Pesquisa de site

Configuração do Firewall Zimbra com Ufw e Firewalld


Neste guia, veremos como proteger seu conjunto colaborativo Zimbra nos servidores CentOS 7, Debian e Ubuntu usando Firewalld e Ufw respectivamente. Se o seu servidor estiver executando o CentOS 6.x, você pode usar comandos UFW ou iptables brutos para ele, mas os números das portas permanecem os mesmos.

Instalando UFW no Ubuntu e CentOS

Instale o UFW no Ubuntu usando os comandos:

sudo apt-get update && sudo apt-get -y install ufw

Para CentOS, o pacote ufw está disponível nos repositórios EPEL, adicione-o conforme abaixo:

sudo yum -y install epel-release
sudo yum makecache fast
sudo yum -y install ufw

Instalando Firewalld no CentOS/Fedora/RHEL

Se o seu CentOS não vem com firewalld pronto, você pode instalá-lo usando os comandos:

sudo yum -y install firewalld

Inicie e ative o serviço firewalld.

sudo systemctl start firewalld
sudo systemctl enable firewalld

Lembre-se de adicionar sua porta ssh primeiro para não ser expulso.

Para Debian, verifique a instalação do Firewalld no Debian

Configurar o Firewall Zimbra usando UFW

Devido aos recentes ataques de amplificação do Memcache para portas UDP, não habilitaremos a porta udp do Memcache no firewall – porta 11211/udp. Deixaremos apenas a porta TCP aberta, que está protegida contra esses ataques. Leia mais sobre a amplificação principal do Memcache.

Para o ufw, vamos criar um perfil de aplicativo para o UFW chamado Zimbra. Então, vamos criar este perfil conforme abaixo.

sudo vim /etc/ufw/applications.d/zimbra

Adicione o seguinte conteúdo:

[Zimbra]
title=Zimbra Collaboration Server
description=Open source server for email, contacts, calendar, and more.
ports=22,25,80,110,143,161,389,443,465,514,587,993,995,7071,8443,11211/tcp

Habilitar perfil de aplicativo no ufw

sudo ufw allow Zimbra
sudo ufw enable

Adicione a porta ssh também.

sudo ufw allow ssh

Se você fizer alguma alteração no perfil do Zimbra, atualize-o usando:

$ sudo ufw app update Zimbra
Rules updated for profile 'Zimbra'
Skipped reloading firewall

Para uma instalação de servidor único, o Memcache não é usado fora do servidor local. Considere vinculá-lo ao endereço IP de loopback. Utilize os comandos:

sudo su - zimbra
zmprov ms zmhostname zimbraMemcachedBindAddress 127.0.0.1 
zmprov ms zmhostname zimbraMemcachedClientServerList 127.0.0.1

Em seguida, reinicie o serviço Memcached.

sudo su - zimbra -c "zmmemcachedctl restart"

Configurar o Firewall Zimbra usando Firewalld

Para usuários do firewalld, primeiro confirme se o firewalld está em estado de execução.

sudo firewall-cmd --state running

Se não estiver em execução, inicie-o usando.

sudo systemctl start firewalld

Em seguida, configure as portas e serviços Zimbra no firewall.

sudo firewall-cmd --add-service={http,https,smtp,smtps,imap,imaps,pop3,pop3s} --permanent
sudo firewall-cmd --add-port 7071/tcp --permanent
sudo firewall-cmd -add-port 8443/tcp --permanent

Recarregue as configurações do firewalld,

sudo firewall-cmd --reload

Você pode confirmar as configurações de tempo de execução usando:

$ sudo firewall-cmd --list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: dhcpv6-client http https imap imaps pop3 pop3s smtp smtps snmp ssh
ports: 7071/tcp  8443/tcp
...

Restringindo o acesso ao painel do administrador

É uma boa prática sempre restringir o acesso à porta 7071 a uma rede ou endereço IP confiável. Para UFW, isso é feito usando o comando:

sudo ufw allow from 192.168.1.10 to any port 7071
sudo ufw allow from 192.168.1.0/24 to any port 7071

Com o firewalld, você pode usar regras avançadas.

sudo firewall-cmd --permanent --zone=public --add-rich-rule 'rule family="ipv4" \
  source address="192.168.1.10/32" port protocol="tcp" port="7071" accept'

sudo firewall-cmd --reload

Agora você deve ter uma configuração segura do Zimbra. Temos outros artigos relacionados a e-mail que você pode dar uma olhada.

Ref: https://wiki.zimbra.com/index.php?title=Blocking_Memcached_Attack

Verifique também:

  • Como restaurar o banco de dados LDAP Zimbra do backup
  • Como resolver o Zimbra zmconfigd que não está executando/iniciando
  • Instale o Zextras Suite no Zimbra CentOS 7
  • Instalação multiservidor Zimbra no CentOS 7
  • Como definir uma política de senha segura no Zimbra
  • Configurar a filtragem de spam do Zimbra Amavis na lista de permissões e na lista negra


Artigos relacionados: