防火牆保護及控管。
- 請從本機,將已下載的金鑰放入跳板機
scp -i [Key Pair name].pem [Key Pair name].pem ubuntu@[jumpserver public ip]:/home/ubuntu/
- 從本機連線進入跳板機,並更改金鑰權限、測試與受保護個體的連線
ssh -i [Key Pair name].pem ubuntu@[jumpserver public ip]
ls
sudo su -
chmod 400 [Key Pair name].pem
ssh -i [Key Pair name].pem ubuntu@[private ip of instance1 to be secured] hostname
ssh -i [Key Pair name].pem ubuntu@[private ip of instance2 to be secured] hostname
將受保護個體的預設閘道指向防火牆
為形成保護網,此設定可讓流量先經過防火牆控管,再抵達受保護個體
- 輸入資訊,登入受保護的個體
ssh -i [Key Pair name].pem ubuntu@[private ip of instance to be secured]
- 安裝 net-tools,確認目前 routing default gateway
apt install net-tools
route -n
- 編輯
rc-local.service
echo -e '\n[Install]\nWantedBy=multi-user.target\nAlias=rc-local.service\n' >> /lib/systemd/system/rc-local.service
cat /lib/systemd/system/rc-local.service
- 新增
/etc/rc.local,並賦予執行權限
echo -e '#!/bin/sh -e\nsudo route add default gw [Private IP of firewall trusted network]\nsudo route del default gw [original default gateway]\nexit 0' > /etc/rc.local
chmod +x /etc/rc.local
chown ubuntu:ubuntu /etc/rc.local
信息
您可於 進階虛擬防火牆詳細資料 頁取得 Private IP of firewall trusted network (IP 順序非固定):
- 啟用並啟動 rc-local service
sudo systemctl enable rc-local
sudo systemctl start rc-local
- 建立 soft link 並重開機
sudo ln -s /lib/systemd/system/rc-local.service /etc/systemd/system/rc-local.service
信息
若顯示 file exists 代表已建立過,即可執行重開機。
sudo reboot
- 再次登入受保護個體並檢查結果
ssh -i [Key Pair name].pem ubuntu@[private ip of instance to be secured]
route -n
信息
修改後的 default gateway 將會指向防火牆。