Configuração do Firewall Zimbra com Ufw e Firewalld
Neste guia, veremos como proteger seu conjunto colaborativo Zimbra nos servidores CentOS 7, Debian e Ubuntu usando Firewalld e Ufw respectivamente. Se o seu servidor estiver executando o CentOS 6.x, você pode usar comandos UFW ou iptables brutos para ele, mas os números das portas permanecem os mesmos.
Instalando UFW no Ubuntu e CentOS
Instale o UFW no Ubuntu usando os comandos:
sudo apt-get update && sudo apt-get -y install ufw
Para CentOS, o pacote ufw está disponível nos repositórios EPEL, adicione-o conforme abaixo:
sudo yum -y install epel-release
sudo yum makecache fast
sudo yum -y install ufw
Instalando Firewalld no CentOS/Fedora/RHEL
Se o seu CentOS não vem com firewalld pronto, você pode instalá-lo usando os comandos:
sudo yum -y install firewalld
Inicie e ative o serviço firewalld.
sudo systemctl start firewalld
sudo systemctl enable firewalld
Lembre-se de adicionar sua porta ssh primeiro para não ser expulso.
Para Debian, verifique a instalação do Firewalld no Debian
Configurar o Firewall Zimbra usando UFW
Devido aos recentes ataques de amplificação do Memcache para portas UDP, não habilitaremos a porta udp do Memcache no firewall – porta 11211/udp. Deixaremos apenas a porta TCP aberta, que está protegida contra esses ataques. Leia mais sobre a amplificação principal do Memcache.
Para o ufw, vamos criar um perfil de aplicativo para o UFW chamado Zimbra. Então, vamos criar este perfil conforme abaixo.
sudo vim /etc/ufw/applications.d/zimbra
Adicione o seguinte conteúdo:
[Zimbra]
title=Zimbra Collaboration Server
description=Open source server for email, contacts, calendar, and more.
ports=22,25,80,110,143,161,389,443,465,514,587,993,995,7071,8443,11211/tcp
Habilitar perfil de aplicativo no ufw
sudo ufw allow Zimbra
sudo ufw enable
Adicione a porta ssh também.
sudo ufw allow ssh
Se você fizer alguma alteração no perfil do Zimbra, atualize-o usando:
$ sudo ufw app update Zimbra
Rules updated for profile 'Zimbra'
Skipped reloading firewall
Para uma instalação de servidor único, o Memcache não é usado fora do servidor local. Considere vinculá-lo ao endereço IP de loopback. Utilize os comandos:
sudo su - zimbra
zmprov ms zmhostname zimbraMemcachedBindAddress 127.0.0.1
zmprov ms zmhostname zimbraMemcachedClientServerList 127.0.0.1
Em seguida, reinicie o serviço Memcached.
sudo su - zimbra -c "zmmemcachedctl restart"
Configurar o Firewall Zimbra usando Firewalld
Para usuários do firewalld, primeiro confirme se o firewalld está em estado de execução.
sudo firewall-cmd --state running
Se não estiver em execução, inicie-o usando.
sudo systemctl start firewalld
Em seguida, configure as portas e serviços Zimbra no firewall.
sudo firewall-cmd --add-service={http,https,smtp,smtps,imap,imaps,pop3,pop3s} --permanent
sudo firewall-cmd --add-port 7071/tcp --permanent
sudo firewall-cmd -add-port 8443/tcp --permanent
Recarregue as configurações do firewalld,
sudo firewall-cmd --reload
Você pode confirmar as configurações de tempo de execução usando:
$ sudo firewall-cmd --list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: dhcpv6-client http https imap imaps pop3 pop3s smtp smtps snmp ssh
ports: 7071/tcp 8443/tcp
...
Restringindo o acesso ao painel do administrador
É uma boa prática sempre restringir o acesso à porta 7071 a uma rede ou endereço IP confiável. Para UFW, isso é feito usando o comando:
sudo ufw allow from 192.168.1.10 to any port 7071
sudo ufw allow from 192.168.1.0/24 to any port 7071
Com o firewalld, você pode usar regras avançadas.
sudo firewall-cmd --permanent --zone=public --add-rich-rule 'rule family="ipv4" \
source address="192.168.1.10/32" port protocol="tcp" port="7071" accept'
sudo firewall-cmd --reload
Agora você deve ter uma configuração segura do Zimbra. Temos outros artigos relacionados a e-mail que você pode dar uma olhada.
Ref: https://wiki.zimbra.com/index.php?title=Blocking_Memcached_Attack
Verifique também:
- Como restaurar o banco de dados LDAP Zimbra do backup
- Como resolver o Zimbra zmconfigd que não está executando/iniciando
- Instale o Zextras Suite no Zimbra CentOS 7
- Instalação multiservidor Zimbra no CentOS 7
- Como definir uma política de senha segura no Zimbra
- Configurar a filtragem de spam do Zimbra Amavis na lista de permissões e na lista negra